Verringert die Erhöhung der Komplexität einer PSK-Passphrase die Risiken von WPA-TKIP?

4

Ich bin für die Konfiguration eines Netzwerks für kleine Unternehmen (50-60 Geräte) verantwortlich und es gibt einige ältere Geräte, die eine drahtlose Verbindung zum Netzwerk herstellen müssen. Unser normales WLAN akzeptiert nur AES WPA und WPA2, aber ich habe einen virtuellen Zugriffspunkt mit einer verborgenen SSID konfiguriert, der aus demselben DHCP-Pool stammt wie unsere Endpunkte für ältere Geräte, die AES nicht unterstützen.

Das Passwort für das TKIP-Netzwerk ist viel länger und komplizierter, aber ich frage mich, ob dies die Sicherheit eines WPA-TKIP-Zugangspunkts erhöht. Oder werden die Schwachstellen von WPA-TKIP durch eine Verlängerung der PSK nicht wesentlich gemindert? Wenn nicht, was kann ich sonst noch tun, um das Risiko böswilliger Verbindungen oder Angriffe auf diesen Access Point zu verringern?

AlecDL
quelle
Ich bin gespannt auf die Details dieser Geräte, die TKIP, aber nicht AES unterstützen. Nach meiner Erfahrung gab es verschwindend wenige Geräte, die dieser Beschreibung entsprachen. Ich möchte Ihre Geräte zu meiner Liste hinzufügen.
Spiff
Das Gerät, mit dem wir ein Problem hatten, ist ein wirklich altes MacBook, ein A1260. Es wird auch Bootcamp ausgeführt, was möglicherweise mit den von uns verwendeten Windows 7-Treibern zusammenhängt. Es hatte uns immer wieder Probleme mit dem Wifi gegeben, das WPA und WPA2 AES verwendet, scheint sich aber mit TKIP gut mit dem AP zu verbinden.
AlecDL
Es müssen definitiv Ihre Windows-Treiber sein. Macs unterstützen WPA2 seit c. 2003, und es war immer sehr solide. Ich hatte erwartet, dass Sie sagen, Sie hätten ein altes 802.11b-Clamshell-iBook von 1999 oder so.
Spiff

Antworten:

1

Ein komplexeres Passwort hilft, da die häufigsten Angriffe auf WPA Angriffe auf Offline-Wörterbücher sind. Sie möchten möglicherweise die allgemeinen Wörterbücher herunterladen, um zu bestätigen, dass Ihr Passwort nicht darin enthalten ist.

Bei einer begrenzten Anzahl von Geräten ist möglicherweise eine Mac-Filterung unter Verwendung einer festen IP-Adresse angebracht.

Die anderen Maßnahmen wären physische; - Begrenzen Sie die Signalstärke. - Verwenden Sie eine Richtantenne, um den Winkel einzuschränken, und wenn Sie mitgenommen werden möchten.

All dies ist von begrenztem Nutzen (insbesondere im Vergleich zu den Kosten) für einen entschlossenen Angreifer (ebenso wie das Verbergen der SSID), würde jedoch die Komplexität für einen Opportunisten auf ein "nicht lohnenswertes Maß" erhöhen.

Möglicherweise möchten Sie den Zugriff vom WPA-Zugriffspunkt auf den Rest Ihres Netzwerks beschränken. Auf diese Weise wird jeder Verstoß in seiner Auswirkung eingeschränkt. Ich würde annehmen, dass das Legacy-Gerät eine bestimmte Rolle spielt. In diesem Fall können Sie festlegen, ob nicht benötigte Ports usw. blockiert werden sollen.

Dies erhöht wiederum das Kosten-Nutzen-Verhältnis für den Angreifer.

Nate
quelle
Meine Untersuchungen haben dies ebenfalls bestätigt. Die Lektüre der Dokumentation zu aircrack-ng legt nahe, dass die Hauptschwäche von TKIP immer noch Wörterbuchangriffe sind und dass die längeren Passwörter diese Art von Angriff vereiteln. Das Herunterladen von Wörterbüchern und die Suche nach einem darin enthaltenen Kennwort ist eine gute Idee, und ich denke, ich werde die MAC-Filterung verwenden, da dies die sicherste Option ist. Danke für die Hilfe.
AlecDL,
Denken Sie daran, dass MAC-Adressen gefälscht werden können. Ein anderer Gedanke war, dass der Zugriff auf den AP außerhalb der Geschäftszeiten erfolgen muss, wenn kein kontinuierlicher Zugriff erforderlich ist.
Nate,