기본적으로 "WPA2 Personal"로 보안 된 WiFi에서 PSK를 알고있는 장치가 캡처 된 후에 서로의 트래픽을 탐지 할 수 있다는 것을 알고 있기 때문에 WiFi를 "WPA2 Personal"에서 "WPA2 Enterprise"모드로 업그레이드하고 싶습니다. 스테이션과 AP 간의 연결. WiFi에서 손상된 단일 장치의 영향을 줄이려면 ( "WPA2 개인"모드에서, 다른 "연결 요청"을 캡처 한 경우 다른 손상되지 않은 다른 WiFi 클라이언트의 트래픽을 해독 할 수 있습니다. 무차별 / 모니터 모드의 클라이언트) WiFi를 "WPA2 Enterprise"보안으로 업그레이드하고 싶습니다. 이해에 따르면 더 이상 불가능합니다.

안타깝게도 "WPA2 Enterprise"에는 RADIUS 서버가 필요합니다.

내가 아는 한, RADIUS 서버는 인증 만 수행하지만 키 자료의 암호화 나 교환은 수행하지 않습니다. 따라서 기본적으로 AP는 STA으로부터 연결 요청을 받고 클라이언트는 자격 증명을 제공 한 다음 AP가이를 RADIUS 서버로 전달하고 RADIUS 서버는 "신임 정보가 정상"이라고 말한 다음 AP가 STA을 연결하도록 허용합니다.

이것이 올바른 모델입니까? 그렇다면 RADIUS 서버는 기본적으로 사용자 자격 증명 (사용자 이름 및 암호 쌍)으로 가득 찬 데이터베이스 일뿐입니다. 그렇다면, 수천 명의 사용자에게도 사용자 이름과 비밀번호가 많은 데이터가 아니기 때문에 자격 증명을 저장하고 확인하는 것이 매우 기본적인 작업이기 때문에 왜 완전한 서버 시스템이 필요한지 궁금합니다. AP 자체에서 쉽게 수행 할 수있는 것 같습니다. 그렇다면 왜 전용 서버가 필요한가요?

아마도 내가 잘못 알고 RADIUS 서버는 인증뿐만 아니라 실제 암호화에도 사용됩니까? STA가 "WPA2 Enterprise"를 사용하여 네트워크로 데이터를 전송하면 일부 세션 키로이를 암호화하고 AP는 암호화 된 데이터를 수신하지만 "WPA2 Personal"과 달리 해독 할 수 없으므로 데이터를 전달합니다. RADIUS 서버에 연결합니다. RADIUS 서버는이를 해독하기위한 핵심 자료 (및 계산 능력)가 있습니다. RADIUS가 일반 텍스트를 얻은 후 암호화되지 않은 자료를 다시 유선 네트워크로 전달합니다. 이것이 어떻게 이루어 집니까?

내가 이것을 알고 싶은 이유는 다음과 같습니다. RADIUS 서버가 실행되는 오래된 장치가 있습니다. 그러나 내가 말했듯이 장치는 꽤 오래되어 보안 취약점이 알려진 이전 버전의 RADIUS를 구현합니다. 이제 "WPA2 Enterprise"모드 암호화에 사용되는 경우 WiFi 보안이 손상되는지 여부를 알고 싶습니다. 인증되지 않은 상태에서 공격자가 RADIUS 서버와 통신 할 수 있으면 네트워크 보안이 손상 될 수 있으므로이 작업을 수행해서는 안됩니다. 반면, 공격자가 AP 와만 대화 할 수 있고,이 경우 자격 증명을 확인하기 위해 RADIUS 서버와 통신하면 "취약한 RADIUS 서버"는 별 문제가되지 않을 수 있습니다. WiFi 네트워크에 연결되므로 RADIUS 서버와 처음부터 대화 할 수 없습니다. RADIUS 서버와 통신하는 유일한 장치는 자격 증명을 확인하기위한 AP 자체이며, 모든 주요 자료가 생성되고 암호화되지 않은 AP 자체에서 암호화가 수행됩니다. 공격자는 해지되어 네트워크에 참여할 수 없으며 잠재적으로 취약한 RADIUS 서버의 취약점을 악용 할 수 없습니다.

그렇다면 RADIUS 서버는 정확히 "WPA2 Enterprise"보안과 어떻게 관련되어 있습니까?

WPA2 Enterprise는 802.1X를 기반으로하는 802.11i 부분을 기반으로합니다. 802.1X에는 RADIUS 서버가 필요하지 않지만 레거시 이유로 일반적으로 수행되는 방식입니다.

RADIUS 서버의 역할은 연결 시작시에만 있지만 언급 한 것보다 조금 더 많은 일을합니다. 인증 메커니즘의 일부로, 키 자료는 RADIUS 서버에서 안전하게 생성되며 동일한 키 자료도 WPA2 클라이언트에서 생성됩니다. RADIUS 서버가 AP에게 해당 연결 요청을 수락하도록 지시하면 RADIUS 서버는 해당 키 자료를 RADIUS "키"메시지 (Microsoft가 개척 한 RADIUS MPPE-KEY 메시지 / 속성 재사용)를 AP에 전송하므로 AP 해당 세션에 사용할 세션 별 사용자 키 (PTW 포함)를 알고 있습니다. RADIUS 서버의 참여가 종료됩니다.

RADIUS 서버를 실행하는 데 실제로 서버 성능이 많이 필요하지 않다는 것은 옳습니다. 소규모 네트워크 또는 도메인의 DHCP 서버 또는 DNS 서버와 마찬가지로 "서버 클래스"하드웨어가 필요하지 않습니다. 아마도 저전력 임베디드 네트워크 박스는 거의 없을 것입니다. 현대의 네트워킹에는 오늘날의 표준에 의해 "서버"끝이 많은 마력을 필요로하지 않는 많은 프로토콜이 있습니다. "서버"라는 용어가 들리기 때문에 서버 하드웨어가 많이 필요하다고 가정하지 마십시오.

뒷이야기

PPP의 원래 인증 메커니즘은 부족했고 새로운 표준을 만드는 데 많은 표준 기관이 관여했기 때문에 결국 EAP (Extensible Authentication Protocol)는 PPP와 같은 인증을위한 인증 유형 플러그인 시스템으로 만들어졌습니다. 당연히 RADIUS 서버와 PPP 클라이언트는 EAP를 지원해야하는 첫 번째 장소였습니다. 물론 전화 접속 모뎀 / PPP 서버, VPN 서버 또는 PPPoE / PPPoA (실제로 L2TP PPP) 서버 등을 로컬로 EAP를 구현할 수는 있지만 지금까지 RADIUS는 광범위하게 배포되었습니다. 대부분 RADIUS 서버로 구현했습니다.

결국 누군가 로비 나 회의실에서 보호되지 않은 이더넷 포트에 연결할 때마다 인증이 필요한 방법을 원했기 때문에이를 위해 "EAP over LANs"가 만들어졌습니다. 알려진 "EAPoL"은 802.1X로 표준화되었습니다. 802.1X는 나중에 IEEE 802.11i의 802.11 네트워크에 적용되었습니다. Wi-Fi Alliance는 802.11i를 중심으로 상호 운용성 인증 / 브랜딩 / 마케팅 프로그램을 만들어 WPA2 (Wi-Fi Protected Access 2)라고했습니다.

따라서 802.11 AP 자체가 RADIUS 서버의 도움없이 전체 802.1X (WPA2-Enterprise) "인증 자"역할을 자체적으로 수행 할 수는 있지만 일반적으로 수행되지는 않습니다. 실제로 802.1X 독립형을 수행 할 수있는 일부 AP에서는 실제로 소스 RADIUS 서버를 펌웨어에 구축하고 개방하고 루프백을 통해 RADIUS를 통해 802.1X 인증을 수행합니다. 자체 EAP 인증 자 코드를 구현하거나 일부 오픈 소스 RADIUS 서버 소프트웨어에서 코드를 복사하여 AP 펌웨어의 802.11 관련 데몬에 직접 통합하십시오.

이러한 백 스토리를 고려할 때 제안 된 RADIUS 서버의 수명에 따라 중요한 질문은 네트워크에서 인증에 사용하려는 EAP 유형을 구현하는지 여부입니다. PEAP? TTLS?

또한 RADIUS는 일반적으로 RADIUS 클라이언트에 알려진 "공유 비밀"을 사용합니다 (RADIUS 클라이언트는 "네트워크 액세스 서버":이 경우 AP, VPN 또는 PPP 서버 또는 다른 "원격 액세스 서버") RADIUS 클라이언트와 서버를 서로 인증하고 통신을 암호화합니다. 대부분의 RADIUS 서버에서는 AP의 IP 주소를 기반으로 각 AP에 대해 서로 다른 공유 비밀을 지정할 수 있습니다. 따라서 RADIUS 서버와 통신하려면 네트워크의 공격자가 해당 IP 주소를 인수하고 공유 비밀을 추측 할 수 있어야합니다. 공격자가 아직 네트워크에 있지 않은 경우 공격자는 AP가 RADIUS를 통해 RADIUS 서버로 릴레이 할 특수 제작 / 손상된 EAP 메시지 만 보내려고 시도 할 수 있습니다.

WPA Enterprise (EAP가 포함 된 WPA)를 사용하면 디지털 인증서, RSA 토큰 등과 같은 다른 많은 인증 방법을 사용할 수 있습니다. 모든 방법이 단순한 사용자 이름 + 암호를 넘어서고 반경 프로토콜은 사실상 AAA (인증, 권한 부여, 회계)가 필요한 대부분의 시스템에 대한 표준입니다.

이 말은

1) AP의 패킷 만 수락하여 방화벽 규칙으로 반경 서버를 쉽게 보호 할 수 있습니다 (Wi-Fi 클라이언트는 반경 서버와 직접 통신하지 않습니다)

2) 이전 반경을 사용하면 작동하지 않을 수 있습니다. 최신 freeradius 서버 중 하나를 권장합니다

작동 방식 및 수행해야 할 작업에 대한 자세한 내용 : http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

FreeRadius는 Raspberry PI에서 실행됩니다. 일반적인 OS는 Raspbian이며 데비안의 풍미입니다. 따라서 DHCP / DNS와 같이 서버가 원하는 모든 작업을 수행합니다. 베어 보드의 경우 40 달러이지만 예산과 같은 옵션 옵션을 사용하는 데 80 ~ 90 달러가 소요됩니다. / 7. 또한 zenmap과 Wireshark도 있습니다. SD 카드를 다 써 버리면 SD 카드를 PC에 복사 할 수 있습니다. 무언가를 시도하고 PC를 뭉친 경우 PC에서 SD를 복원하십시오.