저는 소규모 비즈니스 네트워크(50-60개 장치) 구성을 담당하고 있으며 네트워크에 무선으로 연결해야 하는 일부 오래된 장치가 있습니다. 일반 무선은 AES WPA 및 WPA2만 허용하지만 AES를 지원하지 않는 이전 장치에 대한 엔드포인트와 동일한 DHCP 풀에서 가져오는 숨겨진 SSID로 가상 AP를 구성했습니다.
TKIP 네트워크의 비밀번호는 훨씬 더 길고 복잡합니다. 하지만 이것이 WPA TKIP 액세스 포인트의 보안을 강화하는지 궁금합니다. 아니면 PSK 길이를 늘려도 WPA-TKIP의 취약점이 실질적으로 완화되지 않습니까? 그렇지 않은 경우 이 액세스 포인트에 대한 악의적인 연결이나 공격의 위험을 줄이려면 어떻게 해야 합니까?
답변1
WPA에 대한 일반적인 공격은 오프라인 사전 공격이므로 더 복잡한 암호가 도움이 될 것입니다. 일반적인 사전을 다운로드하여 암호가 없는지 확인하는 것이 좋습니다.
장치 수가 제한된 경우 Mac 필터링이 적합하고 고정 IP 주소를 사용할 수 있습니다.
다른 조치는 물리적 조치입니다. - 신호 강도를 제한하십시오. - 지향성 안테나를 사용하여 각도를 제한하고 다른 곳으로 이동하려는 경우... - 사무실 주변을 차폐(패러데이 케이지 등)하십시오.
이 모든 것은 결정된 공격자(SSID를 숨기는 것과 같이)에 대해 제한적인 이점(특히 비용 대비)을 갖지만 기회주의적인 경우 "노력할 가치가 없는" 수준으로 복잡성을 증가시킵니다.
WPA 액세스 포인트에서 네트워크의 나머지 부분에 대한 액세스를 제한하여 모든 위반의 영향을 제한할 수 있습니다. 레거시 장치에 특정 역할이 있다고 가정합니까? 그렇다면 필요하지 않은 포트 등을 차단하는 설정을 살펴볼 수 있습니다.
이는 다시 공격자의 비용 이익 비율을 증가시킵니다.