Voy a asumir que tus objetivos son los siguientes:
- Evite el acceso no autorizado al WiFi AP.
- Mantenga la confidencialidad del tráfico entre los clientes WiFi y el AP.
- Mantenga la integridad del tráfico entre los clientes WiFi y el AP.
- Permitir que varios usuarios se autentiquen en el AP con diferentes credenciales.
RADIUS implementa los objetivos # 1 y # 4, pero no de la forma que podrías esperar. En la autenticación tradicional 802.11, el cliente envía una clave de autenticación al AP, que lo verifica y, si es correcto, permite que el cliente se conecte. El intercambio de claves real es más complicado y varía según el protocolo de seguridad que esté utilizando (por ejemplo, WEP, WPA, WPA2), pero eso es algo irrelevante para nuestro escenario.
RADIUS se sienta sobre estos protocolos, actuando como un proveedor de credenciales. Con RADIUS, el AP envía todas las solicitudes de autenticación al servidor RADIUS (generalmente a través de Ethernet con cable) responsable de administrar el AP. Uno de los principales beneficios de RADIUS es que diferentes usuarios pueden iniciar sesión con diferentes credenciales, y todos los intentos pueden ser registrados y auditados. Algunas configuraciones permiten certificados de clientes como un mecanismo de autenticación, que es mucho más fuerte que las contraseñas tradicionales. Sin embargo, el uso de RADIUS no resuelve los puntos 2 y 3, porque los protocolos de seguridad subyacentes (WPA / WPA2) tienen fallas, lo que permite que el tráfico sea detectado, descifrado y (en ciertos escenarios) modificado por clientes autenticados.
Para cumplir los objetivos # 2 y # 3, necesita implementar IPsec en su red. IPsec actúa como un mecanismo de criptografía de extremo a extremo en la capa de Internet (es decir, la capa de IP), proporcionando confidencialidad, integridad y autenticidad. La autenticación forma parte de IPsec, por lo que reemplaza parcialmente a RADIUS en este propósito.
En cualquier caso, IPsec debe actuar como un mecanismo de autenticación fuerte, utilizando certificados de cliente. Una mayor seguridad a través de RADIUS es una buena cosa, ya que permite los siguientes beneficios:
- Protección contra intentos de craqueo WiFi estándar.
- Un almacén de credenciales para VPN, NAS remoto, etc.
- Auditoría completa / registro para la autenticación del dispositivo en el AP.
En términos de su última pregunta, "¿puedo hacer esto en un AP doméstico?", depende. Casi todos permitirán RADIUS, pero no estoy seguro de cuántos admitirán IPsec. RADIUS por sí solo no evitará el rastreo entre clientes legítimos, pero proporcionará una barrera para los clientes no autenticados. Necesita IPsec para hacer cumplir la confidencialidad.