RADIUS es un protocolo de autenticación remota ampliamente implementado. Estoy mirando aquí su uso en roaming inalámbrico. El protocolo RADIUS permite proxies y cadenas de proxies:
|CLIENT|<->|Access Point|<=>|RADIUS server|<=>|RADIUS proxy|<=>|RADIUS Server|<->|LDAP|
donde la solicitud de autenticación del Cliente se transmite a través de una cadena de proxies RADIUS hasta que el servidor y el directorio de su casa (AD o LDAP) lo cumplan. Supongamos que un cliente utiliza MSCHAPv2 para autenticarse, una opción insegura pero no poco común. Por lo tanto, un punto de acceso usaría EAP para negociar la autenticación MSCHAPv2 para el cliente, y enviará la autenticación al servidor principal del usuario. Tengo preguntas sobre el riesgo de exposición de credenciales de usuario en el proxy:
(1) En este escenario, ¿están protegidas las credenciales MS-CHAPv2 / EAP del cliente de extremo a extremo? ¿O el proxy RADIUS tiene acceso no protegido a las credenciales del usuario y así podría montar un ¿Ataque Moxie Marlinspike contra el flujo de datos del usuario?
El escenario aquí es que un atacante obtiene el control del servidor proxy RADIUS y luego puede intentar descifrar las secuencias de autenticación que lo atraviesan. Si las secuencias de autenticación están protegidas de extremo a extremo, por ejemplo, en un túnel cifrado, este ataque se vuelve mucho más difícil.
(2) Un escenario relacionado es que un proxy RADIUS comprometido no puede acceder a los bits protegidos MS-CHAPv2, pero en cambio puede ver nombres de usuarios no protegidos y recopilarlos para futuros ataques sin conexión . ¿Es esto posible o el proxy RADIUS solo puede ver el reino pero no el nombre de usuario completo?
Estoy preguntando específicamente acerca de los proxies RADIUS aquí. Además, una respuesta como "no usar MSCHAPv2" no es útil ya que tenemos una gran base instalada de dispositivos que no tienen una alternativa en el momento presente; Estoy buscando minimizar el riesgo hasta que haya una alternativa disponible.