Dlaczego WPA Enterprise jest bezpieczniejszy niż WPA2?

Warianty PSK WPA i WPA2 używają 256-bitowego klucza uzyskanego z hasła do uwierzytelniania.

Warianty WPA i WPA2 dla przedsiębiorstw, znane również jako 802.1x używa serwera RADIUS do celów uwierzytelniania. Uwierzytelnianie jest osiągane za pomocą wariantów protokołu EAP . Jest to bardziej złożona, ale bezpieczniejsza konfiguracja.

Kluczową różnicą między WPA i WPA2 jest używany protokół szyfrowania. WPA używa protokołu TKIP , podczas gdy WPA2 obsługuje protokół CCMP .

Komentarze

• Zatem podczas korzystania z serwera RADIUS zamiast TKIP lub CCMP będzie używany protokół EAP?
• @ Unw0und Nie, EAP jest protokołem uwierzytelniania , podczas gdy TKIP i CCMP jest protokołem szyfrowania .
• Ta odpowiedź to nie ' t bardzo informujące. W jaki sposób EAP jest „bezpieczniejszy”? Czy chroni przed większą liczbą zagrożeń, czy też zapewnia większą siłę przeciwko brutalnej sile? Jaka jest różnica między TKIP a CCMP?
• EAP jest bezpieczniejszy, ponieważ materiał klucza jest unikalny i tworzony między klientem a punktem dostępu, a nie generowany na podstawie znanej wartości (PSK). W trybie osobistym materiał klucza jest generowany na podstawie znanej wartości (PSK) i każdy, kto ma tę znaną wartość, jest w stanie przechwycić negocjację klucza, a tym samym odszyfrować cały wynikowy ruch. Ponadto w przypadku protokołu EAP materiał klucza można zmienić podczas sesji, co zwiększa jego bezpieczeństwo.
• WPA2 Personal używa jednego klucza. Każdy, kto ma ten klucz, wie, jak odszyfrować ruch ' komputera. Segment WiFi to jedna duża sieć rozgłoszeniowa. Sieci przewodowe zazwyczaj chronią ruch ' komputera jako prywatny, o ile przełączniki są zabezpieczone. Twój ruch odbywa się wzdłuż przewodu i jest przekazywany tylko do miejsca docelowego. Nawet ktoś podłączony do innego gniazda nie może ' zobaczyć ruchu, chyba że przełącznik nie jest poprawnie skonfigurowany. WPA Enterprise zapewnia każdemu użytkownikowi własny prywatny klucz sesji. To usuwa efekt rozgłaszania. Teraz sieć Wi-Fi zachowuje się tak, jakby każdy miał własny przewód.

We wszystkich wcześniejszych odpowiedziach brakuje bardzo ważny krok i jego implikacje oraz niezrozumienie EAP.

WPA2-PSK (inaczej WPA2 Personal) zasadniczo robi to samo, co WPA2-Enterprise z punktu widzenia klienta: klient łączy się z punktem dostępu, uwierzytelnia się w punkt dostępu za pomocą klucza wstępnego i punktu dostępu tworzy 256-bitowy klucz PMK (klucz główny parowany) na podstawie identyfikatora SSID i klucza wstępnego (PSK). Ten PMK jest następnie używany do szyfrowania ruchu danych przy użyciu CCMP / AES lub TKIP.

Ważną rzeczą do zapamiętania jest to, że wszyscy klienci zawsze będą szyfrować swoje dane tym samym PMK, przez cały czas. Dlatego łatwo jest zebrać wiele danych zaszyfrowanych tym samym PMK. Gdyby ktoś złamał PMK, mógłby odszyfrować wszystkie dane zaszyfrowane tym kluczem, przeszłe / zapisane i przyszłe / w czasie rzeczywistym.

WPA2- Enterprise jest tylko trochę inny za kulisami, ale implikacje dla bezpieczeństwa są poważne: klient łączy się z punktem dostępu, uwierzytelnia się w punkcie dostępu, który przekazuje to do serwera zaplecza RADIUS (używając EAP, ale to nie jest ważne tutaj, więc o tym na końcu). Gdy serwer RADIUS uwierzytelni klienta, daje punktowi dostępowemu OK oraz RANDOM 256-bitowy klucz główny (PMK) w celu szyfrowania ruchu danych tylko dla bieżącej sesji.

Cóż, to spora różnica. Zamiast każdego klienta używającego przez cały czas tego samego PMK (którego materiałem źródłowym jest znany tekst jawny, ponieważ SSID jest używany jako ziarno!), Teraz każdy klient używa innego PMK, zmienia się każda sesja / skojarzenie i ziarno są losowe i nieznane. Nie tylko to, ale ten PMK będzie 256-bitową rzeczywistą entropią (a nie hashem z zwykle znacznie mniejszego hasła zawierającego słowa), więc ataki słownikowe są bezużyteczne.

Gdyby ktoś złamał określony PMK, uzyskał dostęp tylko do jednej sesji jednego klienta. Ponadto (jeśli używana jest właściwa metoda EAP) nie uzyskują dostępu do poświadczeń użytkowników, ponieważ są one indywidualnie szyfrowane. To o wiele bardziej bezpieczne.

Pamiętaj również, że ten PMK jest 256-bitowy AES , obecnie jest to „niemożliwe do złamania” (128-bitowe jest uważane za bezpieczne, ale nie na długo). Fakt, że PMK WPA2-PSK (również 256-bitowego) można złamać, pochodzi z zwykle słabych haseł (atak słownikowy), znanego seeda (SSID) i faktu, że wszyscy klienci używają tego samego PMK przez cały czas, więc można przechwycić wiele zaszyfrowanego tekstu znanego tekstu jawnego.

A więc trochę o protokole uwierzytelniania rozszerzonego (EAP). Często jest to rozumiane jako protokół bezpieczeństwa sam w sobie, ale tak nie jest. Jest to w zasadzie standard przekazywania wiadomości od klienta, który chce uwierzytelnić, i serwera, który uwierzytelnia. Sam protokół EAP nie ma żadnych funkcji bezpieczeństwa, po prostu określa, w jaki sposób klient rozmawia z serwerem RADIUS.

Teraz możesz hermetyzować te wiadomości EAP w bezpiecznym tunelu. Podobnie jak HTTP (niezabezpieczony protokół przesyłania wiadomości) przechodzi przez bezpieczną warstwę, SSL / TLS, aby zapewnić bezpieczne połączenie z serwerem WWW. Ktoś powiedział w innej odpowiedzi, że istnieje ponad 100 różnych „metod” EAP, niektóre bardzo niepewne. To prawda, ponieważ protokół EAP jest stary, zaimplementowano standardy szyfrowania, które obecnie są poniżej standardów.

Jednak w praktyce, jeśli potrzebujesz obsługiwać najnowsze komputery / urządzenia Apple lub Android i komputery z systemem Windows, istnieje tylko dwie opcje, ponieważ inne po prostu nie są obsługiwane: Protected EAP (PEAP) i TLS-EAP (cóż, skłamałem: naprawdę jest ich kilka więcej, ale są zasadniczo identyczne z TLS-EAP pod względem funkcjonalności i bezpieczeństwa).

PEAP jest jak serwer https, między klientem a serwerem RADIUS tworzony jest bezpieczny tunel TLS (chroniący całą ścieżkę bezprzewodową i przewodową między nimi), serwer przedstawia klientowi certyfikat (w firmach często podpisany przez własny ośrodek CA), a bezpieczny kanał jest konfigurowany na podstawie tego certyfikatu.

Jeśli klient ma urząd certyfikacji jako zaufany w swoim magazynie certyfikatów, wysyła swoją nazwę użytkownika i hasło do serwera RADIUS. urząd certyfikacji nie jest zaufany, użytkownik otrzymuje ostrzeżenie o certyfikacie, podobnie jak w przypadku witryny https, która ma coś takiego ng źle ze swoim certyfikatem. Poświadczenia są zwykle chronione (starym i teraz słabym) protokołem MSCHAPv2, ale to nie ma znaczenia, ponieważ wszystko jest już chronione przez 256-bitowy TLS. Protokół MSCHAPv2 komunikuje się z serwerem RADIUS za pomocą EAP.

Oczywistym słabym punktem jest to, że możesz ustawić fałszywy punkt dostępu, przedstawić fałszywy certyfikat, do którego masz klucz prywatny, i mieć nadzieję, że jakiś idiota otrzyma ostrzeżenie o niezaufanym certyfikacie i po prostu kliknie „zaufaj” (a ta opcja jest nie wyłączone przez administratora). Wtedy możesz przechwycić słabo zaszyfrowane poświadczenia klienta, które są dość łatwe do złamania (nie jestem tego pewien, ponieważ wiem, że MSCHAPv2 można łatwo złamać, jeśli masz CAŁĄ wymianę, w w tym przypadku „byłbyś tylko po stronie klienta, ponieważ nie mogłeś wysłać poprawnego numeru jednorazowego do klienta, aby zakończyć wymianę, ponieważ nie masz prawdziwego skrótu hasła użytkownika).

Chociaż to może dać ci dostęp do prawdziwej sieci wymagającej dużo pracy (i wątpię, ale jeśli musisz wiedzieć, zajrzyj do MSCHAPv2 pod adresem http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), nie da ci to dostępu do żadnej innej sieci bezprzewodowej dane, ponieważ są zaszyfrowane innym PMK.

Ale dla firm może to nadal stanowić problem. Wpisz TLS-EAP. Protokół TLS-EAP jest w zasadzie taki sam jak PEAP, z tą istotną różnicą, że klient ma również certyfikat. Tak więc serwer przedstawia klientowi swój certyfikat, któremu klient musi ufać (ponieważ CA jest w zaufanym magazynie lub idiota kliknął „zaufaj”), ale klient również musi przedstawić certyfikat serwerowi. Może to być certyfikat, który został umieszczony w magazynie certyfikatów podczas aprowizacji urządzenia / stacji roboczej, ale może też pochodzić z karty inteligentnej itp. Serwer musi ufać temu certyfikatowi klienta lub nie masz nawet szansy aby przedstawić poświadczenia.

Jak wielu z was może wiedzieć, takie dwukierunkowe uwierzytelnianie można również przeprowadzić dla protokołu HTTP przez TLS, ale nie jest to często widoczne poza ustawieniami korporacyjnymi. W takim przypadku również nie możesz uzyskać dostępu do witryny internetowej, chyba że najpierw pokażesz certyfikat, który jest zaufany przez serwer.

Więc teraz fałszywy punkt dostępu nie jest już zbyt użyteczny. > może uzyskać słabo zaszyfrowane dane uwierzytelniające, jeśli idiota kliknie „zaufaj”, a następnie ślepo zaakceptujesz dowolny certyfikat klienta, ale ponieważ nie masz prywatnego klucza certyfikatu klienta, nie masz dostępu do sieci bezprzewodowej sieci, ani nie otrzymujesz zaszyfrowanych danych bezprzewodowych tego lub innych klientów, które nadal są dostępne dzięki losowej sesji PMK.Możesz uzyskać dostęp do intranetu z poświadczeniami, ale jeśli zadali sobie trud, aby skonfigurować urząd certyfikacji dla sieci bezprzewodowej, prawdopodobnie również do tego będą potrzebować certyfikatu klienta.

W korporacjach często stosuje się takie certyfikat klienta na karcie inteligentnej, którego pracownicy muszą następnie uzyskać dostęp do wszystkich zasobów: logowania, zasobów sieciowych, poczty za pomocą smtps, imaps, pop3s, intranetów używających https, wszystko, co używa TLS, można skonfigurować tak, aby wymagało certyfikatu klienta. Zwykle jest to wystarczy umieścić go na klawiaturze i wprowadzić kod PIN, a system Windows wyświetli go na żądanie zaufanego serwera z obsługą TLS.

Mam nadzieję, że to wyjaśnia kawałek. Skala jest następująca: „zasadniczo niezabezpieczony” (WEP) „możliwy do złamania przy pewnym wysiłku” (WPA2-PSK) „częściowo przystosowany do inżynierii społecznej” (WPA2-Enterprise z PEAP) „obecnie bezpieczny” (WPA2-Enterprise z TLS-EAP i podobnie)

Istnieją sposoby, aby uczynić WPA2-PSK nieco bezpieczniejszym, ponieważ złamanie go zajęłoby miesiące zamiast minut (wstępnie obliczone tablice tęczowe) lub godzin (atak słownikowy): Ustaw swój identyfikator SSID do losowego ciągu o maksymalnej długości (myślę, że 64), ponieważ jest on używany jako ziarno dla PMK, i użyj losowego klucza wstępnego (PSK) o maksymalnej długości. Jeśli następnie zmieniasz klucz co miesiąc, możesz być dość pewny, że nikt nie ma aktualnego PMK lub nie miał / nie ma dostępu do Twojej sieci.

Chociaż nie możesz pozbyć się faktu, że ktoś mógł przechowywać miesiące wartości danych wszystkich klientów i odczytuje je, gdy otrzymają PMK z tego miesiąca (co można zrobić, ponieważ nie jest to klucz z 256-bitową rzeczywistą entropią podczas transmisji używanego ziarna).

Inną wadą jest to, że będziesz mieć wysoce unikalny identyfikator SSID, który Twoje urządzenia bezprzewodowe będą transmitować w dowolnym miejscu. Jeśli ktoś ma Twój unikalny identyfikator SSID Twojej sieci domowej, wyszukanie Twojego identyfikatora SSID pod adresem https://wigle.net/ to bułka z masłem i dowiedz się, gdzie mieszkasz. Więc po prostu chodzisz po okolicy z telefonem / tabletem / laptopem, ogłaszając, gdzie mieszkasz …

Jeśli dbasz o prywatność, może to być dobry sposób zachowaj swój identyfikator SSID ustawiony na taki, który jest powszechny, ale nie w pierwszej trzydziestce (w ten sposób jest mało prawdopodobne, aby tablice tęczowe były dostępne online) i użyj losowego PSK o maksymalnej długości. Tracisz jednak entropię.

Jeśli chcesz mieć takie same zabezpieczenia jak przewodowe, użyj WPA2-Enterprise z TLS-EAP. (Cóż, na razie … Nic nie powstrzyma kogoś przed przechwytywaniem i przechowywaniem wszystkich potrzebnych danych i odszyfrowaniem ich za 20 lat, kiedy wszyscy możemy wypożyczyć czas na komputerze kwantowym i rozłożyć wszystkie klucze w minutach.

Mówi się, że NSA zbudowała centrum danych, aby to zrobić, przechowywać wszystko zaszyfrowane, dopóki nie będą w stanie tego złamać, więc problem dotyczy również wszystkiego na kablach, jeśli przechodzi przez internet. Jeśli coś musi być zabezpieczone cały czas używaj losowej jednorazowej podkładki, którą wymieniasz poza pasmem 🙂

Wszystko to powiedziawszy, póki jestem paranoikiem i chcę najlepszego zabezpieczenia i dlatego spędzę dwa dni na tworzeniu WPA2-Enterprise / TLS-EAP działa, jest to prawdopodobnie poza zasięgiem (i przesada) dla większości użytkowników domowych. Jeśli nie masz jeszcze kontrolera domeny lub innej usługi katalogowej w swojej sieci, masz doświadczenie z RADIUS i całym drogim sprzętem pro Wi-Fi, z którego korzystałoby przedsiębiorstwo, najprawdopodobniej go nie dostaniesz pracować. Lepiej byłoby, gdybyś skonfigurował zawsze włączoną sieć VPN i uruchomił ją przez swoje Wi-Fi, co zapewnia pełne bezpieczeństwo i nie daje przyjemności z debugowania EAP.

PS. Dla uproszczenia I pominięto również fakt, że komunikacja między punktem dostępowym a serwerem RADIUS jest również szyfrowana za pomocą klucza wstępnego (zwanego „wspólnym sekretem”). Afaik to szyfrowanie nie jest dziś dobre (używa MD5, które jest w zasadzie zepsute ), ale ponieważ i tak umieścisz na nim TLS, nie ma to znaczenia. Możesz użyć przyzwoitego rozmiaru klucza (coś między 64-128 znaków = 512-1024 bitów w zależności od implementacji). Zawsze ustawiam największy możliwy sekret, tak jest. To boli.

Komentarze

• Widoczny słaby punkt, który przedstawiasz, jest podobny do słabego punktu zakupów online – jakiś idiota może podać swoją kartę kredytową szczegóły bez zielonej kłódki obok adresu URL lub gdy widzisz czerwoną zepsutą kłódkę. Ale zastanawiam się nad inną rzeczą. Co się stanie, jeśli atakujący kupi certyfikat TLS dla domeny, której jest właścicielem, utworzy różny urząd certyfikacji i przedstawi ten certyfikat skonfigurowanemu przez siebie fałszywemu serwerowi RADIUS? Wygląda na to, że nie powinno ' nie działać, ale nie ' nie widzę w opisie niczego, co by temu zapobiegało, w przeciwieństwie do przeglądania internetu, w którym nawet ważny certyfikat dla www.g00gle.com może sprawić, że podejrzewasz …
• nie widzisz ' adresu URL serwera RADIUS, na którym ' rozmawiamy (przynajmniej nie w systemach Windows, iOS i Android).
• Urząd certyfikacji musiałby dopasować klienta ' s cert, więc nie ' nie zadziała.
• Nie ' nie wiedziałem o żadnych certyfikatach klienta używanych w PEAP-MS-CHAPv2. Widzę nawet artykuł w witrynie TechNet mówiący ” PEAP-MS-CHAP v2 o typie EAP, który jest łatwiejszy do wdrożenia niż Extensible Authentication Protocol with Transport Level Security (EAP-TLS) lub PEAP-TLS ponieważ uwierzytelnianie użytkownika odbywa się za pomocą poświadczeń opartych na haśle (nazwa użytkownika i hasło) zamiast certyfikatów cyfrowych lub kart inteligentnych. ” O jakim certyfikacie klienta mówisz?
• conio: Prawidłowo, w klientach PEAP nie ' nie ma certyfikatów (tylko serwer ma, ale nazwa użytkownika / hasło (co pozwala na przechwytywanie danych podczas konfigurowania punktu dostępowego MITM). Powiedziałem, że EAP-TLS dodał certyfikaty klienta, aby temu zapobiec.

Powiedzmy, że masz 10 użytkowników. W trybie PSK wszystkich 10 użytkowników używa tego samego hasła do generowania tego samego klucza. Dlatego prawdopodobieństwo przechwycenia ruchu i przeanalizowania go w celu znalezienia klucza jest większe przy tak dużym ruchu, a ten klucz zostanie od do momentu, gdy wszystkich 10 użytkowników zgodzi się zmienić hasło (a tym samym klucz)

Jeśli tych samych 10 użytkowników używa własnej nazwy użytkownika i hasła do logowania się do firmowej sieci WiFi, każdy użytkownik uwierzytelnia się na serwerze RADIUS , który następnie generuje klucz do sesji i przekazuje go AP do wykorzystania z klientem.

Dlatego ruch z tym samym kluczem to ruch tylko jednego użytkownika, więc jest to 1/10 ilości danych do wykorzystania, a klucz zmieni się przy następnym logowaniu użytkownika. Hasło użytkownika uwierzytelnienia za pomocą mogą pozostać takie same, ale generowany klucz jest unikalny dla każdej sesji. W połączeniu z dobrymi nawykami dotyczącymi haseł, WPA jest lepsze. Ponadto dostęp poszczególnych użytkowników można cofnąć w dowolnym momencie bez wpływu na innych użytkowników.

Komentarze

• ” dostęp poszczególnych użytkowników można cofnąć w dowolnym momencie bez wpływu na innych użytkowników ” ' tego nie wiedziałem. Czy masz na myśli to, że można je odwołać w czasie rzeczywistym? Jeśli tak jest, co zobaczyłby użytkownik? Tylko rozłączenie i kiedy próbuje połączyć się swoim hasłem pojawia się komunikat o błędzie? Jeśli mój serwer RADIUS jest połączony z bazą danych SQL i usunę użytkownika, czy ten użytkownik zostanie usunięty w czasie rzeczywistym? Wielkie dzięki za wyjaśnienie.

WPA2 jest bezpieczniejsze niż WPA, jak wyjaśnił Terry. Musisz tylko zrozumieć różnicę między osobistą (kluczem wstępnym) a wersją korporacyjną obu protokołów.

W wersji osobistej wszyscy użytkownicy mają wspólne tajne hasło, które jest skonfigurowane w punkcie dostępu. W wersji Enterprise istnieje centralny serwer uwierzytelniający i wszyscy użytkownicy mają różne zestawy poświadczeń, których używają w celu uzyskania dostępu do WiFi. W zasadzie nie ma jednego wspólnego hasła.

Enterprise (RADIUS / EAP / 802.1X) tryb WPA lub WPA2 zapewnia następujące korzyści w porównaniu z trybem Personal (Pre-Shared Key lub PSK) WPA lub WPA2:

• Ogólnie komplikuje proces „hakowania” sieci bezprzewodowej.
• Każdemu użytkownikowi można przypisać unikalne dane logowania (nazwę użytkownika lub hasło, certyfikaty bezpieczeństwa lub kartę inteligentną) do Wi-Fi, zamiast pojedynczego hasła globalnego dla wszystkich.
• Snooping między użytkownikami w przeciwieństwie do trybu osobistego, w którym połączeni użytkownicy mogą przechwytywać ruch, w tym hasła i przechwytywanie sesji.
• Włącza dodatkowe mechanizmy kontroli (autoryzacje), takie jak czas logowania, umożliwiając zdefiniowanie dokładnych dni i czas, w którym użytkownicy mogą się zalogować, Called-Station-ID, aby określić, przez które punkty dostępu mogą się łączyć, oraz Calling-Station-ID, aby określić, z których urządzeń klienckich mogą się łączyć.

Chociaż e Tryb Enterprise wymaga użycia serwera RADIUS, istnieją usługi hostowane lub usługi w chmurze .

Mieszanych jest tu wiele terminów.

WPA2 to schemat szyfrowania. Przedsiębiorstwo kontra osobisty odnosi się do schematu uwierzytelniania, ale nie do schematu szyfrowania. Schemat uwierzytelniania zasadniczo weryfikuje twoją tożsamość właściciela sieci, zanim będziesz mógł wysyłać zaszyfrowane dane.

Z punktu widzenia szyfrowania, WPA2-Enterprise i WPA2-Personal mają ten sam 256-bitowy algorytm szyfrowania (I uważa się, że nazywa się to AES-CCMP). Zatem różnica między nimi polega na schemacie uwierzytelniania.

Teraz EAP i 802.1x można traktować jako jeden i ten sam protokół. Definiują metody sygnalizacji, aby umożliwić uwierzytelnianie między (teraz jest to ważne): klientem, punktem dostępu i trzecią jednostką zwaną rejestratorem, która przechowuje dane uwierzytelniające.Protokół EAP jest używany w systemach osobistych i korporacyjnych, ALE kluczową różnicą jest lokalizacja i typ poświadczeń, których rejestrator wymaga od klienta przed wyrażeniem zgody na udzielenie mu dostępu do sieci. W OSOBISTYM często rejestrator znajduje się w tej samej jednostce fizycznej, co punkt dostępu (tj. Router bezprzewodowy), a metoda uwierzytelniania jest zwykle oparta na kluczu wstępnym (np. Tym, który jest wstępnie zaprogramowany w routerze gdy go kupisz lub taki, który podarowałby ci właściciel routera, gdy przyjdziesz do niego). Zmiana tego klucza wstępnego wymaga globalnej aktualizacji za każdym razem, gdy którykolwiek ze starych klientów chce ponownie uzyskać dostęp do sieci (tj. Musisz im powiedzieć, że zmieniłeś klucz, a klucz to XYZ). W ENTERPRISE rejestrator jest zwykle oddzielną jednostką, która obsługuje protokół o nazwie RADIUS. Zapewnia większą łatwość zarządzania (np. Wstępnie udostępniony klucz dla każdego użytkownika, administrator może unieważnić klucz dla konkretnego użytkownika itp.).

Teraz coś naprawdę ważnego (z punktu widzenia bezpieczeństwa), klucz szyfrowania (tj. nie uwierzytelnianie) pochodzi z klucza wstępnie współdzielonego, dzięki czemu osobie, która ma klucz uwierzytelniania wstępnego udostępnionego w trybie OSOBISTY, łatwiej jest odtworzyć klucz szyfrowania i odszyfrować dane. Ponadto PERSONAL pozwala na dalsze uproszczenie kwestii wprowadzania klucza wstępnego, takiego jak przycisk (przycisk na routerze i urządzeniu jednocześnie i wszystko dzieje się płynnie). Ta metoda naruszyła bezpieczeństwo, jeśli ktoś nasłuchiwał na kanale i okazała się łatwa do złamania (teraz termin łatwo jest względny !!) Taka metoda nie jest dostępna w Enterprise. Podsumowując, tak Enterprise jest bezpieczniejszy, ale jest również bardziej odpowiedni dla kogoś, kto ma wiedzę i zasoby do instalacji i administrowania serwerem RADIUS. Dobre bezpieczeństwo można osiągnąć w trybie OSOBISTYM, wybierając silny klucz wstępny i wyłączając metodę przycisku na routerze bezprzewodowym.

Zakładam, że kiedy pytasz, czy WPA-Enterprise jest bezpieczniejsze niż WPA2, masz na myśli WPA2-PSK (inaczej WPA-Personal). To trochę tak, jakbyś pytał, czy warzywa są zdrowsze niż jabłko. WPA-Enterprise obejmuje spektrum metod uwierzytelniania (około 100 z nich wszystkich w ramach rozszerzalnego protokołu uwierzytelniania), niektóre bardzo silne, inne bardzo słabe. WPA2-PSK to specyficzny sposób uwierzytelniania oparty na 256-bitowym AES. Jedynym możliwym sposobem na złamanie WPA2-PSK jest przechwycenie pakietów uzgadniania, a następnie przeprowadzenie przeciwko niemu ataku słownikowego. Nie ma znaczenia, ile uścisków dłoni przechwytujesz (tj. Czy jest to jeden klient, czy 100, którzy łączą się przy użyciu hasła). To nie jest jak WEP. Dlatego jeśli masz dobre hasło (np. 20 znaków i dość losowe), będzie ono cholernie bezpieczne. Dla porównania, WPA-Enterprise może używać słabych schematów, takich jak LEAP, który używa uzgadniania MS-CHAPv2. Są to zaledwie 56-bitowe szyfrowanie DES, które można łatwo złamać przy użyciu brutalnej siły, niezależnie od złożoności hasła. Teraz, wśród 100 opcji EAP, które różnią się kosztem i złożonością, można znaleźć coś, co będzie przybliżać siłę WPA2-PSK z losowym 20-znakowym hasłem. Ale jeśli to twój jedyny cel, tracisz sens WPA Enterprise. Głównym sterownikiem WPA Enterprise jest szczegółowa kontrola nad tym, kto lub co łączy się z Twoją siecią. WPA Enterprise może tworzyć poświadczenia dla każdego urządzenia i użytkownika. Jeśli nagle potrzebujesz odciąć jednego użytkownika lub kategorię urządzeń (np. Telefony komórkowe), możesz to zrobić. Oczywiście, konfigurując to, jeśli spartaczysz implementację za pomocą czegoś takiego jak LEAP, po prostu pozwolisz tym ludziom / rzeczom, które odwracasz przy drzwiach frontowych, przez tylne drzwi. Jeśli nie masz budżetu, zasobów i potrzeby WPA Enterprise, WPA2-PSK będzie łatwiejsze, tańsze i prawdopodobnie bezpieczniejsze. Trzy zastrzeżenia: Wystarczająco złożone hasło, które czasami zmieniasz, nie ma potrzeby kontroli użytkownika lub urządzenia, a co najważniejsze – wyłącz całkowicie głupi dostęp do WiFi Protected Access (WPS), który występuje w niektórych punktach dostępu.

Nie. WPA-Enterprise i WPA-PSK ostatecznie utworzą klucz PTK, który będzie używany w algorytmie TKIP, ponieważ jest WPA , dlatego jest mniej bezpieczny niż WPA2, niezależnie od tego, czy jest to WPA2-PSK czy WPA2-Enterprise.

Enterprise oferuje tylko szyfrowanie czterostronnego uzgadniania, takie jak PEAP lub użycie certyfikatów, więc WPA-Enterprise jest prawdopodobnie bezpieczniejsze niż WPA-PSK, ale ostatecznie spotka ten sam los. Enterprise oferuje również większą szczegółowość w zakresie tego, kto uzyskuje dostęp do sieci za pomocą kont użytkowników lub wstępnie udostępnionych informacji o kluczach dla poszczególnych użytkowników z usługi RADIUS lub ostatecznie z usługi Active Directory w celu wykorzystania materiału do generowania kluczy CCMP.