¿Qué es más seguro contra la inyección de paquetes?

  

¿Qué red está más protegida contra la inyección de archivos, el craqueo de contraseñas o el inicio de sesión de fuerza bruta: una red que utiliza un portal cautivo, WPA2-PSK / ENTERPRISE o un servidor proxy?

Si bien su pregunta no es lo suficientemente clara a este respecto, la elección de opciones que ofrece sugiere que considere la seguridad desde la perspectiva del operador de la red que desea identificar y también proteger a sus usuarios. Como usuario, normalmente no tiene una opción, solo tiene que aceptar lo que el operador le ofrece.

Las tres opciones se pueden usar para la autenticación del cliente y parece que esto es lo que te interesa. El craqueo de contraseñas con o sin uso de la fuerza bruta funciona con todo esto. La rapidez con la que se detecta esto depende de las medidas de seguridad empleadas por el servidor de autenticación y la frecuencia con la que el front-end permite a un cliente probar otra autenticación.

Pero mientras que un portal cautivo y WPA2-PSK / ENTERPRISE esencialmente autorizan a la computadora cliente, un proxy autoriza un programa cliente (autenticación básica) o un usuario en el sistema (NTLM en una red de Windows). Esto hace una diferencia si tiene varios usuarios en el sistema y también hace una diferencia en la facilidad con que otro usuario puede falsificarlo: con una autenticación basada en el sistema, por lo general es suficiente para superar la dirección IP y quizás también el MAC de un usuario ya autorizado. pero cliente actualmente inactivo.

En cuanto a la inyección de archivos o paquetes: ninguna de las soluciones resuelve este problema de una manera específica. Si bien WPA2 cifra la conexión Wifi, las otras opciones funcionan en otros niveles, es decir, también funcionaría con WiFi cifrada pero también con Wifi abierto, cable ... Por lo tanto, no es posible compararlas en este nivel. Aparte de eso, ninguna de las opciones hace nada contra la falsificación de ARP, la falsificación de IP de origen o ataques similares que se utilizan para rastrear e inyectar y modificar paquetes.

  

¿Y es posible usar un servidor proxy y WPA2-ENTERPRISE simultáneamente en la misma red?

Sí, es posible combinarlos.

En resumen, esto se ve así:

• WiFi sin contraseña es totalmente inseguro. Puedes usar VPN (no proxy) pero es difícil usar VPN en todos los dispositivos.
• WPA2-PSK (Personal) está bien, excepto Evil Twin Attack, siempre que tenga algo como 14 caracteres, contraseña aleatoria con mayúsculas, minúsculas y números. Algunos van con 12 caracteres de longitud si la contraseña es realmente aleatoria.
• WPA2-EAP (Enterprise) si suele ser más seguro y resistente al Evil Twin Attack. Existe algún riesgo de seguridad en los protocolos EAP y las pilas de software en sus sistemas involucrados, sin embargo, esto es mucho más difícil de hacer y puede parchearse una vez que se encuentra la falla para que no se rompa por el diseño.
• WPA2-PSK / Enterprise no es realmente algo realmente común. Puede ser que sea algún tipo de información errónea porque este estándar no ha sido adoptado.
• Los portales cautivos se pueden usar con cualquiera de las variantes anteriores. Es más adecuado para los hoteles, por ejemplo,

Para mayor comodidad, seguridad y compatibilidad, puede utilizar WPA2-EAP / PAP, que utiliza el inicio de sesión y la contraseña, para que pueda ingresarlos en cada dispositivo. El portal cautivo tampoco es muy seguro porque alguien puede realizar MITM incluso con un certificado SSL falso. Es bueno para los clientes que pueden iniciar sesión con su cuenta de Facebook, por ejemplo. Con WPA2-EAP / PAP obtendría un nombre de usuario y una contraseña, de modo que simplemente ingréselo en un teléfono inteligente, computadora portátil, etc.

Puedes usar VPN en cualquier tipo de red WiFi. Si planea conectar múltiples dispositivos, podría configurar un enrutador dedicado que manejaría la VPN para todos los dispositivos, pero esto sería bastante complicado y difícil para que funcione de manera estable desde el principio. Creo que si puede obtener WPA2-EAP o una buena clave PSK, entonces estaría bien sin VPN. Sin embargo, si no confía en su proveedor, también puede obtener una, empezando desde su computadora portátil, por ejemplo, usándola en los móviles. es una gran matanza.