web-dev-qa-db-fra.com

Que fait le serveur RADIUS dans une configuration WPA2 Enterprise?

Je souhaite passer du mode "WPA2 Personal" au mode "WPA2 Entreprise", car je sais qu'en principe, sur un réseau WiFi sécurisé avec "WPA2 Personal", les appareils connaissant le PSK peuvent se renifler une fois capturés. l'association entre la station et l'AP. Afin de réduire l'effet qu'un seul appareil compromis sur le WiFi aurait (en mode "WPA2 Personnel", il serait capable de déchiffrer le trafic d'un autre client WiFi sans compromis s'il avait déjà capturé les "demandes associées" de l'autre clients en mode surveillance/moniteur) Je souhaite mettre à niveau mon réseau Wi-Fi vers la sécurité "WPA2 Entreprise", où, selon ma compréhension, cela n’est plus possible.

Malheureusement, pour "WPA2 Enterprise", vous avez besoin d’un serveur RADIUS.

Pour autant que je sache, le serveur RADIUS n'effectue que l'authentification, mais pas le chiffrement ni l'échange de données de clé. Donc, fondamentalement, un AP obtient une demande d'association d'un STA, le client fournit les informations d'identification, puis il les transmet au serveur RADIUS, le serveur RADIUS dit "les informations d'identification sont correctes", alors le PA laisse la STA s'associer, sinon pas.

Est-ce le bon modèle? Si tel est le cas, le serveur RADIUS n'est en principe qu'une base de données contenant les informations d'identification de l'utilisateur (paires nom d'utilisateur et mot de passe). Si tel est le cas, alors je suis curieux de savoir pourquoi ils ont besoin d’une machine serveur complète, car même pour des milliers d’utilisateurs, les noms d’utilisateur et les mots de passe ne constituent pas une grande quantité de données à stocker et la vérification des informations d’identité est une tâche assez élémentaire. il semble donc que c’est une chose qui pourrait aussi être facilement réalisée par l’AP lui-même. Alors pourquoi avoir besoin d’un serveur dédié?

Alors peut-être que je me suis trompé et que le serveur RADIUS n'est pas uniquement utilisé pour l'authentification, mais également pour le cryptage? Si un STA envoie des données à un réseau à l'aide de "WPA2 Enterprise", il les chiffre avec une clé de session, puis le point d'accès reçoit les données cryptées mais, contrairement à "WPA2 Personal", il ne peut pas les déchiffrer. Il transmet donc les données. sur le serveur RADIUS, qui dispose du matériel de clé (et de la puissance de calcul) pour le déchiffrer. Une fois que le RADIUS a obtenu le texte en clair, il retransmet le contenu non chiffré sur le réseau câblé. Est-ce comme ça que c'est fait?

La raison pour laquelle je veux savoir ceci est la suivante. J'ai un périphérique plutôt ancien ici, sur lequel un serveur RADIUS s'exécute. Mais, comme je l’ai dit, l’appareil est assez ancien et implémente donc une ancienne version de RADIUS avec des faiblesses de sécurité connues. J'aimerais maintenant savoir si cela compromettrait ma sécurité WiFi s'il était utilisé pour le chiffrement en mode "WPA2 Entreprise". Si un attaquant peut parler au serveur RADIUS sans authentification, cela peut compromettre la sécurité de mon réseau. Par conséquent, je ne devrais pas le faire. D'autre part, si l'attaquant ne peut parler qu'au point d'accès, qui à son tour parle au serveur RADIUS pour vérifier les informations d'identification, il est alors possible qu'un "serveur vulnérable RADIUS" beaucoup de problème, puisque l'attaquant n'entrerait pas dans le réseau WiFi, et ne pourrait donc pas parler au serveur RADIUS, en premier lieu. Le seul périphérique qui communique avec le serveur RADIUS serait le point d'accès lui-même, chargé de vérifier les informations d'identification, avec tout le matériel de clé généré et la cryptographie effectuée sur le point d'accès (non compromis) lui-même. L’attaquant serait révoqué et ne pourrait donc pas rejoindre le réseau et exploiterait les faiblesses du serveur RADIUS potentiellement vulnérable.

En quoi le serveur RADIUS est-il impliqué dans la sécurité "WPA2 Enterprise"?

17
no.human.being

WPA2 Enterprise est basé sur des parties de 802.11i basées sur 802.1X. 802.1X n'exige PAS de serveur RADIUS, mais c'est comme cela que l'on procède couramment pour des raisons héritées du passé.

Le rôle du serveur RADIUS n'est qu'au début de la connexion, mais il fait une petite chose de plus que ce que vous avez mentionné. Dans le cadre du mécanisme d'authentification, le matériel de chiffrement est généré de manière sécurisée sur le serveur RADIUS (et le même matériel de chiffrement est également généré sur le client WPA2). Après que le serveur RADIUS ait ordonné à l'AP d'accepter cette demande de connexion, le serveur RADIUS envoie ce contenu de clé dans un message RADIUS "clé" (il a réutilisé un message RADIUS message/attribut MPPE-KEY mis au point par Microsoft) à l'AP, afin que l'AP sache quelles clés par utilisateur par session (y compris la clé temporelle Pairwise ou la clé PTK) à utiliser pour cette session. Cela met fin à la participation du serveur RADIUS.

Vous avez absolument raison de dire qu'il ne faut pas beaucoup de puissance de serveur pour exécuter un serveur RADIUS. Tout comme un serveur DHCP ou un serveur DNS pour un petit réseau ou un petit domaine, vous n'avez vraiment pas besoin de matériel de "classe serveur" pour l'exécuter. Probablement n'importe quel petit boîtier réseau intégré à faible consommation fera l'affaire. Il existe de nombreux protocoles dans les réseaux modernes où l'extrémité "serveur" ne nécessite pas beaucoup de puissance par rapport aux normes actuelles. Simplement parce que vous entendez le terme "serveur", ne supposez pas qu'il nécessite un matériel serveur robuste.


Histoire

Les mécanismes d'authentification d'origine de PPP étaient absents et nécessitaient beaucoup d'implication d'organes de normalisation pour en créer de nouveaux. Finalement, le protocole EAP (Extensible Authentication Protocol) a été créé pour être un système de type plug-in de type authentification pour l'authentification de type PPP. Naturellement, RADIUS serveurs et PPP clients ont été les premiers emplacements à prendre en charge le protocole EAP. Vous pouvez bien sûr demander à votre modem/serveur PPP, ou à votre serveur VPN, ou à votre serveur PPPoE/PPPoA (en réalité, L2TP PPP), ou autre, de mettre en œuvre EAP localement, mais, à présent, RADIUS _ était si largement déployé que c’est principalement RADIUS serveurs qui l’a implémenté.

Finalement, quelqu'un a voulu trouver un moyen de demander une authentification chaque fois que quelqu'un se connecte à un port Ethernet non protégé dans le hall ou dans une salle de conférence. C'est pourquoi "EAP over LANs" a été créé. "EAPoL", comme il était connu, était normalisé 802.1X. 802.1X a ensuite été appliqué aux réseaux 802.11 dans IEEE 802.11i. Et la Wi-Fi Alliance a créé un programme de certification/stratégie de marque/marketing en matière d'interopérabilité autour de 802.11i, qu'elle a baptisée Wi-Fi Protected Access 2 (WPA2).

Ainsi, bien que votre point d’accès 802.11 puisse remplir lui-même le rôle "Authenticator" de 802.1X (WPA2-Enterprise) (sans l’aide d’un serveur RADIUS), il n’est tout simplement pas habituel. En fait, dans certains AP capables de gérer 802.1X en autonome, ils construisent et ouvrent le serveur RADIUS source ouvert dans leur micrologiciel et effectuent l'authentification 802.1X via RADIUS via un bouclage, car il est plus facile de le brancher de cette façon plutôt que d'essayer d'implémenter votre propre code authentificateur EAP, ou de copier le code à partir d'un logiciel serveur open source RADIUS et d'essayer de l'intégrer directement dans le 802.11 de votre firmware AP. démons liés.


Compte tenu de cette histoire et en fonction de l'âge de votre serveur RADIUS proposé, la question importante est de savoir s'il implémente le ou les types EAP que vous souhaitez utiliser pour l'authentification sur votre réseau. PEAP? TTLS?

Notez également que RADIUS utilise traditionnellement un "secret partagé" connu du client RADIUS (le client RADIUS est le "serveur d'accès au réseau": le PA dans dans ce cas, ou un serveur VPN ou PPP ou un autre "serveur d'accès distant" dans les autres cas) et le serveur RADIUS, pour authentifier à la fois le client RADIUS et serveur entre eux et chiffrer leur communication. La plupart des serveurs RADIUS vous permettent de spécifier différents secrets partagés pour chaque point d'accès, en fonction de l'adresse IP de celui-ci. Ainsi, un attaquant de votre réseau devrait être en mesure de prendre en charge cette adresse IP et de deviner ce secret partagé, afin que le serveur RADIUS puisse lui parler. Si l'attaquant n'était pas encore sur le réseau, il ne pourrait qu'essayer d'envoyer des messages EAP spécialement conçus/corrompus que le PA transmettrait via RADIUS au RADIUS serveur. Si le problème de sécurité qui vous préoccupe peut être exploité via des messages EAP mal formés, vous risquez toujours d'avoir un problème.

16
Spiff

WPA Enterprise (WPA avec EAP) vous permet d’avoir beaucoup d’autres méthodes d’authentification, comme les certificats numériques, les jetons RSA, etc. Elle doit être implémentée avec un serveur Radius, car toutes ces méthodes vont au-delà des simples noms d’utilisateur + mots de passe norme de facto pour la plupart des systèmes nécessitant AAA (authentification, autorisation, comptabilité).

Cela étant dit,

1) le serveur Radius peut être facilement protégé par des règles de pare-feu, acceptant uniquement les paquets provenant d’AP (le client wifi ne parlera jamais directement au serveur Radius)

2) l’utilisation d’un ancien rayon peut ne pas fonctionner, je recommande l’un des derniers serveurs freeradius

Plus de détails sur comment cela fonctionne et ce que vous devez faire: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

3
claudiuf