¿WPA2 Enterprise protege contra las evaslopping dentro de la red?

4

En casa, tengo un enrutador simple suministrado por el ISP donde he configurado una red inalámbrica WPA2-PSK para nuestras computadoras portátiles y otros dispositivos. Mientras jugaba con Wireshark, me di cuenta de que podía usar mi computadora portátil para ver qué hacía mi tableta en Internet, sin que la tableta notara nada.

Creo que esto funciona porque todos los dispositivos tienen la misma clave inalámbrica y no hay forma de enviar paquetes a un destinatario. Los destinatarios suelen ser lo suficientemente amables como para ignorar todos los paquetes que no están dirigidos a ellos.

Cuando las personas lo visiten, les daré la clave, ya que confío en ellos lo suficiente para realizar actividades ilegales (al menos a sabiendas) o escuchar mi tráfico. Sin embargo, podrían técnicamente. Se me ocurrió el caso extremo en el que Eve tomaría un teléfono inteligente viejo, ingresaría la clave de la red de Alice y lo cargaría detrás de algunos muebles. Registraría partes del tráfico (como solicitudes de DNS y contraseñas en HTTP) y lo enviaría a algún servidor. Alice no se daría cuenta de esto, e incluso si encuentra el teléfono, Eve podría decir que olvidó que cargó el teléfono allí.

¿La configuración de WPA2-Enterprise mitigaría este problema de rastreo, al menos en las diferentes identidades?

    
pregunta Martin Ueding 29.08.2014 - 20:16
fuente

4 respuestas

1

Si entiendo correctamente (la red inalámbrica no es una de mis áreas de especialización), WPA2-Enterprise negocia una clave de cifrado única para cada cliente, lo que debería dificultar mucho la detección pasiva de WiFi.

Por otro lado, si un usuario puede unirse a la red, no necesita preocuparse por cómo sus computadoras se comunican con el punto de acceso. Simplemente siempre puede intentar usar envenenamiento ARP para dirigir todo el tráfico a través de su máquina.

    
respondido por el lzam 29.08.2014 - 23:59
fuente
1

Sí, WPA2-Enterprise evita el rastreo que usted describe. Dado que cada cliente recibe un nuevo & PMK diferente para cada sesión que los clientes no pueden descifrar el tráfico de otros clientes.

Se puede evitar la aplicación de ARP activando la separación de clientes (de esa manera los clientes no podrán comunicarse entre sí, solo la red cableada). Aunque creo que la mayoría de los puntos de acceso más nuevos no permiten el paso de ningún ARP, sino que responden por sí mismos a los arps de la red cableada y los clientes inalámbricos, eliminando lo que no ven o no ven.

    
respondido por el Terrence Koeman 23.09.2016 - 09:10
fuente
0

: todo el proceso se denomina clave precompartida precisamente porque es una clave que permite acceder al grupo que tiene la clave para acceder. Si desea mantener un mayor control sobre quién puede o no puede acceder a la red, está utilizando el control a través de la dirección de hardware "de cada dispositivo que puede o no puede acceder a la red" y el control de configuración de la dirección IP, pero esto causa una ¡Excelente trabajo de administración y que no todos los dispositivos lo permiten, permiten solo unos pocos dispositivos de control en redes grandes y allí se vuelve un poco más complicado! Pero como siempre digo a quienes acuden a mí para pedir consejo, siempre vale la pena más mazo, tenga una buena clave "compartida", pero una clave de cifrado buena y bien diseñada de 128 bits o más doque usando solo una palabra o una pequeña Grupo de números como mucha gente lo hace! Con una clave precompartida puede "y debe actualizarla" periódicamente cada dos o tres semanas, es importante que la mantenga siempre actualizada, por lo que no tendrá problemas, incluso si un grupo de usuarios comparte la red con anterioridad. Más de 200 máquinas. Lo importante es mantenerlo bajo control y actualizado.

    
respondido por el Joke Sr. OK 29.08.2014 - 22:57
fuente
0

Creo que la forma más fácil de resolver este problema es transmitir múltiples SSID. La mayoría de los enrutadores SoHo tienen soporte para múltiples SSID.

Con varios SSID, puede designar 1 para uso personal / familiar y 1 para uso de invitados. El tráfico en cada SSID se aísla del otro a través del etiquetado de VLAN, sin embargo, sería prudente volver a verificar, ya que me he encontrado con algunos enrutadores que conectan las redes automáticamente y no tienen la opción de desactivar el puente.

Más información aquí: enlace

Con WPA2-Enterprise, necesita un enrutador que tenga un servidor de radio incorporado o que ejecute su propio servidor de radio en una máquina separada. El radio incorporado está disponible solo en algunos enrutadores de negocios.

    
respondido por el limbenjamin 28.11.2014 - 02:49
fuente

Lea otras preguntas en las etiquetas