Quale è più sicuro contro l'iniezione di pacchetti?

Which network is more secured against file injection, password cracking, or brute force login: a network using a captive portal, WPA2-PSK/ENTERPRISE, or using a proxy server?

Anche se la tua domanda non è abbastanza chiara a questo proposito, la scelta delle opzioni fornite suggerisce di guardare la sicurezza dal punto di vista dell'operatore della rete che vuole identificare e anche proteggere i suoi utenti. Perché come utente di solito non hai scelta: devi solo accettare ciò che ti dà l'operatore.

Tutte e tre le opzioni possono essere utilizzate per l'autenticazione del client e sembra che questo sia ciò che ti interessa. La password cracking con o senza l'uso della forza bruta funziona con tutti questi. La velocità con cui viene rilevato dipende dalle misure di sicurezza adottate dal back-end di autenticazione e dalla frequenza con cui il front-end consente a un client di provare un'altra autenticazione.

Tuttavia, mentre un captive portal e WPA2-PSK / ENTERPRISE autorizzano essenzialmente il computer client, un proxy autorizza un programma client (autenticazione di base) o un utente sul sistema (NTLM in una rete Windows). Questo fa la differenza se nel sistema ci sono più utenti e questo fa anche la differenza di quanto altri utenti possano facilmente falsificarlo: con un'autenticazione basata sul sistema è di solito sufficiente per superare l'indirizzo IP e forse anche il MAC di un sistema già autorizzato ma client attualmente inattivo.

Come per l'iniezione di file o pacchetti: nessuna delle soluzioni risolve questo problema in un modo specifico. Mentre WPA2 crittografa la connessione Wi-Fi, le altre opzioni funzionano su altri livelli, ad esempio funzionano anche con Wi-Fi crittografato, ma anche con Wifi aperto, cavo .... Quindi non è possibile confrontarle su questi livelli. A parte questo, nessuna delle opzioni fa nulla contro lo spoofing ARP, lo spoofing IP di origine o attacchi simili che vengono usati per lo sniffing e l'iniezione e la modifica dei pacchetti.

And is it possible to use a proxy server and WPA2-ENTERPRISE simultaneously on the same network?

Sì, è possibile combinarli.

In breve, assomiglia a questo:

• WiFi senza password è completamente insicuro. Puoi utilizzare VPN (non proxy) ma è difficile utilizzare la VPN su tutti i dispositivi.
• WPA2-PSK (Personale) è OK eccetto Evil Twin Attack finché hai qualcosa come 14 caratteri, password casuale con caratteri maiuscoli, minuscoli e numeri. Alcuni vanno con 12 caratteri se la password è veramente casuale.
• WPA2-EAP (Enterprise) se di solito più sicuro e resiliente a Evil Twin Attack. Ci sono alcuni rischi per la sicurezza nei protocolli EAP e stack software sui sistemi coinvolti in esso, tuttavia questo è molto più difficile da fare e può essere riparato una volta che il difetto è stato trovato, quindi non è rotto dalla progettazione.
• WPA2-PSK / Enterprise non è davvero qualcosa di veramente comune. Potrebbe essere una sorta di disinformazione perché questo standard non è stato adottato.
• I portali in cattività possono essere utilizzati con una qualsiasi delle varianti di cui sopra. Ad esempio, è più adatto per gli hotel

Per praticità, sicurezza e compatibilità puoi utilizzare WPA2-EAP / PAP che utilizza login e password, quindi puoi inserirli su ogni dispositivo. Captive Portal non è anche molto sicuro perché qualcuno può fare MITM su di esso anche con certificato SSL falso. Ad esempio, è un vantaggio per i clienti che possono accedere con il proprio account Facebook. Con WPA2-EAP / PAP otterrai login e password, quindi inseriscilo su Smartphone, Laptop ecc.

Puoi usare VPN su qualsiasi tipo di rete WiFi. Se si pianifica la connessione di più dispositivi, è possibile configurare un router dedicato che gestisca la VPN per tutti i dispositivi, ma ciò risulterebbe piuttosto complicato e difficile da far funzionare in modo stabile all'inizio. Penso che se riesci ad ottenere WPA2-EAP o una buona chiave PSK, staresti bene senza VPN, tuttavia se non ti fidi del tuo provider puoi ottenerne uno, a partire dal tuo laptop, ad esempio, usandolo sui cellulari è piuttosto un over-kill.