我负责配置一个小型企业网络(50-60 台设备),我们有一些必须无线连接到网络的老旧设备。我们的常规无线连接仅接受 AES WPA 和 WPA2,但我为不支持 AES 的老旧设备配置了一个虚拟 AP,该 AP 的隐藏 SSID 与我们端点相同的 DHCP 池中的 SSID 相同。
TKIP 网络的密码更长更复杂,但我想知道的是,这是否会增加 WPA TKIP 接入点的安全性?或者增加 PSK 的长度是否不会大大减轻 WPA-TKIP 的漏洞?如果不是,我还能做些什么来降低恶意连接或攻击此接入点的风险?
答案1
更复杂的密码会有所帮助,因为对 WPA 的常见攻击是离线字典攻击 - 您可能希望下载常见的字典来确认您的密码不在其中。
如果设备数量有限,则 Mac 过滤可能比较合适,并使用固定 IP 地址。
其他措施将是物理措施; - 限制信号强度 - 使用定向天线来限制角度,如果你想忘乎所以...... - 在办公室周围进行屏蔽(法拉第笼等)。
所有这些对于坚决的攻击者(如隐藏 SSID)而言,好处都是有限的(特别是相对于成本而言),但对于机会主义者来说,会增加复杂性,使其“不值得付出努力”。
您可能希望考虑限制从 WPA 接入点到网络其余部分的访问,这样任何违规行为的影响都会受到限制。我认为旧设备有特定的作用?如果是这样,您可以考虑设置阻止不需要的端口等。
这再次增加了攻击者的成本效益比。