Frage:
Warum ist WPA Enterprise sicherer als WPA2?
user12199
2013-05-12 13:08:15 UTC
view on stackexchange narkive permalink

Im persönlichen Modus ist WPA2 sicherer als WPA. Ich habe jedoch gelesen, dass WPA Enterprise eine höhere Sicherheit bietet als WPA2, und ich bin mir nicht sicher, wie genau dies erreicht wird.

Wo genau hast du das gelesen? Es besteht kein Zweifel, dass "WPA2" sicherer ist als "WPA". Ich würde argumentieren, dass "WPA Enterprise" ein völlig anderes Authentifizierungsmodell ist als "WPA"
Sie müssen nicht streiten, es ist. WPA2 Personal verwendet vorinstallierte Schlüssel. Das bedeutet, dass Sie den Schlüssel kennen müssen und er für Benutzer freigegeben werden kann. Bei Unternehmen muss ein Konto auf einem Back-End-RADIUS-Server vorhanden sein. Dies bedeutet, dass Sie einen Benutzernamen und ein Passwort benötigen, um Zugriff auf das drahtlose Netzwerk zu erhalten.
Acht antworten:
Terrence Koeman
2016-09-23 07:08:24 UTC
view on stackexchange narkive permalink

Allen früheren Antworten fehlt ein sehr wichtiger Schritt und seine Implikation und sie missverstehen EAP.

WPA2-PSK (auch bekannt als WPA2 Personal) macht aus Kundensicht im Grunde dasselbe wie WPA2-Enterprise: Der Client wird dem Zugriffspunkt zugeordnet, authentifiziert sich beim Zugriffspunkt mithilfe des vorinstallierten Schlüssels und der Zugriffspunkt erstellt ein 256-Bit-PMK (paarweiser Hauptschlüssel) aus der SSID und dem vorinstallierten Schlüssel (PSK). Dieses PMK wird dann zum Verschlüsseln des Datenverkehrs mit CCMP / AES oder TKIP verwendet.

Hierbei ist zu beachten, dass alle Clients ihre Daten immer mit demselben PMK verschlüsseln. So ist es einfach, viele Daten zu sammeln, die mit demselben PMK verschlüsselt sind. Sollte jemand das PMK beschädigen, könnte er alle mit diesem Schlüssel verschlüsselten Daten entschlüsseln, Vergangenheit / Aufzeichnung und Zukunft / Echtzeit.

WPA2-Enterprise unterscheidet sich hinter den Kulissen nur geringfügig, die Auswirkungen auf die Sicherheit sind jedoch schwerwiegend : Der Client wird dem Zugriffspunkt zugeordnet, authentifiziert sich dem Zugriffspunkt, der dies an einen Backend-RADIUS-Server weiterleitet (mithilfe von EAP, aber das ist hier nicht wichtig, also dazu am Ende mehr). Wenn der RADIUS-Server den Client authentifiziert hat, gibt er dem Zugangspunkt ein OK sowie einen paarweisen 256-Bit-Hauptschlüssel (PMK) RANDOM , um den Datenverkehr nur für die aktuelle Sitzung zu verschlüsseln.

Nun, das ist ein ziemlicher Unterschied. Anstatt dass jeder Client immer dasselbe PMK verwendet (dessen Startwert Klartext ist, da die SSID als Startwert verwendet wird!), Verwendet jetzt jeder Client ein anderes PMK, ändert jede Sitzung / Zuordnung und der Startwert ist zufällig und Unbekannt. Darüber hinaus ist dieses PMK eine echte 256-Bit-Entropie (kein Hash von einem normalerweise viel kleineren Passwort, das Wörter enthält), sodass Wörterbuchangriffe nutzlos sind.

Sollte jemand ein bestimmtes PMK brechen, erhält er nur Zugriff auf eine Sitzung eines Clients. Außerdem erhalten sie (wenn die richtige EAP-Methode verwendet wird) keinen Zugriff auf die Anmeldeinformationen des Benutzers, da diese einzeln verschlüsselt wurden. Das ist viel sicherer.

Denken Sie auch daran, dass dieses PMK 256-Bit-AES ist. Dies ist derzeit "nicht knackbar" (128-Bit gilt derzeit als sicher, aber nicht lange). Die Tatsache, dass das PMK von WPA2-PSK (ebenfalls 256 Bit) geknackt werden kann, beruht auf den normalerweise schwachen Passwörtern (Wörterbuchangriff), dem bekannten Startwert (SSID) und der Tatsache, dass alle Clients dasselbe PMK verwenden Die ganze Zeit kann so viel Chiffretext mit bekanntem Klartext erfasst werden.

Also, dann ein wenig über das Extensible Authentication Protocol (EAP). Dies wird oft als Sicherheitsprotokoll an sich verstanden, ist es aber nicht. Dies ist im Grunde ein Standard für die Weitergabe von Nachrichten von einem Client, der sich authentifizieren möchte, und einem Server, der sich authentifiziert. EAP selbst verfügt über keine Sicherheitsfunktionen. Es gibt lediglich an, wie der Client mit dem RADIUS-Server spricht.

Jetzt können Sie diese EAP-Nachrichten in einem sicheren Tunnel kapseln. So wie HTTP (ein unsicheres Messaging-Protokoll) eine sichere Schicht durchläuft, wird SSL / TLS verwendet, um eine sichere Verbindung zu einem Webserver herzustellen. Jemand sagte in einer anderen Antwort, dass es über 100 verschiedene EAP- "Methoden" gibt, von denen einige sehr unsicher sind. Dies ist richtig, da EAP alt ist, wurden Verschlüsselungsstandards implementiert, die heute unter dem Standard liegen.

In der Praxis gibt es jedoch nur zwei, wenn Sie aktuelle Apple- oder Android-Computer / Geräte und Windows-Computer unterstützen müssen Optionen, weil andere einfach nicht unterstützt werden: Protected EAP (PEAP) und TLS-EAP (nun, ich habe gelogen: Es gibt wirklich ein paar mehr, aber sie sind in Funktionalität und Sicherheit im Grunde identisch mit TLS-EAP).

PEAP ist wie ein https-Server. Zwischen dem Client und dem RADIUS-Server wird ein sicherer TLS-Tunnel eingerichtet (der den gesamten drahtlosen und verkabelten Pfad zwischen ihnen schützt). Der Server legt dem Client ein Zertifikat vor (in Unternehmen, die häufig von signiert werden) Auf der Grundlage dieses Zertifikats wird eine eigene Zertifizierungsstelle eingerichtet und ein sicherer Kanal eingerichtet.

Wenn der Client die Zertifizierungsstelle in seinem Zertifikatspeicher als vertrauenswürdig eingestuft hat, sendet er seinen Benutzernamen und sein Kennwort an den RADIUS-Server. Wenn der Zertifizierungsstelle nicht vertraut wird, erhält der Benutzer eine Warnung bezüglich des Zertifikats wie bei einer https-Site, bei der ein Fehler mit dem Zertifikat vorliegt. Die Anmeldeinformationen werden normalerweise mit dem (alten und jetzt schwachen) MSCHAPv2-Protokoll geschützt, aber das spielt keine Rolle, da bereits alles durch 256-Bit-TLS geschützt ist. Das MSCHAPv2-Protokoll kommuniziert mit dem RADIUS-Server über EAP.

Eine offensichtliche Schwachstelle besteht darin, dass Sie einen falschen Zugriffspunkt einrichten, ein falsches Zertifikat vorlegen können, für das Sie den privaten Schlüssel haben, und hoffen, dass ein idiotischer Benutzer erhält eine Warnung über ein nicht vertrauenswürdiges Zertifikat und klickt einfach auf "Vertrauen" (und diese Option wird von einem Administrator nicht deaktiviert). Dann könnten Sie vielleicht die schwach verschlüsselten Anmeldeinformationen des Clients erfassen, die ziemlich einfach zu knacken sind (da ich weiß, dass MSCHAPv2 leicht geknackt werden kann, wenn Sie den GANZEN Austausch haben, in diesem Fall hätten Sie nur den Client Seite, da Sie keine gültige Nonce an den Client senden konnten, um den Austausch abzuschließen, da Sie nicht über den tatsächlichen Hash des Benutzerkennworts verfügen.

Während dieses möglicherweise Sie erhalten mit viel Arbeit Zugriff auf das reale Netzwerk (und ich bezweifle es, aber wenn Sie es wissen müssen, schauen Sie in MSCHAPv2 unter http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2 nach -security-kaputt-aufgrund-defcon.html), Sie erhalten keinen Zugriff auf andere drahtlose Daten, da diese mit einem anderen PMK verschlüsselt sind.

Für Unternehmen kann dies jedoch immer noch ein Problem sein. Geben Sie TLS-EAP ein. TLS-EAP ist im Grunde dasselbe wie PEAP, mit dem bemerkenswerten Unterschied, dass der Client auch über ein Zertifikat verfügt. Daher legt der Server sein Zertifikat dem Client vor, dem der Client vertrauen muss (da sich die Zertifizierungsstelle im vertrauenswürdigen Speicher befindet oder ein Idiot auf "Vertrauen" geklickt hat), aber der Client muss dem Server auch ein Zertifikat vorlegen. Dies kann ein Zertifikat sein, das bei der Bereitstellung des Geräts / der Workstation im Zertifikatspeicher abgelegt wurde, aber es kann auch von einer Smartcard usw. stammen. Der Server muss diesem Client-Zertifikat vertrauen, sonst erhalten Sie nicht einmal die Möglichkeit, es vorzulegen Anmeldeinformationen.

Wie viele von Ihnen vielleicht wissen, kann eine solche bidirektionale Authentifizierung auch für HTTP über TLS durchgeführt werden, dies wird jedoch außerhalb der Unternehmenseinstellungen nicht häufig angezeigt. Auch in diesem Fall können Sie nur dann auf die Website zugreifen, wenn Sie zuerst ein Zertifikat anzeigen, dem der Server vertraut.

Der gefälschte Zugriffspunkt ist jetzt nicht mehr sehr nützlich. Sie können die schwach verschlüsselten Anmeldeinformationen erhalten, wenn der Idiot auf "Vertrauen" klickt und Sie dann blind ein Client-Zertifikat akzeptieren. Da Sie jedoch nicht über den privaten Schlüssel des Client-Zertifikats verfügen, erhalten Sie keinen Zugriff Sie erhalten keine verschlüsselten drahtlosen Daten dieses oder anderer Clients, die noch vom zufälligen sitzungsbasierten PMK bereitgestellt werden. Möglicherweise erhalten Sie Zugriff auf ein Intranet mit den Anmeldeinformationen. Wenn Sie sich jedoch die Mühe gemacht haben, eine Zertifizierungsstelle für drahtlose Netzwerke einzurichten, benötigen Sie wahrscheinlich auch dafür ein Client-Zertifikat.

In Unternehmen ist es üblich, einen solchen Client zu haben Zertifikat auf einer Smartcard, auf die Mitarbeiter dann zugreifen müssen, um auf alle Ressourcen zuzugreifen: Anmelden, Netzwerkressourcen, E-Mail mit SMTP, IMAP, Pop3s, Intranets mit https. Alles, was TLS verwendet, kann so eingerichtet werden, dass ein Client-Zertifikat erforderlich ist. Normalerweise ist es so einfach wie das Einfügen in die Tastatur und das Eingeben einer PIN. Windows zeigt sie dann an, wenn dies von einem vertrauenswürdigen Server mit TLS verlangt wird.

Ich hoffe, dies verdeutlicht a bisschen. Die Skala lautet: "Grundsätzlich ungesichert" (WEP) "Mit etwas Aufwand knackbar" (WPA2-PSK) "Teilweise sozialtechnisch" (WPA2-Enterprise mit PEAP) "Derzeit sicher" (WPA2-Enterprise mit TLS-EAP und ähnlichem)

Es gibt Möglichkeiten, WPA2-PSK etwas sicherer zu machen, da es Monate dauern würde, es zu knacken, anstatt Minuten (vorberechnete Regenbogentabellen) oder Stunden (Wörterbuchangriff): Setzen Sie Ihre SSID auf eine zufällige Zeichenfolge und verwenden einen zufälligen Pre-Shared Key (PSK) der maximalen Länge, da er als Startwert für das PMK verwendet wird. Wenn Sie dann den Schlüssel monatlich ändern, können Sie ziemlich sicher sein, dass niemand über ein aktuelles PMK verfügt oder Zugriff auf Ihr Netzwerk hatte / hat.

Sie können jedoch nicht die Tatsache loswerden, dass jemand einen gespeichert haben könnte Daten aller Clients im Wert von Monaten und lesen, dass sie, sobald sie das PMK dieses Monats erhalten haben (dies ist möglich, da es sich nicht um einen Schlüssel mit 256-Bit-Realentropie handelt, wenn Sie den verwendeten Startwert senden).

Ein weiterer Nachteil ist, dass Sie über eine einzigartige SSID verfügen, die Ihre drahtlosen Geräte überall senden. Wenn jemand Ihre eindeutige SSID Ihres Heimnetzwerks hat, ist es ein Kinderspiel, Ihre SSID unter https://wigle.net/ nachzuschlagen und herauszufinden, wo Sie leben. Sie gehen also im Grunde genommen mit Ihrem Telefon / Tablet / Laptop herum und geben an, wo Sie wohnen ...

Wenn Sie sich der Privatsphäre bewusst sind, ist dies möglicherweise ein guter Mittelweg, um Ihre SSID auf eine übliche zu beschränken. aber nicht in den Top 30 oder so (auf diese Weise ist es unwahrscheinlich, dass Regenbogentabellen dafür online verfügbar sind) und verwenden Sie eine zufällige PSK mit maximaler Länge. Sie verlieren jedoch etwas Entropie.

Wenn Sie die gleiche Sicherheit wie bei der Verkabelung wünschen, verwenden Sie WPA2-Enterprise mit TLS-EAP. (Nun, für den Moment ... Nichts hindert jemanden daran, alle gewünschten Daten zu erfassen und zu speichern und sie in 20 Jahren zu entschlüsseln, wenn wir alle Zeit auf einem Quantencomputer mieten und alle Schlüssel in Minuten faktorisieren können.

Die NSA soll ein Rechenzentrum eingerichtet haben, um genau das zu tun. Speichern Sie alles, was ihnen begegnet, verschlüsselt, bis sie es knacken können, sodass das Problem auch alles auf Kabeln betrifft, wenn es das Internet überquert. Wenn etwas für alle Zeiten sicher sein muss, verwenden Sie ein zufälliges einmaliges Pad, das Sie außerhalb des Bandes austauschen :)

Alles, was gesagt wurde, während ich paranoid bin und die beste Sicherheit und damit will Verbringen Sie zwei Tage damit, dass WPA2-Enterprise / TLS-EAP funktioniert. Dies ist für die meisten Heimanwender wahrscheinlich unerreichbar (und übertrieben). Wenn Sie noch keinen Domänencontroller oder einen anderen Verzeichnisdienst in Ihrem Netzwerk haben, verfügen die Erfahrungen mit RADIUS und über alle teuren Pro-WLAN-Geräte, die ein Unternehmen verwenden würde, und werden diese höchstwahrscheinlich nicht erhalten arbeiten. Es ist besser, wenn Sie nur ein VPN einrichten und dieses über Ihr WLAN ausführen. Dies bietet Ihnen die gesamte Sicherheit und keinen Spaß beim Debuggen von EAP.

PS. Der Einfachheit halber habe ich auch die Tatsache ausgelassen, dass die Kommunikation zwischen dem Zugriffspunkt und dem RADIUS-Server auch mit einem vorinstallierten Schlüssel ("gemeinsames Geheimnis" genannt) verschlüsselt wird. Afaik diese Verschlüsselung ist heute nicht gut (verwendet MD5, das im Grunde kaputt ist), aber da Sie TLS trotzdem darüber setzen, spielt das keine Rolle. Sie können eine anständige Schlüsselgröße verwenden (je nach Implementierung zwischen 64 und 128 Zeichen = 512 und 1024 Bit). Ich habe immer das größtmögliche Geheimnis gesetzt, es kann nicht schaden.

Die offensichtliche Schwachstelle, die Sie präsentieren, ähnelt der Schwachstelle des Online-Shoppings. Einige idiotische Benutzer geben möglicherweise ihre Kreditkartendaten an, ohne ein grünes Schloss in der Nähe der URL zu sehen oder wenn ein rotes gebrochenes Schloss angezeigt wird.Aber ich wundere mich über eine andere Sache.Was passiert, wenn der Angreifer ein TLS-Zertifikat für eine Domain kauft, die er besitzt, eine Rouge-Zertifizierungsstelle einrichtet und dieses Zertifikat für den von ihm eingerichteten betrügerischen RADIUS-Server vorlegt?Klingt so, als ob dies nicht funktionieren sollte, aber ich sehe in Ihrer Beschreibung nichts, was dies verhindert, und im Gegensatz zum Surfen im Internet, bei dem Sie möglicherweise sogar ein gültiges Zertifikat für www.g00gle.com vermuten ...
Die URL des RADIUS-Servers, mit dem Sie sprechen, wird nicht angezeigt (zumindest nicht unter Windows, iOS und Android).
Die Zertifizierungsstelle müsste mit dem Zertifikat des Kunden übereinstimmen, damit dies nicht funktioniert.
In PEAP-MS-CHAPv2 waren mir keine Client-Zertifikate bekannt.Ich sehe sogar einen TechNet-Artikel mit der Aufschrift "PEAP-MS-CHAP v2", ein EAP-Typ, der einfacher bereitzustellen ist als das Extensible Authentication Protocol mit Transport Level Security (EAP-TLS) oder PEAP-TLS, da die Benutzerauthentifizierung mithilfe von Kennwortbasis-Anmeldeinformationen erfolgt(Benutzername und Passwort) anstelle von digitalen Zertifikaten oder Smartcards. "Über welches Kundenzertifikat sprechen Sie?
conio: Richtig, in PEAP haben Clients keine Zertifikate (nur der Server, aber Benutzername / Passwort (was das Erfassen der Creds beim Einrichten eines MITM-AP ermöglicht). Ich sagte, EAP-TLS habe dem Mix Client-Zertifikate hinzugefügt, um dies zu verhinderndiese.
conio: Ich sehe, ich habe Ihre Frage nie direkt für PEAP beantwortet.Ja, Sie können ein Zertifikat für eine zufällige host.domain.tld kaufen und dann einen nicht autorisierten RADIUS-Server einrichten, der sich anhand dieses Zertifikats identifiziert. Wenn ein Benutzer Ihre unerwünschte SSID manuell auswählen würde, würde er keine Zertifizierungswarnung erhalten und wahrscheinlich seine Anmeldeinformationen eingeben. Unternehmen verwenden normalerweise EAP-TLS, um dies zu verhindern. Wenn sie jedoch PEAP verwenden, verhindern sie dies, indem sie drahtlose Profile an ihre Clients senden (z. B. über Gruppenrichtlinien für Windows), die genau angeben, für welche Zertifizierungsstelle in der Liste der vertrauenswürdigen Zertifizierungsstellen akzeptiert wirddie SSID.
user10211
2013-05-12 13:15:06 UTC
view on stackexchange narkive permalink

Die PSK-Varianten von WPA und WPA2 verwenden einen 256-Bit-Schlüssel, der von einem Kennwort zur Authentifizierung abgeleitet wurde.

Die Enterprise-Varianten von WPA und WPA2, auch als 802.1x bezeichnet verwendet einen RADIUS-Server zur Authentifizierung. Die Authentifizierung erfolgt mithilfe von Varianten des EAP -Protokolls. Dies ist eine komplexere, aber sicherere Einrichtung.

Der Hauptunterschied zwischen WPA und WPA2 ist das verwendete Verschlüsselungsprotokoll. WPA verwendet das TKIP -Protokoll, während WPA2 die Unterstützung für das CCMP -Protokoll einführt.

Wenn Sie also einen RADIUS-Server verwenden, wird anstelle von TKIP oder CCMP ein EAP-Protokoll verwendet?
@Unw0und Nein, EAP ist ein * Authentifizierungs * -Protokoll, während TKIP und CCMP ein * Verschlüsselungs * -Protokoll sind.
Diese Antwort ist nicht sehr informativ. Wie ist EAP „sicherer“? Schützt es vor mehr Bedrohungen oder bietet es mehr Stärke gegen rohe Gewalt? Welchen Unterschied macht TKIP gegenüber CCMP?
EAP ist sicherer, da das Schlüsselmaterial eindeutig ist und zwischen Client und AP erstellt wird, anstatt auf der Grundlage eines bekannten Werts (PSK) generiert zu werden. Im persönlichen Modus wird das Schlüsselmaterial basierend auf einem bekannten Wert (PSK) generiert, und jeder mit diesem bekannten Wert kann die Schlüsselverhandlung erfassen und somit den gesamten resultierenden Datenverkehr entschlüsseln. Darüber hinaus kann mit EAP das Schlüsselmaterial während der Sitzung geändert werden, um die Sicherheit zu erhöhen.
Ich denke, ich könnte diese Klarstellung wieder vereinfachen.Einfach ausgedrückt hat jeder Benutzer sein eigenes "Passwort" (Schlüssel), anstatt ein gemeinsames zu verwenden, das jeder verwendet.
WPA2 Personal verwendet einen Schlüssel.Jeder mit dem Schlüssel weiß, wie der Datenverkehr Ihres Computers entschlüsselt wird.Das WiFi-Segment ist ein großes Broadcast-Netzwerk.Kabelgebundene Netzwerke halten den Datenverkehr Ihres Computers im Allgemeinen privat, solange die Switches gesichert sind.Ihr Verkehr verläuft entlang der Leitung und wird nur an den Bestimmungsort weitergeleitet.Selbst jemand, der an eine andere Buchse angeschlossen ist, kann den Datenverkehr nur sehen, wenn der Switch nicht richtig eingerichtet ist. WPA Enterprise gibt jedem Benutzer seinen eigenen privaten Sitzungsschlüssel.Dadurch wird der Broadcast-Effekt entfernt.Jetzt verhält sich das WiFi-Netzwerk so, als hätte jeder sein eigenes Kabel.
Rod MacPherson
2013-05-14 01:42:34 UTC
view on stackexchange narkive permalink

Angenommen, Sie haben 10 Benutzer. Im PSK-Modus verwenden alle 10 Benutzer dieselbe Passphrase, um denselben Schlüssel zu generieren. Daher ist die Wahrscheinlichkeit, Datenverkehr zu erfassen und zu analysieren, um den Schlüssel zu finden, bei so viel Datenverkehr höher, und dieser Schlüssel ist gut, bis alle 10 Benutzer zustimmen, die Passphrase (und damit den Schlüssel) zu ändern.

If Dieselben 10 Benutzer verwenden ihren eigenen Benutzernamen und ihr eigenes Kennwort, um sich bei einem Unternehmens-WLAN-Netzwerk anzumelden. Jeder Benutzer authentifiziert sich beim RADIUS-Server, der dann einen Schlüssel für seine Sitzung generiert und diesen dem AP zur Verwendung mit seinem Client übergibt.

Daher ist der Datenverkehr mit demselben Schlüssel nur ein Benutzerverkehr, sodass 1/10 so viele Daten verarbeitet werden müssen, und der Schlüssel ändert sich, wenn sich der Benutzer das nächste Mal anmeldet. Das Kennwort des Benutzers Die Authentifizierung mit bleibt möglicherweise gleich, aber der Schlüssel, der generiert wird, ist für jede Sitzung eindeutig. In Kombination mit guten Passwortgewohnheiten ist WPA Enterprise besser. Außerdem kann der Zugriff einzelner Benutzer jederzeit widerrufen werden, ohne dass dies Auswirkungen auf andere Benutzer hat.

"Der Zugriff einzelner Benutzer kann jederzeit widerrufen werden, ohne dass dies Auswirkungen auf andere Benutzer hat." Das wusste ich nicht.Meinen Sie damit, dass sie in Echtzeit widerrufen werden können?Wenn dies der Fall ist, was würde ich dem Benutzer anzeigen?Nur eine Trennung und wann versucht man mit seinem Passwort eine Fehlermeldung zu verbinden?Wenn mein RADIUS-Server mit einer SQL-Datenbank verbunden ist und ich einen Benutzer entferne, wird dieser Benutzer in Echtzeit entfernt?Vielen Dank für die Klarstellung.
Shurmajee
2013-05-12 13:59:08 UTC
view on stackexchange narkive permalink

WPA2 ist sicherer als WPA, wie von Terry erklärt. Sie müssen nur den Unterschied zwischen der persönlichen (Pre-Shared Key) und der Enterprise-Version beider Protokolle verstehen.

In der persönlichen Version teilen sich alle Benutzer ein geheimes Kennwort, das im Access Point konfiguriert ist. In der Unternehmensversion gibt es einen zentralen Authentifizierungsserver, und alle Benutzer verfügen über unterschiedliche Anmeldeinformationen, die sie für den Zugriff auf WLAN verwenden. Grundsätzlich gibt es also kein einziges gemeinsames Passwort.

Eric
2015-01-07 02:34:48 UTC
view on stackexchange narkive permalink

Der Enterprise-Modus (RADIUS / EAP / 802.1X) von WPA oder WPA2 bietet die folgenden Vorteile gegenüber dem persönlichen Modus (Pre-Shared Key oder PSK) von WPA oder WPA2:

  • Insgesamt erschwert dies das "Hacken" des WLANs.
  • Jedem Benutzer kann anstelle eines einzigen globalen Kennworts ein eindeutiger Anmeldeinformationsnachweis (Benutzername oder Kennwort, Sicherheitszertifikate oder Smartcard) für das WLAN zugewiesen werden all.
  • Benutzer-zu-Benutzer-Snooping wird verhindert, im Gegensatz zum persönlichen Modus, in dem verbundene Benutzer den Datenverkehr gegenseitig erfassen können, einschließlich Kennwörtern und Sessionhijacking.
  • Aktiviert zusätzliche Steuerelemente (Berechtigungen) wie z asLogin-Time, mit der Sie die genauen Tage und Zeiten definieren können, zu denen sich Benutzer anmelden können, Called-Station-ID, um anzugeben, über welche Zugriffspunkte sie eine Verbindung herstellen können, und Calling-Station-ID, um anzugeben, von welchen Clientgeräten aus sie eine Verbindung herstellen können.

Obwohl für den Enterprise-Modus die Verwendung eines RADIUS-Servers erforderlich ist, gibt es gehostete oder Cloud-Dienste.

user37155
2014-01-15 01:57:39 UTC
view on stackexchange narkive permalink

Hier werden viele Begriffe gemischt.

WPA2 ist ein Verschlüsselungsschema. Unternehmen und Personal beziehen sich auf das Authentifizierungsschema, nicht jedoch auf das Verschlüsselungsschema. Das Authentifizierungsschema überprüft grundsätzlich Ihre Identität gegenüber dem Netzwerkbesitzer, bevor Sie verschlüsselte Daten senden dürfen.

Aus Sicht der Verschlüsselung haben WPA2-Enterprise und WPA2-Personal denselben 256-Bit-Verschlüsselungsalgorithmus (I. glaube, es heißt AES-CCMP). Der Unterschied zwischen ihnen liegt also im Authentifizierungsschema.

Nun können EAP und 802.1x als ein und dasselbe Protokoll betrachtet werden. Sie definieren Signalisierungsmethoden, damit die Authentifizierung zwischen (jetzt ist dies wichtig) dem Client, dem Zugriffspunkt und einer dritten Entität namens Registrar, in der die Authentifizierungsdaten gespeichert sind, erfolgen kann. EAP wird in Personal und Enterprise verwendet, ABER der Hauptunterschied ist der Speicherort und die Art der Anmeldeinformationen, die der Registrar vom Client benötigt, bevor er sich bereit erklärt, ihm Zugriff auf das Netzwerk zu gewähren. In PERSONAL befindet sich der Registrar häufig auf derselben physischen Entität wie der Zugriffspunkt (dh der WLAN-Router), und die Authentifizierungsmethode basiert normalerweise auf einem vorinstallierten Schlüssel (z. B. denjenigen, die mit dem Router vorprogrammiert sind) wenn Sie es kaufen oder das, das Ihnen der Besitzer des Routers geben würde, wenn Sie zu ihm kommen). Das Ändern dieses vorinstallierten Schlüssels erfordert eine globale Aktualisierung, wenn einer der alten Clients erneut auf das Netzwerk zugreifen möchte (d. H. Sie müssen ihnen mitteilen, dass Sie den Schlüssel geändert haben und der Schlüssel XYZ ist). In ENTERPRISE ist der Registrar normalerweise eine separate Entität, die ein Protokoll namens RADIUS ausführt. Es bietet mehr Verwaltbarkeit (z. B. vorab freigegebener Schlüssel für jeden Benutzer, der Administrator kann einen Schlüssel für einen bestimmten Benutzer usw. widerrufen).

Nun etwas wirklich Wichtiges hier (aus Sicherheitsgründen), der Verschlüsselungsschlüssel (dh nicht die Authentifizierung) wird vom vorinstallierten Schlüssel abgeleitet, daher ist es für jemanden einfacher, der den vorinstallierten Authentifizierungsschlüssel in PERSONAL hat um den Verschlüsselungsschlüssel neu zu erstellen und damit die Daten zu entschlüsseln. Darüber hinaus ermöglicht PERSONAL andere Methoden, um die Eingabe eines vorinstallierten Schlüssels weiter zu vereinfachen, z. B. den Druckknopf (Druckknopf gleichzeitig auf Router und Gerät, und alles geschieht nahtlos). Diese Methode gefährdete die Sicherheit, wenn jemand den Kanal abhörte und sich als leicht zerbrechlich erwies (jetzt ist der Begriff leicht relativ !!). Eine solche Methode ist in Enterprise nicht verfügbar. Zusammenfassend lässt sich sagen, dass Enterprise sicherer ist, sich aber auch besser für Personen eignet, die über das Wissen und die Ressourcen verfügen, um einen RADIUS-Server zu installieren und zu verwalten. Eine gute Sicherheit ist gegenüber PERSONAL erreichbar, indem ein starker Pre-Shared Key ausgewählt und die Drucktastenmethode auf dem WLAN-Router deaktiviert wird.

JoePete
2016-06-13 19:31:30 UTC
view on stackexchange narkive permalink

Ich gehe davon aus, dass Sie WPA2-PSK (auch bekannt als WPA-Personal) meinen, wenn Sie fragen, ob WPA-Enterprise sicherer als WPA2 ist. Das ist ein bisschen so, als würde man fragen, ob Gemüse gesünder ist als ein Apfel. WPA-Enterprise deckt ein Spektrum von Authentifizierungsmethoden ab (etwa 100 davon alle unter dem erweiterbaren Authentifizierungsprotokoll), einige sehr stark, andere sehr schwach. WPA2-PSK ist ein spezielles Authentifizierungsmittel, das auf 256-Bit-AES basiert. Die einzige Möglichkeit, WPA2-PSK zu beschädigen, besteht darin, die Handshake-Pakete zu erfassen und anschließend einen Wörterbuchangriff dagegen durchzuführen. Es spielt keine Rolle, wie viele Handshakes Sie erfassen (d. H. Ob es sich um einen Client oder 100 handelt, die über das Kennwort eine Verbindung herstellen). Es ist nicht wie WEP. Wenn Sie also ein gutes Passwort haben (z. B. 20 Zeichen und ziemlich zufällig), ist es verdammt sicher. Im Vergleich dazu kann WPA-Enterprise schwache Schemata verwenden, z. B. LEAP, das die MS-CHAPv2-Handshakes verwendet. Hierbei handelt es sich lediglich um eine 56-Bit-DES-Verschlüsselung, die unabhängig von der Komplexität des Kennworts problemlos mit Brute Force geknackt werden kann. Unter den 100 EAP-Optionen, die sich in Kosten und Komplexität unterscheiden, finden Sie jetzt etwas, das der Stärke eines WPA2-PSK mit einem zufälligen 20-stelligen Passwort nahekommt. Aber wenn dies Ihr einziges Ziel ist, verpassen Sie den Punkt von WPA Enterprise. Der Haupttreiber für WPA Enterprise ist die detaillierte Kontrolle darüber, wer oder was eine Verbindung zu Ihrem Netzwerk herstellt. WPA Enterprise kann Anmeldeinformationen für jedes Gerät und jeden Benutzer erstellen. Wenn Sie plötzlich einen Benutzer oder eine Kategorie von Geräten (z. B. Mobiltelefone) ausschalten müssen, können Sie dies tun. Wenn Sie beim Einrichten die Implementierung mit etwas wie LEAP verpfuschen, lassen Sie natürlich nur die Personen / Dinge, die Sie an der Vordertür abweisen, durch die Hintertür herein. Wenn Sie nicht über das Budget, die Ressourcen und den Bedarf für WPA Enterprise verfügen, ist WPA2-PSK einfacher, billiger und wahrscheinlich sicherer. Die drei Einschränkungen: Ein ausreichend komplexes Kennwort, das Sie gelegentlich ändern, für das Sie keine benutzer- oder gerätespezifische Steuerung benötigen, und das Wichtigste: Deaktivieren Sie den absolut dummen WPS (Wifi Protected Access), der auf einigen Zugriffspunkten verfügbar ist

Lewis Kelsey
2019-07-09 16:39:27 UTC
view on stackexchange narkive permalink

Ist es nicht. WPA-Enterprise und WPA-PSK erstellen letztendlich einen PTK-Schlüssel, der im TKIP-Algorithmus verwendet wird, da er WPA ist und daher weniger sicher als WPA2, unabhängig davon, ob es sich um WPA2-PSK oder WPA2-Enterprise handelt.

Enterprise bietet nur Verschlüsselung für den 4-Wege-Handshake wie PEAP oder die Verwendung von Zertifikaten an, sodass WPA-Enterprise wohl sicherer als WPA-PSK ist, aber letztendlich das gleiche Schicksal erleiden wird. Enterprise bietet außerdem eine höhere Granularität darüber, wer auf das Netzwerk zugreift, indem Benutzerkonten oder vorinstallierte Schlüsselinformationen pro Benutzer von RADIUS oder letztendlich Active Directory für Material verwendet werden, das bei der CCMP-Schlüsselgenerierung verwendet werden soll.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...