Considérations de sécurité de WPA contre WPA2?


10

Alors que nous remplaçons notre infrastructure WEP existante dans plusieurs bureaux, nous évaluons la valeur de la mise à niveau vers WPA par rapport à WPA2 (les deux PSK). Nous avons plusieurs types d'appareils différents qui ne prennent pas en charge WPA2, donc le passage à ce protocole entraîne des coûts supplémentaires.

Ce que je voudrais savoir, ce sont les menaces qui pèsent sur les réseaux sans fil WPA-PSK? Avec ces informations, nous serons en mesure d'équilibrer les coûts de mise à niveau et les menaces de sécurité.

Réponses:


9

WPA est "assez sécurisé", tandis que WPA2 est "très sécurisé". Il existe déjà des attaques partielles contre le WPA dans la nature et des attaques plus complètes devraient apparaître au fil du temps. WPA2 (utilisant AES plutôt que TKIP) n'a pas encore de vulnérabilités connues.

Comme vous l'avez dit, la décision que vous choisissez dépend principalement de la valeur de vos données, mais ma suggestion personnelle est de migrer vers WPA2 maintenant, plutôt que d'avoir à le faire lorsqu'une attaque pratique est découverte au cours des prochaines années. . Placer votre réseau sans fil sur un sous-réseau séparé et le traiter presque comme "Internet" en termes d'accès autorisé est également une bonne idée, étant donné la facilité de détection.

Belle page de résumé: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2

EDIT: en fait, l'équipe aircrack-ng ne pense pas que WPA sera bientôt cracké .


7

Je suppose que je mettrai à jour cette question avec de nouvelles informations. Une nouvelle attaque peut casser WPA avec TKIP en une minute. Un article à ce sujet est maintenant sur Network World .

Il semble que la seule option sécurisée consiste à utiliser WPA2 (WPA avec AES).


Mise à jour: il y a un nouveau rapport d'une vulnérabilité dans WPA2 - http://www.airtightnetworks.com/WPA2-Hole196

Pour résumer, un ordinateur authentifié sur votre réseau sans fil WPA2 pourrait décrypter les autres connexions sans fil autorisées.


Changer ma réponse à la nouvelle réponse acceptée car elle a mis à jour les informations que la précédente.
Doug Luxem

5

Bien qu'il n'y ait aucune attaque cryptographique connue contre AES, TKIP (qui peut être utilisé avec WPA et WPA2) s'est révélé vulnérable à certaines classes d'attaques. Par FAR, le vecteur d'attaque principal pour WPA et WPA2 est la clé pré-partagée. Attaquer un réseau sécurisé WPA ou WPA2 avec une clé pré-partagée faible (alias mot de passe) est très simple avec les outils couramment disponibles (qui ont une page wikipedia , donc ils ne peuvent pas être si mauvais;) Utilisez-les uniquement pour tester votre propre réseau ...)

Les outils accessibles au public peuvent désauthentifier à distance un utilisateur autorisé, puis capturer le trafic d'authentification (seulement 4 paquets sont nécessaires si je me souviens bien), auquel cas la clé pré-partagée (ou mot de passe) peut être forcée hors ligne brutalement (là encore avec des outils couramment disponibles, et des tables arc-en-ciel massives sont disponibles pour accélérer considérablement le processus). Tout comme avec la plupart des systèmes cryptographiques, le mot de passe est le point faible. Si vous avez un équipement sans fil Cisco haut de gamme ultra-sophistiqué sécurisé par WPA2 et utilisez un mot de passe de contournement , vous êtes prêt à faire des compromis.

Si vous cherchez à investir dans quelque chose pour sécuriser votre réseau sans fil, choisissez AES plutôt que TKIP et utilisez un mot de passe long (clé pré-partagée) avec une entropie élevée (supérieur, inférieur, nombre, caractères spéciaux, etc.). Si vous voulez vous déchaîner, la configuration de 802.1x / RADIUS fera bien plus que passer de WPA à WPA2 (bien que cela nécessiterait un temps / des connaissances importants pour la configuration et l'administration).

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.