Warum ist WPA Enterprise sicherer als WPA2?

Im persönlichen Modus ist WPA2 sicherer als WPA. Ich habe jedoch gelesen, dass WPA Enterprise eine höhere Sicherheit bietet als WPA2, und ich bin mir nicht sicher, wie dies genau erreicht wird.

Kommentare

  • Wo genau haben Sie sich befunden? lesen Sie dies? Es besteht kein Zweifel, dass WPA2 sicherer ist als WPA. Ich würde argumentieren, dass WPA Enterprise ein völlig anderes Authentifizierungsmodell ist als WPA
  • Sie haben muss nicht streiten, das ist es. WPA2 Personal verwendet vorinstallierte Schlüssel. Das bedeutet, dass Sie den Schlüssel kennen müssen und er für Benutzer freigegeben werden kann. Bei Unternehmen muss ein Konto auf einem Back-End-RADIUS-Server vorhanden sein. Dies bedeutet, dass Sie einen Benutzernamen und ein Kennwort benötigen, um auf das drahtlose Netzwerk zugreifen zu können.

Antwort

Die PSK-Varianten von WPA und WPA2 verwenden einen 256-Bit-Schlüssel, der von einem Kennwort zur Authentifizierung abgeleitet ist.

Die Enterprise-Varianten von WPA und WPA2, auch bekannt als 802.1x verwendet einen RADIUS-Server zur Authentifizierung. Die Authentifizierung erfolgt mithilfe von Varianten des EAP -Protokolls. Dies ist eine komplexere, aber sicherere Einrichtung.

Der Hauptunterschied zwischen WPA und WPA2 ist das verwendete Verschlüsselungsprotokoll. WPA verwendet das TKIP -Protokoll, während WPA2 die Unterstützung für das CCMP -Protokoll einführt.

Kommentare

  • Wenn Sie also einen RADIUS-Server verwenden, wird anstelle von TKIP oder CCMP ein EAP-Protokoll verwendet?
  • @ Unw0und Nein, EAP ist ein Authentifizierungsprotokoll , während TKIP und CCMP ein Verschlüsselungsprotokoll sind.
  • Diese Antwort lautet nicht ‚ t sehr informativ. Wie ist EAP „sicherer“? Schützt es vor mehr Bedrohungen oder bietet es mehr Stärke gegen rohe Gewalt? Welchen Unterschied macht TKIP gegenüber CCMP?
  • EAP ist sicherer, da das Schlüsselmaterial eindeutig ist und zwischen Client und AP erstellt wird, anstatt auf der Grundlage eines bekannten Werts (PSK) generiert zu werden. Im persönlichen Modus wird das Schlüsselmaterial basierend auf einem bekannten Wert (PSK) generiert, und jeder mit diesem bekannten Wert kann die Schlüsselverhandlung erfassen und somit den gesamten resultierenden Datenverkehr entschlüsseln. Darüber hinaus kann mit EAP das Schlüsselmaterial während der Sitzung geändert werden, um die Sicherheit zu erhöhen.
  • WPA2 Personal verwendet einen Schlüssel. Jeder mit dem Schlüssel weiß, wie der Datenverkehr Ihres Computers ‚ entschlüsselt wird. Das WiFi-Segment ist ein großes Broadcast-Netzwerk. Kabelgebundene Netzwerke halten den Datenverkehr Ihres Computers ‚ im Allgemeinen privat, solange die Switches gesichert sind. Ihr Verkehr verläuft entlang der Leitung und wird nur an den Bestimmungsort weitergeleitet. Selbst jemand, der an eine andere Buchse angeschlossen ist, kann ‚ den Datenverkehr nur sehen, wenn der Switch nicht richtig eingerichtet ist. WPA Enterprise gibt jedem Benutzer seinen eigenen privaten Sitzungsschlüssel. Dadurch wird der Broadcast-Effekt entfernt. Jetzt verhält sich das WiFi-Netzwerk so, als hätte jeder seinen eigenen Draht.

Antwort

Allen früheren Antworten fehlt ein sehr Ein wichtiger Schritt und seine Auswirkungen sind ein Missverständnis von EAP.

WPA2-PSK (auch bekannt als WPA2 Personal) macht aus Client-Sicht im Grunde dasselbe wie WPA2-Enterprise: Der Client wird dem Access Point zugeordnet, authentifiziert sich gegenüber dem Der Zugriffspunkt, der den vorinstallierten Schlüssel und den Zugriffspunkt verwendet, erstellt ein 256-Bit-PMK (paarweiser Hauptschlüssel) aus der SSID und dem vorinstallierten Schlüssel (PSK). Dieses PMK wird dann zum Verschlüsseln des Datenverkehrs mit CCMP / AES oder TKIP verwendet.

Hierbei ist zu beachten, dass alle Clients ihre Daten immer mit demselben PMK verschlüsseln. Es ist also einfach, viele mit demselben PMK verschlüsselte Daten zu erfassen. Sollte jemand das PMK beschädigen, kann er alle mit diesem Schlüssel verschlüsselten Daten entschlüsseln, Vergangenheit / Aufzeichnung und Zukunft / Echtzeit.

WPA2- Enterprise ist hinter den Kulissen nur ein bisschen anders, aber die Auswirkungen auf die Sicherheit sind schwerwiegend: Der Client stellt eine Verbindung zum Zugriffspunkt her, authentifiziert sich beim Zugriffspunkt, der dies an einen Backend-RADIUS-Server weiterleitet (unter Verwendung von EAP, aber das ist nicht der Fall) wichtig hier, also mehr dazu am Ende). Wenn der RADIUS-Server den Client authentifiziert hat, gibt er dem Zugangspunkt ein OK sowie einen paarweisen 256-Bit-Hauptschlüssel (PMK) RANDOM , um den Datenverkehr nur für die aktuelle Sitzung zu verschlüsseln.

Nun, das ist ein ziemlicher Unterschied. Anstatt dass jeder Client immer dasselbe PMK verwendet (dessen Startwert als Klartext bekannt ist, da die SSID als Startwert verwendet wird!), Ändert sich jetzt jeder Client ein anderes PMK Jede Sitzung / Assoziation und der Startwert ist zufällig und unbekannt. Nicht nur das, sondern dieses PMK ist eine echte 256-Bit-Entropie (kein Hash von einem normalerweise viel kleineren Passwort, das Wörter enthält), sodass Wörterbuchangriffe nutzlos sind.

Sollte jemand ein bestimmtes PMK beschädigen, erhält er nur Zugriff auf eine Sitzung eines Clients. Außerdem (wenn die richtige EAP-Methode verwendet wird) erhalten sie keinen Zugriff auf die Anmeldeinformationen des Benutzers, da diese einzeln verschlüsselt wurden. Dies ist weitaus sicherer.

Denken Sie auch daran, dass dieses PMK 256-Bit-AES ist Dies ist derzeit „unknackbar“ (128 Bit gelten momentan als sicher, aber nicht lange). Die Tatsache, dass das PMK von WPA2-PSK (ebenfalls 256 Bit) geknackt werden kann, beruht auf den normalerweise schwachen Passwörtern (Wörterbuchangriff), dem bekannten Startwert (SSID) und der Tatsache, dass alle Clients dasselbe PMK verwenden Die ganze Zeit kann so viel Chiffretext mit bekanntem Klartext erfasst werden.

Also, dann ein wenig über das Extensible Authentication Protocol (EAP). Dies wird oft als Sicherheitsprotokoll an sich verstanden, ist es aber nicht. Es ist im Grunde ein Standard für die Weitergabe von Nachrichten von einem Client, der sich authentifizieren möchte, und einem Server, der sich authentifiziert. EAP selbst verfügt über keine Sicherheitsfunktionen. Es gibt lediglich an, wie der Client mit dem RADIUS-Server spricht.

Jetzt können Sie diese EAP-Nachrichten in einem sicheren Tunnel kapseln. So wie HTTP (ein unsicheres Messaging-Protokoll) eine sichere Schicht durchläuft, wird SSL / TLS verwendet, um eine sichere Verbindung zu einem Webserver herzustellen. Jemand sagte in einer anderen Antwort, dass es über 100 verschiedene EAP- „Methoden“ gibt, von denen einige sehr unsicher sind. Dies ist richtig, da EAP alt ist, wurden Verschlüsselungsstandards implementiert, die heute unter dem Standard liegen.

In der Praxis gibt es jedoch solche, wenn Sie aktuelle Apple- oder Android-Computer / Geräte und Windows-Computer unterstützen müssen Nur zwei Optionen, da andere einfach nicht unterstützt werden: Protected EAP (PEAP) und TLS-EAP (nun, ich habe gelogen: Es gibt wirklich ein paar mehr, aber sie sind in Funktionalität und Sicherheit im Grunde identisch mit TLS-EAP).

PEAP ist wie ein https-Server. Zwischen dem Client und dem RADIUS-Server wird ein sicherer TLS-Tunnel eingerichtet (der den gesamten drahtlosen und verkabelten Pfad zwischen ihnen schützt). Der Server legt dem Client ein Zertifikat vor (in Unternehmen häufig) Auf der Grundlage dieses Zertifikats wird ein sicherer Kanal eingerichtet.

Wenn der Client die Zertifizierungsstelle in seinem Zertifikatspeicher als vertrauenswürdig eingestuft hat, sendet er seinen Benutzernamen und sein Kennwort an den RADIUS-Server Die Zertifizierungsstelle ist nicht vertrauenswürdig. Der Benutzer erhält eine Warnung bezüglich des Zertifikats, wie bei einer https-Site, die über etwas verfügt ng falsch mit seinem Zertifikat. Die Anmeldeinformationen werden normalerweise mit dem (alten und jetzt schwachen) MSCHAPv2-Protokoll geschützt, aber das spielt keine Rolle, da bereits alles durch 256-Bit-TLS geschützt ist. Das MSCHAPv2-Protokoll kommuniziert mit dem RADIUS-Server über EAP.

Eine offensichtliche Schwachstelle besteht darin, dass Sie einen falschen Zugriffspunkt einrichten, ein falsches Zertifikat vorlegen können, für das Sie den privaten Schlüssel haben, und hoffen, dass ein idiotischer Benutzer eine Warnung über ein nicht vertrauenswürdiges Zertifikat erhält und einfach auf „Vertrauen“ klickt (und diese Option ist nicht von einem Administrator deaktiviert). Dann könnten Sie möglicherweise die schwach verschlüsselten Anmeldeinformationen des Clients erfassen, die ziemlich leicht zu knacken sind (da ich weiß, dass MSCHAPv2 leicht geknackt werden kann, wenn Sie den GANZEN Austausch haben, in In diesem Fall hätten Sie nur die Client-Seite, da Sie keine gültige Nonce an den Client senden könnten, um den Austausch abzuschließen, da Sie nicht über den tatsächlichen Hash des Benutzerkennworts verfügen.

While Mit diesem kann Sie mit viel Arbeit auf das reale Netzwerk zugreifen (und ich bezweifle es, aber Wenn Sie wissen müssen, schauen Sie in MSCHAPv2 unter http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ). Sie erhalten dann keinen Zugriff auf andere drahtlose Netzwerke Daten, da sie mit einem anderen PMK verschlüsselt sind.

Für Unternehmen kann dies jedoch immer noch ein Problem sein. Geben Sie TLS-EAP ein. TLS-EAP ist im Grunde dasselbe wie PEAP, mit dem bemerkenswerten Unterschied, dass der Client auch über ein Zertifikat verfügt. Daher legt der Server sein Zertifikat dem Client vor, dem der Client vertrauen muss (da sich die Zertifizierungsstelle im vertrauenswürdigen Speicher befindet oder ein Idiot auf „Vertrauen“ geklickt hat), aber der Client muss dem Server auch ein Zertifikat vorlegen. Dies kann ein Zertifikat sein, das bei der Bereitstellung des Geräts / der Workstation im Zertifikatspeicher abgelegt wurde, aber es kann auch von einer Smartcard usw. stammen. Der Server muss diesem Client-Zertifikat vertrauen, sonst erhalten Sie nicht einmal die Chance

Wie viele von Ihnen vielleicht wissen, kann eine solche bidirektionale Authentifizierung auch für HTTP über TLS durchgeführt werden. Dies wird jedoch außerhalb der Unternehmenseinstellungen nicht häufig angezeigt. Auch in diesem Fall können Sie nur dann auf die Website zugreifen, wenn Sie zuerst ein Zertifikat anzeigen, dem der Server vertraut.

Jetzt ist der gefälschte Zugriffspunkt nicht mehr sehr nützlich. Sie kann die schwach verschlüsselten Anmeldeinformationen erhalten, wenn der Idiot auf „Vertrauen“ klickt und Sie dann blind ein Client-Zertifikat akzeptieren. Da Sie jedoch nicht über den privaten Schlüssel des Client-Zertifikats verfügen, erhalten Sie keinen Zugriff auf das WLAN Netzwerk, noch erhalten Sie verschlüsselte drahtlose Daten dieses oder anderer Clients, die noch vom zufälligen sitzungsbasierten PMK zur Verfügung gestellt werden.Möglicherweise erhalten Sie Zugriff auf ein Intranet mit den Anmeldeinformationen. Wenn Sie sich jedoch die Mühe gemacht haben, eine Zertifizierungsstelle für drahtlose Netzwerke einzurichten, benötigen Sie wahrscheinlich auch dafür ein Client-Zertifikat.

In Unternehmen ist dies häufig der Fall Ein Client-Zertifikat auf einer Smartcard, auf das die Mitarbeiter dann zugreifen müssen, um auf alle Ressourcen zuzugreifen: Anmelden, Netzwerkressourcen, E-Mail mit SMTP, IMAP, Pop3s, Intranets mit https. Alles, was TLS verwendet, kann so eingerichtet werden, dass ein Client-Zertifikat erforderlich ist. Normalerweise ist dies der Fall „ist so einfach wie das Einfügen in die Tastatur und das Eingeben einer PIN. Windows zeigt sie dann an, wenn dies von einem vertrauenswürdigen Server mit TLS verlangt wird.

Ich hoffe, dies verdeutlicht a bisschen. Die Skala lautet: „Grundsätzlich ungesichert“ (WEP) „Mit etwas Aufwand knackbar“ (WPA2-PSK) „Teilweise sozialtechnisch“ (WPA2-Enterprise mit PEAP) „Derzeit sicher“ (WPA2-Enterprise mit TLS-EAP und ähnlich)

Es gibt Möglichkeiten, WPA2-PSK etwas sicherer zu machen, da es Monate dauern würde, es zu knacken, anstatt Minuten (vorberechnete Regenbogentabellen) oder Stunden (Wörterbuchangriff): Legen Sie Ihre SSID fest und verwenden einen zufälligen Pre-Shared Key (PSK) der maximalen Länge, wenn eine zufällige Zeichenfolge mit der maximalen Länge (64, glaube ich) verwendet wird, da sie als Startwert für das PMK verwendet wird Wenn Sie dann den Schlüssel monatlich ändern, können Sie ziemlich sicher sein, dass niemand über ein aktuelles PMK verfügt oder Zugriff auf Ihr Netzwerk hatte / hat.

Obwohl Sie die Tatsache nicht loswerden können, dass jemand einen Monat hätte speichern können Daten aller Clients wert und liest, dass, sobald sie das PMK dieses Monats erhalten haben (was getan werden kann, da es kein Schlüssel mit 256-Bit-Realentropie ist, wenn Sie den verwendeten Startwert senden).

Ein weiterer Nachteil ist, dass Sie haben werden Eine einzigartige SSID, die Ihre drahtlosen Geräte überall senden. Wenn jemand Ihre eindeutige SSID Ihres Heimnetzwerks hat, ist es ein Kinderspiel, Ihre SSID unter https://wigle.net/ nachzuschlagen und finden Sie heraus, wo Sie wohnen. Sie gehen also im Grunde genommen mit Ihrem Telefon / Tablet / Laptop herum und geben an, wo Sie wohnen …

Wenn Sie „datenschutzbewusst“ sind, ist dies möglicherweise ein guter Mittelweg Halten Sie Ihre SSID auf eine übliche, aber nicht unter den Top 30 (auf diese Weise ist es unwahrscheinlich, dass Regenbogentabellen online verfügbar sind) und verwenden Sie eine zufällige PSK mit maximaler Länge. Sie verlieren jedoch etwas Entropie.

Wenn Sie die gleiche Sicherheit wie bei der Verkabelung wünschen, verwenden Sie WPA2-Enterprise mit TLS-EAP. (Nun, für den Moment … Nichts hindert jemanden daran, alle gewünschten Daten zu erfassen und zu speichern und sie in 20 Jahren zu entschlüsseln, wenn wir alle Zeit auf einem Quantencomputer mieten und alle Schlüssel in Minuten faktorisieren können. P. >

Die NSA soll dafür ein Rechenzentrum eingerichtet haben. Speichern Sie alles, was ihnen begegnet, verschlüsselt, bis sie es knacken können. Das Problem betrifft also auch alle Kabel, wenn es über das Internet läuft. Wenn etwas sicher sein muss Verwenden Sie immer ein zufälliges einmaliges Pad, das Sie außerhalb des Bandes austauschen 🙂

Alles, was gesagt wurde, während ich paranoid bin und die beste Sicherheit möchte und daher zwei Tage damit verbringe, WPA2-Enterprise zu erstellen / TLS-EAP funktioniert, dies ist wahrscheinlich für die meisten Heimanwender unerreichbar (und übertrieben). Wenn Sie noch keinen Domänencontroller oder einen anderen Verzeichnisdienst in Ihrem Netzwerk haben, haben die Erfahrungen mit RADIUS und alle teuren Pro-WLAN-Geräte, die ein Unternehmen verwenden würde, und Sie werden sie höchstwahrscheinlich nicht erhalten arbeiten. Sie sind besser dran, wenn Sie nur ein VPN einrichten und dieses über Ihr WLAN ausführen, das Ihnen die gesamte Sicherheit und den Spaß beim Debuggen von EAP bietet.

PS. Der Einfachheit halber habe ich Außerdem wurde die Tatsache ausgelassen, dass die Kommunikation zwischen dem Zugriffspunkt und dem RADIUS-Server ebenfalls mit einem vorinstallierten Schlüssel (als „gemeinsames Geheimnis“ bezeichnet) verschlüsselt wird ) aber da Sie TLS trotzdem darüber setzen, spielt das keine Rolle. Sie können eine anständige Schlüsselgröße verwenden (etwas zwischen 64-128 Zeichen = 512-1024 Bit, abhängig von der Implementierung). Ich habe immer das größtmögliche Geheimnis gesetzt, es kann “ t verletzt.

Kommentare

  • Die offensichtliche Schwachstelle, die Sie präsentieren, ähnelt der Schwachstelle des Online-Shoppings – einige idiotische Benutzer geben möglicherweise ihre Kreditkarte an Details, ohne ein grünes Schloss in der Nähe der URL zu sehen oder wenn ein rotes gebrochenes Schloss zu sehen ist. Aber ich wundere mich über eine andere Sache. Was passiert, wenn der Angreifer ein TLS-Zertifikat für eine Domain kauft, die er besitzt, eine Rouge-Zertifizierungsstelle einrichtet und dieses Zertifikat für den von ihm eingerichteten betrügerischen RADIUS-Server vorlegt? Klingt so, als ob ‚ nicht funktionieren sollte, aber ich sehe ‚ nichts in Ihrer Beschreibung, was dies verhindert, und im Gegensatz zum Surfen im Internet, wo Sie sogar sind Ein gültiges Zertifikat für www.g00gle.com könnte Sie verdächtigen …
  • Sie ‚ sehen die URL des RADIUS-Servers, den Sie ‚ spricht mit (zumindest nicht unter Windows, iOS und Android).
  • Die Zertifizierungsstelle müsste mit dem Client ‚ übereinstimmen s cert, damit ‚ nicht funktioniert.
  • Ich wusste nicht, dass ‚ Client-Zertifikate in PEAP-MS-CHAPv2 im Spiel sind. Ich sehe sogar einen TechNet-Artikel mit der Aufschrift “ PEAP-MS-CHAP v2, einem EAP-Typ, der einfacher bereitzustellen ist als das Extensible Authentication Protocol mit Transport Level Security (EAP-TLS) oder PEAP-TLS weil die Benutzerauthentifizierung mithilfe von Kennwortdaten (Benutzername und Kennwort) anstelle von digitalen Zertifikaten oder Smartcards erfolgt. “ Von welchem Clientzertifikat sprechen Sie?
  • conio: Richtig, in PEAP-Clients haben ‚ keine Zertifikate (nur der Server, aber Benutzername / Passwort (was das Erfassen der Creds ermöglicht, wenn ein MITM-AP eingerichtet wird). Ich sagte, EAP-TLS habe dem Mix Client-Zertifikate hinzugefügt, um dies zu verhindern.

Antwort

Angenommen, Sie haben 10 Benutzer. Im PSK-Modus verwenden alle 10 Benutzer dieselbe Passphrase, um denselben Schlüssel zu generieren. Daher ist die Wahrscheinlichkeit, Datenverkehr zu erfassen und zu analysieren, um den Schlüssel zu finden, bei so viel Datenverkehr höher, und dieser Schlüssel wird gelöscht od bis alle 10 Benutzer zustimmen, die Passphrase (und damit den Schlüssel) zu ändern.

Wenn dieselben 10 Benutzer ihren eigenen Benutzernamen und ihr eigenes Kennwort verwenden, um sich bei einem Unternehmens-WLAN-Netzwerk anzumelden, authentifiziert sich jeder Benutzer beim RADIUS-Server , der dann einen Schlüssel für ihre Sitzung generiert und diesen an den AP weitergibt, um ihn mit seinem Client zu verwenden.

Daher ist der Datenverkehr mit demselben Schlüssel nur ein Benutzerverkehr, sodass 1/10 so viele Daten verarbeitet werden müssen, und der Schlüssel ändert sich, wenn sich der Benutzer das nächste Mal anmeldet. Das Kennwort des Benutzers Die Authentifizierung mit bleibt möglicherweise gleich, aber der Schlüssel, der generiert wird, ist für jede Sitzung eindeutig. In Kombination mit guten Passwortgewohnheiten ist WPA Enterprise besser. Außerdem kann der Zugriff einzelner Benutzer jederzeit widerrufen werden, ohne dass dies Auswirkungen auf andere Benutzer hat.

Kommentare

  • “ Der Zugriff einzelner Benutzer kann jederzeit widerrufen werden, ohne dass andere Benutzer betroffen sind “ Ich habe ‚ das nicht gewusst. Meinen Sie damit, dass sie in Echtzeit widerrufen werden können? Wenn dies der Fall ist, was würde ich dem Benutzer anzeigen? Nur eine Trennung und wann versucht man mit seinem Passwort eine Fehlermeldung zu verbinden? Wenn mein RADIUS-Server mit einer SQL-Datenbank verbunden ist und ich einen Benutzer entferne, wird dieser Benutzer in Echtzeit entfernt? Vielen Dank für die Klarstellung.

Antwort

WPA2 ist sicherer als WPA, wie von Terry erklärt. Sie müssen nur den Unterschied zwischen der persönlichen (Pre-Shared Key) und der Enterprise-Version beider Protokolle verstehen.

In der persönlichen Version teilen sich alle Benutzer ein geheimes Kennwort, das im Access Point konfiguriert ist. In der Unternehmensversion gibt es einen zentralen Authentifizierungsserver, und alle Benutzer verfügen über unterschiedliche Anmeldeinformationen, die sie für den Zugriff auf WLAN verwenden. Grundsätzlich gibt es also kein einziges gemeinsames Passwort.

Antwort

Der Enterprise-Modus (RADIUS / EAP / 802.1X) von WPA oder WPA2 bietet die folgenden Vorteile gegenüber der Verwendung des persönlichen Modus (Pre-Shared Key oder PSK) von WPA oder WPA2:

  • Insgesamt erschwert es den Prozess des „Hackens“ des drahtlosen Netzwerks.
  • Jedem Benutzer kann anstelle eines einzigen globalen Kennworts für alle ein eindeutiger Anmeldeinweis (Benutzername oder Kennwort, Sicherheitszertifikate oder Smartcard) für das Wi-Fi zugewiesen werden.
  • Benutzer-zu-Benutzer-Snooping wird im Gegensatz zum persönlichen Modus verhindert, in dem verbundene Benutzer den Datenverkehr des anderen erfassen können, einschließlich Kennwörtern und Sitzungsentführung.
  • Aktiviert zusätzliche Steuerelemente (Berechtigungen) wie die Anmeldezeit, mit denen Sie die genauen Tage und festlegen können Mal können sich Benutzer anmelden, Called-Station-ID, um anzugeben, über welche Zugriffspunkte sie eine Verbindung herstellen können, und Calling-Station-ID, um anzugeben, von welchen Clientgeräten aus sie eine Verbindung herstellen können.

Für den Enterprise-Modus muss ein RADIUS-Server verwendet werden. Es gibt gehostete oder Cloud-Dienste .

Antwort

Hier werden viele Begriffe gemischt.

WPA2 ist ein Verschlüsselungsschema. Unternehmen und Personal beziehen sich auf das Authentifizierungsschema, nicht jedoch auf das Verschlüsselungsschema. Das Authentifizierungsschema überprüft grundsätzlich Ihre Identität gegenüber dem Netzwerkbesitzer, bevor Sie verschlüsselte Daten senden dürfen.

Aus Sicht der Verschlüsselung verfügen WPA2-Enterprise und WPA2-Personal über denselben 256-Bit-Verschlüsselungsalgorithmus (I. glaube, es heißt AES-CCMP). Der Unterschied zwischen ihnen liegt also im Authentifizierungsschema.

Nun können EAP und 802.1x als ein und dasselbe Protokoll betrachtet werden. Sie definieren Signalisierungsmethoden, damit die Authentifizierung zwischen dem Client, dem Access Point und einer dritten Entität namens Registrar erfolgen kann, in der die Authentifizierungsdaten gespeichert sind.EAP wird in Personal und Enterprise verwendet, ABER der Hauptunterschied ist der Speicherort und die Art der Anmeldeinformationen, die der Registrar vom Client benötigt, bevor er sich bereit erklärt, ihm Zugriff auf das Netzwerk zu gewähren. In PERSONAL befindet sich der Registrar häufig auf derselben physischen Entität wie der Zugriffspunkt (dh der WLAN-Router), und die Authentifizierungsmethode basiert normalerweise auf einem vorinstallierten Schlüssel (z. B. denjenigen, die mit dem Router vorprogrammiert sind) wenn Sie es kaufen oder das, das Ihnen der Besitzer des Routers geben würde, wenn Sie zu ihm kommen). Das Ändern dieses vorinstallierten Schlüssels erfordert eine globale Aktualisierung, wenn einer der alten Clients erneut auf das Netzwerk zugreifen möchte (d. H. Sie müssen ihnen mitteilen, dass Sie den Schlüssel geändert haben und der Schlüssel XYZ ist). In ENTERPRISE ist der Registrar normalerweise eine separate Entität, die ein Protokoll namens RADIUS ausführt. Es bietet mehr Verwaltbarkeit (z. B. vorab freigegebener Schlüssel für jeden Benutzer, der Administrator kann einen Schlüssel für einen bestimmten Benutzer widerrufen usw.).

Nun etwas wirklich Wichtiges hier (aus Sicherheitsgründen). Der Verschlüsselungsschlüssel (dh nicht die Authentifizierung) wird vom vorinstallierten Schlüssel abgeleitet. Daher ist es für jemanden mit dem vorinstallierten Authentifizierungsschlüssel in PERSONAL einfacher, den Verschlüsselungsschlüssel neu zu erstellen und damit die Daten zu entschlüsseln. Darüber hinaus ermöglicht PERSONAL andere Methoden, um die Eingabe eines vorinstallierten Schlüssels weiter zu vereinfachen, z. B. den Druckknopf (Druckknopf auf Router und Gerät gleichzeitig und alles geschieht nahtlos). Diese Methode beeinträchtigte die Sicherheit, wenn jemand den Kanal abhörte und sich als leicht zerbrechlich erwies (jetzt ist der Begriff leicht relativ !!). Eine solche Methode ist in Enterprise nicht verfügbar. Zusammenfassend ist Ja Enterprise sicherer, aber auch besser für jemanden geeignet, der über das Wissen und die Ressourcen verfügt, um einen RADIUS-Server zu installieren und zu verwalten. Eine gute Sicherheit ist gegenüber PERSONAL erreichbar, indem Sie einen starken vorinstallierten Schlüssel auswählen und die Drucktastenmethode auf dem WLAN-Router deaktivieren.

Antwort

Ich gehe davon aus, dass Sie WPA2-PSK (auch bekannt als WPA-Personal) meinen, wenn Sie fragen, ob WPA-Enterprise sicherer als WPA2 ist. Das ist ein bisschen so, als würde man fragen, ob Gemüse gesünder ist als ein Apfel. WPA-Enterprise deckt ein Spektrum von Authentifizierungsmethoden ab (etwa 100 davon alle unter dem erweiterbaren Authentifizierungsprotokoll), einige sehr stark, andere sehr schwach. WPA2-PSK ist ein spezielles Authentifizierungsmittel, das auf 256-Bit-AES basiert. Die einzige Möglichkeit, WPA2-PSK zu beschädigen, besteht darin, die Handshake-Pakete zu erfassen und anschließend einen Wörterbuchangriff dagegen durchzuführen. Es spielt keine Rolle, wie viele Handshakes Sie erfassen (d. H. Ob es ein Client oder 100 sind, die über das Kennwort eine Verbindung herstellen). Es ist nicht wie bei WEP. Wenn Sie also ein gutes Passwort haben (z. B. 20 Zeichen und ziemlich zufällig), ist es verdammt sicher. Im Vergleich dazu kann WPA-Enterprise schwache Schemata verwenden, z. B. LEAP, das die MS-CHAPv2-Handshakes verwendet. Hierbei handelt es sich lediglich um eine 56-Bit-DES-Verschlüsselung, die unabhängig von der Komplexität des Kennworts problemlos mit Brute Force geknackt werden kann. Unter den 100 EAP-Optionen, die sich in Kosten und Komplexität unterscheiden, finden Sie jetzt etwas, das der Stärke eines WPA2-PSK mit einem zufälligen 20-stelligen Passwort nahekommt. Aber wenn dies Ihr einziges Ziel ist, verpassen Sie den Punkt von WPA Enterprise. Der Haupttreiber für WPA Enterprise ist die detaillierte Kontrolle darüber, wer oder was eine Verbindung zu Ihrem Netzwerk herstellt. WPA Enterprise kann Anmeldeinformationen für jedes Gerät und jeden Benutzer erstellen. Wenn Sie plötzlich einen Benutzer oder eine Kategorie von Geräten (z. B. Mobiltelefone) ausschalten müssen, können Sie dies tun. Wenn Sie beim Einrichten die Implementierung mit etwas wie LEAP verpfuschen, lassen Sie natürlich nur die Personen / Dinge, die Sie an der Vordertür abweisen, durch die Hintertür herein. Wenn Sie nicht über das Budget, die Ressourcen und den Bedarf für WPA Enterprise verfügen, ist WPA2-PSK einfacher, billiger und wahrscheinlich sicherer. Die drei Einschränkungen: Ein ausreichend komplexes Kennwort, das Sie gelegentlich ändern, für das Sie keine benutzer- oder gerätespezifische Steuerung benötigen, und das Wichtigste: Deaktivieren Sie den absolut dummen WPS (Wifi Protected Access), der auf einigen Zugriffspunkten verfügbar ist.

Antwort

Dies ist nicht der Fall. WPA-Enterprise und WPA-PSK erstellen letztendlich einen PTK-Schlüssel, der im TKIP-Algorithmus verwendet wird ist WPA und daher weniger sicher als WPA2, unabhängig davon, ob es sich um WPA2-PSK oder WPA2-Enterprise handelt.

Enterprise bietet nur Verschlüsselung für den 4-Wege-Handshake wie PEAP oder die Verwendung von Zertifikaten an, sodass WPA-Enterprise wohl sicherer als WPA-PSK ist, aber letztendlich das gleiche Schicksal erleidet. Enterprise bietet auch eine höhere Granularität darüber, wer auf das Zertifikat zugreift Netzwerk mithilfe von Benutzerkonten oder vorinstallierten Schlüsselinformationen pro Benutzer von RADIUS oder letztendlich Active Directory für Material, das bei der CCMP-Schlüsselgenerierung verwendet werden soll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.