Zastępując naszą istniejącą infrastrukturę WEP w wielu biurach, rozważamy wartość aktualizacji do WPA w porównaniu do WPA2 (oba PSK). Mamy kilka różnych typów urządzeń, które nie obsługują WPA2, więc przejście do tego protokołu wiąże się z dodatkowymi kosztami.
Chciałbym wiedzieć, jakie są zagrożenia dla sieci bezprzewodowych WPA-PSK? Dzięki tym informacjom będziemy w stanie zrównoważyć koszty aktualizacji z zagrożeniami bezpieczeństwa.
Odpowiedzi:
WPA jest „całkiem bezpieczny”, podczas gdy WPA2 jest „bardzo bezpieczny”. Istnieją już częściowe ataki na WPA na wolności i oczekuje się, że z czasem pojawią się bardziej kompletne ataki. WPA2 (używając AES zamiast TKIP) nie ma jeszcze znanych luk w zabezpieczeniach.
Jak powiedziałeś, decyzja, którą wybierzesz, zależy głównie od wartości twoich danych, ale moja osobista sugestia to migracja do WPA2 teraz, zamiast konieczności, gdy jakiś praktyczny atak zostanie wykryty w ciągu kilku najbliższych lat . Dobrym pomysłem jest również umieszczenie sieci bezprzewodowej w oddzielnej podsieci i traktowanie jej prawie jak „Internetu” pod względem dozwolonego dostępu, biorąc pod uwagę, jak łatwo jest wąchać.
Ładna strona streszczenia: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
EDYCJA: właściwie zespół ds. Kradzieży nie uważa, że WPA zostanie wkrótce złamane .
Myślę, że zaktualizuję to pytanie o nowe informacje. Nowy atak może złamać WPA za pomocą TKIP w ciągu minuty. Artykuł na ten temat jest teraz dostępny w Network World .
Wygląda na to, że jedyną bezpieczną opcją jest użycie WPA2 (WPA z AES).
Aktualizacja: Pojawiło się nowe zgłoszenie luki w zabezpieczeniach WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Podsumowując, komputer uwierzytelniony w sieci bezprzewodowej WPA2 może odszyfrować inne autoryzowane połączenia bezprzewodowe.
Chociaż nie są znane żadne ataki kryptograficzne przeciwko AES, wykazano, że TKIP (który może być używany zarówno z WPA, jak i WPA2) jest podatny na niektóre klasy ataków. Według FAR głównym wektorem ataku zarówno dla WPA, jak i WPA2 jest klucz współdzielony. Atakowanie zabezpieczonej sieci WPA lub WPA2 za pomocą słabego klucza współdzielonego (aka hasło) jest bardzo prostą sprawą przy pomocy powszechnie dostępnych narzędzi (które mają stronę wikipedii , więc nie mogą być aż tak złe;) Używaj ich tylko dla dobra przetestuj własną sieć ...)
Narzędzia, które są publicznie dostępne, mogą zdalnie cofnąć uwierzytelnienie autoryzowanego użytkownika, a następnie przechwycić ruch uwierzytelniający (tylko 4 pakiety są wymagane, jeśli prawidłowo przywołam), w którym to momencie klucz wstępny (aka hasło) można brutalnie wymusić offline (ponownie z powszechnie dostępnymi narzędziami i dostępnymi ogromnymi tablicami tęczy, aby znacznie przyspieszyć proces). Podobnie jak w przypadku większości systemów kryptograficznych, hasło jest słabym punktem. Jeśli masz super-wymyślny, wysokiej klasy sprzęt bezprzewodowy Cisco zabezpieczony przez WPA2 i używasz hasła mypass , jesteś gotowy na kompromis.
Jeśli chcesz zainwestować w coś, co zabezpieczy sieć bezprzewodową, wybierz AES zamiast TKIP i użyj długiego hasła (klucza wstępnego) z wysoką entropią (górna, dolna, liczba, znaki specjalne itp.). Jeśli chcesz przejść do szaleństwa, konfiguracja 802.1x / RADIUS zrobi znacznie więcej niż przejście z WPA na WPA2 (choć wymagałoby to znacznej ilości czasu / wiedzy do skonfigurowania i administrowania).