Que fait le serveur RADIUS dans une configuration d'entreprise WPA2 ?
J'aimerais mettre à niveau mon WiFi du mode "WPA2 Personal" au mode "WPA2 Enterprise" car je sais qu'en principe, sur un WiFi sécurisé avec "WPA2 Personal", les appareils qui connaissent le PSK peuvent renifler le trafic de l'autre une fois qu'ils ont capturé l'association entre la station et l'AP. Afin de réduire l'effet qu'aurait un seul appareil compromis sur le WiFi (en mode "Personnel WPA2", il serait capable de décrypter le trafic d'autres clients WiFi sans compromis, s'il avait avant de capturer les "demandes associées" des autres clients en mode promiscuité / moniteur) J'aimerais mettre à niveau mon WiFi vers la sécurité "WPA2 Enterprise", où, selon ma compréhension, ce n'est plus possible.
Maintenant, malheureusement, pour "WPA2 Enterprise", vous avez besoin d'un serveur RADIUS.
Maintenant, pour autant que je sache, le serveur RADIUS effectue uniquement l'authentification, mais n'effectue pas de cryptage ni d'échange de matériel clé. Donc, fondamentalement, un AP reçoit une demande d'association à partir d'une STA, le client fournit des informations d'identification, puis l'AP les transmet au serveur RADIUS, le serveur RADIUS dit " les informations d'identification sont CORRECTES ", puis l'AP permet à la STA de s'associer, sinon non.
Est-ce le bon modèle? Si c'est le cas, le serveur RADIUS n'est fondamentalement rien d'autre qu'une base de données remplie d'informations d'identification de l'utilisateur (paires de nom d'utilisateur et de mot de passe). Si tel est le cas, je suis curieux de savoir pourquoi ils ont besoin d'une machine serveur à part entière pour cela, car, même pour des milliers d'utilisateurs, les noms d'utilisateur et les mots de passe sont il n'y a pas beaucoup de données à stocker et la vérification des informations d'identification est une tâche assez basique, il semble donc que c'est une chose qui pourrait également être facilement effectuée par l'AP lui-même. Alors pourquoi avoir besoin d'un serveur dédié pour cela ?
Alors peut-être que je me suis trompé et que le serveur RADIUS n'est pas seulement utilisé pour l'authentification, mais pour le cryptage réel? Si une STA envoie des données à un réseau en utilisant "WPA2 Enterprise", elle les crypte avec une clé de session, puis l'AP reçoit les données cryptées, mais contrairement à "WPA2 Personnel ", il ne peut pas le déchiffrer, il transmet donc les données au serveur RADIUS, qui dispose du matériel clé (et de la puissance de calcul) pour le déchiffrer. Une fois que le RADIUS a obtenu le texte en clair, il transmet ensuite le matériel non crypté sur le réseau câblé. Est-ce ainsi que cela se fait?
La raison pour laquelle je veux savoir cela est la suivante. J'ai un appareil assez ancien ici, sur lequel fonctionne un serveur RADIUS. Mais, comme je l'ai dit, l'appareil est assez ancien et implémente donc une ancienne version de RAYON avec des faiblesses de sécurité connues. Maintenant, j'aimerais savoir si cela compromettrait ma sécurité WiFi si elle était utilisée pour le cryptage en mode "WPA2 Enterprise". Si un attaquant peut parler au serveur RADIUS lorsqu'il n'est pas authentifié, cela pourrait compromettre la sécurité de mon réseau, donc je ne devrais pas le faire. D'un autre côté, si l'attaquant ne peut parler qu'à l'AP, qui à son tour parle au serveur RADIUS pour vérifier les informations d'identification, alors un "serveur RADIUS vulnérable" pourrait ne pas poser de problème, car l'attaquant n'entrerait pas dans le réseau WiFi et ne pourrait donc pas parler au serveur RADIUS, en premier lieu. Le seul périphérique parlant au serveur RADIUS serait l'AP lui-même, pour vérifier les informations d'identification, avec tout le matériel clé généré et la cryptographie effectuée sur l'AP lui-même (sans compromis). L'attaquant serait révoqué et ne pourrait donc pas rejoindre le réseau et exploiter les faiblesses du serveur RADIUS potentiellement vulnérable.
Alors, comment est exactement le Serveur RADIUS impliqué dans la sécurité "WPA2 Enterprise"?