Ich möchte mein WLAN von "WPA2 Personal" auf "WPA2 Enterprise" -Modus aktualisieren, da ich weiß, dass Geräte, die das PSK kennen, bei einem mit "WPA2 Personal" gesicherten WLAN im Prinzip den Datenverkehr des jeweils anderen nach der Erfassung abhören können die Assoziation zwischen der Station und dem AP. Um den Effekt zu verringern, den ein einzelnes gefährdetes Gerät im WLAN hätte (im "WPA2 Personal" -Modus), wäre es in der Lage, den Datenverkehr eines anderen, nicht gefährdeten WLAN-Clients zu entschlüsseln, wenn es zuvor die "zugehörigen Anforderungen" des anderen erfasst hätte Clients im Promiscuous / Monitor-Modus) Ich möchte mein WLAN auf "WPA2 Enterprise" -Sicherheit upgraden, wo dies meines Erachtens nicht mehr möglich ist.
Für "WPA2 Enterprise" benötigen Sie jetzt leider einen RADIUS-Server.
Soweit ich weiß, führt der RADIUS-Server nur die Authentifizierung durch, nicht jedoch die Verschlüsselung oder den Austausch von Schlüsselmaterial. Grundsätzlich erhält ein AP eine Zuordnungsanforderung von einer STA, der Client gibt Anmeldeinformationen weiter, der AP gibt sie an den RADIUS-Server weiter, der RADIUS-Server meldet "Anmeldeinformationen sind in Ordnung", und der AP lässt die STA eine Zuordnung zu, andernfalls nicht.
Ist das das richtige Modell? Wenn ja, dann ist der RADIUS-Server im Grunde nichts anderes als eine Datenbank voller Benutzeranmeldeinformationen (Benutzer- und Kennwortpaare). Wenn dem so ist, dann bin ich neugierig, warum sie dafür einen vollwertigen Servercomputer benötigen, da selbst für Tausende von Benutzern Benutzernamen und Kennwörter nicht viele Daten zu speichern sind und das Überprüfen von Anmeldeinformationen eine ziemlich grundlegende Aufgabe ist. es scheint also, dass dies eine Sache ist, die auch vom AP selbst leicht gemacht werden könnte. Warum brauchen Sie dafür einen dedizierten Server?
Vielleicht habe ich das falsch verstanden und der RADIUS-Server wird nicht nur für die Authentifizierung, sondern auch für die eigentliche Verschlüsselung verwendet? Wenn eine STA Daten mit "WPA2 Enterprise" an ein Netzwerk sendet, verschlüsselt sie diese mit einem Sitzungsschlüssel. Der AP empfängt die verschlüsselten Daten, kann sie jedoch im Gegensatz zu "WPA2 Personal" nicht entschlüsseln und leitet sie daher weiter an den RADIUS-Server, der über das Schlüsselmaterial (und die Rechenleistung) zum Entschlüsseln verfügt. Nachdem der RADIUS den Klartext erhalten hat, leitet er das unverschlüsselte Material zurück an das kabelgebundene Netzwerk. Wird das so gemacht?
Der Grund, warum ich das wissen möchte, ist der folgende. Ich habe hier ein ziemlich altes Gerät, auf dem ein RADIUS-Server ausgeführt wird. Aber wie gesagt, das Gerät ist ziemlich alt und implementiert daher eine alte Version von RADIUS mit bekannten Sicherheitslücken. Jetzt möchte ich wissen, ob dies meine WiFi-Sicherheit gefährden würde, wenn es für die Verschlüsselung im "WPA2 Enterprise" -Modus verwendet wird. Wenn ein Angreifer ohne Authentifizierung mit dem RADIUS-Server kommunizieren kann, kann dies die Sicherheit meines Netzwerks gefährden. Daher sollte ich dies nicht tun. Wenn der Angreifer hingegen nur mit dem Zugriffspunkt sprechen kann, der wiederum mit dem RADIUS-Server spricht, um die Anmeldeinformationen zu überprüfen, ist ein "anfälliger RADIUS-Server" möglicherweise kein großes Problem, da der Angreifer dies nicht bekommt in das WiFi-Netzwerk und somit nicht in der Lage, mit dem RADIUS-Server zu sprechen, in erster Linie. Das einzige Gerät, das mit dem RADIUS-Server kommuniziert, ist der Zugriffspunkt selbst, um die Anmeldeinformationen zu überprüfen, wobei das gesamte Schlüsselmaterial generiert und die Kryptografie auf dem (nicht gefährdeten) Zugriffspunkt selbst durchgeführt wird. Der Angreifer wird widerrufen und kann sich nicht dem Netzwerk anschließen und Schwachstellen auf dem potenziell anfälligen RADIUS-Server ausnutzen.
Wie genau ist der RADIUS-Server an der Sicherheit von "WPA2 Enterprise" beteiligt?