Da wir unsere vorhandene WEP-Infrastruktur in mehreren Niederlassungen ersetzen, wägen wir den Wert eines Upgrades auf WPA im Vergleich zu WPA2 (beide PSK) ab. Wir haben verschiedene Arten von Geräten, die WPA2 nicht unterstützen. Die Umstellung auf dieses Protokoll ist daher mit zusätzlichen Kosten verbunden.
Ich würde gerne wissen, welche Bedrohungen für drahtlose WPA-PSK-Netzwerke bestehen. Mit diesen Informationen können wir die Upgrade-Kosten gegen Sicherheitsbedrohungen abwägen.
Antworten:
WPA ist "ziemlich sicher", während WPA2 "sehr sicher" ist. Es gibt bereits teilweise Angriffe gegen WPA in freier Wildbahn, und es wird erwartet, dass im Laufe der Zeit vollständigere Angriffe auftreten. WPA2 (mit AES anstelle von TKIP) hat noch keine bekannten Sicherheitslücken.
Wie Sie sagten, hängt die Entscheidung, für die Sie sich entscheiden, hauptsächlich vom Wert Ihrer Daten ab. Mein persönlicher Vorschlag ist jedoch, jetzt auf WPA2 zu migrieren, anstatt dies tun zu müssen, wenn in den nächsten Jahren irgendwann ein praktischer Angriff entdeckt wird . Es ist auch eine gute Idee, Ihr WLAN in ein getrenntes Subnetz zu stellen und es in Bezug auf den zulässigen Zugriff fast wie "das Internet" zu behandeln, da es leicht zu schnüffeln ist.
Schöne Übersichtsseite: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
EDIT: Eigentlich glaubt das Aircrack-ng-Team nicht, dass WPA bald geknackt wird .
Ich denke, ich werde diese Frage mit einigen neuen Informationen aktualisieren. Ein neuer Angriff kann WPA mit TKIP in einer Minute knacken. Ein Artikel dazu ist jetzt auf Network World .
Es sieht so aus, als ob die einzige sichere Option die Verwendung von WPA2 (WPA mit AES) ist.
Update: Es gibt einen neuen Bericht über eine Sicherheitsanfälligkeit in WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Zusammenfassend kann ein Computer, der bei Ihrem WPA2-Drahtlosnetzwerk authentifiziert ist, andere autorisierte Drahtlosverbindungen entschlüsseln.
Obwohl keine kryptografischen Angriffe gegen AES bekannt sind, hat sich gezeigt, dass TKIP (das sowohl mit WPA als auch mit WPA2 verwendet werden kann) für einige Angriffsklassen anfällig ist. Bei weitem ist der primäre Angriffsvektor für WPA und WPA2 der vorinstallierte Schlüssel. Das Angreifen eines WPA- oder WPA2-gesicherten Netzwerks mit einem schwachen Pre-Shared Key (auch bekannt als Passwort) ist mit allgemein verfügbaren Tools (die eine Wikipedia-Seite haben , daher können sie nicht so schlecht sein;) eine sehr einfache Angelegenheit. Verwenden Sie sie nur für immer Teste dein eigenes Netzwerk ...)
Die öffentlich verfügbaren Tools können einen autorisierten Benutzer remote de-authentifizieren und dann den Authentifizierungsverkehr erfassen (bei korrektem Rückruf sind nur 4 Pakete erforderlich). Zu diesem Zeitpunkt kann der vorinstallierte Schlüssel (auch als Kennwort bezeichnet) offline offline erzwungen werden (Wieder mit allgemein verfügbaren Werkzeugen und massiven Regenbogentabellen, um den Prozess erheblich zu beschleunigen). Wie bei den meisten kryptografischen Systemen ist das Kennwort die Schwachstelle. Wenn Sie über ausgefallene High-End-WLAN- Geräte von Cisco verfügen , die durch WPA2 gesichert sind, und ein Kennwort von mypass verwenden , sind Sie kompromissbereit.
Wenn Sie in etwas investieren möchten, um Ihr drahtloses Netzwerk zu sichern, wählen Sie AES anstelle von TKIP und verwenden Sie ein langes Kennwort (Pre-Shared Key) mit hoher Entropie (Upper, Lower, Number, Special Characters usw.). Wenn Sie wild werden möchten, reicht das Einrichten von 802.1x / RADIUS viel mehr als das Wechseln von WPA zu WPA2 (obwohl das Einrichten und Verwalten viel Zeit / Wissen erfordern würde).