WPA2 एंटरप्राइज़ सेटअप में RADIUS सर्वर क्या करता है?


17

मैं अपने वाईफाई को "WPA2 पर्सनल" से "WPA2 एंटरप्राइज" मोड में अपग्रेड करना चाहता हूं क्योंकि मुझे पता है कि सिद्धांत रूप में, "WPA2 पर्सनल" के साथ सुरक्षित वाईफाई पर, PSK को जानने वाले डिवाइस एक बार कैप्चर होने के बाद एक-दूसरे के ट्रैफ़िक को सूँघ सकते हैं। स्टेशन और एपी के बीच सहयोग। इस प्रभाव को कम करने के लिए कि वाईफाई पर एक एकल समझौता उपकरण ("WPA2 पर्सनल" मोड में होगा), यह दूसरे, असम्बद्ध वाईफाई क्लाइंट के ट्रैफिक को डिक्रिप्ट करने में सक्षम होगा, अगर उसने दूसरे से "संबंधित अनुरोधों" पर कब्जा कर लिया था। ग्राहकों को प्रोमिसस / मॉनिटर मोड में) मैं अपने वाईफाई को "WPA2 एंटरप्राइज" सुरक्षा में अपग्रेड करना चाहता हूं, जहां, मेरी समझ के अनुसार, यह अब संभव नहीं है।

अब, दुर्भाग्य से, "WPA2 एंटरप्राइज" के लिए, आपको एक RADIUS सर्वर की आवश्यकता है।

अब, जहां तक ​​मैं समझता हूं, RADIUS सर्वर केवल प्रमाणीकरण करता है, लेकिन एन्क्रिप्शन या प्रमुख सामग्री का आदान-प्रदान नहीं करता है। तो मूल रूप से, एपी को एसटीए से एक एसोसिएशन अनुरोध मिलता है, क्लाइंट क्रेडेंशियल प्रदान करता है, फिर एपी उन्हें RADIUS सर्वर में भेज देता है, RADIUS सर्वर कहता है "क्रेडेंशियल्स ठीक हैं", फिर एपी STA सहयोगी को अनुमति देता है, अन्यथा नहीं।

क्या यह सही मॉडल है? यदि ऐसा है, तो RADIUS सर्वर मूल रूप से उपयोगकर्ता क्रेडेंशियल्स (उपयोगकर्ता नाम और पासवर्ड जोड़े) से भरा डेटाबेस के अलावा कुछ भी नहीं है। यदि ऐसा है, तो मैं उत्सुक हूं कि उन्हें इसके लिए एक पूर्ण विकसित सर्वर मशीन की आवश्यकता क्यों है, क्योंकि हजारों उपयोगकर्ताओं के लिए भी, उपयोगकर्ता नाम और पासवर्ड स्टोर करने के लिए बहुत अधिक डेटा नहीं हैं और क्रेडेंशियल्स को सत्यापित करना एक काफी बुनियादी कार्य है, इसलिए ऐसा लगता है कि यह एक ऐसी चीज है जिसे एपी खुद भी आसानी से कर सकता है। तो इसके लिए एक समर्पित सर्वर की आवश्यकता क्यों है?

तो शायद मुझे यह गलत लगा और RADIUS सर्वर न केवल प्रमाणीकरण के लिए उपयोग किया जाता है, बल्कि वास्तविक एन्क्रिप्शन के लिए? यदि कोई STA "WPA2 Enterprise" का उपयोग करके किसी नेटवर्क को डेटा भेजता है, तो वह इसे कुछ सत्र कुंजी के साथ एन्क्रिप्ट करता है, तो AP एन्क्रिप्टेड डेटा प्राप्त करता है, लेकिन, "WPA2 पर्सनल" के विपरीत, यह इसे डिक्रिप्ट नहीं कर सकता है, इसलिए यह डेटा को पास नहीं करता है RADIUS सर्वर, जिसके पास इसे डिक्रिप्ट करने के लिए महत्वपूर्ण सामग्री (और कम्प्यूटेशनल पावर) है। RADIUS द्वारा स्पष्ट पाठ प्राप्त करने के बाद, यह अनएन्क्रिप्टेड सामग्री को वायर्ड नेटवर्क पर वापस भेज देता है। क्या यह कैसे किया जाता है?

इसका कारण मैं जानना चाहता हूं, यह निम्नलिखित है। मेरे पास यहां एक पुराना उपकरण है, जिसमें एक RADIUS सर्वर चल रहा है। लेकिन, जैसा कि मैंने कहा, डिवाइस बहुत पुराना है और इस प्रकार ज्ञात सुरक्षा कमजोरियों के साथ RADIUS का एक पुराना संस्करण लागू करता है। अब मैं जानना चाहता हूं कि क्या यह "WPA2 एंटरप्राइज" मोड एन्क्रिप्शन के लिए उपयोग किए जाने पर मेरी वाईफाई सुरक्षा से समझौता करेगा। यदि कोई प्रमाणीकरणकर्ता RADIUS सर्वर से प्रमाणित नहीं होने पर बात कर सकता है, तो यह मेरे नेटवर्क की सुरक्षा से समझौता कर सकता है, इसलिए मुझे ऐसा नहीं करना चाहिए। दूसरी ओर, यदि हमलावर केवल AP से बात कर सकता है, जो क्रेडेंशियल्स की जांच के लिए RADIUS सर्वर से बात करता है, तो एक "कमजोर RADIUS सर्वर" अधिक समस्या नहीं हो सकती है, क्योंकि हमलावर नहीं मिलेगा। वाईफाई नेटवर्क में, और इस तरह पहली बार में, RADIUS सर्वर से बात करने में सक्षम नहीं होगा। RADIUS सर्वर से बात करने वाला एकमात्र उपकरण AP ही होगा, जो क्रेडेंशियल की जाँच के लिए, सभी प्रमुख सामग्री उत्पन्न करता है और क्रिप्टोग्राफी (असम्बद्ध) AP पर ही प्रदर्शित होता है। हमलावर निरस्त हो जाएगा और इस तरह नेटवर्क में शामिल नहीं हो पाएगा और संभावित कमजोर RADIUS सर्वर पर कमजोरियों का फायदा उठा सकेगा।

तो वास्तव में RADIUS सर्वर "WPA2 एंटरप्राइज" सुरक्षा से कैसे जुड़ा है?

जवाबों:


16

WPA2 एंटरप्राइज 802.11i के कुछ हिस्सों पर आधारित है जो 802.1X पर आधारित हैं। 802.1X को एक RADIUS सर्वर की आवश्यकता नहीं है, लेकिन यह है कि यह आमतौर पर विरासत कारणों के लिए कैसे किया जाता है।

RADIUS सर्वर की भूमिका केवल कनेक्शन की शुरुआत में है, लेकिन यह आपके द्वारा बताए गए से एक छोटी सी बात करता है। प्रमाणीकरण तंत्र के एक हिस्से के रूप में, RADIUS सर्वर पर सुरक्षित रूप से कुंजीयन सामग्री उत्पन्न की जाती है (और WPA2 क्लाइंट पर समान कुंजीयन सामग्री भी उत्पन्न होती है)। जब RADIUS सर्वर एपी को उस कनेक्शन अनुरोध को स्वीकार करने के लिए कहता है, तो RADIUS सर्वर उस कुंजीयन सामग्री को एक RADIUS "कुंजी" संदेश में भेजता है (उन्होंने एक RADIUS MPPE-KEY संदेश / विशेषता का पुन: उपयोग किया जो Microsoft ने एपी के लिए अग्रसर किया था), इसलिए एपी उस सत्र के लिए उपयोग करने के लिए प्रति-उपयोगकर्ता-प्रति-सत्र कुंजियाँ (Pairwise Temporal Key या PTK सहित) जानता है। यह RADIUS सर्वर की भागीदारी को समाप्त करता है।

आप बिल्कुल सही कह रहे हैं कि यह वास्तव में RADIUS सर्वर को चलाने के लिए बहुत अधिक सर्वर हॉर्स पावर नहीं लेता है। एक छोटे नेटवर्क या डोमेन के लिए डीएचसीपी सर्वर या डीएनएस सर्वर की तरह, आपको इसे चलाने के लिए वास्तव में "सर्वर वर्ग" हार्डवेयर की आवश्यकता नहीं है। संभवतः कोई भी कम-शक्ति वाला एम्बेडेड नेटवर्क बॉक्स करेगा। आधुनिक नेटवर्किंग में बहुत सारे प्रोटोकॉल हैं जहां "सर्वर" अंत में आज के मानकों के अनुसार बहुत अधिक हॉर्स पावर की आवश्यकता नहीं है। सिर्फ इसलिए कि आप "सर्वर" शब्द सुनते हैं, मान लें कि इसके लिए भारी शुल्क वाले सर्वर हार्डवेयर की आवश्यकता नहीं है।


पृष्ठभूमि की कहानी

आप देखते हैं, RADIUS मूल रूप से आपके डायल-अप मॉडेम PPP सर्वर और एक केंद्रीकृत सर्वर में प्रमाणीकरण को स्थानांतरित करने का एक तरीका था। इसलिए यह "दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा" के लिए खड़ा है (यह "डायल-इन उपयोगकर्ता रिमोट प्रमाणीकरण सेवा" होना चाहिए, लेकिन DIURAS RADIUS के रूप में अच्छा नहीं लगता है)। जब PPP का उपयोग DSL प्रमाणीकरण (PPPoE, PPPoA) और VPN प्रमाणीकरण (PPTP और L2TP-over-IPSec दोनों "एन्क्रिप्टेड सुरंग के अंदर PPP" कर रहे हैं) के लिए किया जाने लगा, तो केंद्रीयकृत प्रमाणीकरण के लिए उसी RADIUS सर्वर का उपयोग करना जारी रखना स्वाभाविक था आपके सभी उद्यम "रिमोट एक्सेस सर्वर"।

PPP के मूल प्रमाणीकरण तंत्र में कमी थी, और नए बनाने के लिए बहुत सारे मानकों-शरीर की भागीदारी थी, इसलिए अंततः, पीपीपी जैसे प्रमाणीकरण के लिए एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) को एक ऑर्थोर-टाइप प्लग-इन सिस्टम बनाया गया। स्वाभाविक रूप से, RADIUS सर्वर और पीपीपी क्लाइंट पहले स्थान थे जिन्हें ईएपी का समर्थन करने की आवश्यकता थी। आप निश्चित रूप से, अपने डायल-इन मॉडेम / पीपीपी सर्वर, या अपने वीपीएन सर्वर, या अपने पीपीपीओई / पीपीपीओए (वास्तव में, एल 2टीपी पीपीपी) सर्वर, या जो भी हो, ईएपी को स्थानीय रूप से लागू कर सकते हैं, लेकिन अब तक, RADIUS इतनी व्यापक रूप से तैनात किया गया था यह ज्यादातर RADIUS सर्वर थे जिन्होंने इसे लागू किया।

आखिरकार जब भी किसी को लॉबी या कॉन्फ्रेंस रूम में किसी अनजाने ईथरनेट पोर्ट में प्लग करने के लिए प्रमाणीकरण की आवश्यकता होती है, तो इसके लिए "EAP over LANs" बनाया गया। "EAPoL" जैसा कि ज्ञात था, इसे 802.1X के रूप में मानकीकृत किया गया था। 802.1X को बाद में IEEE 802.11i में 802.11 नेटवर्क पर लागू किया गया था। और वाई-फाई एलायंस ने 802.11 आई के आसपास एक इंटरऑपरेबिलिटी सर्टिफिकेशन / ब्रांडिंग / मार्केटिंग प्रोग्राम बनाया और इसे वाई-फाई प्रोटेक्टेड एक्सेस 2 (WPA2) कहा।

इसलिए, जबकि आपका 802.11 AP खुद पूरे 802.1X (WPA2-Enterprise) "प्रमाणक" की भूमिका को स्वयं (एक RADIUS सर्वर की मदद के बिना) पूरा कर सकता है, यह आमतौर पर नहीं किया जाता है। वास्तव में, कुछ APs जो 802.1X स्टैंडअलोन करने में सक्षम हैं, वे वास्तव में अपने फर्मवेयर में RADIUS सर्वर का निर्माण और ओपन सोर्स करते हैं, और RADIUS के माध्यम से 802.1X प्रमाणीकरण लूपबैक के माध्यम से करते हैं, क्योंकि इसे इस तरह से हुक करना आसान है, जैसे कि कोशिश करने की तुलना में। अपने स्वयं के ईएपी प्रमाणक कोड को लागू करें, या कुछ खुले स्रोत RADIUS सर्वर सॉफ़्टवेयर से कोड की प्रतिलिपि बनाएं और इसे सीधे अपने एपी फर्मवेयर के 802.11-संबंधित डेमॉन में एकीकृत करने का प्रयास करें।


उस बैकस्टोरी को देखते हुए, और आपका प्रस्तावित RADIUS सर्वर कितना पुराना है, इस पर निर्भर करते हुए, महत्वपूर्ण सवाल यह है कि क्या यह आपके नेटवर्क पर प्रमाणीकरण के लिए EAP प्रकार (ओं) को लागू करता है। PEAP? TTLS?

यह भी ध्यान दें, कि RADIUS पारंपरिक रूप से RADIUS क्लाइंट के लिए जाना जाने वाला "साझा सीक्रेट" का उपयोग करता है (RADIUS क्लाइंट "नेटवर्क एक्सेस सर्वर" है: इस मामले में एपी, या एक वीपीएन या पीपीपी सर्वर या अन्य "रिमोट एक्सेस सर्वर" अन्य में मामलों) और RADIUS सर्वर, दोनों RADIUS क्लाइंट और सर्वर को एक दूसरे को प्रमाणित करने के लिए, और उनके संचार को एन्क्रिप्ट करने के लिए। अधिकांश RADIUS सर्वर आपको AP के IP पते के आधार पर, प्रत्येक AP के लिए अलग-अलग साझा किए गए रहस्यों को निर्दिष्ट करते हैं। तो आपके नेटवर्क पर एक हमलावर को उस IP पते को लेने में सक्षम होना होगा, और यह अनुमान लगाना होगा कि RADIUS सर्वर के साथ बात करने के लिए, गुप्त साझा किया गया है। यदि हमलावर अभी तक नेटवर्क पर नहीं था, तो हमलावर केवल विशेष रूप से तैयार किए गए / दूषित ईएपी संदेशों को भेजने की कोशिश कर सकेगा, जो कि एपीआई RADIUS के माध्यम से RADIUS सर्वर पर रिले करेगा।


अगर मैं कर सकता हूँ तो मैं शायद EAP-EKE या वैकल्पिक रूप से EAP-PWD का उपयोग करूँगा। मैं केवल मूल रूप से उपयोगकर्ताओं को सुरक्षित करना चाहता हूं, जो नेटवर्क से कनेक्ट करने में सक्षम हैं, दूसरे के यातायात को बाधित करने में सक्षम हैं। यदि WPA2-PSK डीएच के माध्यम से "सत्र कुंजी" स्थापित करेगा, तो यह मेरे लिए एकदम सही होगा लेकिन दुर्भाग्य से (जो भी कारण के लिए) यह नहीं है। मुझे किसी भी परिष्कृत प्रमाणीकरण विधियों की आवश्यकता नहीं है। मैं बस इतना चाहता हूं कि स्टेशनों को एक-दूसरे के आवागमन से रोकना है। बाकी सब के लिए, मैं WPA2-PSK की सुरक्षा के साथ ठीक हूं।
no.human.being

@ no.human.being खबरदार कि सभी ईएपी तरीके 802.11i / WPA2-Enterprise के लिए आवश्यक कुंजीयन सामग्री बनाने का समर्थन नहीं करते हैं। मैं आपके द्वारा बताए गए दो प्रकारों से परिचित नहीं हूं, इसलिए आप यह सुनिश्चित करने के लिए कहीं और जांचना चाहते हैं कि वे इस उद्देश्य के लिए उपयुक्त होंगे।
Spiff

1
अच्छा लगा लिखो। आपने एक महत्वपूर्ण कारण का उल्लेख नहीं किया है एक अलग सर्वर है। यह घर की तैनाती पर लागू नहीं होता है, लेकिन यह "यह क्यों मौजूद है" का एक बड़ा हिस्सा है। किसी भी एंटरप्राइज़ परिनियोजन में, पहुँच बिंदु वास्तव में अविश्वसनीय हैं, क्योंकि वे सार्वजनिक क्षेत्रों में स्थित हैं और इसलिए किसी भी उपयोगकर्ता की जानकारी नहीं होनी चाहिए। इसके अतिरिक्त, किसी भी EAP प्रकार के साथ जो क्लाइंट (PEAP, TTLS, TLS) को एक सुरक्षित सुरंग प्रदान करता है, AP बिल्कुल भी प्रमाणीकरण में भाग नहीं लेता है, इसलिए यह उपयोगकर्ता क्रेडेंशियल्स को बाधित नहीं कर सकता है, भले ही वह किसी के साथ समझौता कर ले। सीढ़ी :)
अम्मो गोएत्स्क

3

WPA एंटरप्राइज (WPA विद EAP) आपको कई अन्य प्रमाणीकरण विधियों की अनुमति देता है, जैसे डिजिटल प्रमाण पत्र, RSA टोकन, आदि। इसे एक त्रिज्या सर्वर के साथ लागू किया जाना चाहिए, क्योंकि वे सभी विधियां सरल उपयोगकर्ता नाम + पासवर्ड और त्रिज्या प्रोटोकॉल से परे हैं। अधिकांश प्रणालियों के लिए वास्तविक मानक जो AAA (प्रमाणीकरण, प्रमाणीकरण, लेखांकन) की आवश्यकता है।

यह कह चुकने के बाद,

1) त्रिज्या सर्वर को आसानी से फ़ायरवॉल नियमों द्वारा संरक्षित किया जा सकता है, केवल एपीएस से पैकेट स्वीकार करना (वाईफ़ाई क्लाइंट कभी भी त्रिज्या सर्वर से सीधे बात नहीं करेगा)

2) एक पुराने त्रिज्या का उपयोग करने से काम नहीं हो सकता है, मैं एक नवीनतम फ्रीराडियस सर्वर की सलाह देता हूं

के बारे में यह कैसे काम करता है और क्या अधिक जानकारी आपको बस इतना करना: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?


हाँ। मुझे लगा कि मैं RADIUS के लिए एक वास्तविक सर्वर नहीं लगाकर बिजली (और शोर) को बचा सकता हूं क्योंकि मुझे "परिष्कृत प्रमाणीकरण विधियों" की आवश्यकता नहीं है, मैं सिर्फ वायरलेस ग्राहकों को "एक दूसरे पर सूँघने" से रोकने के लिए चाहूँगा (वे) शायद नहीं, यह सिर्फ कुछ अतिरिक्त व्यामोह ;-)) है। इसलिए मूल रूप से मैं वायरलेस पर "स्विच्ड नेटवर्क" (जो एक अंतर्निहित प्रसारण माध्यम है) की गोपनीयता चाहता हूं, इसलिए मुझे वास्तविक "प्रति लिंक" या "प्रति ग्राहक" कुंजियाँ चाहिए। "WPA2 एंटरप्राइज" शायद मेरी जरूरतों के अनुरूप होगा। मैं लिनक्स पर चलने वाले एम्बेडेड बोर्ड पर RADIUS स्थापित करने का प्रयास कर सकता हूं।
no.human.being

-2

FreeRadius ख़ुशी से एक रास्पबेरी PI पर चलेगा। सामान्य OS रास्पियन है जो डेबियन का एक स्वाद है-क्योंकि यह उन सभी चीजों को करेगा जो आप चाहते हैं कि सर्वर को DHCP / DNS करना चाहिए। यह सस्ता है - एक नंगे बोर्ड के लिए 40 डॉलर- लेकिन बजट 80 या 90 डॉलर के लिए "विकल्प" अतिरिक्त है - जैसे कि एक मामला है, और बिजली की आपूर्ति ... मैं एक जोड़ी पर त्रिज्या चला रहा हूं कुछ -24 साल से / 7। इसमें जेनमैप और विरेसरक भी है। यह चीजों को आजमाने का एक मंच है क्योंकि यह एक एसडी कार्ड को चलाता है और आप अपने पीसी में एसडी कार्ड की प्रतिलिपि बना सकते हैं। कुछ कोशिश करो, और अगर आप इसे ऊपर mucked एसडी पीसी से पुनर्स्थापित करें।


2
यह उत्तर एक RADIUS सर्वर की भूमिका की व्याख्या नहीं करता है
जानवी 13०००
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.