Soy responsable de configurar la red de una pequeña empresa (50-60 dispositivos) y tenemos algunos dispositivos antiguos que deben conectarse de forma inalámbrica a la red. Nuestra conexión inalámbrica habitual acepta AES WPA y WPA2 únicamente, pero configuré un AP virtual con un SSID oculto extraído del mismo grupo de DHCP que nuestros puntos finales para los dispositivos más antiguos que no admiten AES.
La contraseña para la red TKIP es mucho más larga y complicada, pero lo que me pregunto es ¿aumenta esto la seguridad de un punto de acceso WPA TKIP? ¿O las vulnerabilidades de WPA-TKIP no se mitigan sustancialmente aumentando la longitud del PSK? Si no, ¿qué más puedo hacer para reducir el riesgo de conexiones o ataques maliciosos a este Punto de Acceso?
Respuesta1
Una contraseña más compleja ayudará, ya que los ataques comunes a WPA son ataques de diccionario fuera de línea; es posible que desees descargar los diccionarios comunes para confirmar que tu contraseña no esté en ellos.
Si hay un número limitado de dispositivos, el filtrado de Mac podría ser apropiado y utilizar una dirección IP fija.
Las otras medidas serían físicas; - restringir la intensidad de la señal - utilizar una antena direccional para restringir el ángulo y si quiere dejarse llevar... - Blindaje (jaula de Faraday, etc.) alrededor de la oficina.
Todos estos tienen un beneficio limitado (especialmente en comparación con el costo) contra un atacante determinado (al igual que ocultar el SSID), pero aumentarían la complejidad a "no vale la pena el esfuerzo" para un oportunista.
Es posible que desee considerar restringir el acceso desde el punto de acceso WPA al resto de su red, de esa manera cualquier infracción tendría un impacto restringido. ¿Supongo que el dispositivo heredado tiene una función específica? Si es así, puede consultar la configuración de bloqueo de puertos no necesarios, etc.
Nuevamente esto aumenta la relación costo-beneficio para el atacante.