私は小規模ビジネス ネットワーク (50 ~ 60 台のデバイス) の構成を担当しており、ネットワークにワイヤレスで接続する必要がある古いデバイスがいくつかあります。通常のワイヤレスは AES WPA と WPA2 のみを受け入れますが、AES をサポートしていない古いデバイス用に、エンドポイントと同じ DHCP プールから取得する非表示の SSID を持つ仮想 AP を構成しました。
TKIP ネットワークのパスワードははるかに長くて複雑ですが、私が疑問に思っているのは、これによって WPA TKIP アクセス ポイントのセキュリティが強化されるかどうかです。それとも、PSK の長さを長くしても WPA-TKIP の脆弱性は大幅に軽減されないのでしょうか。そうでない場合、このアクセス ポイントへの悪意のある接続や攻撃のリスクを軽減するために他に何ができるでしょうか。
答え1
WPA に対する一般的な攻撃はオフライン辞書攻撃であるため、より複雑なパスワードが役立ちます。一般的な辞書をダウンロードして、パスワードが辞書に含まれていないことを確認することをお勧めします。
デバイスの数が限られている場合は、Mac フィルタリングと固定 IP アドレスの使用が適切である可能性があります。
その他の対策としては、物理的なものがあります。 - 信号強度を制限する - 指向性アンテナを使用して角度を制限する、さらに言えば... - オフィスの周囲をシールドする(ファラデーケージなど)。
これらはすべて、(SSID を隠すことと同様に)決意のある攻撃者に対しては限られたメリットしかありません(特にコストに対して)。しかし、日和見主義者にとっては複雑さが増し、「努力する価値がない」ものになります。
WPA アクセス ポイントからネットワークの残りの部分へのアクセスを制限することを検討してください。そうすれば、侵害の影響が制限されます。レガシー デバイスには特定の役割があると思いますか? そうであれば、不要なポートをブロックする設定などを検討できます。
これによって、攻撃者にとってのコスト便益比も高まります。