Intercambio de claves WPA2 Enterprise EAP-TLS

4

Estoy en el proceso de implementar 802.1x WPA2 Enterprise Authentication usando FreeRadius y EAP-TLS (Autenticación basada en certificados TLS mutuas).

Estoy interesado en entender cómo los protocolos reales funcionan juntos y cómo mantienen segura nuestra red WiFi.

Comprendo los conceptos básicos de la autenticación basada en Cert, utilizando las claves pub / priv. También sé que en HTTPS regular, el cliente crea una clave de sesión y la envía al servidor, sin embargo, EAP-TLS no parece funcionar así.

Estoy mirando este diagrama: enlace

Mi comprensión (después de leer el diagrama anterior) es que después de que la autenticación TLS sea exitosa, el servidor de FreeRadius generará una Clave Maestra, y luego derivará una Clave Maestra en Parejas (PMK). Luego, de alguna manera, enviará el PMK tanto al Solicitante del cliente como al Punto de acceso, y luego usarán el PMK para generar otras claves de sesión para cifrar los datos reales.

Sin embargo, después de hacer algunos tcpdumps tanto en mi computadora portátil como en el servidor de FreeRadius, no veo ninguna clave que se envíe o reciba, aparte de lo siguiente ... En la captura desde el servidor de Freeradius, dentro del acceso final Aceptar el paquete que se envía al AP, veo las teclas MPPE-Send y MPPE-Recv, lo cual es extraño, ya que no estoy usando MSCHAPv2 .....

En la captura lateral del cliente (computadora portátil), no veo nada entre el Éxito final de EAP (que está básicamente vacío) y el inicio del protocolo de enlace WPA2 de 4 vías (en cuyo punto se debe conocer el PMK)

Entonces, mi pregunta es ¿a dónde se envía el PMK de FreeRadius al AP y al Cliente?

¡Gracias!

    
pregunta user140024 21.02.2017 - 17:48
fuente

2 respuestas

1

Aquí hay otro diagrama de Layer3

Entonces ... el servidor envía su certificado al cliente para validar su identidad y el cliente también hace lo mismo, después de esto viene cualquier otro protocolo de autenticación interno si es necesario.

La MSK (Clave de sesión maestra) se deriva del TLS Master Secret a través de una función unidireccional. Es en este MSK que se genera el PMK.

El MSK está dividido por la mitad, la primera mitad llamada Peer (STA / Client / Supplicant) para la clave de cifrado del autenticador (32 octetos) es la clave PMK o Enc-RECV y la segunda mitad es el Authenticator to Peer (STA) / Cliente / Supplicant) Clave de cifrado (también 32 octetos) o Enc-SEND-Key.

    
respondido por el Azteca 21.02.2017 - 19:32
fuente
0

El MK se genera a partir de la contraseña, realizada por separado por el suplicante (cliente) y el servidor Radius.
Entonces, el servidor cliente y Radius derivan PMK por separado. El servidor Radius está enviando el PMK a través del cable al AP.

    
respondido por el user177701 09.05.2018 - 11:12
fuente

Lea otras preguntas en las etiquetas