Khi chúng tôi thay thế cơ sở hạ tầng WEP hiện tại của chúng tôi trên nhiều văn phòng, chúng tôi đang cân nhắc giá trị của việc nâng cấp lên WPA so với WPA2 (cả PSK). Chúng tôi có một số loại thiết bị khác nhau không hỗ trợ WPA2, vì vậy việc chuyển sang giao thức đó có thêm chi phí liên quan.
Những gì tôi muốn biết là những mối đe dọa đối với mạng không dây WPA-PSK là gì? Với thông tin đó, chúng tôi sẽ có thể cân bằng chi phí nâng cấp so với các mối đe dọa bảo mật.
Câu trả lời:
WPA là "khá an toàn", trong khi WPA2 là "rất an toàn". Đã có một số cuộc tấn công chống lại WPA trong tự nhiên và các cuộc tấn công hoàn chỉnh hơn dự kiến sẽ xuất hiện theo thời gian. WPA2 (sử dụng AES chứ không phải TKIP) chưa có lỗ hổng nào được biết đến.
Như bạn đã nói, quyết định mà bạn chọn chủ yếu phụ thuộc vào giá trị dữ liệu của bạn, nhưng đề nghị cá nhân của tôi là chuyển sang WPA2 ngay bây giờ, thay vì phải thực hiện khi một cuộc tấn công thực tế được phát hiện trong vài năm tới . Đặt mạng không dây của bạn trên mạng con tách biệt và coi nó gần giống như "internet" về mặt quyền truy cập được cho phép cũng là một ý tưởng hay, cho dù việc đánh hơi dễ dàng như thế nào.
Trang tóm tắt đẹp: http://imps.mcmaster.ca/cifts/SE-4C03-07/wiki/bournejc/wantly_security.html#2
EDIT: thực sự, nhóm aircrack-ng không nghĩ WPA sẽ bị bẻ khóa sớm .
Tôi đoán tôi sẽ cập nhật câu hỏi này với một số thông tin mới. Một cuộc tấn công mới có thể bẻ khóa WPA với TKIP trong một phút. Một bài viết liên quan đến điều này hiện đang có trên Thế giới mạng .
Có vẻ như tùy chọn an toàn duy nhất là sử dụng WPA2 (WPA với AES).
Cập nhật: Có một báo cáo mới về lỗ hổng trong WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Tóm lại, một máy tính được xác thực với mạng không dây WPA2 của bạn có thể giải mã các kết nối không dây được ủy quyền khác.
Mặc dù không có các cuộc tấn công mật mã được biết đến chống lại AES, TKIP (có thể được sử dụng với cả WPA và WPA2) đã được chứng minh là dễ bị tấn công bởi một số lớp tấn công. Bởi FAR, vectơ tấn công chính cho cả WPA và WPA2 là khóa chia sẻ trước. Tấn công mạng được bảo mật WPA hoặc WPA2 bằng khóa chia sẻ trước yếu (còn gọi là mật khẩu) là một vấn đề rất đơn giản với các công cụ phổ biến (có trang wikipedia , vì vậy chúng không thể tệ đến thế;) kiểm tra mạng riêng của bạn ...)
Các công cụ có sẵn công khai có thể xác thực từ xa một người dùng được ủy quyền và sau đó nắm bắt lưu lượng xác thực (chỉ cần 4 gói nếu tôi nhớ chính xác), tại đó khóa chia sẻ trước (còn gọi là mật khẩu) có thể bị ép buộc ngoại tuyến (một lần nữa với các công cụ thường có sẵn và các bảng cầu vồng lớn có sẵn để tăng tốc đáng kể quá trình). Giống như hầu hết các hệ thống mật mã, mật khẩu là điểm yếu. Nếu bạn có thiết bị không dây cao cấp siêu lạ mắt của Cisco được bảo mật bởi WPA2 và sử dụng mật khẩu của mypass , bạn đã sẵn sàng để thỏa hiệp.
Nếu bạn đang muốn đầu tư vào thứ gì đó để bảo mật mạng không dây của mình, hãy chọn AES qua TKIP và sử dụng mật khẩu dài (khóa chia sẻ trước) với entropy cao (Thượng, Hạ, Số, Ký tự đặc biệt, v.v.). Nếu bạn muốn thực hiện nhanh chóng, thiết lập 802.1x / RADIUS sẽ làm được nhiều việc hơn là chuyển từ WPA sang WPA2 (mặc dù điều đó sẽ cần một lượng thời gian / kiến thức đáng kể để thiết lập và quản trị).