当我们在多个办公室更换现有的 WEP 基础设施时,我们正在权衡升级到 WPA 与 WPA2(均为 PSK)的价值。我们有几种不同类型的设备不支持 WPA2,因此迁移到该协议会产生额外的成本。
我想知道 WPA-PSK 无线网络的威胁是什么?有了这些信息,我们将能够平衡升级成本与安全威胁。
AskOverflow.Dev
当我们在多个办公室更换现有的 WEP 基础设施时,我们正在权衡升级到 WPA 与 WPA2(均为 PSK)的价值。我们有几种不同类型的设备不支持 WPA2,因此迁移到该协议会产生额外的成本。
我想知道 WPA-PSK 无线网络的威胁是什么?有了这些信息,我们将能够平衡升级成本与安全威胁。
WPA 是“相当安全的”,而 WPA2 是“非常安全的”。野外已经有针对 WPA 的部分攻击,预计随着时间的推移会出现更完整的攻击。WPA2(使用 AES 而不是 TKIP)还没有已知的漏洞。
正如您所说,您选择的决定主要取决于您的数据价值,但我个人的建议是现在迁移到 WPA2,而不是在未来几年的某个时候发现实际攻击时必须这样做. 考虑到嗅探是多么容易,将您的无线网络放在一个隔离的子网上并在允许访问方面几乎像“互联网”一样对待它也是一个好主意。
漂亮的摘要页面:http: //imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
编辑:实际上,aircrack-ng 团队认为 WPA 不会很快被破解。
我想我会用一些新信息更新这个问题。一种新的攻击可以在一分钟内使用 TKIP 破解 WPA。一篇关于此的文章现在在Network World上。
看起来唯一安全的选择是使用 WPA2(WPA 和 AES)。
更新:有一份关于 WPA2 漏洞的新报告 - http://www.airtightnetworks.com/WPA2-Hole196
总而言之,通过 WPA2 无线网络认证的计算机可以解密其他授权的无线连接。
虽然没有已知的针对 AES 的加密攻击,但 TKIP(可与 WPA 和 WPA2 一起使用)已被证明容易受到某些类型的攻击。到目前为止,WPA 和 WPA2 的主要攻击向量都是预共享密钥。使用弱预共享密钥(又名密码)攻击 WPA 或 WPA2 安全网络是使用常用工具(有维基百科页面,所以它们不会那么糟糕)非常简单的事情;)仅将它们用于好测试您自己的网络...)
公开可用的工具可以远程取消对授权用户的身份验证,然后捕获身份验证流量(如果我没记错的话,只需要 4 个数据包),此时可以强制离线预共享密钥(又名密码) (再次使用常用工具,并且可以使用大量彩虹表来显着加快该过程)。就像大多数密码系统一样,密码是弱点。如果您拥有受 WPA2 保护的超高端 Cisco 无线设备并使用mypass 密码,那么您就可以妥协了。
如果您想投资一些东西来保护您的无线网络,请选择 AES 而不是 TKIP,并使用具有高熵(大、小、数字、特殊字符等)的长密码(预共享密钥)。如果您想疯狂,设置 802.1x/RADIUS 将比从 WPA 迁移到 WPA2 做更多的事情(尽管这需要大量的时间/知识来设置和管理)。