RADIUS è un protocollo di autenticazione remota ampiamente distribuito. Sto osservando il suo utilizzo nel roaming wireless. Il protocollo RADIUS consente proxy e catene di proxy:
|CLIENT|<->|Access Point|<=>|RADIUS server|<=>|RADIUS proxy|<=>|RADIUS Server|<->|LDAP|
in cui la richiesta di autenticazione del client viene inoltrata lungo una catena di proxy RADIUS fino a quando non viene soddisfatta dal server principale del client e dalla directory (AD o LDAP). Supponiamo che un client stia utilizzando MSCHAPv2 per l'autenticazione: una scelta non sicura ma non comune. Pertanto, un punto di accesso utilizzerà EAP per negoziare l'autenticazione MSCHAPv2 per il client, inoltrando di nuovo l'autenticazione al server principale dell'utente. Ho delle domande sul rischio di esposizione delle credenziali dell'utente al proxy:
(1) In questo scenario, le credenziali MS-CHAPv2 / EAP del client sono protette end-to-end? Oppure il proxy RADIUS ha accesso non protetto alle credenziali dell'utente e quindi potrebbe montare un Moxie Marlinspike attacca contro il flusso di dati dell'utente?
Lo scenario qui è che un utente malintenzionato ottiene il controllo del server proxy RADIUS e può quindi tentare di violare i flussi di autenticazione che lo attraversano. Se i flussi di autenticazione sono protetti end-to-end, ad esempio in un tunnel crittografato, questo attacco diventa molto più difficile.
(2) Uno scenario correlato è che un proxy RADIUS compromesso non è in grado di accedere ai bit MS-CHAPv2 protetti, ma invece può vedere i nomi degli utenti non protetti e raccoglierli per attacchi offline successivi . È possibile o il proxy RADIUS può vedere solo il dominio ma non il nome utente completo?
Ti sto chiedendo specificamente riguardo ai proxy RADIUS qui. Inoltre, una risposta del tipo "non utilizzare MSCHAPv2" non è utile poiché abbiamo una grande base installata di dispositivi che al momento non hanno un'alternativa; Sto cercando di minimizzare il rischio fino a quando un'alternativa è disponibile.