Mentre sostituiamo la nostra infrastruttura WEP esistente in più uffici, stiamo valutando il valore dell'aggiornamento a WPA rispetto a WPA2 (entrambi PSK). Abbiamo diversi tipi di dispositivi che non supportano WPA2, quindi passare a quel protocollo comporta costi aggiuntivi.
Quello che vorrei sapere è quali sono le minacce alle reti wireless WPA-PSK? Con tali informazioni, saremo in grado di bilanciare i costi di aggiornamento rispetto alle minacce alla sicurezza.
Risposte:
WPA è "abbastanza sicuro", mentre WPA2 è "molto sicuro". Esistono già attacchi parziali contro WPA in natura e si prevede che attacchi più completi compaiano nel tempo. WPA2 (utilizzando AES anziché TKIP) non ha ancora vulnerabilità note.
Come hai detto, la decisione sulla scelta è principalmente legata al valore dei tuoi dati, ma il mio suggerimento personale è di migrare a WPA2 ora, piuttosto che doverlo fare quando verrà scoperto un attacco pratico nei prossimi anni . Anche mettere il proprio wireless su una sottorete segregata e trattarlo quasi come "Internet" in termini di accesso consentito è una buona idea, vista la facilità con cui annusare.
Bella pagina di riepilogo: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
EDIT: in realtà, il team di aircrack-ng non pensa che il WPA verrà presto violato .
Immagino che aggiornerò questa domanda con alcune nuove informazioni. Un nuovo attacco può rompere WPA con TKIP in un minuto. Un articolo al riguardo è ora disponibile su Network World .
Sembra che l'unica opzione sicura sia usare WPA2 (WPA con AES).
Aggiornamento: c'è un nuovo rapporto di una vulnerabilità in WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
Per riassumere, un computer autenticato sulla rete wireless WPA2 potrebbe essere in grado di decrittografare altre connessioni wireless autorizzate.
Sebbene non siano noti attacchi crittografici contro AES, TKIP (che può essere utilizzato sia con WPA che con WPA2) ha dimostrato di essere vulnerabile ad alcune classi di attacco. Di gran lunga il vettore di attacco principale sia per WPA che per WPA2 è la chiave pre-condivisa. Attaccare una rete protetta WPA o WPA2 con una chiave precondivisa debole (aka password) è una questione molto semplice con strumenti comunemente disponibili (che hanno una pagina di Wikipedia , quindi non possono essere così male;) Usali solo per il bene prova la tua rete ...)
Gli strumenti disponibili pubblicamente possono autenticare in remoto un utente autorizzato e quindi acquisire il traffico di autenticazione (sono necessari solo 4 pacchetti se ricordo bene), a quel punto la chiave pre-condivisa (aka password) può essere forzata offline (di nuovo con strumenti comunemente disponibili e enormi tavoli arcobaleno sono disponibili per accelerare significativamente il processo). Proprio come con la maggior parte dei sistemi crittografici, la password è il punto debole. Se disponi di dispositivi wireless Cisco di fascia alta di alta qualità protetti da WPA2 e usi una password di mypass , sei pronto per un compromesso.
Se stai cercando di investire in qualcosa per proteggere la tua rete wireless, scegli AES su TKIP e usa una password lunga (chiave pre-condivisa) con elevata entropia (superiore, inferiore, numero, caratteri speciali, ecc.). Se vuoi diventare un selvaggio, impostare 802.1x / RADIUS farà molto di più che passare da WPA a WPA2 (anche se ciò richiederebbe una notevole quantità di tempo / conoscenza per configurare e amministrare).