WPA2-Enterprise, sau abordarea corectă a siguranței rețelei Wi-Fi
criptare WEP este compromisă, și nu se poate folosi (chiar și în cazul cheilor dinamice).
Frecvent întâlnite termeni WPA și WPA2 determină, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că, pentru o lungă perioadă de timp de suport adaptoarele pentru client WPA2 (AES), pentru a utiliza algoritm de criptare TKIP nu are nici un sens.
Toate setările posibile de securitate sunt prezentate pe scurt în acest tabel:
În cazul în care WPA2 Personal (WPA2 PSK) este clar, soluție corporativă necesită o analiză suplimentară.
WPA2 Enterprise
Utilizarea WPA2 Enterprise necesită rețea RADIUS-server. Până în prezent, cel mai viabil următoarele produse:
Suport pentru oricare dintre metodele EAP supplikantom ar trebui să fie furnizate la partea de client. Standard, built-in Windows XP / Vista / 7, iOS, Android oferă un minim EAP-TLS, și EAP-MSCHAPv2, ceea ce duce la popularitatea acestor metode. Pe client adaptoare Intel sub Windows vine cu un instrument ProSet, extinde lista disponibilă. De asemenea, face clientul Cisco AnyConnect.
Este sigur
În final, aveți nevoie de un atacator pentru a rupe în rețea?
Pentru Deschideți Autentificare, Fără criptare - nimic. Am conectat la rețea, și toate. Deoarece mediul radio este deschis, semnalul se propagă în direcții diferite, nu este ușor de a bloca. Cu adaptoarele pentru client corespunzătoare pentru a permite asculta eter, traficul în rețea poate fi văzut, precum și, în cazul în care un atacator conectat la un fir în butucul, un comutator SPAN-porturi.
Pentru criptarea bazată pe WEP, are nevoie doar de timp pentru a bustul IV, și unul dintre numeroasele instrumente de scanare disponibile în mod liber.
Pentru criptarea, se bazează pe TKIP sau AES decriptarea direct posibil în teorie, dar în practică, nu sunt îndeplinite cazuri de hacking.
Obțineți acces la o rețea securizată de EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 poate ști numai parola de autentificare de utilizator (hacking în sine nu este posibil). Atacurile cum ar fi forta bruta, sau care vizează vulnerabilități în MSCHAP, de asemenea, nu este posibilă sau dificil datorită faptului că EAP-canal „client-server“ este protejat printr-un tunel criptat.
Accesul la rețea, închis PEAP-GTC este posibilă în caz de efractie sau un server de jetoane, sau furtul token-ului, împreună cu parola.
Accesul la rețea, închis EAP-TLS este posibilă la furtul certificat de utilizator (împreună cu cheia sa privată, desigur), sau scriind un pașaport valabil, dar un certificat fals. Acest lucru este posibil doar dacă sunt compromise, centrul de certificare, care, în societățile normale prețui ca fiind cea mai valoroasa resursa IT.
Deoarece toate metodele de mai sus (cu excepția PEAP-GTC) permit economisirea (cache) parole / certificate, atunci dispozitivul mobil furt atacator pentru a obține acces deplin, fără întrebări de rețea. Ca o măsură de prevenire poate servi ca o criptare completă hard disk cu solicitarea parolei atunci când dispozitivul este pornit.
Amintiți-vă, cu un design adecvat al unei rețele fără fir poate fi foarte bine protejate; înseamnă rupere o astfel de rețea nu există (într-o anumită limită)