当我们在多个办事处替换现有的WEP基础架构时,我们正在权衡将WPA与WPA2(均称为PSK)进行升级的价值。我们有几种不同类型的设备不支持WPA2,因此升级到该协议会涉及额外的成本。
我想知道的是WPA-PSK无线网络受到哪些威胁?有了这些信息,我们将能够在升级成本与安全威胁之间取得平衡。
当我们在多个办事处替换现有的WEP基础架构时,我们正在权衡将WPA与WPA2(均称为PSK)进行升级的价值。我们有几种不同类型的设备不支持WPA2,因此升级到该协议会涉及额外的成本。
我想知道的是WPA-PSK无线网络受到哪些威胁?有了这些信息,我们将能够在升级成本与安全威胁之间取得平衡。
Answers:
WPA是“非常安全”,而WPA2是“非常安全”。目前已经有针对WPA的局部攻击,并且随着时间的推移,将会出现更全面的攻击。WPA2(使用AES而不是TKIP)尚无已知漏洞。
如您所说,选择哪种决定主要取决于数据的价值,但是我个人的建议是现在迁移到WPA2,而不是在未来几年内发现实际攻击时就这样做。 。考虑到嗅探的容易程度,将无线设备放在隔离的子网中并在允许访问的范围内将其几乎像“互联网”一样对待也是一个好主意。
不错的摘要页面:http : //imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
编辑:实际上,空袭小组认为WPA不会很快被破解。
我想我会用一些新信息来更新这个问题。一种新的攻击可以在一分钟内用TKIP破解WPA。关于这一点的文章现在在Network World上。
似乎唯一安全的选择是使用WPA2(带有AES的WPA)。
更新:有关WPA2中漏洞的新报告-http: //www.airtightnetworks.com/WPA2-Hole196
总而言之,通过WPA2无线网络身份验证的计算机可以解密其他授权的无线连接。
尽管没有已知的针对AES的加密攻击,但已证明TKIP(可与WPA和WPA2一起使用)容易受到某些类型的攻击。通过FAR,WPA和WPA2的主要攻击媒介都是预共享密钥。使用常用的工具(具有Wikipedia页面,所以它们不会那么糟糕;用一个弱的预共享密钥(又名密码)来攻击WPA或WPA2安全的网络是一件很简单的事情;)测试您自己的网络...)
公开可用的工具可以远程取消对授权用户的身份验证,然后捕获身份验证流量(如果我没记错的话,仅需要4个数据包),此时可以将预共享密钥(也称为密码)离线进行暴力破解(再次使用常用工具,并且可以使用大量的Rainbow表来显着加快该过程)。与大多数密码系统一样,密码是弱点。如果您拥有受WPA2保护的超高端高端Cisco无线设备,并使用mypass密码,那么您就可以妥协了。
如果您想投资某种方法来保护无线网络,请选择AES over TKIP,并使用具有高熵(长,低,数字,特殊字符等)的长密码(预共享密钥)。如果您想不费吹灰之力,设置802.1x / RADIUS所要做的不只是从WPA迁移到WPA2(尽管这将需要大量的时间/知识来进行设置和管理)。