我想将WiFi从“ WPA2 Personal”模式升级到“ WPA2 Enterprise”模式，因为我知道原则上，在使用“ WPA2 Personal”保护的WiFi上，知道PSK的设备一旦捕获就可以嗅探彼此的流量站点与AP之间的关联。为了减少WiFi上的单个受感染设备（在“ WPA2个人”模式下）的影响，如果它以前捕获了来自另一个设备的“关联请求”，它将能够解密其他不受影响的WiFi客户端的流量。处于混杂/监控模式的客户端），我想将我的WiFi升级到“ WPA2 Enterprise”安全性，据我了解，在此安全性不再可行。

现在，不幸的是，对于“ WPA2 Enterprise”，您需要一个RADIUS服务器。

现在，据我了解，RADIUS服务器仅执行身份验证，而不执行加密或密钥材料交换。因此，基本上，AP从STA获得关联请求，客户端提供凭据，然后AP将其传递给RADIUS服务器，RADIUS服务器说“凭据是可以的”，然后AP让STA进行关联，否则不进行。

这是正确的模型吗？如果是这样，则RADIUS服务器基本上只是一个充满用户凭据（用户名和密码对）的数据库。如果是这样，那么我很好奇为什么他们需要一台功能强大的服务器计算机，因为即使对于成千上万的用户来说，用户名和密码也不是很多数据可存储，并且验证凭据是一项相当基本的任务，因此看来，AP本身也很容易做到这一点。那么，为什么需要为此使用专用服务器？

因此，也许我弄错了，RADIUS服务器不仅用于身份验证，而且用于实际加密吗？如果STA使用“ WPA2 Enterprise”将数据发送到网络，并使用某些会话密钥对其进行加密，则AP接收到加密的数据，但是与“ WPA2 Personal”相反，它无法解密，因此它将数据传递给RADIUS服务器，它具有解密所需的密钥材料（和计算能力）。RADIUS获得明文后，它将未加密的材料传递回有线网络。这是怎么做的？

我想知道的原因如下。我这里有一个比较旧的设备，上面运行着RADIUS服务器。但是，就像我说的那样，该设备相当旧，因此实现了具有已知安全漏洞的旧版本的RADIUS。现在，我想知道如果用于“ WPA2 Enterprise”模式加密，这是否会损害我的WiFi安全性。如果攻击者未经身份验证便可以与RADIUS服务器通信，则可能会损害我的网络的安全性，因此我不应该这样做。另一方面，如果攻击者只能与AP通信，而AP随后又与RADIUS服务器通信以检查凭据，则“易受攻击的RADIUS服务器”可能不是什么大问题，因为攻击者不会首先进入WiFi网络，因此将无法与RADIUS服务器通信。与RADIUS服务器通信的唯一设备将是AP本身，用于检查凭据，并生成所有密钥材料，并在（不受影响的）AP本身上执行加密。攻击者将被吊销，因此无法加入网络并利用潜在易受攻击的RADIUS服务器上的漏洞。

那么RADIUS服务器与“ WPA2 Enterprise”安全性到底有何关系？

WPA2 Enterprise基于802.11i的基于802.1X的部分。802.1X不需要RADIUS服务器，但是由于遗留原因，通常这样做。

RADIUS服务器的角色只是在连接的开始，但是它所做的比您提到的要多。作为身份验证机制的一部分，密钥材料在RADIUS服务器上安全地生成（并且相同的密钥材料也在WPA2客户端上生成）。RADIUS服务器告诉AP接受该连接请求后，RADIUS服务器将该密钥材料以RADIUS“密钥”消息（它们重用了Microsoft率先使用的RADIUS MPPE-KEY消息/属性）发送给AP，因此，AP知道用于该会话的每个用户每个会话密钥（包括成对时间密钥或PTK）。这就结束了RADIUS服务器的参与。

完全正确，运行RADIUS服务器并不需要太多服务器功能。就像用于小型网络或域的DHCP服务器或DNS服务器一样，您实际上并不需要“服务器类”硬件来运行它。也许任何小的低功耗嵌入式网络盒都可以。现代网络中有许多协议，其中“服务器”端按照当今的标准并不需要太多的功能。仅仅因为您听到了“服务器”一词，就不要假设它需要重型服务器硬件。

---

背景故事

您会发现，RADIUS最初是一种将身份验证从拨号调制解调器PPP服务器移出到集中式服务器的方法。这就是为什么它代表“远程身份验证拨入用户服务”（它应该是“拨号用户远程身份验证服务”，但DIURAS听起来不像RADIUS那样好）的原因。当PPP开始用于DSL身份验证（PPPoE，PPPoA）和VPN身份验证（PPTP和L2TP-over-IPSec都是“加密隧道内的PPP”）时，自然会继续使用相同的RADIUS服务器进行集中式身份验证所有企业的“远程访问服务器”。

PPP缺乏原始的身份验证机制，并且需要大量的标准主体参与才能创建新的身份验证机制，因此最终，可扩展身份验证协议（EAP）被创建为用于类似PPP身份验证的身份验证类型插件系统。自然地，RADIUS服务器和PPP客户端是支持EAP的首要场所。当然，您可以让您的拨号调制解调器/ PPP服务器，VPN服务器，PPPoE / PPPoA（实际上是L2TP PPP）服务器或其他在本地实现EAP的设备，但是到目前为止，RADIUS已被广泛部署实施它的主要是RADIUS服务器。

最终，有人希望每当有人插入大厅或会议室中未经保护的以太网端口时，都需要进行身份验证的方法，因此为此创建了“ LAN上的EAP”。众所周知，“ EAPoL”被标准化为802.1X。802.1X后来应用于IEEE 802.11i中的802.11网络。Wi-Fi联盟围绕802.11i创建了一个互操作性认证/品牌/营销计划，并将其称为Wi-Fi保护访问2（WPA2）。

因此，虽然您的802.11 AP本身可以独自完成整个802.1X（WPA2-Enterprise）“身份验证器”角色（无需RADIUS服务器的帮助），但这通常并不常见。实际上，在某些能够独立执行802.1X的AP中，他们实际上将RADIUS服务器内置并开放到其固件中，并通过环回通过RADIUS进行802.1X身份验证，因为这样做比挂接起来更容易。实现您自己的EAP身份验证器代码，或从某些开源RADIUS服务器软件中复制代码，并尝试将其直接集成到AP固件的802.11相关守护程序中。

---

有了这种背景知识，并且取决于所建议的RADIUS服务器的年代，重要的问题是它是否在网络上实现了您要用于身份验证的EAP类型。PEAP？TTLS？

另外，请注意，RADIUS传统上使用RADIUS客户端已知的“共享机密”（RADIUS客户端是“网络访问服务器”：在这种情况下为AP，在其他情况下为VPN或PPP服务器或其他“远程访问服务器”例）和RADIUS服务器，以相互认证RADIUS客户端和服务器，并对其通信进行加密。大多数RADIUS服务器可让您根据AP的IP地址为每个AP指定不同的共享密钥。因此，网络上的攻击者必须能够接管该IP地址，并猜测该共享机密，才能使RADIUS服务器与其通信。如果攻击者还不在网络上，则攻击者将只能尝试发送经AP会通过RADIUS中继到RADIUS服务器的特制/损坏的EAP消息。

WPA Enterprise（带有EAP的WPA）允许您使用许多其他身份验证方法，例如数字证书，RSA令牌等。应使用radius服务器来实现，因为所有这些方法都超出了简单的用户名和密码，并且radius协议是是大多数需要AAA（身份验证，授权，计费）的系统的事实上的标准。

话虽这么说，

1）可以很容易地通过防火墙规则保护radius服务器，仅接受来自AP的数据包（wifi客户端永远不会直接与radius服务器对话）

2）使用旧的半径可能不起作用，我建议使用最新的freeradius服务器之一

有关此工作原理以及您需要执行的操作的更多详细信息，请参见：http : //wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA？

FreeRadius可以在Raspberry PI上运行。通常的操作系统是Raspbian，这是Debian的风格-因此它将完成您可能希望服务器执行的所有操作，例如DHCP / DNS。它很便宜-裸板40美元-但预算80或90美元即可拥有“选件”附加功能-如机壳和电源...我在Pi上运行半径已经有几年了-24 / 7。它还具有zenmap和Wireshark。这是一个用于尝试运行的创建平台，因为它可以在SD卡上运行，您可以将SD卡复制到PC上。尝试尝试一下，然后将PC恢复SD（如果已损坏）。