Miért biztonságosabb a WPA Enterprise, mint a WPA2?

A WPA és a WPA2 PSK változatai egy 256 bites kulcsot használnak, amely egy jelszóból származik a hitelesítéshez.

A WPA és WPA2 vállalati változatai, más néven 802.1x RADIUS szervert használ hitelesítési célokra. A hitelesítést az EAP változatok segítségével érhetjük el. Ez egy összetettebb, de biztonságosabb beállítás.

A WPA és a WPA2 közötti legfontosabb különbség a használt titkosítási protokoll. A WPA a TKIP protokollt használja, míg a WPA2 a CCMP protokollhoz nyújt támogatást.

Megjegyzések

• Tehát RADIUS szerver használatakor a TKIP vagy a CCMP helyett EAP protokollt kell használni?
• @ Unw0und Nem, EAP egy hitelesítés protokoll, míg a TKIP és a CCMP titkosítási protokoll.
• Ez a válasz nem ‘ t nagyon informatív. Hogyan lehet az EAP „biztonságosabb”? Véd a további fenyegetések ellen, vagy nagyobb erőt nyújt a nyers erővel szemben? Mi a különbség a TKIP és a CCMP között?
• Az EAP biztonságosabb, mert a kulcsanyag egyedi, és az ügyfél és az AP között jön létre, nem pedig ismert érték (PSK) alapján. Személyes módban a kulcsanyagot egy ismert érték (PSK) alapján állítják elő, és bárki, akinek ez az ismert értéke képes rögzíteni a kulcsegyeztetést, és ezért visszafejteni az összes ebből eredő forgalmat. Ezenkívül az EAP használatával a munkamenet során megváltoztathatja a kulcsanyagot, biztonságosabbá téve azt.
• A WPA2 Personal egy kulcsot használ. A kulccsal rendelkező mindenki tudja, hogyan kell visszafejteni a számítógép ‘ forgalmát. A WiFi szegmens egy nagy műsorszóró hálózat. A vezetékes hálózatok általában a számítógép ‘ forgalmát titokban tartják, amíg a kapcsolók biztonságban vannak. Forgalma a vezetéken halad, és csak a rendeltetési helyre irányul. Még egy másik aljzathoz csatlakoztatott is ‘ nem láthatja a forgalmat, hacsak a kapcsoló nincs megfelelően beállítva. A WPA Enterprise minden felhasználónak megadja a saját privát munkamenetkulcsát. Ez eltávolítja az adási hatást. Most a WiFi hálózat úgy viselkedik, mintha mindenkinek megvan a saját vezetéke.

Minden korábbi válaszból hiányzik egy nagyon fontos lépés és következményei, és félreértik az EAP-t.

A WPA2-PSK (más néven WPA2 Personal) az ügyfelek szempontjából alapvetően ugyanazt csinálja, mint a WPA2-Enterprise: Az ügyfél társul a hozzáférési ponthoz, hitelesíti a az előre megosztott kulcsot és a hozzáférési pontot használó hozzáférési pont létrehoz egy 256 bites PMK-t (páronként fő kulcs) az SSID-ből és az előre megosztott kulcsból (PSK). Ezt a PMK-t az adatforgalom titkosítására használják a CCMP / AES vagy a TKIP használatával.

Itt fontos megjegyezni, hogy minden ügyfél mindig ugyanazzal a PMK-val titkosítja az adatait. Könnyű tehát sok adatot összegyűjteni ugyanazzal a PMK-val titkosítva. Ha valaki megtöri a PMK-t, akkor visszafejtheti az összes, ezzel a kulccsal titkosított, múltbeli / rögzített és jövőbeli / valós idejű adatot.

WPA2- Az Enterprise csak egy kicsit különbözik a kulisszák mögött, de a biztonsági következmények súlyosak: Az ügyfél társul a hozzáférési ponthoz, hitelesíti a hozzáférési ponthoz, aki ezt továbbadja egy háttér-RADIUS szervernek (EAP használatával, de ez nem fontos itt, ezért erről a végén többet). Amikor a RADIUS-kiszolgáló hitelesítette az ügyfelet, a hozzáférési pontnak OK-t ad, plusz egy RANDOM 256 bites páronként fő kulcsot (PMK) az adatforgalom titkosításához csak az aktuális munkamenethez.

Nos, ez elég nagy különbség. Ahelyett, hogy minden egyes kliens folyamatosan ugyanazt a PMK-t használná (amelynek magja sima szöveg, mert az SSID-t használják magként!), Most minden kliens más és más PMK-t használ, minden munkamenet / asszociáció és a mag véletlenszerű és ismeretlen, és nem csak ez, de ez a PMK is 256 bites valós entrópia lesz (nem hash egy általában sokkal kisebb, szavakat tartalmazó jelszóból), így a szótári támadások haszontalanok.

Ha valaki megszakít egy adott PMK-t, akkor csak egy ügyfél egyetlen munkamenetéhez férhet hozzá. Ezenkívül (ha a megfelelő EAP módszert alkalmazzák) nem jutnak hozzá a felhasználói hitelesítő adatokhoz, mivel külön-külön titkosítva vannak. Ez sokkal biztonságosabb.

Ne feledje, hogy ez a PMK 256 bites AES , ez jelenleg “feltörhetetlen” (a 128 bites jelenleg biztonságosnak tekinthető, de nem sokáig). Az a tény, hogy a WPA2-PSK (szintén 256 bites) PMK ja feltörhető, az általában gyenge jelszavakból (szótári támadás), az ismert magból (SSID) származik, és abból a tényből, hogy minden kliens ugyanazt a PMK-t használja állandóan, így sok ismert sima szöveg megfogható.

Tehát, akkor egy kicsit az Extensible Authentication Protocol (EAP). Ezt gyakran önmagában biztonsági protokollként értik, de ez nem “t”. Alapjában véve szabvány hitelesítést igénylő kliens és hitelesítő szerver üzeneteinek továbbítására. Maga az EAP nem rendelkezik biztonsági funkciókkal, csupán azt adja meg, hogy az ügyfél hogyan beszéljen a RADIUS szerverrel.

Ezeket az EAP üzeneteket egy biztonságos alagútba foglalhatja. Mint a HTTP (egy nem biztonságos üzenetkezelési protokoll) egy biztonságos rétegen megy át, az SSL / TLS is biztonságos kapcsolatot hoz létre egy webszerverrel. Valaki azt mondta egy másik válaszában, hogy több mint 100 különböző EAP “módszer” létezik, némelyik nagyon bizonytalan. Ez igaz, mivel az EAP régi, ezért ma már alacsonyabb szintű titkosítási szabványok kerültek bevezetésre.

De a gyakorlatban, ha támogatnia kell a legújabb Apple vagy Android gépeket / eszközöket és Windows gépeket, akkor ott vannak csak két lehetőség, mert másokat egyszerűen nem támogat: Védett EAP (PEAP) és TLS-EAP (nos, hazudtam: valóban van még néhány, de funkcionalitásukban és biztonságukban alapvetően megegyeznek a TLS-EAP-val).

A PEAP olyan, mint egy https-kiszolgáló, egy biztonságos TLS-alagút van beállítva az ügyfél és a RADIUS-kiszolgáló között (védve a köztük lévő teljes vezeték nélküli és vezetékes utat), a szerver tanúsítványt mutat be az ügyfélnek (a vállalatoknál gyakran a saját hitelesítésszolgáltatójuk aláírta), és egy biztonságos csatornát állítanak be ennek a tanúsítványnak az alapján.

Ha az ügyfél hitelesítésszolgáltatóként rendelkezik a CA-val, akkor elküldi felhasználónevét és jelszavát a RADIUS szerverre. a hitelesítésszolgáltató nem megbízható, a felhasználó figyelmeztetést kap a tanúsítvánnyal kapcsolatban, mint egy https webhelyen, amely rendelkezik valamivel ng nem megfelelő a tanúsítvánnyal. A hitelesítő adatokat általában a (régi és most gyenge) MSCHAPv2 protokoll védi, de ez nem számít, mivel mindent már véd a 256 bites TLS. Az MSCHAPv2 protokoll az EAP használatával beszél a RADIUS szerverrel.

Nyilvánvaló gyenge pont az, hogy hamis hozzáférési pontot állíthat be, hamis tanúsítványt mutat be, amelynek privát kulcsa van, és remélheti, hogy néhány idióta felhasználó figyelmeztetést kap egy nem megbízható tanúsítványról, és csak a “bizalom” gombra kattint (és ez az opció nem tudja letiltani egy rendszergazda). Akkor megragadhatja az ügyfél gyengén titkosított hitelesítő adatait, amelyeket meglehetősen könnyű feltörni (ebben nem vagyok biztos, mivel tudom, hogy az MSCHAPv2 könnyen feltörhető, ha a TELJES csere van, ebben az esetben csak az ügyféloldala van, mivel nem tudna érvényes ügyfelet küldeni az ügyfélnek a csere befejezéséhez, mivel nem rendelkezik a felhasználói jelszó valódi kivonatával).

Míg ez sok munkával hozzáférhet a valódi hálózathoz (és kétlem, de ha tudnod kell, akkor nézd meg az MSCHAPv2-t a http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ) címen, ez nem fog hozzáférni más vezeték nélküli adatok, mivel egy másik PMK-val vannak titkosítva.

De a vállalatok számára ez még mindig problémát jelenthet. Írja be a TLS-EAP parancsot. A TLS-EAP alapvetően megegyezik a PEAP-val, azzal a figyelemre méltó különbséggel, hogy az ügyfél tanúsítvánnyal is rendelkezik. Tehát a szerver bemutatja tanúsítványát az ügyfélnek, amelyben az ügyfélnek megbíznia kell (mivel a CA a megbízható üzletben van, vagy egy idióta rákattint a “trust” -ra), de az ügyfélnek tanúsítványt is be kell mutatnia a szervernek. Ez lehet egy tanúsítvány, amelyet az eszköz / munkaállomás kiépítése során helyeztek el a tanúsítványtárolóban, de lehet smartkártyáról is stb. A szervernek megbíznia kell ebben az ügyféltanúsítványban, különben nem is kapja meg az esélyt a hitelesítő adatok bemutatásához.

Mint azt sokan tudjátok, az ilyen kétirányú hitelesítés a HTTP-n keresztül is elvégezhető a TLS-en keresztül, de ez nem gyakran látható a vállalati beállításokon kívül. Ebben az esetben is csak akkor férhet hozzá a webhelyhez, ha először bemutat egy tanúsítványt, amelyben a szerver megbízik.

Tehát most a hamis hozzáférési pont már nem túl hasznos. > megszerezheti a gyengén titkosított hitelesítő adatokat, ha az idióta rákattint a “bizalom” gombra, és akkor vakon elfogadja az összes ügyféltanúsítványt, de mivel nem rendelkezik az ügyféltanúsítvány magánkulcsával, nem fér hozzá a vezeték nélküli hálózathoz hálózaton keresztül, és nem kap titkosított vezeték nélküli adatokat sem erről, sem más ügyfelekről, még mindig a véletlen munkamenet-alapú PMK jóvoltából.Lehet, hogy hozzáfér valamilyen intranethez a hitelesítő adatokkal, de ha bajba kerültek a CA vezeték nélküli beállításához, valószínűleg ehhez is ügyfél-tanúsítványra van szükségük.

A vállalatoknál általában előfordul, hogy ilyenek vannak. kliens tanúsítvány egy intelligens kártyán, amelyet az alkalmazottaknak minden erőforráshoz el kell érniük: bejelentkezés, hálózati erőforrások, smtps-t használó levelek, imaps, pop3-ok, intranetek https-sel, bármi, ami TLS-t használ, beállítható ügyfél-tanúsítvány igényléséhez. “olyan egyszerű, mint betenni a billentyűzetbe, és beírni egy PIN-kódot, majd az ablakok bemutatják, ha egy TLS-t futtató megbízható szerver kéri.

Tehát remélem, hogy ez tisztázza a bit. A skála a következő: “alapvetően fedezetlen” (WEP) “némi erőfeszítéssel feltörhető” (WPA2-PSK) “részben szociálisan kialakítható” (WPA2-Enterprise w / PEAP) “jelenleg biztonságos” (WPA2-Enterprise w / TLS-EAP és hasonló)

A WPA2-PSK biztonságosabbá tételére van mód úgy, hogy percek (előre kiszámított szivárványos táblázatok) vagy órák (szótári támadás) helyett hónapokba telik a feltörése: Állítsa be az SSID-jét a maximális hosszúságú véletlenszerű karakterláncra (szerintem 64), mivel a PMK magjaként használják, és a maximális hosszúságú véletlenszerű előre megosztott kulcsot (PSK) használja. ezután havonta megváltoztatja a kulcsot, akkor ésszerűen biztos lehet abban, hogy senkinek nincs jelenlegi PMK-ja, vagy volt / van hozzáférése a hálózathoz.

Bár nem szabadulhat meg attól, hogy valaki hónapokat tárolhatott volna értékű adat az összes kliensről, és azt olvassa, hogy amint megkapják az adott hónap PMK-ját (ez megtehető, mivel ez nem egy kulcs 256 bites valódi entrópiával, amikor a felhasznált alapanyagot közvetíted). p> További hátrány, hogy meglesz egy rendkívül egyedi SSID, amelyet vezeték nélküli eszközei sugároznak, bárhová is megy. Ha valakinek megvan az otthoni hálózatának egyedi SSID-je, akkor ez egy sütemény, hogy megkeresse SSID-jét a következő címen: https://wigle.net/ és tudd meg, hol laksz. Tehát alapvetően a telefonoddal / táblagépeddel / laptopoddal jársz körül, és bejelented, hogy hol laksz …

Ha a magánélet tisztában van vele, akkor ez talán jó középút tartsa az SSID-jét olyannak, amely gyakori, de nem szerepel a legjobb 30-ban (így nem valószínű, hogy szivárványos táblázatok érhetők el online), és használjon egy véletlenszerű, maximális hosszúságú PSK-t. Elveszít némi entrópiát.

Ha ugyanazt a biztonságot szeretné, mint a vezetékes, használja a WPA2-Enterprise szolgáltatást a TLS-EAP protokollal. (Nos, egyelőre … Semmi sem akadályozza meg valakit abban, hogy rögzítse és tárolja az összes kívánt adatot, és 20 év alatt visszafejtje az egészet, amikor mindannyian bérelhetünk időt egy kvantumszámítógépen, és az összes kulcsot percek alatt tudjuk figyelembe venni.

Állítólag az NSA épített egy adatközpontot erre a célra, tároljon minden titkosítottat, amellyel találkozik, amíg meg nem tudják törni, így ez a probléma a vezetékeken is mindenre hatással van, ha az átjut az interneten. mindig használj véletlenszerű egyszeri betétet, amelyet sávon kívül cserélsz 🙂

Mindez azt mondta, míg én paranoiás vagyok, a legjobb biztonságra vágyom, és így két napot töltök a WPA2-Enterprise gyártásával / TLS-EAP működik, ez valószínűleg nem elérhető (és túlteljes) a legtöbb otthoni felhasználó számára. Ha még nem rendelkezik tartományvezérlővel vagy más címtárszolgáltatással a hálózatán, akkor a RADIUS és használatával kapcsolatos tapasztalatok mindegyike rendelkezik egy drága pro wifi eszközzel, amelyet egy vállalkozás használna, akkor valószínűleg nem fogja megkapni dolgozni. Jobban járna, ha létrehozna egy mindig bekapcsolt VPN-t, és futtatná azt a wifi-n keresztül, ami minden biztonságot megad és nem nyújt szórakoztató hibakeresési EAP-t.

PS. Az egyszerűség kedvéért kihagyta azt a tényt is, hogy a hozzáférési pont és a RADIUS szerver közötti kommunikációt szintén egy előre megosztott kulcs titkosítja (az úgynevezett “megosztott titok”). Afaik ez a titkosítás ma nem jó (az MD5-öt használja, amely alapvetően megszakadt) ), de mivel amúgy is TLS-t teszel rá, aminek nincs jelentősége. Használhat tisztességes kulcsméretet (64–128 karakter közötti érték = 512–1024 bit a megvalósítástól függően). Mindig a lehető legnagyobb titkot állítottam be, nem fáj.

Megjegyzések

• A nyilvánvaló gyenge pont hasonló az online vásárlás gyenge pontjához – néhány idióta felhasználó megadhatja hitelkártyáját részleteket anélkül, hogy zöld zárat látna az URL közelében, vagy ha piros töröttet lát. De kíváncsi vagyok egy másik dologra. Mi van, ha a támadó TLS-tanúsítványt vásárol egy saját domainhez, beállít egy rouge CA-t, és bemutatja ezt a tanúsítványt az általa létrehozott gazember RADIUS-kiszolgáló számára? Úgy hangzik, hogy ez nem kellene, hogy ‘ működjön, de én nem látok semmit a leírásodban, ami megakadályozná ezt, és ellentétben a webes böngészéssel, ahol még a www.g00gle.com webhelyre érvényes érvényes tanúsítvány gyanút okozhat …
• nem látja ‘ nem a RADIUS-kiszolgáló URL-jét, amelyet ‘ beszél (legalábbis nem Windows, iOS és Android rendszerben).
• A hitelesítésszolgáltatónak meg kell felelnie az ügyfélnek ‘ s cert, így nem működne ‘.
• Nem voltam ‘ tudomásom a PEAP-MS-CHAPv2-ben lejátszott ügyféltanúsítványokról. Még egy TechNet-cikket is látok, amely szerint ” PEAP-MS-CHAP v2 egy EAP-típus, amelyet könnyebb telepíteni, mint az Extendsible Authentication Protocol with Transport Level Security (EAP-TLS) vagy PEAP-TLS mert a felhasználói hitelesítés jelszóalapú hitelesítő adatok (felhasználói név és jelszó) használatával valósul meg digitális tanúsítványok vagy intelligens kártyák helyett. ” Milyen kliens tanúsítványról beszél?
• conio: Helyes, a PEAP-ban az ügyfeleknek nincs ‘ tanúsítványuk (csak a szerver rendelkezik, de felhasználónév / jelszó (amely lehetővé teszi a kreditek rögzítését, amikor egy MITM AP be van állítva). Azt mondtam, hogy az EAP-TLS ennek megakadályozására kliens tanúsítványokat adott a keverékhez.

Mondjuk, hogy van 10 felhasználók. PSK módban mind a 10 felhasználó ugyanazt a jelszót használja ugyanazon kulcs előállításához. Ezért a forgalom rögzítésének és elemzésének valószínűsége nagyobb a forgalomnál, és ez a kulcs el fog menni mindaddig, amíg mind a 10 felhasználó beleegyezik a jelszó (és ennélfogva a kulcs) megváltoztatásába.

Ha ugyanaz a 10 felhasználó a saját felhasználónevét és jelszavát használja a vállalati WiFi hálózatba való bejelentkezéshez, akkor minden felhasználó hitelesít a RADIUS szerveren , amely ezután generál egy kulcsot a munkamenetükhöz, és átadja azt az AP-nek, amelyet az ügyfelüknél használhat.

Ezért az ugyanazzal a kulccsal történő forgalom csak egy felhasználói forgalmat jelent, tehát 1/10-e annyi adat, amellyel dolgozni kell, és a kulcs megváltozik, amikor a felhasználó legközelebb bejelentkezik. A (z) hitelesítés változatlan maradhat, de a létrehozott kulcs minden munkamenetnél egyedi. A jó jelszó-szokásokkal kombinálva a WPA Enterprise jobb. Ezenkívül az egyes felhasználók hozzáférését bármikor visszavonhatják anélkül, hogy más felhasználókat érintenének.

Megjegyzések

• ” az egyes felhasználók hozzáférése bármikor visszavonható anélkül, hogy ez más felhasználókat érintene ” ezt nem tudtam ‘. Úgy érti, hogy valós időben visszavonhatók? Ha ez a helyzet, mit látnék a felhasználónak? Csak egy kapcsolat bontása, és amikor megpróbál csatlakozni a jelszavához egy hibaüzenetet? Ha a RADIUS-kiszolgálóm egy SQL-adatbázishoz csatlakozik, és eltávolítok egy felhasználót, akkor a felhasználó valós időben eltávolításra kerül? Nagyon köszönöm a pontosítást.

A WPA2 biztonságosabb, mint a WPA, ahogy Terry elmagyarázta. Csak meg kell értenie a különbséget mindkét protokoll személyes (előre megosztott kulcs) és vállalati verziói között.

A személyes verzió az, ahol az összes felhasználó megosztja a hozzáférési pontban beállított titkos jelszót. A vállalati verzióban van egy központi hitelesítési szerver, és minden felhasználónak különböző hitelesítő adatok vannak, amelyeket a WiFi eléréséhez használnak. Tehát alapvetően nincs egyetlen megosztott jelszó.

A WPA vállalati (RADIUS / EAP / 802.1X) módja vagy A WPA2 a következő előnyöket nyújtja a WPA vagy WPA2 Személyes (Pre-Shared Key vagy PSK) mód használatához képest:

• Összességében bonyolítja a vezeték nélküli “hackelés” folyamatát.
• Minden felhasználóhoz egyedi bejelentkezési hitelesítő adatok (felhasználónév vagy jelszó, biztonsági tanúsítványok vagy intelligens kártya) rendelhetők a Wi-Fi-hez, egyetlen globális jelszó helyett.
• Felhasználó-felhasználó szimatolás megakadályozza, ellentétben a Személyes móddal, ahol a csatlakoztatott felhasználók el tudják gyűjteni egymás forgalmát, beleértve a jelszavakat és a munkamenet-eltérítéseket.
• További vezérléseket (engedélyezéseket) engedélyez, például a bejelentkezési időt, lehetővé téve a pontos napok és alkalommal, amikor a felhasználók bejelentkezhetnek, a Called-Station-ID azonosítja, hogy mely hozzáférési pontokon keresztül tudnak csatlakozni, és a Calling-Station-ID adja meg, hogy mely kliens eszközökről tudnak csatlakozni.

Bár Az Enterprise mód RADIUS kiszolgáló használatát igényli, vannak hosztolt vagy felhőszolgáltatások .

Itt rengeteg kifejezés keveredik.

A WPA2 egy titkosítási séma. A vállalati és a személyes hivatkozik a hitelesítési sémára, de nem a titkosítási sémára. A hitelesítési séma alapvetően ellenőrzi a személyazonosságát a hálózat tulajdonosának, mielőtt engedélyeznék a titkosított adatok küldését.

Titkosítási szempontból a WPA2-Enterprise és a WPA2-Personal azonos 256 bites titkosítási algoritmussal rendelkezik (I hisz ezt AES-CCMP-nek hívják). Tehát a különbség közöttük a hitelesítési sémában rejlik.

Most az EAP és a 802.1x egy és ugyanazon protokollként felfogható. Meghatározzák a jelzési módszereket, amelyek lehetővé teszik a hitelesítés megtörténését (ez most fontos): az ügyfél, a hozzáférési pont és a regisztrátornak nevezett harmadik entitás, amely tárolja a hitelesítési hitelesítő adatokat.Az EAP-t a Personal and Enterprise-ban használják, de a legfontosabb különbség az a hely és a hitelesítő adatok típusa, amelyeket a regisztrátor az ügyféltől megkövetel, mielőtt beleegyezne a hálózatba való hozzáférés megadásába. A PERSONAL-ban a regisztrátor általában ugyanazon a fizikai entitáson tartózkodik, mint a hozzáférési pont (azaz vezeték nélküli útválasztó), és a hitelesítési módszer általában előre megosztott kulcson alapul (pl. Amelyek előre vannak programozva az útválasztóval) vagy azt, amelyet a router tulajdonosa adna, amikor a helyére jön). Az előre megosztott kulcs megváltoztatásához globális frissítésre van szükség, amikor a régi ügyfelek bármelyike újra hozzáférni akar a hálózathoz (vagyis el kell mondania nekik, hogy megváltoztatta a kulcsot, és a kulcs XYZ). Az ENTERPRISE-ben a regisztrátor általában egy különálló entitás, amely a RADIUS nevű protokollt futtatja. Nagyobb kezelhetőséget biztosít (pl. Előre megosztott kulcs minden felhasználó számára, az adminisztrátor visszavonhatja a kulcsot egy adott felhasználóhoz stb.).

Most itt valami nagyon fontos (biztonsági szempontból), a titkosítási kulcs (azaz nem a hitelesítés) az előre megosztott kulcsból származik, így annak, aki a SZEMÉLYESEN az előre megosztott hitelesítési kulcsot használja, könnyebb újrateremteni a titkosítási kulcsot, és így visszafejteni az adatokat. Ezenkívül a PERSONAL más módszerekkel is lehetővé teszi az előre megosztott kulcs beírásának további egyszerűsítését, például a nyomógombot (nyomógomb az útválasztón és az eszközön egyszerre, és minden zökkenőmentesen történik). Ez a módszer veszélyeztette a biztonságot, ha valaki hallgatta a csatornát, és könnyen törhetőnek bizonyult (most a könnyen kifejezés relatív !!). Ilyen módszer az Enterprise-ban nem áll rendelkezésre. Ezért összefoglalva, igen, az Enterprise biztonságosabb, de jobban megfelel azoknak is, akik rendelkeznek tudással és erőforrásokkal egy RADIUS-kiszolgáló telepítéséhez és adminisztrációjához. A PERSONAL-nál jó biztonság érhető el, ha egy erős, előre megosztott kulcsot választ és letiltja a nyomógombos módszert a vezeték nélküli útválasztón.

Feltételezem, ha azt kérdezi, hogy a WPA-Enterprise biztonságosabb-e, mint a WPA2, akkor a WPA2-PSK-ra (más néven WPA-Personal) gondol. Ez egy kicsit olyan, mintha megkérdeznénk, hogy a zöldségek egészségesebbek, mint egy alma. A WPA-Enterprise a hitelesítési módszerek spektrumát fedi le (ezek közül kb. 100 a kibővíthető hitelesítési protokoll szerint), némelyik nagyon erős, van, aki nagyon gyenge. A WPA2-PSK egy speciális hitelesítési eszköz, amely 256 bites AES-re támaszkodik. A WPA2-PSK megszakításának egyetlen megvalósítható módja a kézfogás-csomagok elfogása, majd egy szótár támadása. Nem számít, hány kézfogást rögzít (vagyis hogy egy kliens vagy 100 csatlakozik-e a jelszóval). Nem olyan, mint a WEP. Ezért ha jó jelszóval rendelkezik (pl. 20 karakter és meglehetősen véletlenszerű), akkor az baromi biztonságos lesz. Összehasonlításképpen: a WPA-Enterprise gyenge sémákat használhat, például a LEAP-ot, amely az MS-CHAPv2 kézfogásokat használja. Ezek csupán 56 bites DES titkosítások, a jelszó összetettségétől függetlenül durva erővel könnyen feltörhetők. Most a 100 EAP opció közül, amelyek költsége és összetettsége között mozog, találhat valamit, ami közelítené a WPA2-PSK erősségét egy véletlenszerű 20 karakteres jelszóval. De ha ez az egyetlen célja, akkor hiányzik a WPA Enterprise lényege. A WPA Enterprise fő meghajtója az a részletes vezérlés, amely lehetővé teszi, hogy ki vagy mi csatlakozzon a hálózathoz. A WPA Enterprise hitelesítő adatokat hozhat létre minden eszköz és felhasználó számára. Ha hirtelen ki kell választania egy felhasználót vagy egy eszközkategóriát (pl. Mobiltelefonok), akkor ezt megteheti. Természetesen a telepítés során, ha valami olyasmit használ, mint a LEAP, akkor csak a hátsó ajtón engedi be azokat az embereket / dolgokat, akiket a bejárati ajtónál elfordítanak. Ha nem rendelkezik a WPA Enterprise költségkeretével, forrásaival és szükségességével, a WPA2-PSK könnyebb, olcsóbb és valószínűleg biztonságosabb lesz. A három figyelmeztetés: Megfelelően összetett jelszó, amelyet időnként megváltoztat, nincs szüksége felhasználói vagy eszközspecifikus vezérlésre, és ami a legfontosabb – tiltsa le azt a teljesen hülye Wifi Protected Access (WPS) szolgáltatást, amely egyes hozzáférési pontokon megjelenik.

Nem. A WPA-Enterprise és a WPA-PSK végül létrehoz egy PTK kulcsot, amelyet a TKIP algoritmusban használnak, mert WPA , ezért kevésbé biztonságos, mint a WPA2, függetlenül attól, hogy WPA2-PSK vagy WPA2-Enterprise.

Az Enterprise csak titkosítást kínál a négyirányú kézfogáshoz, például a PEAP-hoz, vagy a tanúsítványok használatát, így a WPA-Enterprise vitathatatlanul biztonságosabb, mint a WPA-PSK, de végül ugyanarra a sorsra jut. hálózaton keresztül a felhasználói fiókok vagy a felhasználónkénti előre megosztott kulcsadatok felhasználásával a RADIUS-tól vagy végső soron az Active Directory-tól a CCMP-kulcsok létrehozásakor felhasználandó anyaghoz.