Sou responsável por configurar uma rede de pequena empresa (50 a 60 dispositivos) e temos alguns dispositivos antigos que devem se conectar sem fio à rede. Nossa rede sem fio normal aceita apenas AES WPA e WPA2, mas configurei um AP virtual com um SSID oculto extraindo do mesmo pool DHCP que nossos endpoints para os dispositivos mais antigos que não suportam AES.
A senha da rede TKIP é muito mais longa e complicada, mas o que me pergunto é se isso aumenta a segurança de um ponto de acesso WPA TKIP? Ou as vulnerabilidades do WPA-TKIP não são substancialmente mitigadas pelo aumento do comprimento do PSK? Caso contrário, o que mais posso fazer para reduzir o risco de conexões maliciosas ou ataques a este ponto de acesso?
Responder1
Uma senha mais complexa ajudará, já que os ataques comuns ao WPA são ataques de dicionário offline - você pode baixar os dicionários comuns para confirmar que sua senha não está neles.
Se houver um número limitado de dispositivos, a filtragem Mac pode ser apropriada e usar um endereço IP fixo.
As demais medidas seriam físicas; - restrinja a intensidade do sinal - use uma antena direcional para restringir o ângulo e se quiser se deixar levar... - Blindagem (gaiola de Faraday etc.) ao redor do escritório.
Tudo isso tem benefício limitado (especialmente em relação ao custo) contra um invasor determinado (assim como ocultar o SSID), mas aumentaria a complexidade para "não vale o esforço" para um oportunista.
Você pode querer restringir o acesso do ponto de acesso WPA ao resto da sua rede, dessa forma, qualquer violação terá impacto restrito. Eu diria que o dispositivo legado tem uma função específica. Nesse caso, você pode configurar o bloqueio de portas desnecessárias, etc.
Novamente, isso aumenta a relação custo-benefício para o invasor.