Поскольку мы заменяем нашу существующую инфраструктуру WEP в нескольких офисах, мы взвешиваем ценность перехода на WPA по сравнению с WPA2 (оба PSK). У нас есть несколько различных типов устройств, которые не поддерживают WPA2, поэтому переход на этот протокол требует дополнительных затрат.
Я хотел бы знать, что представляют собой угрозы для беспроводных сетей WPA-PSK? С помощью этой информации мы сможем сбалансировать затраты на обновление и угрозы безопасности.
Ответы:
WPA «довольно безопасен», а WPA2 «очень безопасен». Уже есть частичные атаки на WPA, и ожидается, что со временем появятся более полные атаки. WPA2 (использующий AES вместо TKIP) пока не имеет известных уязвимостей.
Как вы сказали, решение, которое вы выбираете, в основном зависит от ценности ваших данных, но я лично предлагаю перейти на WPA2 сейчас, а не делать это, когда в ближайшие несколько лет будет обнаружена практическая атака. , Включение беспроводной сети в отдельную подсеть и обращение с ней почти как с «Интернетом» с точки зрения того, что доступ разрешен, также является хорошей идеей, учитывая, насколько легко ее прослушивать.
Хорошая сводная страница: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
РЕДАКТИРОВАТЬ: на самом деле, команда aircrack-ng не думаю, что WPA будет взломан в ближайшее время .
Я думаю, что я обновлю этот вопрос с некоторой новой информацией. Новая атака может взломать WPA с помощью TKIP за минуту. Статья об этом теперь в сети World .
Похоже, что единственным безопасным вариантом является использование WPA2 (WPA с AES).
Обновление: есть новый отчет об уязвимости в WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Подводя итог, можно сказать, что компьютер, прошедший проверку подлинности в беспроводной сети WPA2, может расшифровать другие разрешенные беспроводные соединения.
Несмотря на то, что нет известных криптографических атак на AES, TKIP (который может использоваться как с WPA, так и с WPA2), как было показано, уязвим для некоторых классов атак. По FAR основным вектором атаки для WPA и WPA2 является предварительный общий ключ. Атака защищенной сети WPA или WPA2 с помощью слабого предварительного общего ключа (он же пароль) - это очень простой вопрос с помощью общедоступных инструментов (которые имеют страницу википедии , поэтому они не могут быть настолько плохими;) Используйте их только для пользы проверить свою сеть ...)
Публично доступные инструменты могут удаленно де-аутентифицировать авторизованного пользователя, а затем перехватывать трафик аутентификации (если я правильно помню, требуется только 4 пакета), после чего предварительный общий ключ (он же пароль) может быть переброшен в автономном режиме. (опять же с помощью общедоступных инструментов и массивных радужных столов, которые могут значительно ускорить процесс). Как и в большинстве криптографических систем, пароль является слабым местом. Если у вас есть суперсовременное высокопроизводительное беспроводное устройство Cisco, защищенное WPA2, и вы используете пароль mypass , вы готовы к компромиссу.
Если вы хотите вложить средства во что-то, чтобы обезопасить свою беспроводную сеть, выберите AES вместо TKIP и используйте длинный пароль (предварительный ключ) с высокой энтропией (верхний, нижний, номер, специальные символы и т. Д.). Если вы хотите пойти в тупик, настройка 802.1x / RADIUS сделает гораздо больше, чем переход от WPA к WPA2 (хотя это потребует значительного времени / знаний для настройки и администрирования).