По мере того, как мы заменяем существующую инфраструктуру WEP в нескольких офисах, мы взвешиваем ценность перехода на WPA по сравнению с WPA2 (оба PSK). У нас есть несколько разных типов устройств, которые не поддерживают WPA2, поэтому переход на этот протокол требует дополнительных затрат.
Я хотел бы знать, каковы угрозы беспроводным сетям WPA-PSK? Обладая этой информацией, мы сможем сбалансировать затраты на обновление и угрозы безопасности.
WPA «довольно безопасен», а WPA2 «очень безопасен». Частичные атаки на WPA уже существуют, и ожидается, что со временем появятся более полные атаки. WPA2 (с использованием AES вместо TKIP) пока не имеет известных уязвимостей.
Как вы сказали, решение о том, что вы выберете, в основном зависит от ценности ваших данных, но я лично предлагаю перейти на WPA2 сейчас, а не делать это, когда в ближайшие несколько лет будет обнаружена практическая атака. . Размещение беспроводной сети в изолированной подсети и обращение с ней почти как с «Интернетом» с точки зрения разрешенного доступа также является хорошей идеей, учитывая, насколько легко ее обнюхать.
Хорошая итоговая страница: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
РЕДАКТИРОВАТЬ: на самом деле, команда aircrack-ng не думает, что WPA будет взломана в ближайшее время.
Думаю, я дополню этот вопрос новой информацией. Новая атака может взломать WPA с TKIP за минуту. Статья об этом сейчас в Сетевой мир.
Похоже, что единственный безопасный вариант - использовать WPA2 (WPA с AES).
Обновить: Появился новый отчет об уязвимости в WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Подводя итог, можно сказать, что компьютер, аутентифицированный в вашей беспроводной сети WPA2, может расшифровать другие авторизованные беспроводные соединения.
Хотя известных криптографических атак на AES нет, TKIP (который может использоваться как с WPA, так и с WPA2) оказался уязвимым для некоторых классов атак. Согласно FAR, основным вектором атаки как для WPA, так и для WPA2 является предварительный общий ключ. Атака на защищенную сеть WPA или WPA2 с использованием слабого общего ключа (также известного как пароль) - очень простое дело с общедоступными инструментами (которые имеют страница в Википедии, так что они не могут быть настолько плохими;) Используйте их только во благо, чтобы проверить свою собственную сеть ...)
Общедоступные инструменты могут удаленно деаутентифицировать авторизованного пользователя, а затем захватывать аутентификационный трафик (требуется только 4 пакета, если я правильно помню), после чего предварительный общий ключ (также известный как пароль) может быть перебран в автономном режиме. (опять же с общедоступными инструментами и массивными радужные столы доступны для значительного ускорения процесса). Как и в большинстве криптографических систем, пароль является слабым местом. Если у вас есть суперсовременное беспроводное оборудование высокого класса Cisco, защищенное WPA2, и используйте пароль mypass, вы созрели для компромисса.
Если вы хотите вложить средства во что-то для защиты своей беспроводной сети, выберите AES вместо TKIP и используйте длинный пароль (предварительный общий ключ) с высокой энтропией (верхний, нижний, числовые, специальные символы и т. Д.). Если вы хотите пойти на убыль, настройка 802.1x / RADIUS сделает гораздо больше, чем переход с WPA на WPA2 (хотя это потребует значительного количества времени / знаний для настройки и администрирования).