Verringert die Erhöhung der Komplexität einer PSK-Passphrase die Risiken von WPA-TKIP?

334
AlecDL

Ich bin für die Konfiguration eines kleinen Unternehmensnetzwerks (50-60 Geräte) verantwortlich und wir haben einige alte Geräte, die drahtlos mit dem Netzwerk verbunden sein müssen. Unser reguläres WLAN akzeptiert nur AES WPA und WPA2, aber ich habe einen virtuellen AP mit einer verborgenen SSID konfiguriert, die aus demselben DHCP-Pool wie unsere Endpunkte für ältere Geräte stammt, die AES nicht unterstützen.

Das Passwort für das TKIP-Netzwerk ist viel länger und komplizierter, aber ich frage mich, ob dies die Sicherheit eines WPA-TKIP-Zugriffspunkts erhöht. Oder werden die Schwachstellen von WPA-TKIP nicht wesentlich durch die Verlängerung der PSK gemindert? Wenn nicht, was kann ich sonst tun, um das Risiko von schädlichen Verbindungen oder Angriffen auf diesen Access Point zu reduzieren?

4
Ich bin neugierig auf die Details dieser Geräte, die TKIP unterstützen, aber kein AES. Nach meiner Erfahrung gab es verschwindend wenige Geräte, die dieser Beschreibung entsprachen. Ich möchte Ihre Geräte meiner Liste hinzufügen. Spiff vor 9 Jahren 0
Das Gerät, mit dem wir ein Problem hatten, ist ein wirklich altes MacBook, ein A1260. Es wird auch Bootcamp ausgeführt, sodass es möglicherweise mit den von uns verwendeten Windows 7-Treibern zu tun hat. Es hatte uns ständig Probleme mit dem Wifi gegeben, das WPA und WPA2 AES verwendet, aber es scheint sich über TKIP gut mit dem AP zu verbinden. AlecDL vor 9 Jahren 0
Es müssen auf jeden Fall Ihre Windows-Treiber sein. Macs unterstützen WPA2 seit c. 2003, und es war schon immer steinhart. Ich habe erwartet, dass Sie sagen, dass Sie ein altes, nur 802.11b-Clamshell-iBook von 1999 oder etwas anderes hatten. Spiff vor 9 Jahren 0

1 Antwort auf die Frage

1
Nate

Ein komplexeres Passwort ist hilfreich, da die häufigsten Angriffe auf WPA Offline-Wörterbuchangriffe sind. Sie können die allgemeinen Wörterbücher herunterladen, um zu bestätigen, dass Ihr Passwort nicht darin enthalten ist.

Bei einer begrenzten Anzahl von Geräten ist die Mac-Filterung möglicherweise sinnvoll und verwendet eine feste IP-Adresse.

Die anderen Maßnahmen wären körperliche; - Begrenzen Sie die Signalstärke - Verwenden Sie eine Richtantenne, um den Winkel einzuschränken und wenn Sie mitgerissen werden möchten ... - Abschirmung (Faraday-Käfig usw.) im Büro.

All dies hat einen begrenzten Nutzen (insbesondere gegenüber Kosten) gegen einen entschlossenen Angreifer (wie es die SSID verbirgt), würde aber die Komplexität auf einen "lohnenswerten Aufwand" für eine opportunistische Sache erhöhen.

Möglicherweise möchten Sie die Beschränkung des Zugriffs vom WPA Access Point auf den Rest Ihres Netzwerks prüfen, um die Auswirkung von Verstößen zu begrenzen. Ich würde davon ausgehen, dass das ältere Gerät eine bestimmte Rolle hat? Wenn ja, können Sie die Einstellung der Sperrung nicht benötigter Ports usw. überprüfen.

Dies erhöht wiederum das Kosten-Nutzen-Verhältnis für den Angreifer.

Meine Forschung hat dies auch untermauert. Die Lektüre der Dokumentation zu aircrack-ng deutet darauf hin, dass TKIP nach wie vor die Angriffe auf das Wörterbuch ist und dass längere Passwörter diese Art von Angriff verhindern. Das Herunterladen von Wörterbüchern und das Suchen nach einem mitgelieferten Kennwort ist eine gute Idee, und ich denke, ich werde MAC-Filterung verwenden, da dies die sicherste Option ist. Danke für die Hilfe. AlecDL vor 8 Jahren 0
Denken Sie daran, dass MAC-Adressen gefälscht werden können. Ein anderer Gedanke war, dass, wenn kein kontinuierlicher Zugriff erforderlich ist, der AP außerhalb der Stunden ablaufen soll. Nate vor 8 Jahren 0

Verwandte Probleme