我負責配置一個小型企業網路(50-60 台設備),我們有一些古老的設備必須無線連接到網路。我們的常規無線網路僅接受 AES WPA 和 WPA2,但我已經配置了一個帶有隱藏 SSID 的虛擬 AP,該 SSID 與不支援 AES 的舊設備的端點來自同一 DHCP 池。
TKIP 網路的密碼更長、更複雜,但我想知道這是否會提高 WPA TKIP 接入點的安全性?或者 WPA-TKIP 的漏洞是否不會因為增加 PSK 的長度而顯著緩解?如果不是,我還能採取什麼措施來降低惡意連線或攻擊此存取點的風險?
答案1
更複雜的密碼會有所幫助,因為對 WPA 的常見攻擊是離線字典攻擊 - 您可能想要下載常見字典以確認您的密碼不在其中。
如果設備數量有限,Mac 過濾可能比較合適並使用固定 IP 位址。
其他措施是物理措施; - 限制訊號強度 - 使用定向天線來限制角度,如果您想忘乎所以... - 在辦公室周圍屏蔽(法拉第籠等)。
所有這些對於堅定的攻擊者(如隱藏 SSID)來說效果有限(尤其是與成本相比),但對於投機者來說會增加複雜性,「不值得付出努力」。
您可能希望考慮限制從 WPA 接入點對網路其餘部分的訪問,這樣任何違規行為的影響都會受到限制。我認為舊設備有特定的功能?如果是這樣,您可以查看設定阻止不需要的連接埠等。
這又增加了攻擊者的成本效益比。