Ich bin für die Konfiguration eines Netzwerks für kleine Unternehmen (50-60 Geräte) verantwortlich und es gibt einige ältere Geräte, die eine drahtlose Verbindung zum Netzwerk herstellen müssen. Unser normales WLAN akzeptiert nur AES WPA und WPA2, aber ich habe einen virtuellen Zugriffspunkt mit einer verborgenen SSID konfiguriert, der aus demselben DHCP-Pool stammt wie unsere Endpunkte für ältere Geräte, die AES nicht unterstützen.
Das Passwort für das TKIP-Netzwerk ist viel länger und komplizierter, aber ich frage mich, ob dies die Sicherheit eines WPA-TKIP-Zugangspunkts erhöht. Oder werden die Schwachstellen von WPA-TKIP durch eine Verlängerung der PSK nicht wesentlich gemindert? Wenn nicht, was kann ich sonst noch tun, um das Risiko böswilliger Verbindungen oder Angriffe auf diesen Access Point zu verringern?
Antworten:
Ein komplexeres Passwort hilft, da die häufigsten Angriffe auf WPA Angriffe auf Offline-Wörterbücher sind. Sie möchten möglicherweise die allgemeinen Wörterbücher herunterladen, um zu bestätigen, dass Ihr Passwort nicht darin enthalten ist.
Bei einer begrenzten Anzahl von Geräten ist möglicherweise eine Mac-Filterung unter Verwendung einer festen IP-Adresse angebracht.
Die anderen Maßnahmen wären physische; - Begrenzen Sie die Signalstärke. - Verwenden Sie eine Richtantenne, um den Winkel einzuschränken, und wenn Sie mitgenommen werden möchten.
All dies ist von begrenztem Nutzen (insbesondere im Vergleich zu den Kosten) für einen entschlossenen Angreifer (ebenso wie das Verbergen der SSID), würde jedoch die Komplexität für einen Opportunisten auf ein "nicht lohnenswertes Maß" erhöhen.
Möglicherweise möchten Sie den Zugriff vom WPA-Zugriffspunkt auf den Rest Ihres Netzwerks beschränken. Auf diese Weise wird jeder Verstoß in seiner Auswirkung eingeschränkt. Ich würde annehmen, dass das Legacy-Gerät eine bestimmte Rolle spielt. In diesem Fall können Sie festlegen, ob nicht benötigte Ports usw. blockiert werden sollen.
Dies erhöht wiederum das Kosten-Nutzen-Verhältnis für den Angreifer.
quelle