Existe algum ponto para garantir uma rede wifi “guest” com WPA?

2

Temos uma configuração de rede Wi-Fi para convidados em uma VLAN separada, usando uma conexão aberta (por exemplo, NO wpa / wep).

Um cliente (semi-técnico) recentemente reclamou que ele não estava feliz com o fato de seu tráfego não ser criptografado, eu dei a ele o conselho de que se a segurança fosse importante deveria estar usando uma VPN mesmo em uma rede WPA etc ...

Mas isso me fez pensar:

Is there any point to setting up WPA2 on a guest network, where we give out the password to anyone that asks anyway (and write it on the walls!)?

Eu entendo que limitaria a interceptação entre conexões que já estão estabelecidas, mas se você estiver ouvindo quando alguém se conecta, não é relativamente trivial capturar a informação de autenticação / handshake de 4-way e então usá-la para bisbilhotar?

Isso não desafia o ponto de ter o WPA em uma rede guest / "aberta"?

    
por Venison's dear isn't it 29.07.2014 / 00:25

3 respostas

4

Depende da situação. Alguém com o WPA2 PSK e as ferramentas e os conhecimentos corretos podem realmente descriptografar o tráfego dos outros usuários na rede (consulte aqui ).

Por um lado, as barreiras de ter a chave, ter as ferramentas e ter o conhecimento podem ser um impedimento útil, e impedir que algum idiota sem noção com uma cópia de firesheep roube casualmente as sessões de outras pessoas.

Por outro lado, a necessidade de obter e inserir uma chave pode ser uma dor para seus usuários legítimos e, como você observou, pode fornecer uma falsa sensação de segurança.

O caminho que você segue depende de qual opção faz mais sentido para sua organização.

    
por 30.07.2014 / 21:03
3

Primeiro, você deve usar o WPA2, não o WPA. Pelo que sei, não existe uma maneira conhecida e facilmente explorável de interceptar e descriptografar um fluxo Wi-Fi protegido por WPA2, mesmo se você estiver bisbilhotando toda a conversa.

Seu convidado está absolutamente certo, não há boas razões para ter redes sem fio abertas. Fazer isso é apenas convidar o abuso, para não mencionar a aparência incompetente diante de seus clientes.

    
por 29.07.2014 / 00:31
0

Sei que isso não é muito uma "resposta", mas temos uma chave WPA2 pré-compartilhada em nossa rede WiFi convidada. (Para referência, usamos os Pontos de Acesso UniFi da Ubiquiti e a rede de convidados bloqueada somente para acesso à Internet.)

Imprimimos cartões de tendas com o nome SSID do convidado e a chave e os colocamos em todas as mesas de conferência . Para obter a chave, você teria que passar pela recepção ou pelas portas trancadas.

Como uma camada adicional de segurança, você pode alterar a chave periodicamente e imprimir novos cartões.

Eu não consigo pensar em nenhum motivo não para criptografá-lo, além da preguiça. Reduz a possibilidade de alguém conectar-se aleatoriamente ao WiFi no estacionamento.

    
por 30.07.2014 / 22:11