3
RADIUS服务器在WPA2 Enterprise设置中做什么?
我想将WiFi从“ WPA2 Personal”模式升级到“ WPA2 Enterprise”模式,因为我知道原则上,在使用“ WPA2 Personal”保护的WiFi上,知道PSK的设备一旦捕获就可以嗅探彼此的流量站点与AP之间的关联。为了减少WiFi上的单个受感染设备(在“ WPA2个人”模式下)的影响,如果它以前捕获了来自另一个设备的“关联请求”,它将能够解密其他不受影响的WiFi客户端的流量。处于混杂/监控模式的客户端),我想将我的WiFi升级到“ WPA2 Enterprise”安全性,据我了解,在此安全性不再可行。 现在,不幸的是,对于“ WPA2 Enterprise”,您需要一个RADIUS服务器。 现在,据我了解,RADIUS服务器仅执行身份验证,而不执行加密或密钥材料交换。因此,基本上,AP从STA获得关联请求,客户端提供凭据,然后AP将其传递给RADIUS服务器,RADIUS服务器说“凭据是可以的”,然后AP让STA进行关联,否则不进行。 这是正确的模型吗?如果是这样,则RADIUS服务器基本上只是一个充满用户凭据(用户名和密码对)的数据库。如果是这样,那么我很好奇为什么他们需要一台功能强大的服务器计算机,因为即使对于成千上万的用户来说,用户名和密码也不是很多数据可存储,并且验证凭据是一项相当基本的任务,因此看来,AP本身也很容易做到这一点。那么,为什么需要为此使用专用服务器? 因此,也许我弄错了,RADIUS服务器不仅用于身份验证,而且用于实际加密吗?如果STA使用“ WPA2 Enterprise”将数据发送到网络,并使用某些会话密钥对其进行加密,则AP接收到加密的数据,但是与“ WPA2 Personal”相反,它无法解密,因此它将数据传递给RADIUS服务器,它具有解密所需的密钥材料(和计算能力)。RADIUS获得明文后,它将未加密的材料传递回有线网络。这是怎么做的? 我想知道的原因如下。我这里有一个比较旧的设备,上面运行着RADIUS服务器。但是,就像我说的那样,该设备相当旧,因此实现了具有已知安全漏洞的旧版本的RADIUS。现在,我想知道如果用于“ WPA2 Enterprise”模式加密,这是否会损害我的WiFi安全性。如果攻击者未经身份验证便可以与RADIUS服务器通信,则可能会损害我的网络的安全性,因此我不应该这样做。另一方面,如果攻击者只能与AP通信,而AP随后又与RADIUS服务器通信以检查凭据,则“易受攻击的RADIUS服务器”可能不是什么大问题,因为攻击者不会首先进入WiFi网络,因此将无法与RADIUS服务器通信。与RADIUS服务器通信的唯一设备将是AP本身,用于检查凭据,并生成所有密钥材料,并在(不受影响的)AP本身上执行加密。攻击者将被吊销,因此无法加入网络并利用潜在易受攻击的RADIUS服务器上的漏洞。 那么RADIUS服务器与“ WPA2 Enterprise”安全性到底有何关系?