WPA2 Enterprise protegge contro l'evasdropping dalla rete?

Question

WPA2 Enterprise protegge contro l'evasdropping dalla rete?

#1 da (1 voti)
#2 da (1 voti)
#3 da (0 voti)
#4 da (0 voti)

4

A casa, ho un semplice router fornito da ISP dove ho installato una rete wireless WPA2-PSK per i nostri laptop e altri dispositivi. Mentre giocavo con Wireshark, ho notato che potevo usare il mio portatile per vedere cosa stava facendo il mio tablet su Internet, senza che il tablet notasse nulla.

Penso che funzioni perché tutti i dispositivi hanno la stessa chiave wireless e non c'è modo di inviare pacchetti a un destinatario. I destinatari sono solitamente abbastanza gentili da ignorare tutti i pacchetti che non sono indirizzati a loro.

Quando le persone visitano, darò loro la chiave perché mi fido abbastanza di loro per svolgere attività illegali (almeno consapevolmente) o per intercettare il mio traffico. Tuttavia, potrebbero tecnicamente. Ho trovato il caso estremo in cui Eve prendeva un vecchio smartphone, entra nella chiave della rete di Alice e lo carica dietro alcuni mobili. Registrava parti del traffico (come le richieste DNS e le password in HTTP) e lo inviava ad alcuni server. Alice non se ne accorgerebbe, e anche se trova il telefono, Eve potrebbe dire che si è semplicemente dimenticata di aver addebitato il telefono lì.

La creazione di WPA2-Enterprise attenuerebbe questo problema di sniffing, almeno attraverso le diverse identità?

wifi wpa2 snooping

posta Martin Ueding 29.08.2014 - 20:16

fonte

4 risposte

Leggi altre domande sui tag wifi wpa2 snooping

Vantaggi per la sicurezza caricando staticamente i moduli nel server Apache È sicuro utilizzare i numeri di cellulare virtuali per la verifica

score 1 · Answer 1

Se ho capito bene (la rete wireless non è una delle mie aree di competenza), WPA2-Enterprise negozia una chiave di crittografia univoca per ogni client, che dovrebbe rendere molto più difficile l'individuazione passiva del WiFi.

D'altra parte, se un utente è in grado di unirsi alla rete, non deve preoccuparsi di come i computer comunicano con il punto di accesso. Può semplicemente provare a utilizzare solo avvelenamento ARP per indirizzare tutto il traffico attraverso la sua macchina.

score 1 · Answer 2

Sì, WPA2-Enterprise impedisce lo sniffing che descrivi. Dal momento che ogni cliente ottiene un nuovo & PMK diversi per ogni sessione i client non possono decrittografare il traffico di altri client.

Il poisioning di ARP può essere prevenuto attivando la separazione dei client (in questo modo i client non saranno in grado di raggiungere l'altro, solo la rete cablata). Anche se penso che molti punti di accesso più recenti non consentiranno nemmeno l'accesso ad alcun ARP, ma risponderanno agli arp alla rete cablata e ai client wireless, rimuovendo ciò che non vedono o non possono vedere.

score 0 · Answer 3

-L'intero processo è denominato chiave precondivisa proprio perché è una chiave che consente l'accesso al gruppo che ha la chiave per accedere! se si desidera mantenere un maggiore controllo su chi può o non può accedere alla rete stessa, si utilizza il controllo tramite l'indirizzo hardware "di ciascun dispositivo che può accedere o meno alla rete" e il controllo dell'impostazione dell'indirizzo IP, ma ciò causa un ottimo lavoro di gestione e che non tutti i dispositivi consentono, consentono solo pochi dispositivi di controllo in reti di grandi dimensioni e lì diventa un po 'più complicato! Ma come dico sempre a quelli che vengono da me per un consiglio vale sempre più il mazzo di avere una buona chiave "condivisa allo stesso", ma una buona e ben progettata chiave di crittografia di 128 bit o più doque usando solo una parola o un piccolo un gruppo di numeri come molte persone lo fanno! Con una chiave pre condivisa puoi "e dovresti aggiornarla" periodicamente ogni due o tre settimane, è importante che tu la tenga sempre aggiornata, così non avrai problemi anche se è stata pre-condivisa da un gruppo di utenti una rete con più di 200 macchine. L'importante è tenerlo sotto controllo e aggiornato.

score 0 · Answer 4

Penso che il modo più semplice per risolvere questo problema sia trasmettere più SSID. La maggior parte dei router SoHo supportano più SSID.

Con più SSID, puoi designare 1 per uso personale / familiare e 1 per uso ospite. Il traffico su ciascun SSID è isolato dall'altro tramite la codifica VLAN, tuttavia sarebbe prudente ricontrollare poiché ho incontrato alcuni router che collegano automaticamente le reti e non hanno alcuna opzione per disabilitare il bridge.

Maggiori informazioni qui: link

CON WPA2-Enterprise, hai bisogno di un router che abbia un server radius incorporato o che esegua il tuo radius server su una macchina separata. Il raggio integrato è disponibile solo su alcuni router aziendali.