WPA Enterprise가 WPA2보다 안전한 이유는 무엇입니까?

개인 모드에서 WPA2는 WPA보다 안전합니다. 그러나 WPA Enterprise가 WPA2보다 더 강력한 보안을 제공한다는 것을 읽었으며 이것이 어떻게 달성되는지 정확히 확신 할 수 없습니다.

댓글

  • 어디에서 수행 했습니까? 이거 읽어? 의심 할 여지없이 WPA2WPA보다 안전합니다. 저는 WPA EnterpriseWPA
  • 와 완전히 다른 인증 모델이라고 주장합니다.

  • 당신은 ‘ 논쟁 할 필요가 없습니다. WPA2 Personal은 미리 공유 한 키를 사용합니다. 즉, 키를 알아야하며 사용자간에 공유 할 수 있습니다. 엔터프라이즈에서는 백엔드 RADIUS 서버에 계정이 있어야합니다. 즉, 무선 네트워크에 액세스하려면 사용자 이름과 비밀번호가 있어야합니다.

Answer

WPA 및 WPA2의 PSK 변형은 인증을 위해 암호에서 파생 된 256 비트 키를 사용합니다.

WPA 및 WPA2의 엔터프라이즈 변형 (802.1x라고도 함) 인증 목적으로 RADIUS 서버를 사용합니다. 인증은 EAP 프로토콜의 변형을 사용하여 이루어집니다. 이것은 더 복잡하지만 더 안전한 설정입니다.

WPA와 WPA2의 주요 차이점은 사용되는 암호화 프로토콜입니다. WPA는 TKIP 프로토콜을 사용하는 반면 WPA2는 CCMP 프로토콜에 대한 지원을 도입합니다.

설명

  • RADIUS 서버를 사용할 때 TKIP 또는 CCMP 대신 EAP 프로토콜이 사용됩니까?
  • @ Unw0und 아니요, EAP TKIP 및 CCMP는 암호화 프로토콜 인 반면 인증 프로토콜입니다.
  • 이 답변은 ‘ t입니다. 매우 유익합니다. EAP는 어떻게 “더 안전”합니까? 더 많은 위협으로부터 보호합니까, 아니면 무차별 대입에 대해 더 큰 힘을 제공합니까? TKIP와 CCMP의 차이점은 무엇입니까?
  • 키 자료가 고유하고 알려진 값 (PSK)을 기반으로 생성되지 않고 클라이언트와 AP간에 생성되기 때문에 EAP가 더 안전합니다. 개인 모드에서 키 자료는 알려진 값 (PSK)을 기반으로 생성되며 알려진 값을 가진 모든 사람은 키 협상을 캡처하여 모든 결과 트래픽을 해독 할 수 있습니다. 또한 EAP를 사용하면 세션 중에 키 자료를 변경하여 더 안전하게 만들 수 있습니다.
  • WPA2 Personal은 하나의 키를 사용합니다. 키를 가진 모든 사람은 컴퓨터의 트래픽을 ‘ 해독하는 방법을 알고 있습니다. WiFi 세그먼트는 하나의 큰 방송 네트워크입니다. 유선 네트워크는 일반적으로 스위치가 보호되는 한 컴퓨터의 ‘ 트래픽을 비공개로 유지합니다. 귀하의 트래픽은 전선을 따라 이동하며 목적지로만 전달됩니다. 다른 잭에 연결 한 사람도 스위치가 올바르게 설정되지 않으면 ‘ 트래픽을 볼 수 없습니다. WPA Enterprise는 모든 사용자에게 개인 세션 키를 제공합니다. 이것은 방송 효과를 제거합니다. 이제 Wi-Fi 네트워크는 모든 사람이 자신의 전선을 가지고있는 것처럼 작동합니다.

답변

모든 이전 답변에는 중요한 단계와 그 의미와 EAP를 오해하고 있습니다.

WPA2-PSK (일명 WPA2 Personal)는 기본적으로 클라이언트 관점에서 WPA2-Enterprise와 동일한 작업을 수행합니다. 클라이언트는 액세스 포인트에 연결하고 사전 공유 키와 액세스 포인트를 사용하는 액세스 포인트는 SSID 및 사전 공유 키 (PSK)에서 256 비트 PMK (쌍별 마스터 키)를 생성합니다. 이 PMK는 CCMP / AES 또는 TKIP를 사용하여 데이터 트래픽을 암호화하는 데 사용됩니다.

여기서 주목해야 할 중요한 점은 모든 클라이언트가 항상 동일한 PMK로 데이터를 암호화한다는 것입니다. 따라서 동일한 PMK로 암호화 된 많은 데이터를 쉽게 수집 할 수 있습니다. 누군가 PMK를 깰 경우 과거 / 기록 및 미래 / 실시간으로 해당 키로 암호화 된 모든 데이터를 해독 할 수 있습니다.

WPA2- 엔터프라이즈는이면에서 약간만 다르지만 보안에 미치는 영향은 심각합니다. 클라이언트는 액세스 포인트에 연결하고 액세스 포인트에 대해 인증합니다. 액세스 포인트는이를 백엔드 RADIUS 서버에 전달합니다 (EAP 사용). 여기에서 중요하므로 마지막에 더 자세히 설명합니다.) RADIUS 서버가 클라이언트를 인증하면 액세스 포인트에 OK와 RANDOM 256 비트 PMK (pairwise master key)를 제공하여 현재 세션에 대해서만 데이터 트래픽을 암호화합니다.

음, 그것은 상당히 차이가 있습니다. 각 클라이언트가 항상 동일한 PMK를 사용하는 대신 (SSID가 시드로 사용되기 때문에 시드가 일반 텍스트로 알려져 있습니다!) 이제 모든 클라이언트가 다른 PMK를 사용합니다. 모든 세션 / 연결 및 시드는 무작위이며 알 수 없습니다.뿐만 아니라이 PMK는 256 비트 실제 엔트로피 (일반적으로 단어가 포함 된 훨씬 작은 암호의 해시가 아님)이므로 사전 공격은 쓸모가 없습니다.

누군가 특정 PMK를 깨 뜨리면 한 클라이언트의 한 세션에만 액세스 할 수 있습니다. 또한 (올바른 EAP 방법을 사용하는 경우) 개별적으로 암호화되어 있으므로 “사용자 자격 증명에 액세스 할 수 없습니다. 이는 훨씬 더 안전합니다.

또한이 PMK는 256 비트 AES입니다. , 이것은 현재 “크랙 불가능”합니다 (128 비트는 당분간 안전하지만 오래 가지는 않습니다). WPA2-PSK (또는 256 비트)의 PMK가 크래킹 될 수 있다는 사실은 일반적으로 취약한 암호 (사전 공격), 알려진 시드 (SSID) 및 모든 클라이언트가 동일한 PMK를 사용한다는 사실에서 비롯됩니다. 항상 알려진 일반 텍스트의 많은 암호문을 캡처 할 수 있습니다.

그러면 EAP (Extensible Authentication Protocol)에 대해 조금 설명하겠습니다. 이것은 종종 그 자체로 보안 프로토콜로 이해되지만 “아닙니다.”기본적으로 인증을 원하는 클라이언트와 인증하는 서버에서 메시지를 전달하는 표준입니다. EAP 자체에는 보안 기능이 없으며 클라이언트가 RADIUS 서버와 통신하는 방식 만 지정합니다.

이제 이러한 EAP 메시지를 보안 터널에 캡슐화 할 수 있습니다. HTTP (비보안 메시징 프로토콜)와 마찬가지로 SSL / TLS는 보안 계층을 거쳐 웹 서버에 대한 보안 연결을 생성합니다. 누군가는 또 다른 대답에서 100 가지가 넘는 EAP “방법”이 있으며 일부는 매우 안전하지 않다고 말했습니다. EAP가 오래 되었기 때문에 오늘날에는 표준 이하인 암호화 표준이 구현 되었기 때문에 사실입니다.

그러나 실제로는 최신 Apple 또는 Android 시스템 / 장치 및 Windows 시스템을 지원해야하는 경우 다른 옵션은 단순히 지원되지 않기 때문에 보호 된 EAP (PEAP)와 TLS-EAP (글쎄요, 거짓말을했습니다. 사실 몇 가지가 더 있지만 기능과 보안면에서 기본적으로 TLS-EAP와 동일합니다).

PEAP는 https 서버와 같으며 클라이언트와 RADIUS 서버 사이에 보안 TLS 터널이 설정되고 (그들 사이의 전체 무선 및 유선 경로 보호) 서버는 클라이언트에 인증서를 제공합니다 (회사에서 종종 자체 CA에 의해 서명 됨) 및 보안 채널이이 인증서를 기반으로 설정됩니다.

클라이언트가 인증서 저장소에서 신뢰할 수있는 CA를 보유하고있는 경우 사용자 이름과 암호를 RADIUS 서버로 보냅니다. CA가 신뢰할 수없는 경우 사용자는 https 사이트와 마찬가지로 인증서에 대한 경고를받습니다. 인증서가 잘못되었습니다. 자격 증명은 일반적으로 이전 및 현재 취약한 MSCHAPv2 프로토콜로 보호되지만 모든 것이 이미 256 비트 TLS로 보호되기 때문에 중요하지 않습니다. MSCHAPv2 프로토콜은 EAP를 사용하여 RADIUS 서버와 통신합니다.

명백한 약점은 거짓 액세스 포인트를 설정하고, 개인 키가있는 거짓 인증서를 제시하고, 일부 바보 사용자가 신뢰할 수없는 인증서에 대한 경고를 받고 “신뢰”를 클릭하기를 바라는 것입니다 (그 옵션은 관리자에 의해 비활성화되지 않음). 그러면 크래킹하기 매우 쉬운 클라이언트의 약하게 암호화 된 자격 증명을 캡처 할 수 있습니다 (전체 교환이있는 경우 MSCHAPv2가 쉽게 크래킹 될 수 있음을 알기 때문에 확실하지 않습니다. 이 경우 사용자 암호의 실제 해시가 없기 때문에 교환을 완료하기 위해 유효한 임시 값을 클라이언트에 보낼 수 없기 때문에 클라이언트 측만 가질 수 있습니다.

While 이렇게하면 많은 작업을 통해 실제 네트워크에 액세스 할 수 있습니다 . 알아야 할 경우 http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html 에서 MSCHAPv2를 살펴보면 다른 무선에 액세스 할 수 없습니다. 데이터는 다른 PMK로 암호화되어 있기 때문입니다.

그러나 회사에게는 여전히 문제가 될 수 있습니다. TLS-EAP를 입력합니다. TLS-EAP는 기본적으로 PEAP와 동일하지만 클라이언트에도 인증서가 있다는 점이 눈에 띄게 다릅니다. 따라서 서버는 클라이언트가 신뢰해야하는 인증서를 클라이언트에게 제공하지만 (CA가 신뢰할 수있는 저장소에 있거나 바보가 “신뢰”를 클릭했기 때문에) 클라이언트도 서버에 인증서를 제시해야합니다. 이것은 장치 / 워크 스테이션이 프로비저닝 될 때 인증서 저장소에있는 인증서 일 수 있지만 스마트 카드 등에서 가져온 것일 수도 있습니다. 서버는이 클라이언트 인증서를 신뢰해야합니다. 그렇지 않으면 기회를 얻지 못할 것입니다. 많은 분들이 알고 계시 겠지만 이러한 양방향 인증은 HTTP over TLS에 대해서도 수행 할 수 있지만 회사 설정 외부에서는 흔히 볼 수 없습니다. 이 경우에도 서버에서 신뢰하는 인증서를 먼저 표시하지 않으면 웹 사이트에 액세스 할 수 없습니다.

이제 가짜 액세스 포인트는 더 이상 유용하지 않습니다. 당신은 멍청이가 “신뢰”를 클릭하고 맹목적으로 클라이언트 인증서를 수락하면 약하게 암호화 된 자격 증명을 얻을 수 있지만 클라이언트 인증서의 개인 키가 없기 때문에 무선 액세스 권한을 얻을 수 없습니다. 네트워크 또는 임의 세션 기반 PMK의 호의로이 클라이언트 또는 다른 클라이언트의 암호화 된 무선 데이터를 얻지 못합니다.자격 증명을 사용하여 일부 인트라넷에 액세스 할 수 있지만 무선 용 CA를 설정하는 데 문제가 발생하면이를 위해 클라이언트 인증서가 필요할 수도 있습니다.

기업에서는 이러한 인증서를 사용하는 것이 일반적입니다. 직원이 로그인, 네트워크 리소스, smtp를 사용하는 메일, imaps, pop3s, https를 사용하는 인트라넷, TLS를 사용하는 모든 리소스에 액세스해야하는 스마트 카드의 클라이언트 인증서는 클라이언트 인증서를 요구하도록 설정할 수 있습니다. 일반적으로 “키보드에 넣고 PIN을 입력하는 것만 큼 간단합니다. 그러면 TLS를 실행하는 신뢰할 수있는 서버에서 요청할 때 창이 표시됩니다.

비트. 규모는 다음과 같습니다. “기본적으로 보안되지 않음”(WEP) “약간의 노력으로 깨질 수 있음”(WPA2-PSK) “부분적으로 사회 공학적”(WPA2- 엔터프라이즈 w / PEAP) “현재 안전함”(WPA2- 엔터프라이즈 w / TLS-EAP 및 유사)

WPA2-PSK를 좀 더 안전하게 만드는 방법이 있습니다. 몇 분 (미리 계산 된 레인보우 테이블) 또는 몇 시간 (사전 공격) 대신 크랙하는 데 몇 달이 걸리기 때문입니다. SSID를 설정하세요. PMK의 시드로 사용되기 때문에 최대 길이 (내 생각에는 64)의 임의의 문자열로, 그리고 최대 길이의 임의의 사전 공유 키 (PSK)를 사용합니다. 그런 다음 매월 키를 변경하면 현재 PMK가 없거나 네트워크에 액세스 할 수있는 사람이 없는지 합리적으로 확신 할 수 있습니다.

누군가가 한 달을 저장할 수 있었다는 사실을 제거 할 수는 없지만 모든 클라이언트의 가치가있는 데이터를 읽고 해당 월의 PMK를 가져 오면 읽습니다 (사용 된 시드를 브로드 캐스팅 할 때 256 비트 실제 엔트로피가있는 키가 아니므로 수행 할 수 있습니다).

또 다른 단점은 무선 장치가 어디를 가든 브로드 캐스트하는 매우 고유 한 SSID입니다. 누군가 홈 네트워크의 고유 한 SSID를 가지고있는 경우 “ https://wigle.net/ 에서 SSID를 찾는 것은 아주 간단합니다. 그래서 “기본적으로 휴대 전화 / 태블릿 / 노트북을 가지고 다니면서 거주지를 알리고 …

개인 정보 보호를 중시한다면 SSID를 “일반적이지만 상위 30 개 정도에 속하지 않는 것으로 설정하고 (그러면 온라인에서 사용할 수있는 레인보우 테이블이 없을 것 같음) 최대 길이의 임의 PSK를 사용하십시오. 하지만 일부 엔트로피가 손실됩니다.

유선과 동일한 보안을 원한다면 TLS-EAP와 함께 WPA2-Enterprise를 사용하십시오. (음, 지금은 … 누군가가 원하는 모든 데이터를 캡처하고 저장하는 것을 막을 수있는 방법은 없습니다. 우리 모두 양자 컴퓨터에서 시간을 빌려 몇 분 만에 모든 키를 고려할 수 있다면 20 년 안에 모든 데이터를 해독 할 수 있습니다.

NSA는 이러한 작업을 수행하기 위해 데이터 센터를 구축했다고합니다. 발견되는 모든 것을 암호화하여 크랙 할 수있을 때까지 저장하면 문제가 인터넷을 통과하는 경우 유선의 모든 것에 영향을 미치게됩니다. 항상 대역 외로 교환 할 수있는 임의의 일회용 패드를 사용하십시오. 🙂

그렇지만 저는 편집증이며 최상의 보안을 원하므로 WPA2-Enterprise를 만드는 데 이틀을 보냅니다. / TLS-EAP 작동, 이것은 아마도 대부분의 가정 사용자에게 손이 닿지 않는 (과도한) 일입니다. 네트워크에 도메인 컨트롤러 나 다른 디렉터리 서비스가 아직없는 경우 RADIUS 경험이 있고 기업에서 사용할 값 비싼 프로 Wi-Fi 장비를 모두 가지고 있다면 얻을 수 없습니다. 일하다. 항상 켜져있는 VPN을 설정하고 Wi-Fi를 통해 실행하는 것이 좋습니다. 이렇게하면 모든 보안을 제공하고 EAP를 디버깅하는 재미는 없습니다.

PS. 단순성을 위해 I 또한 액세스 포인트와 RADIUS 서버 간의 통신이 사전 공유 키 ( “공유 비밀”이라고 함)에 의해 암호화된다는 사실도 생략했습니다. Afaik이 암호화는 오늘날 좋지 않습니다 (기본적으로 손상된 MD5 사용). )하지만 어쨌든 TLS를 넣었 기 때문에 “문제가되지 않습니다. 괜찮은 키 크기를 사용할 수 있습니다 (구현에 따라 64-128 자 = 512-1024 비트 사이의 것). 항상 가능한 가장 큰 비밀을 설정합니다.” 아파요.

댓글

  • 당신이 제시하는 명백한 약점은 온라인 쇼핑의 약점과 유사합니다. 어떤 바보 사용자가 신용 카드를 제공 할 수도 있습니다. URL 근처에 녹색 자물쇠가 보이지 않거나 빨간색으로 깨진 자물쇠가 보이지 않는 세부 정보. 그러나 나는 또 다른 것이 궁금합니다. 공격자가 자신이 소유 한 도메인에 대한 TLS 인증서를 구입하여 Rouge CA를 설정하고 자신이 설정 한 Rogue RADIUS 서버에 대해이 인증서를 제시하면 어떻게됩니까? 이것이 작동하지 않는 것 같지만 ‘ 작동하지 않는 것 같지만 ‘이를 방지하는 설명에 아무것도 표시되지 않습니다. www.g00gle.com의 유효한 인증서로 인해 의심 할 수 있습니다 …
  • 사용자가 ‘ RADIUS 서버의 URL을 볼 수 없습니다. ‘ 대화 중입니다 (적어도 Windows, iOS 및 Android에서는 제외).
  • CA는 클라이언트와 일치해야합니다. ‘ s 인증서이므로 ‘ 작동하지 않습니다.
  • ‘ PEAP-MS-CHAPv2에서 사용중인 클라이언트 인증서를 알지 못했습니다. ” PEAP-MS-CHAP v2는 EAP-TLS (Extensible Authentication Protocol with Transport Level Security) 또는 PEAP-TLS보다 배포하기 쉬운 EAP 유형이라는 TechNet 기사도 있습니다. 사용자 인증은 디지털 인증서 나 스마트 카드 대신 암호 기반 자격 증명 (사용자 이름 및 암호)을 사용하여 수행되기 때문입니다. ” 어떤 클라이언트 인증서에 대해 이야기하고 있습니까?
  • conio : 맞습니다. PEAP 클라이언트에는 ‘ 인증서가 없습니다 (서버에만 있지만 사용자 이름 / 암호 (MITM AP가 설정 될 때 자격 증명을 캡처 할 수 있음). EAP-TLS가이를 방지하기 위해 클라이언트 인증서를 추가했다고 말했습니다.

답변

10 개가 있다고 가정 해 보겠습니다. PSK 모드에서는 10 명의 사용자가 모두 동일한 암호를 사용하여 동일한 키를 생성하고 있습니다. 따라서 트래픽을 캡처하고 키를 찾기 위해 분석 할 가능성이 더 높으며 해당 키는 이동합니다. 10 명의 사용자 모두가 암호 (및 키) 변경에 동의 할 때까지

동일한 10 명의 사용자가 자신의 사용자 이름과 암호를 사용하여 엔터프라이즈 WiFi 네트워크에 로그인하는 경우 각 사용자는 RADIUS 서버에 대해 인증합니다. , 그러면 세션에 대한 키가 생성되고 클라이언트와 함께 사용할 AP에 전달됩니다.

따라서 동일한 키를 사용하는 트래픽은 한 명의 사용자 트래픽이므로 작업 할 데이터의 1/10이며 다음에 사용자가 로그인 할 때 키가 변경됩니다. 사용자 암호 인증은 동일하게 유지 될 수 있지만 생성하는 키는 각 세션에 고유합니다. 좋은 암호 습관과 결합하면 WPA 엔터프라이즈가 더 좋습니다. 또한 개별 사용자 액세스는 다른 사용자에게 영향을주지 않고 언제든지 취소 할 수 있습니다.

댓글

  • ” 다른 사용자에게 영향을주지 않고 언제든지 개별 사용자 액세스를 취소 할 수 있습니다. ” 저는 ‘ 알았습니다. 실시간으로 취소 할 수 있다는 뜻입니까? 이 경우 사용자는 무엇을 보게됩니까? 연결이 끊기고 비밀번호로 연결하려고 할 때 오류 메시지가 표시됩니까? 내 RADIUS 서버가 SQL 데이터베이스에 연결되어 있고 사용자를 제거하면이 사용자가 실시간으로 제거됩니까? 설명해 주셔서 감사합니다.

답변

WPA2는 Terry가 설명한대로 WPA보다 안전합니다. 두 프로토콜의 개인 (사전 공유 키) 버전과 엔터프라이즈 버전의 차이점 만 이해하면됩니다.

개인 버전은 모든 사용자가 액세스 포인트에 구성된 비밀 암호를 공유하는 곳입니다. 엔터프라이즈 버전에는 중앙 인증 서버가 있으며 모든 사용자는 WiFi에 액세스하기 위해 사용하는 서로 다른 자격 증명 집합을 가지고 있습니다. 따라서 기본적으로 단일 공유 암호가 없습니다.

답변

WPA의 엔터프라이즈 (RADIUS / EAP / 802.1X) 모드 또는 WPA2는 WPA 또는 WPA2의 개인 (사전 공유 키 또는 PSK) 모드를 사용할 때 다음과 같은 이점을 제공합니다.

  • 전반적으로 무선을 “해킹”하는 과정을 복잡하게 만듭니다.
  • 모든 사용자에게 단일 글로벌 비밀번호 대신 Wi-Fi에 대한 고유 한 로그인 자격 증명 (사용자 이름 또는 비밀번호, 보안 인증서 또는 스마트 카드)을 할당 할 수 있습니다.
  • 사용자 간 스누핑 연결된 사용자가 암호 및 세션 하이재킹을 포함하여 서로의 트래픽을 캡처 할 수있는 개인 모드와 달리 방지됩니다.
  • 로그인 시간과 같은 추가 제어 (인증)를 활성화하여 정확한 날짜 및 사용자가 로그인 할 수있는 횟수, 연결할 수있는 액세스 포인트를 지정하는 Called-Station-ID, 연결할 수있는 클라이언트 장치를 지정하는 Calling-Station-ID.

e 엔터프라이즈 모드에서는 RADIUS 서버를 사용해야하며 호스팅 또는 클라우드 서비스 가 있습니다.

답변 h2>

여기에는 많은 용어가 혼합되어 있습니다.

WPA2는 암호화 체계입니다. 엔터프라이즈 대 개인은 인증 체계를 참조하지만 암호화 체계는 참조하지 않습니다. 인증 체계는 기본적으로 암호화 된 데이터를 전송하기 전에 네트워크 소유자에게 신원을 확인합니다.

암호화 관점에서 WPA2-Enterprise와 WPA2-Personal은 동일한 256 비트 암호화 알고리즘 (I AES-CCMP라고 믿습니다). 따라서 이들 간의 차이점은 인증 체계에 있습니다.

이제 EAP와 802.1x는 하나의 동일한 프로토콜로 간주 될 수 있습니다. 클라이언트, 액세스 포인트 및 인증 자격 증명을 저장하는 레지스트라라고하는 세 번째 엔티티 사이에서 인증이 발생하도록 신호 방법을 정의합니다.EAP는 개인 및 기업에서 사용되지만 주요 차이점은 레지스트라가 네트워크에 대한 액세스 권한을 부여하기 전에 클라이언트에게 요구하는 자격 증명 유형과 위치입니다. PERSONAL에서는 등록자가 액세스 포인트 (예 : 무선 라우터)와 동일한 물리적 엔티티에 상주하는 것이 일반적이며 인증 방법은 일반적으로 사전 공유 키 (예 : 라우터로 사전 프로그래밍 된 키)를 기반으로합니다. 당신이 그것을 살 때 또는 당신이 그의 집에 올 때 라우터 소유자가 당신에게 줄 것). 사전 공유 키를 변경하려면 이전 클라이언트가 네트워크에 다시 액세스하려고 할 때마다 전역 업데이트가 필요합니다 (즉, 키를 변경했고 키가 XYZ임을 알려야 함). 엔터프라이즈에서 레지스트라는 일반적으로 RADIUS라는 프로토콜을 실행하는 별도의 엔터티입니다. 더 많은 관리 기능을 제공합니다 (예 : 모든 사용자에 대해 미리 공유 된 키, 관리자는 특정 사용자에 대해 키를 취소 할 수 있습니다.).

이제 여기에서 정말 중요한 것이 있습니다 (보안 관점에서). 암호화 키 (즉, 인증이 아님)는 사전 공유 키에서 파생되므로 PERSONAL에 사전 공유 인증 키를 가진 사람이 암호화 키를 다시 생성하여 데이터를 해독하는 것이 더 쉽습니다. 또한 PERSONAL을 사용하면 다른 방법으로 푸시 버튼과 같은 사전 공유 키 입력 문제를 더욱 단순화 할 수 있습니다 (라우터와 장치의 푸시 버튼을 동시에 누르면 모든 것이 원활하게 이루어집니다). 이 방법은 누군가가 채널을 듣고 있고 쉽게 깨지기 쉬운 것으로 보이면 보안을 손상 시켰습니다 (이제 쉽게 용어는 상대적입니다 !!). 이러한 방법은 Enterprise에서 사용할 수 없습니다. 따라서 요약하면 예 Enterprise는 더 안전하지만 RADIUS 서버를 설치하고 관리 할 수있는 지식과 리소스가있는 사람에게 더 적합합니다. 강력한 사전 공유 키를 선택하고 무선 라우터에서 푸시 버튼 방법을 비활성화하면 PERSONAL보다 우수한 보안을 얻을 수 있습니다.

답변

WPA-Enterprise가 WPA2보다 안전한지 물을 때 WPA2-PSK (일명 WPA-Personal)를 의미한다고 가정합니다. 이것은 사과보다 야채가 더 건강하다고 묻는 것과 비슷합니다. WPA-Enterprise는 다양한 인증 방법 (확장 가능한 인증 프로토콜 하에서 모두 약 100 개), 일부는 매우 강력하고 일부는 매우 약합니다. WPA2-PSK는 256 비트 AES에 의존하는 특정 인증 수단입니다. WPA2-PSK를 중단 할 수있는 유일한 방법은 핸드 셰이크 패킷을 캡처 한 다음 이에 대해 사전 공격을 실행하는 것입니다. 얼마나 많은 핸드 셰이크를 캡처하는지는 중요하지 않습니다 (즉, 클라이언트가 하나인지 아니면 암호를 사용하여 연결하는 100인지 여부). WEP와는 다릅니다. 따라서 좋은 암호 (예 : 20 자 및 상당히 무작위)가 있으면 매우 안전합니다. 이에 비해 WPA-Enterprise는 MS-CHAPv2 핸드 셰이크를 사용하는 LEAP와 같이 취약한 체계를 사용할 수 있습니다. 이들은 단순한 56 비트 DES 암호화이며 암호 복잡성에 관계없이 무차별 대입을 통해 쉽게 해독 할 수 있습니다. 이제 비용과 복잡성이 다양한 100 개의 EAP 옵션 중에서 임의의 20 자 암호를 사용하여 WPA2-PSK의 강도에 가까운 것을 찾을 수 있습니다. 그러나 이것이 유일한 목표라면 WPA Enterprise의 요점을 놓치고있는 것입니다. WPA Enterprise의 주요 동인은 네트워크에 연결하는 사람 또는 대상을 세밀하게 제어 할 수 있다는 것입니다. WPA Enterprise는 각 장치 및 사용자에 대한 자격 증명을 만들 수 있습니다. 갑자기 한 명의 사용자 또는 장치 범주 (예 : 휴대폰)를 잘라 내야하는 경우 그렇게 할 수 있습니다. 물론 설정에서 LEAP와 같은 것을 사용하여 구현을 망칠 경우, 현관에서 외면한 사람 / 사물이 뒷문을 통해 들어 오게합니다. WPA Enterprise에 대한 예산, 리소스 및 필요성이없는 한 WPA2-PSK는 더 쉽고 저렴하며 더 안전 할 것입니다. 세 가지주의 사항 : 가끔 변경하는 충분히 복잡한 비밀번호, 사용자 또는 기기 별 제어가 필요하지 않음, 그리고 가장 중요한 것은 일부 액세스 포인트에서 제공되는 완전히 멍청한 WPS (WiFi Protected Access)를 비활성화하는 것입니다.

답변

아닙니다. WPA-Enterprise 및 WPA-PSK는 궁극적으로 TKIP 알고리즘에서 사용할 PTK 키를 생성합니다. WPA 이므로 WPA2-PSK이든 WPA2-Enterprise이든 WPA2보다 안전하지 않습니다.

Enterprise는 PEAP와 같은 4 방향 핸드 셰이크 또는 인증서 사용에 대한 암호화 만 제공하므로 WPA-Enterprise는 WPA-PSK보다 더 안전하지만 궁극적으로 동일한 운명을 맞이할 것입니다. Enterprise는 또한 액세스하는 사람에 대해 더 높은 세분성을 제공합니다. CCMP 키 생성에 사용할 자료를 위해 RADIUS 또는 궁극적으로 Active Directory의 사용자 계정 또는 사용자 별 사전 공유 키 정보를 사용하여 네트워크를 구축합니다.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다