Уменьшает ли увеличение сложности парольной фразы PSK риски WPA-TKIP?

294
AlecDL

Я отвечаю за настройку сети малого бизнеса (50-60 устройств), и у нас есть несколько древних устройств, которые должны подключаться к сети по беспроводной сети. Наша обычная беспроводная сеть принимает только AES WPA и WPA2, но я настроил виртуальную точку доступа со скрытым SSID, который извлекается из того же пула DHCP, что и наши конечные точки для старых устройств, которые не поддерживают AES.

Пароль для сети TKIP намного длиннее и сложнее, но мне интересно, повышает ли это безопасность точки доступа WPA TKIP? Или уязвимости WPA-TKIP существенно не уменьшаются путем увеличения длины PSK? Если нет, что еще я могу сделать, чтобы уменьшить риск злонамеренных соединений или атак на эту точку доступа?

4
Мне любопытно узнать подробности об этих устройствах, которые поддерживают TKIP, но не AES. По моему опыту, было очень мало устройств, которые соответствуют этому описанию. Я хочу добавить ваши устройства в мой список. Spiff 9 лет назад 0
Устройство, с которым у нас возникли проблемы, - это действительно старый MacBook A1260. Он также работает с Bootcamp, так что, возможно, это связано с используемыми нами драйверами Windows 7. Это постоянно вызывало у нас проблемы с Wi-Fi, который использует WPA и WPA2 AES, но, похоже, нормально подключается к точке доступа с помощью TKIP. AlecDL 9 лет назад 0
Это определенно должны быть ваши драйверы для Windows. Mac поддерживают WPA2 начиная с c. 2003, и это всегда было твердо. Я ожидал, что вы скажете, что у вас была старая раскладушка iBook только для 802.11b iBook 1999 года или что-то в этом роде. Spiff 9 лет назад 0

1 ответ на вопрос

1
Nate

Поможет более сложный пароль, поскольку обычные атаки на WPA - это атаки по словарю в автономном режиме - вы можете скачать общие словари, чтобы подтвердить, что ваш пароль отсутствует в них.

Если количество устройств ограничено, фильтрация Mac может подойти и использовать фиксированный IP-адрес.

Другие меры были бы физическими; - ограничьте уровень сигнала - используйте направленную антенну, чтобы ограничить угол, и если вы хотите увлечься ... - Экранирование (клетка Фарадея и т. д.) вокруг офиса.

Все они имеют ограниченную выгоду (особенно в сравнении с затратами) против решительного злоумышленника (так как скрывает SSID), но могут увеличить сложность до «не стоит усилий» для оппортунистов.

Возможно, вы захотите ограничить доступ из точки доступа WPA к остальной части вашей сети, чтобы любое нарушение было ограничено. Я предположил бы, что у унаследованного устройства есть определенная роль? Если это так, вы можете посмотреть на настройку блокировки ненужных портов и т. Д.

Опять же, это увеличивает соотношение затрат и выгод для атакующего.

Мое исследование также подкрепило это, читая документацию по aircrack-ng, я предполагаю, что основным недостатком TKIP по-прежнему являются атаки по словарю, и что более длинные пароли будут препятствовать атаке такого типа. Загрузка словарей и поиск включенного пароля - хорошая идея, и я думаю, что я собираюсь использовать фильтрацию MAC, поскольку это будет самый безопасный вариант. Спасибо за помощь. AlecDL 8 лет назад 0
помните, что MAC-адреса могут быть подделаны, еще одна мысль заключалась в том, что, если непрерывный доступ не требуется, запланируйте отключение точки доступа в нерабочее время. Nate 8 лет назад 0

Похожие вопросы