Під час заміни існуючої інфраструктури WEP у кількох офісах ми зважуємо значення модернізації до WPA порівняно з WPA2 (обидва PSK). У нас є кілька різних типів пристроїв, які не підтримують WPA2, тому перехід до цього протоколу вимагає додаткових витрат.
Що я хотів би знати, що це загроза бездротовим мережам WPA-PSK? За допомогою цієї інформації ми зможемо збалансувати витрати на оновлення та загрози безпеці.
Відповіді:
WPA "досить безпечний", а WPA2 - "дуже безпечний". У природі вже є часткові атаки проти WPA, і з часом очікується поява більш повних атак. WPA2 (використовуючи AES, а не TKIP) ще не має відомих уразливостей.
Як ви вже говорили, рішення, яке ви обираєте, здебільшого залежить від цінності ваших даних, але моя особиста пропозиція полягає в тому, щоб зараз перейти на WPA2, а не робити це, коли практична атака буде виявлена колись у найближчі кілька років . Розміщення бездротового зв’язку в відокремленій підмережі та поводження з ним майже як "Інтернет" з точки зору того, який доступ дозволений, також є хорошою ідеєю, враховуючи, як легко нюхати.
Приємна сторінка підсумків: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
EDIT: насправді команда повітряних ударів не вважає, що WPA буде зламана незабаром .
Напевно, я оновлю це питання якоюсь новою інформацією. Нова атака може зламати WPA за допомогою TKIP за хвилину. Стаття про це зараз розміщена в мережі Network .
Схоже, єдиним безпечним варіантом є використання WPA2 (WPA з AES).
Оновлення: з'явився новий звіт про вразливість у WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Підводячи підсумок, комп'ютер, автентифікований у вашій бездротовій мережі WPA2, міг би розшифрувати інші дозволені бездротові з'єднання.
Хоча не існує відомих криптографічних атак проти AES, TKIP (який можна використовувати як з WPA, так і з WPA2) виявився вразливим до деяких класів атаки. За FAR основний вектор атаки як для WPA, так і для WPA2 - це загальнодоступний ключ. Атака з захищеною мережею WPA або WPA2 слабким загальнодоступним ключем (ака-паролем) - дуже проста справа з загальнодоступними інструментами (на яких є сторінка вікіпедії , тому вони не можуть бути такими поганими;) Використовуйте їх лише на добро протестуйте власну мережу ...)
Загальнодоступні інструменти можуть віддалено скасувати аутентифікацію авторизованого користувача, а потім захопити трафік аутентифікації (якщо я правильно пригадую, потрібні лише 4 пакети), і в цей момент загальнодоступний ключ (ака-пароль) може бути вимушений в режимі офлайн (знову ж таки, із загальнодоступними інструментами та доступними масивними веселковими столами , щоб значно прискорити процес). Як і в більшості криптографічних систем, пароль є слабкою стороною. Якщо у вас є надзвичайно вишуканий бездротовий механізм Cisco бездротового зв'язку, захищений WPA2 і використовуєте пароль паролю , ви дозріли на компроміси.
Якщо ви хочете вкласти гроші в те, щоб захистити вашу бездротову мережу, виберіть AES через TKIP і скористайтеся довгим паролем (попередньо спільним ключем) з високою ентропією (верхній, нижній, номер, спеціальні символи тощо). Якщо ви хочете перейти на роздуму, налаштування 802.1x / RADIUS зробить набагато більше, ніж перехід від WPA до WPA2 (хоча для налаштування та адміністрування знадобиться значна кількість часу / знань).