Je voudrais faire passer mon WiFi du mode "WPA2 Personal" au mode "WPA2 Enterprise" car je sais qu'en principe, sur un WiFi sécurisé avec "WPA2 Personal", les appareils qui connaissent le PSK peuvent flairer le trafic de l'autre une fois capturés l'association entre la gare et l'AP. Afin de réduire l'effet qu'un seul appareil compromis sur le WiFi aurait (en mode "WPA2 Personal", il serait capable de décrypter le trafic d'un autre client WiFi sans compromis, s'il avait auparavant capturé les "requêtes associées" de l'autre clients en mode promiscuous / moniteur) Je voudrais mettre à niveau mon WiFi vers la sécurité "WPA2 Enterprise", où, selon ma compréhension, ce n'est plus possible.
Maintenant, malheureusement, pour "WPA2 Enterprise", vous avez besoin d'un serveur RADIUS.
Maintenant, pour autant que je sache, le serveur RADIUS n'effectue que l'authentification, mais n'effectue pas de chiffrement ou d'échange de matériel clé. Donc, fondamentalement, un AP reçoit une demande d'association d'une STA, le client fournit des informations d'identification, puis l'AP les transmet au serveur RADIUS, le serveur RADIUS dit "les informations d'identification sont OK", puis l'AP permet à la STA de s'associer, sinon non.
Est-ce le bon modèle? Si tel est le cas, le serveur RADIUS n'est rien d'autre qu'une base de données remplie d'informations d'identification utilisateur (paires nom d'utilisateur et mot de passe). Si tel est le cas, je suis curieux de savoir pourquoi ils ont besoin d'une machine serveur à part entière pour cela, car, même pour des milliers d'utilisateurs, les noms d'utilisateur et les mots de passe ne sont pas beaucoup de données à stocker et la vérification des informations d'identification est une tâche assez basique, il semble donc que c'est une chose qui pourrait également être facilement effectuée par l'AP lui-même. Alors pourquoi avoir besoin d'un serveur dédié pour cela?
Alors peut-être que je me suis trompé et que le serveur RADIUS n'est pas seulement utilisé pour l'authentification, mais pour le cryptage réel? Si un STA envoie des données à un réseau en utilisant "WPA2 Enterprise", il les crypte avec une clé de session, puis l'AP reçoit les données cryptées, mais, contrairement à "WPA2 Personal", il ne peut pas les décrypter, il transmet donc les données sur au serveur RADIUS, qui possède le matériel clé (et la puissance de calcul) pour le déchiffrer. Une fois que le RADIUS a obtenu le texte clair, il retransmet ensuite le matériel non chiffré sur le réseau câblé. Est-ce ainsi que cela se fait?
La raison pour laquelle je veux savoir ceci est la suivante. J'ai un appareil assez ancien ici, qui a un serveur RADIUS en cours d'exécution. Mais, comme je l'ai dit, l'appareil est assez ancien et implémente donc une ancienne version de RADIUS avec des failles de sécurité connues. J'aimerais maintenant savoir si cela compromettrait ma sécurité WiFi s'il était utilisé pour le chiffrement en mode "WPA2 Enterprise". Si un attaquant peut parler au serveur RADIUS lorsqu'il n'est pas authentifié, cela pourrait compromettre la sécurité de mon réseau, donc je ne devrais pas le faire. D'un autre côté, si l'attaquant ne peut que parler à l'AP, qui à son tour parle au serveur RADIUS pour vérifier les informations d'identification, alors un "serveur RADIUS vulnérable" pourrait ne pas poser beaucoup de problème, car l'attaquant n'obtiendrait pas dans le réseau WiFi, et ne serait donc pas en mesure de parler au serveur RADIUS, en premier lieu. Le seul périphérique parlant au serveur RADIUS serait l'AP lui-même, pour vérifier les informations d'identification, avec tout le matériel clé généré et la cryptographie effectuée sur l'AP (sans compromis) lui-même. L'attaquant serait révoqué et ne serait donc pas en mesure de rejoindre le réseau et d'exploiter les faiblesses du serveur RADIUS potentiellement vulnérable.
Alors, comment le serveur RADIUS est-il impliqué dans la sécurité "WPA2 Enterprise"?
la source
WPA Enterprise (WPA avec EAP) vous permet d'avoir de nombreuses autres méthodes d'authentification, comme les certificats numériques, les jetons RSA, etc. Elle doit être implémentée avec un serveur radius, car toutes ces méthodes vont au-delà des simples noms d'utilisateur + mots de passe et le protocole radius est le standard de facto pour la plupart des systèmes nécessitant AAA (authentification, autorisation, comptabilité).
Cela étant dit,
1) le serveur radius peut être facilement protégé par des règles de pare-feu, acceptant uniquement les paquets des points d'accès (le client wifi ne parlera jamais directement au serveur radius)
2) l'utilisation d'un ancien rayon peut ne pas fonctionner, je recommande l'un des derniers serveurs freeradius
Plus de détails sur la façon dont cela fonctionne et ce que vous devez faire: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?
la source
FreeRadius fonctionnera avec plaisir sur un Raspberry PI. Le système d'exploitation habituel est Raspbian qui est une version de Debian - donc il fera tout ce que vous voudrez qu'un serveur fasse, par exemple DHCP / DNS. Il est bon marché - 40 dollars pour une carte nue - mais un budget de 80 ou 90 dollars pour avoir des extras "en option" - comme un boîtier et une alimentation ... Je fais tourner Ray sur un Pi depuis quelques années -24 /sept. Il a également zenmap et Wireshark. Il s'agit d'une plate-forme de création pour essayer des choses car il s'exécute sur une carte SD et vous pouvez copier la carte SD sur votre PC. Essayez quelque chose et restaurez la carte SD à partir de votre PC si vous l'avez ratée.
la source