Я хотел бы обновить свой WiFi с режима "WPA2 Personal" до режима "WPA2 Enterprise", потому что я знаю, что в принципе на WiFi, защищенном с помощью "WPA2 Personal", устройства, которые знают PSK, могут прослушивать трафик друг друга после захвата. связь между станцией и точкой доступа. Чтобы уменьшить влияние, которое будет иметь одно скомпрометированное устройство на WiFi (в режиме "WPA2 Personal"), он сможет расшифровать трафик другого, бескомпромиссного клиента WiFi, если он до этого перехватывал "связанные запросы" от другого клиенты в смешанном режиме / в режиме мониторинга) Я хотел бы обновить свой WiFi до уровня безопасности "WPA2 Enterprise", где, насколько я понимаю, это больше невозможно.
Теперь, к сожалению, для "WPA2 Enterprise" вам нужен сервер RADIUS.
Теперь, насколько я понимаю, сервер RADIUS только выполняет аутентификацию, но не выполняет шифрование или обмен ключами. Таким образом, в основном, AP получает запрос на связывание от STA, клиент предоставляет учетные данные, затем AP передает их на сервер RADIUS, сервер RADIUS говорит, что "учетные данные в порядке", затем AP позволяет STA связываться, в противном случае нет.
Это правильная модель? Если это так, то сервер RADIUS - это просто база данных, полная учетных данных пользователя (пар имени пользователя и пароля). Если это так, то мне любопытно, зачем им для этого нужен полноценный серверный компьютер, поскольку даже для тысяч пользователей имена пользователей и пароли не требуют большого количества данных для хранения, а проверка учетных данных является довольно простой задачей, так что кажется, что это может быть легко сделано самим AP. Так зачем для этого нужен выделенный сервер?
Так что, возможно, я ошибся, и сервер RADIUS используется не только для аутентификации, но и для фактического шифрования? Если STA отправляет данные в сеть с использованием "WPA2 Enterprise", она шифрует ее с помощью некоторого сеансового ключа, затем AP получает зашифрованные данные, но, в отличие от "WPA2 Personal", не может их расшифровать, поэтому она передает данные на на сервер RADIUS, который имеет ключевой материал (и вычислительные мощности) для его расшифровки. После того, как RADIUS получил чистый текст, он передает незашифрованный материал обратно в проводную сеть. Это как это сделать?
Причина, по которой я хочу это знать, заключается в следующем. У меня здесь довольно старое устройство, на котором запущен RADIUS-сервер. Но, как я уже сказал, устройство довольно старое и, следовательно, реализует старую версию RADIUS с известными недостатками безопасности. Теперь я хотел бы знать, не нарушит ли это мою безопасность WiFi, если он используется для шифрования в режиме "WPA2 Enterprise". Если злоумышленник может общаться с сервером RADIUS, когда он не прошел проверку подлинности, это может поставить под угрозу безопасность моей сети, поэтому я не должен этого делать. С другой стороны, если злоумышленник может общаться только с точкой доступа, которая, в свою очередь, обращается к серверу RADIUS для проверки учетных данных, то "уязвимый сервер RADIUS" может не представлять большой проблемы, поскольку злоумышленник не получит в сеть Wi-Fi, и, следовательно, не сможет общаться с сервером RADIUS, в первую очередь. Единственным устройством, взаимодействующим с сервером RADIUS, будет сама точка доступа для проверки учетных данных со всем сгенерированным материалом ключа и криптографией, выполненной на самой (бескомпромиссной) точке доступа. Злоумышленник будет отозван и, следовательно, не сможет подключиться к сети и использовать уязвимости на потенциально уязвимом сервере RADIUS.
Так как именно сервер RADIUS связан с безопасностью "WPA2 Enterprise"?