Что делает сервер RADIUS в корпоративной настройке WPA2?
Я хотел бы обновить свой Wi-Fi с режима "WPA2 Personal" до режима "WPA2 Enterprise", потому что я знаю, что в принципе на Wi-Fi, защищенном с помощью "WPA2 Personal", устройства, которые знают PSK, могут отслеживать трафик друг друга, как только они зафиксируют связь между станцией и точкой доступа. Чтобы уменьшить эффект, который могло бы оказать одно скомпрометированное устройство на Wi-Fi (в режиме "WPA2 Personal" оно могло бы расшифровать трафик другого, бескомпромиссного клиента Wi-Fi, если бы у него был перед тем, как перехватить "связанные запросы" от других клиентов в режиме неразборчивого/мониторинга) Я хотел бы обновить свой Wi-Fi до уровня безопасности "WPA2 Enterprise", где, насколько я понимаю, это больше невозможно.
Теперь, к сожалению, для "WPA2 Enterprise" вам нужен сервер RADIUS.
Теперь, насколько я понимаю, сервер RADIUS выполняет только аутентификацию, но не выполняет шифрование или обмен ключевыми материалами. Таким образом, по сути, точка доступа получает запрос на ассоциацию от STA клиент предоставляет учетные данные, затем точка доступа передает их на сервер RADIUS, сервер RADIUS сообщает, что "учетные данные в порядке", затем точка доступа позволяет сотрудникам связываться, в противном случае нет.
Правильная ли это модель? Если это так, то сервер RADIUS - это, по сути, не что иное, как база данных, полная учетных данных пользователей (пар имени пользователя и пароля). Если это так, то мне любопытно, почему для этого им требуется полноценная серверная машина, поскольку даже для тысяч пользователей имена пользователей и пароли не так много данных для хранения и проверки учетных данных - довольно простая задача, поэтому кажется, что это также может быть легко сделано самой точкой доступа. Так зачем же для этого нужен выделенный сервер?
Так что, возможно, я ошибся, и сервер RADIUS используется не только для аутентификации, но и для фактического шифрования? Если STA отправляет данные в сеть с использованием "WPA2 Enterprise", он шифрует их с помощью некоторого ключа сеанса, затем точка доступа получает зашифрованные данные, но, в отличие от "WPA2 Личный", он не может расшифровать его, поэтому он передает данные на сервер RADIUS, у которого есть ключевой материал (и вычислительная мощность) для его расшифровки. После того, как RADIUS получил открытый текст, он затем передает незашифрованный материал обратно в проводную сеть. Так ли это делается?
Причина, по которой я хочу это знать, заключается в следующем. У меня здесь довольно старое устройство, на котором работает сервер RADIUS. Но, как я уже сказал, устройство довольно старое и, следовательно, реализует старую версию радиуса действия с известными недостатками безопасности. Теперь я хотел бы знать, поставит ли это под угрозу мою безопасность Wi-Fi, если будет использоваться для шифрования в режиме "WPA2 Enterprise". Если злоумышленник может связаться с сервером RADIUS без проверки подлинности, это может поставить под угрозу безопасность моей сети, поэтому мне не следует этого делать. С другой стороны, если злоумышленник может общаться только с точкой доступа, которая, в свою очередь, обращается к серверу RADIUS для проверки учетных данных, то "уязвимый сервер RADIUS" может не представлять большой проблемы, поскольку злоумышленник не попал бы в сеть Wi-Fi и, следовательно, в первую очередь не смог бы связаться с сервером RADIUS. Единственным устройством, связывающимся с сервером RADIUS, будет сама точка доступа для проверки учетных данных, при этом весь сгенерированный ключевой материал и криптография будут выполняться на самой (бескомпромиссной) точке доступа. Злоумышленник будет отозван и, следовательно, не сможет подключиться к сети и использовать слабые места на потенциально уязвимом сервере RADIUS.
Итак, как именно Сервер RADIUS, связанный с безопасностью "WPA2 Enterprise"?