Quindi utilizzo WPA2-EAP da alcuni anni con il server FreeRadius. E va bene, voglio dire, non considero l'accesso wifi come una rottura critica così super-duper perché è abbastanza limitato comunque su altri livelli, quindi ho accettato qualsiasi rischio potenziale (che è ancora significativamente inferiore a PSK). Ma mi sono sempre chiesto ... Che ne dici dell'autenticazione server o workstation? Quanto è sicuro il client RADIUS < > la connessione al server è davvero e quanto è facile implementare un server RADIUS canaglia che autentica tutti in tutto?
Concentriamoci su due scenari che mi vengono in mente per primi:
-
Cattiva connessione tra server e server radius:
[server] -> [switch] -> [evil dude] -> [switch] -> [RADIUS server]
-
Postazione utente esterna alla rete aziendale con VPN disabilitata:
[workstation] -> [dodgy hotspot] -> [evil dude]
Le domande sono le seguenti: nel 1 ° caso è possibile iniettare RADIUS canaglia permettendo l'accesso al server con credenziali come root:abc123
?
Il secondo caso è equivalente alla workstation senza credenziali utente e accesso amministratore illimitato? Che cosa è necessario per installare RADIUS canaglia e può essere mitigato da un'accurata autenticazione tra server e client RADIUS?
Non considero l'accesso ai dati disponibili sul problema reale del server RADIUS perché se qualcuno ha accesso ad esso, allora è comunque il gioco. Ma sono un po 'preoccupato per la sicurezza dell'utilizzo del segreto per il client RADIUS < > connessione al server e non sono sicuro se sia una preoccupazione valida dal punto di vista dello sfruttamento. I certificati sempre mi hanno reso più sicuro in questo campo rispetto a PSK.