WPAで「ゲスト」wifiネットワークを保護する意味はありますか?
オープン接続を使用して、別のVLANにゲストwifiネットワークをセットアップしています(例:NO wpa/wep)。
(半技術的な)顧客は最近、トラフィックが暗号化されていないことに不満を持っていると不満を漏らしました。セキュリティが重要な場合は、WPAでもVPNを使用する必要があるという通常のアドバイスをしました。 =ネットワークなど.。
しかしそれは私に考えさせました:
ゲストネットワークにWPA2を設定して、とにかく尋ねる人にパスワードを渡す(そして壁に書く)ことに意味はありますか?
すでに確立されている接続間のスヌーピングを制限することは理解していますが、誰かが接続したときに聞いている場合、認証情報/ 4ウェイハンドシェイクをキャプチャし、それを使用してスヌープするのは比較的簡単ではありませんか?
それは、ゲスト/「オープン」ネットワーク上にWPAがあるという点に反しませんか?
状況によります。 WPA2 PSKと適切なツールと知識を持っている人は、実際にネットワーク上の他のユーザーのトラフィックを復号化できます( ここ を参照)。
一方で、鍵を持っていること、道具を持っていること、知識を持っていることの障壁は、有用な抑止力となり、ファイアシープのコピーを持った無知なジャークが他の人のセッションを何気なく盗むのを防ぐことができます。
一方、キーを取得して入力する必要があることは、正当なユーザーにとって苦痛である可能性があり、ご指摘のとおり、誤った安心感をもたらす可能性があります。
どちらに進むかは、組織にとってどのオプションが最も理にかなっているかによって異なります。
まず、WPAではなくWPA2を使用する必要があります。私の知る限り、会話全体をスヌーピングしている場合でも、WPA2で保護されたwifiストリームを傍受して復号化するための既知の簡単に悪用できる方法はありません。
あなたのゲストは絶対に正しいです、オープンなワイヤレスネットワークを持つ正当な理由はありません。することは、顧客の前で無能に見えることは言うまでもなく、虐待を招くだけです。
これはあまり「答え」ではないことはわかっていますが、ゲストWiFiネットワークにはWPA2事前共有キーがあります。 (参考までに、Ubiquiti UniFiアクセスポイントと、インターネットアクセス専用にロックダウンされたゲストネットワークを使用します。)
テントカード にゲストSSID名とキーを印刷し、すべての会議テーブルに配置しました。鍵を入手するには、受付または施錠されたドアを通過する必要があります。
セキュリティの追加レイヤーとして、定期的にキーを変更し、新しいカードを印刷できます。
怠惰以外に、暗号化する理由notは本当に考えられません。誰かが駐車場からWiFiにランダムに接続する可能性を減らします。