A medida que reemplazamos nuestra infraestructura WEP existente en varias oficinas, estamos sopesando el valor de actualizar a WPA versus WPA2 (ambos PSK). Tenemos varios tipos diferentes de dispositivos que no son compatibles con WPA2, por lo que pasar a ese protocolo implica costos adicionales.
Lo que me gustaría saber es cuáles son las amenazas para las redes inalámbricas WPA-PSK. Con esa información, podremos equilibrar los costos de actualización frente a las amenazas de seguridad.
Respuestas:
WPA es "bastante seguro", mientras que WPA2 es "muy seguro". Ya hay ataques parciales contra WPA en la naturaleza, y se espera que aparezcan ataques más completos con el tiempo. WPA2 (usando AES en lugar de TKIP) aún no tiene vulnerabilidades conocidas.
Como dijiste, la decisión sobre cuál eliges depende principalmente del valor de tus datos, pero mi sugerencia personal es migrar a WPA2 ahora, en lugar de tener que hacerlo cuando se descubre un ataque práctico en algún momento en los próximos años. . También es una buena idea poner su conexión inalámbrica en una subred segregada y tratarla casi como "Internet" en términos de acceso permitido, dado lo fácil que es olerla.
Bonita página de resumen: http://imps.mcmaster.ca/courses/SE-4C03-07/wiki/bournejc/wireless_security.html#2
EDITAR: en realidad, el equipo de aircrack-ng no cree que WPA se resquebraje pronto .
Supongo que actualizaré esta pregunta con información nueva. Un nuevo ataque puede romper WPA con TKIP en un minuto. Un artículo sobre esto está ahora en Network World .
Parece que la única opción segura es usar WPA2 (WPA con AES).
Actualización: hay un nuevo informe de una vulnerabilidad en WPA2 - http://www.airtightnetworks.com/WPA2-Hole196
En resumen, una computadora autenticada en su red inalámbrica WPA2 podría descifrar otras conexiones inalámbricas autorizadas.
Si bien no se conocen ataques criptográficos contra AES, se ha demostrado que TKIP (que se puede usar con WPA y WPA2) es vulnerable a algunas clases de ataque. De lejos, el vector de ataque primario para WPA y WPA2 es la clave precompartida. Atacar una red segura WPA o WPA2 con una clave precompartida débil (también conocida como contraseña) es un asunto muy simple con herramientas comúnmente disponibles (que tienen una página wikipedia , por lo que no pueden ser tan malas;) Úselos solo para bien prueba tu propia red ...)
Las herramientas que están disponibles públicamente pueden des autenticar de forma remota a un usuario autorizado y luego capturar el tráfico de autenticación (solo se requieren 4 paquetes si recuerdo correctamente), momento en el cual la clave precompartida (también conocida como contraseña) puede ser forzada sin conexión bruta (de nuevo con herramientas comúnmente disponibles, y hay disponibles tablas de arco iris masivas para acelerar significativamente el proceso). Al igual que con la mayoría de los sistemas criptográficos, la contraseña es el punto débil. Si tiene un equipo inalámbrico Cisco de alta gama súper elegante asegurado por WPA2 y utiliza una contraseña de mypass , está listo para comprometerse.
Si está buscando invertir en algo para asegurar su red inalámbrica, elija AES en lugar de TKIP, y use una contraseña larga (clave precompartida) con alta entropía (Superior, Inferior, Número, Caracteres especiales, etc.). Si desea volverse loco, configurar 802.1x / RADIUS hará mucho más que pasar de WPA a WPA2 (aunque eso requeriría una cantidad significativa de tiempo / conocimiento para configurar y administrar).