WPA2 Enterpriseはネットワーク内からの回避を防止しますか？

セッションキーを含む最初のEAPOL登録を偶然キャプチャした場合を除き、ワイヤレスネットワーク上の他のユーザーからのユニキャストトラフィックを表示することはできません。それ以外の場合は、監視モードであっても、他のすべてのデバイスによって受信されるように設計されており、セキュリティリスクをもたらすことのないブロードキャストトラフィックのみが表示されます。このブロードキャストトラフィックに気づき、ネットワーク上の他のデバイスからのすべての通信を確認できると思いました。

これはWPA2の機能であり、特にWPA2-Enterpriseの機能ではありません。スタックのより高いレベルで発生するその他のもの（ARPなど）は、この状況に影響を与えません。 WPA2は、有線ネットワークスイッチに類似したものと考えることができます。

私が正しく理解している場合（ワイヤレスネットワーキングは私の専門分野ではありません）、WPA2-Enterpriseは各クライアントの一意の暗号化キーをネゴシエートします。

一方、ユーザーがネットワークに参加できる場合は、コンピューターがアクセスポイントと通信する方法を気にする必要はありません。彼はいつでも ARP poisoning を使用して、すべてのトラフィックを自分のマシンにルーティングすることができます。

はい、WPA2-エンタープライズは、あなたが説明する盗聴を防ぎます。すべてのクライアントはセッションごとに新しい異なるPMKを取得するため、クライアントは他のクライアントのトラフィックを復号化できません。

クライアントの分離をオンにすることで、ARPの位置付けを防ぐことができます（これにより、クライアントは相互に到達できなくなり、有線ネットワークのみに到達します）。最近のほとんどのアクセスポイントはARPの通過さえ許可しないと思いますが、それ自体が有線ネットワークとワイヤレスクライアントへのARPに応答し、それらが見えないもの、または見えないものを取り除きます。

この問題を解決する簡単な方法は、複数のSSIDをブロードキャストすることだと思います。ほとんどのSoHoルーターは、複数のSSIDをサポートしています。

複数のSSIDを使用して、個人/家族用に1、ゲスト用に1を指定できます。各SSIDのトラフィックは、VLANタグ付けによって他から隔離されますが、ネットワークを自動的にブリッジするルーターを無効にし、ブリッジ。

詳細はこちら： https://superuser.com/questions/354958/how-do-multiple-ssids-provide-security

WPA2エンタープライズの場合、内蔵のRADIUSサーバーを備えたルーターが必要か、別のマシンで独自のRADIUSサーバーを実行します。組み込みの半径は、一部のビジネスルーターでのみ使用できます。

アクセスするキーを持つグループへのアクセスを許可するキーであるため、プロセス全体が事前共有キーと呼ばれます。誰がネットワークにアクセスできるかできないかをさらに制御したい場合は、「ネットワークにアクセスできるかどうかにかかわらず、各デバイスの」ハードウェアアドレスによる制御とIPアドレスの設定制御を使用しますが、これにより、管理の素晴らしい仕事とすべてのデバイスが許可するわけではありません、彼らは大規模なネットワークでいくつかの制御デバイスのみを許可し、そこでは少し複雑になります！

しかし、アドバイスを求めてくる人にいつも言っているように、デッキを増やす価値は常にあります。同じ鍵を「同じに共有」できますが、128ビット以上の適切に設計された優れた暗号鍵は、1つのWordまたは小さな多くの人々がそれを行うので、数字のグループ！

事前共有キーを使用すると、2週間または3週間ごとに定期的に「更新する必要があります」ので、常に更新しておくことが重要です。そのため、ネットワークを持つユーザーのグループによって事前共有されていても問題はありません。 200台以上のマシン。重要なことは、それを管理し、更新することです。