НейроАгент

Проверка сертификата в WPA2-Enterprise с RADIUS

Как происходит проверка домена и сертификата сервера при RADIUS-авторизации для WPA2-Enterprise? Узнайте о механизмах защиты от поддельных точек доступа и настройке безопасной сети.

#besopasnost-wifi#eap-metody#proverka-sertifikatov#radius-autorizaciya#wpa2-enterprise
Вопрос

Как происходит проверка домена и сертификата сервера при RADIUS-авторизации для WPA2-Enterprise?

Я начинаю изучать технологию WPA2-Enterprise и у меня возник вопрос о проверке сертификатов. У меня есть RADIUS NPS-сервер (Windows Server) с сертификатом от Let’s Encrypt. На точках доступа (Keenetic Viva) в настройках SSID указан только IP-адрес сервера и секретный ключ. Авторизация через логин-пароль работает, клиенты видят, что сертификат сервера доверенный, и подключаются успешно. Однако я не понимаю, как клиенты проверяют этот сертификат и кому он выдан, так как доменное имя нигде не указано.

Как эта система защищает от создания злоумышленником поддельной точки доступа с тем же SSID и собственным RADIUS-сервером на поддельном домене, который также может получить сертификат от Let’s Encrypt для перехвата паролей пользователей?

НейроАгент

В WPA2-Enterprise с RADIUS-авторизацией проверка сертификата сервера происходит через механизм валидации цепочки сертификатов и соответствия доменного имени или IP-адреса. Клиенты автоматически проверяют, что сертификат от доверенного CA (например, Let’s Encrypt) соответствует указанному в настройках серверу, и если в сертификате указан IP-адрес или доменное имя, которое не совпадает с тем, к которому подключается клиент, соединение будет заблокировано.

Содержание

Как работает проверка сертификата в WPA2-Enterprise

Когда клиент подключается к сети WPA2-Enterprise, происходит процесс EAP-аутентификации, который включает проверку сертификата RADIUS-сервера. Этот критически важный этап безопасности обеспечивает защиту от атак “человек посередине” (Man-in-the-Middle).

Процесс валидации сертификата включает несколько шагов:

  1. Проверка цепочки доверия: Клиент проверяет, что сертификат издан доверенным центром сертификации (CA). В вашем случае Let’s Encrypt является доверенным CA для большинства современных устройств.

  2. Проверка срока действия: Клиент убедится, что сертификат не просрочен и действителен в текущий момент времени.

  3. Проверка соответствия имени: Здесь происходит ключевая проверка - клиент сравнивает имя в сертификате с именем сервера, к которому он подключается.

Важно отметить, что согласно исследованиям, без правильной валидации сертификата сервера WPA2-Enterprise не является безопасной. Клиенты должны гарантировать, что устройства аутентифицируют сертификаты RADIUS-серверов для защиты от эксплуатации поддельных SSID.

В вашем случае, если клиенты успешно подключаются и видят сертификат как доверенный, это означает, что либо:

  • Сертификат содержит IP-адрес вашего сервера в поле Subject Alternative Name (SAN)
  • Или клиент настроен на принятие сертификатов без строгой проверки имени

Роль доменных имен и IP-адресов в валидации

Это ключевой момент, который вызывает путаницу. Когда в настройках точки доступа указан только IP-адрес RADIUS-сервера, но не доменное имя, проверка сертификата работает следующим образом:

Проверка соответствия имен

Клиент сравнивает имя в сертификате с адресом сервера, к которому он подключается. Сравнение производится по разным полям сертификата:

  1. Common Name (CN) - основное имя в сертификате
  2. Subject Alternative Name (SAN) - дополнительные имена, которые могут включать IP-адреса и доменные имена

Если в настройках SSID указан IP-адрес (например, 192.168.1.100), то для успешной валидации сертификата необходимо, чтобы:

  • В поле SAN сертификата был указан этот IP-адрес
  • Или клиент настроен на игнорирование несоответствия имен (что снижает безопасность)
plaintext
Пример правильного сертификата для IP-адреса:
Subject Alternative Name: DNS:radius.yourdomain.com, IP Address:192.168.1.100

Почему это работает у вас

В вашем случае, скорее всего, Let’s Encrypt сгенерировал сертификат для доменного имени (например, radius.yourdomain.com), но:

  • Этот домен разрешается в IP-адрес вашего сервера
  • Или в SAN сертификата указан ваш IP-адрес
  • Или клиенты настроены с меньшим уровнем проверки безопасности

Согласно исследованиям, EAP-PEAP использует аутентификацию по имени/паролю и требует, чтобы устройство принимало или доверяло сертификату RADIUS, поэтому в вашем сценарии система может работать без строгого соответствия имен.

Защита от поддельных точек доступа

Механизм защиты от поддельных точек доступа с таким же SSID и поддельным RADIUS-сервером основан на нескольких слоях безопасности:

1. Проверка сертификата сервера

Когда клиент пытается подключиться к поддельной точке доступа, он проверяет сертификат RADIUS-сервера. Если:

  • Сертификат выдан Let’s Encrypt, но для другого домена
  • Или IP-адрес не соответствует тому, который ожидается
  • Или сертификат не содержит правильное имя в SAN

Тогда клиент отклонит соединение с сообщением об ошибке сертификата.

2. Общая секретная фраза

Точки доступа и RADIUS-сервер используют общую секретную фразу для подписи запросов. Злоумышленник, даже запустив поддельный RADIUS-сервер, не знает эту секретную фразу и не сможет правильно аутентифицировать запросы от точек доступа.

3. Проверка клиентских сертификатов (при использовании EAP-TLS)

В более безопасных конфигурациях с EAP-TLS также проверяются сертификаты клиентов, что обеспечивает двустороннюю аутентификацию.

Как отмечено в исследованиях, правильная настройка клиента гарантирует, что устройства аутентифицируют сертификаты RADIUS-серверов, что защищает процесс EAP-аутентификации и предотвращает эксплуатацию поддельных SSID.

Различные методы EAP и требования к сертификатам

Существует несколько методов EAP с разными требованиями к сертификатам:

EAP-PEAP (Protected EAP)

  • Требует: Только сертификат на стороне сервера
  • Аутентификация: Пользователь через имя/пароль
  • Проверка сертификата: Клиент должен доверять сертификату сервера
  • В вашем случае: Скорее всего используется этот метод

EAP-TLS (Transport Layer Security)

  • Требует: Сертификаты как на сервере, так и на клиенте
  • Аутентификация: Взаимная через сертификаты
  • Проверка сертификата: Строгая проверка соответствия имен
  • Безопасность: Самый высокий уровень защиты

PEAP (Protected EAP)

  • Требует: Только сертификат на стороне сервера
  • Аутентификация: Пользователь через имя/пароль
  • Проверка сертификата: Включает проверку доменного имени

Как объясняется в источниках, EAP-PEAP использует аутентификацию по имени/паролю, которая требует только сертификата RADIUS, в котором устройство должно принимать или доверять.

Практические рекомендации по безопасной настройке

Для повышения безопасности вашей WPA2-Enterprise сети рекомендуется:

1. Настройка строгой проверки сертификатов

В профилях беспроводной сети на клиентах убедитесь, что включена опция проверки соответствия имен сертификата:

  • Для Windows: в свойствах беспроводной сети → вкладка Безопасность → Параметры → Требовать проверку имени сервера
  • Для Android/iOS: в настройках профиля сети включить строгую проверку сертификата

2. Использование IP-адресов в SAN сертификата

Если в настройках используется IP-адрес RADIUS-сервера, убедитесь, что в SAN сертификата указан этот IP:

bash
# Пример генерации сертификата с IP в SAN
openssl req -new -x509 -key server.key -out server.crt -days 365 \
  -addext "subjectAltName = IP:192.168.1.100"

3. Мониторинг и обновление сертификатов

Регулярно проверяйте:

  • Срок действия сертификатов
  • Соответствие имен в сертификатах
  • Отзыв недействительных сертификатов

4. Использование внутренней PKI для критически важных систем

Для максимальной безопасности рассмотрите использование внутренней PKI вместо Let’s Encrypt, что позволит:

  • Выдавать сертификаты только для нужных серверов
  • Контролировать цепочку доверия
  • Реализовать более строгую политику валидации

Как отмечается в исследованиях, без правильной валидации серверного сертификата WPA2-Enterprise не является безопасной, так как это делает тривиальным захват трафика EAP злоумышленником.

Источники

  1. Configuring RADIUS Authentication with WPA2-Enterprise - Cisco Meraki Documentation
  2. Without Server Certificate Validation, WPA2-Enterprise Isn’t Secure - SecureW2
  3. RADIUS Authentication with WPA2-Enterprise - Cisco Community
  4. WPA2 Enterprise: To Cert or Not to Cert? - Reddit
  5. Certificate Based Wifi Authentication With RADIUS and EAP-TLS - SmallStep
  6. Understanding RADIUS, TLS, and EAP-TLS for Network Security - SecureW2
  7. Configure RADIUS Clients | Microsoft Learn
  8. How Does a RADIUS Client/Supplicant Validate an Authentication Server? - Reddit

Заключение

  1. Проверка сертификата в WPA2-Enterprise происходит автоматически через механизм валидации цепочки доверия и соответствия имен, что защищает от атак “человек посередине”.

  2. Соответствие IP-адреса обеспечивается через поле Subject Alternative Name в сертификате, где должен быть указан IP-адрес RADIUS-сервера, используемый в настройках SSID.

  3. Защита от поддельных точек доступа достигается за счет проверки сертификата сервера, общей секретной фразы между точками доступа и RADIUS, а также возможности двусторонней аутентификации.

  4. Безопасность вашей конфигурации зависит от того, настроены ли клиенты на строгую проверку соответствия имен сертификата. Если клиенты принимают сертификат без проверки имени, это создает уязвимость.

  5. Рекомендуемые действия для повышения безопасности: включить строгую проверку сертификатов на клиентах, убедиться что IP-адрес указан в SAN, рассмотреть переход на EAP-TLS для максимальной защиты.

Как настроить строгую проверку сертификатов на клиентах Windows для WPA2-Enterprise?Чем отличается EAP-TLS от EAP-PEAP и какой метод выбрать для максимальной безопасности?Как создать внутреннюю PKI для корпоративной беспроводной сети вместо использования Let's Encrypt?Что делать, если клиенты не могут проверить сертификат RADIUS-сервера по IP-адресу?Как защитить сеть от атак типа 'человек посередине' в WPA2-Enterprise?Как часто нужно обновлять сертификаты в RADIUS-сервере для WPA2-Enterprise?
Спросить у NeuroAgent