Соображения безопасности WPA по сравнению с WPA2?
Поскольку мы заменяем нашу существующую инфраструктуру WEP в нескольких офисах, мы взвешиваем ценность перехода на WPA по сравнению с WPA2 (оба PSK). У нас есть несколько различных типов устройств, которые не поддерживают WPA2, поэтому переход на этот протокол требует дополнительных затрат.
Я хотел бы знать, каковы угрозы для беспроводных сетей WPA-PSK? С помощью этой информации мы сможем сбалансировать затраты на обновление и угрозы безопасности.
3 ответа
Я думаю, что я обновлю этот вопрос с некоторой новой информацией. Новая атака может взломать WPA с помощью TKIP за минуту. Статья об этом теперь в сети World.
Похоже, что единственным безопасным вариантом является использование WPA2 (WPA с AES).
Обновление: есть новый отчет об уязвимости в WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Подводя итог, можно сказать, что компьютер, прошедший проверку подлинности в беспроводной сети WPA2, может расшифровать другие разрешенные беспроводные соединения.
WPA "довольно безопасен", а WPA2 "очень безопасен". Уже есть частичные атаки на WPA, и ожидается, что со временем появятся более полные атаки. WPA2 (использующий AES вместо TKIP) пока не имеет известных уязвимостей.
Как вы сказали, решение, которое вы выбираете, в основном зависит от ценности ваших данных, но я лично предлагаю перейти на WPA2 сейчас, а не делать это, когда практическая атака обнаруживается где-то в ближайшие несколько лет., Поместить беспроводную связь в отдельную подсеть и рассматривать ее почти как "Интернет" с точки зрения того, что доступ разрешен, также является хорошей идеей, учитывая, насколько легко ее прослушивать.
Хорошая сводная страница: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html
РЕДАКТИРОВАТЬ: на самом деле, команда aircrack-ng не думаю, что WPA будет взломан в ближайшее время.
Несмотря на то, что нет известных криптографических атак на AES,TKIP (который может использоваться как с WPA, так и с WPA2), как было показано, уязвим для некоторых классов атак. По FAR основным вектором атаки для WPA и WPA2 является предварительный общий ключ. Атака защищенной сети WPA или WPA2 с помощью слабого предварительного общего ключа (он же пароль) - это очень простой вопрос с помощью общедоступных инструментов (которые имеют страницу википедии, поэтому они не могут быть настолько плохими;) Используйте их только для пользы проверить свою сеть...)
Публично доступные инструменты могут удаленно де-аутентифицировать авторизованного пользователя, а затем перехватывать трафик аутентификации (если я правильно помню, требуется только 4 пакета), после чего предварительный общий ключ (он же пароль) может быть переброшен в автономном режиме. (опять же, с помощью общедоступных инструментов и массивных радужных столов, которые могут значительно ускорить процесс). Как и в большинстве криптографических систем, пароль является слабым местом. Если у вас есть суперсовременное высокопроизводительное беспроводное устройство Cisco, защищенное WPA2, и вы используете пароль mypass, вы готовы к компромиссу.
Если вы хотите вложить средства во что-то, чтобы обезопасить свою беспроводную сеть, выберите AES вместо TKIP и используйте длинный пароль (общий ключ) с высокой энтропией (верхний, нижний, номер, специальные символы и т. Д.). Если вы хотите пойти в тупик, настройка 802.1x/RADIUS сделает гораздо больше, чем переход от WPA к WPA2 (хотя это потребует значительного времени / знаний для настройки и администрирования).