Skip to main content
简体中文

WPA、WPA2 和 WPA3:有何区别以及应选择哪个?

本篇权威技术参考指南探讨了 WPA、WPA2 和 WPA3 安全协议之间的架构差异。它为 IT 经理和网络架构师提供了可操作的部署建议,以保护企业和访客 WiFi 环境,同时确保合规性和最佳性能。

📖 7 min read📝 1,613 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
欢迎收听 Purple WiFi 智能简报。今天,我们将深入探讨当前企业网络中最重要的实际问题之一:WPA、WPA2 和 WPA3——它们到底有何不同,您的组织应该运行哪一个? 如果您负责酒店连锁、零售地产、体育场馆、会议中心或任何提供访客 WiFi 的公共部门场所,这与您的风险状况、合规义务,坦率地说,还有您的责任直接相关。您部署的 WiFi 安全协议不是一个一劳永逸的决定。它对于 GDPR 下的数据保护,对于如果您在该网络附近处理信用卡支付时的 PCI DSS 合规性,以及对于您的客人和访客对您品牌的信任,都有着实际的影响。 那么,让我们开始吧。我们将介绍每种协议的技术架构,真正的漏洞在哪里,如何做出部署决策,我将通过酒店业和零售业的几个真实案例来说明其中的利害关系。 从头说起。WPA——WiFi 保护访问——于 2003 年推出,本质上是一个紧急补丁。其前身 WEP 已被全面破解。研究人员证明,使用现成工具可以在不到一分钟的时间内破解 WEP 密钥。WiFi 联盟需要快速解决方案,因此 WPA 被设计为通过固件更新在现有硬件上运行。这一限制决定了它的一切。 WPA 使用 TKIP——临时密钥完整性协议——进行加密。在当时的情况下,TKIP 是巧妙的工程设计:它为每个数据包生成一个新的加密密钥,这解决了 WEP 灾难性的密钥重用问题。但 TKIP 建立在 RC4 之上,与 WEP 相同的底层密码,到 2009 年,针对 TKIP 的实际攻击已有记录。如果您在 2024 年仍然在网络上有仅支持 WPA 的设备,那是一个真正的安全责任。 WPA2 于 2004 年出现,并带来了根本性的架构转变。它用 AES-CCMP——计数器模式及 CBC-MAC 协议下的高级加密标准——取代了 TKIP。AES 是分组密码,而不是流密码,CCMP 在单个操作中同时提供加密和消息完整性。这是一个实质上更强大的基础。从 2006 年起,WPA2 成为所有 WiFi CERTIFIED 设备的强制性要求,这就是它今天仍然是大多数企业网络上主导协议的原因。 WPA2 有两种形式,这种区别对于场所运营商来说非常重要。WPA2-Personal 使用预共享密钥——一个在所有设备之间共享的单一密码。该 SSID 上的每个设备都使用相同的密钥材料来派生会话密钥。问题在于四次握手:如果攻击者捕获了该握手——这在设备连接时范围内被动发生——他们就可以对其进行离线字典攻击。在消费级 GPU 硬件上运行的像 Hashcat 这样的工具每秒可以测试数十亿个密码组合。在您的 WPA2-Personal 网络上,弱密码短语不是一个有意义的安全控制。 WPA2-Enterprise 则完全不同。它使用 IEEE 802.1X 身份验证,这意味着每个用户或设备都提供个人凭证——通常通过 EAP,即可扩展身份验证协议。网络从不发放共享秘密。身份验证通过 RADIUS 服务器进行中介,该服务器根据您的目录服务——Active Directory、LDAP 或云身份提供商——验证凭证。每个经过身份验证的会话都会获得唯一的密钥材料。泄露一台设备的凭证不会暴露任何其他会话。对于企业网络,WPA2-Enterprise 是基线期望。 现在,WPA3。2018 年获得 WiFi 联盟批准,并从 2020 年 7 月起对 Wi-Fi CERTIFIED 设备强制执行,WPA3 解决了 WPA2 中二十年来密码学研究暴露的结构性弱点。 WPA3-Personal 的主要变化是用 SAE——对等同时认证,也称为蜻蜓握手——取代了四次握手。SAE 是一种零知识证明协议。即使攻击者捕获了身份验证交换,他们也无法对其进行离线字典攻击。每次身份验证尝试都需要与接入点进行主动交互,这使得暴力破解攻击在计算上不切实际。这同时解决了 KRACK 漏洞类别和离线字典攻击问题。 WPA3-Enterprise 增加了 192 位安全模式,使用 AES-GCMP-256 进行加密,并使用 HMAC-SHA-384 保证消息完整性。这与 NSA 的商业国家安全算法套件保持一致,如果您在政府、国防或金融服务环境中运营,而这些环境强制要求这些标准,那么这一点就很重要。 WPA3 的第三个主要功能是前向保密。在 WPA2 中,如果攻击者记录了加密流量,并在随后获得了网络密码,他们可以追溯解密所有历史流量。WPA3 的 SAE 握手生成临时会话密钥——每个会话的密钥是独立的。泄露长期凭证不会解锁过去的会话。对于处理敏感访客数据的场所,这是一个有意义的风险降低。 还有 WPA3 的增强开放模式——OWE,机会性无线加密。这是专门为开放网络设计的:即您在酒店、机场和零售环境中看到的访客 WiFi 类型。OWE 提供未经认证的加密——无需密码,但每个设备与接入点之间的流量是单独加密的。它在不增加任何连接摩擦的情况下消除了开放网络上的被动窃听。 一个实际考虑因素:WPA3 要求接入点和客户端设备都支持 WPA3。从 2019 年起出货的大多数企业级接入点都支持 WPA3。客户端设备支持在运行 iOS 13 或更高版本、Android 10 或更高版本以及 Windows 10 版本 1903 或更高版本的设备上几乎是普遍的。过渡模式——在同一个 SSID 上同时运行 WPA2 和 WPA3——是迁移期间的标准部署方法。 那么,这在实际中意味着什么?以下是我构建部署决策的方式。 对于企业或员工网络,答案很简单:WPA2-Enterprise 或 WPA3-Enterprise,使用 802.1X 身份验证,并配备 RADIUS 服务器和基于证书的 EAP——理想情况下是 EAP-TLS。如果您的硬件支持 WPA3-Enterprise,请在过渡模式下启用它,以便在迁移期间 WPA2 客户端仍然可以连接。这是您控制风险的推进路径。 对于酒店业、零售业或活动中的访客网络——这就是有趣的地方。传统方法是使用带有共享密码短语的 WPA2-Personal,通常印在前台的卡片上。这是一个薄弱的控制,并且在 GDPR 下造成了合规难题,因为您无法了解网络上有谁。更好的方法是在 WPA2-Personal 或 WPA3-Personal 上使用 captive portal,并结合像 Purple 这样的平台,在身份验证时捕获经过同意的第一方数据。您在一个流程中获得身份、同意和分析。如果您的硬件支持 OWE,为访客 SSID 部署增强开放,无需任何密码摩擦即可消除窃听风险。 需要注意的陷阱:首先,混合模式部署,其中较旧的 IoT 设备——例如酒店房间控制器、零售销售点终端、CCTV 系统——仅支持 WPA2 甚至 WPA。将这些设备分段到具有适当防火墙规则的专用 VLAN 上,而不是将整个网络降低到最低共同标准。其次,WPA2 和 WPA3-Enterprise 部署中的证书管理。证书过期是企业 WiFi 中断的最常见原因之一。自动化续期,监控到期日期,并在需要之前测试您的证书吊销过程。第三,不要假设 WPA3 过渡模式是无缝的——在推出到生产环境之前,在您的特定环境中测试客户端兼容性。 我被经常问到的几个问题。 我可以只通过更改设置升级到 WPA3 吗?在现代企业接入点上,可以,您可以通过配置更改在过渡模式下启用 WPA3。但请先验证您的客户端设备兼容性,并检查您的 RADIUS 基础设施是否支持更新的 EAP 方法,如果您使用的是企业模式。 WPA2 对于合规性仍然可以接受吗?对于 PCI DSS 4.0,具有强 EAP 方法的 WPA2-Enterprise 仍然符合要求。在 PCI 范围内,越来越难以证明 WPA2-Personal 的合理性。GDPR 没有强制要求特定协议,但它确实要求采取适当的技术措施——在处理个人数据的访客网络中使用 WPA2-Personal,在发生泄露后很难向监管机构辩解。 WPA3 和 IoT 设备呢?2020 年之前发货的大多数 IoT 设备不支持 WPA3。将它们分段。不要让它们限制您网络其余部分的安全态势。 WPA3 会影响吞吐量吗?影响可以忽略不计。SAE 握手在关联时间增加了少量的计算开销,但一旦连接,对数据吞吐量没有影响。 总结一下:WPA 已到生命周期终点——将其从您的环境中移除。WPA2-Enterprise 仍然是企业网络的可靠基线,WPA3-Enterprise 是明确的升级路径。对于访客网络,远离共享密码短语:部署带有同意数据捕获的 captive portal,并在您的硬件支持的情况下启用 OWE 或 WPA3-Personal。 实际下一步是审计。盘点您的接入点,检查固件版本和 WPA3 支持,对 IoT 设备进行分段,并评估您的 RADIUS 基础设施。如果您正在为访客 WiFi 运行 Purple,您已经拥有身份验证和分析层——问题是您的基础协议是否为其提供了应有的安全基础。 感谢您的收听。如果您觉得有用,可以在 purple dot ai 上找到完整的书面指南,包含架构图、部署检查清单和实际案例。下次再见。

header_image.png

执行摘要

对于运营企业环境的 IT 经理、网络架构师和 CTO 来说,WiFi 安全协议的选择是一项至关重要的风险管理决策。随着 酒店业零售业医疗保健业交通运输业 的场所不断扩大其无线覆盖范围,依赖过时的安全标准会带来严重漏洞。本技术参考指南对 WPA、WPA2 和 WPA3 架构进行了权威比较,详细介绍了它们的密码学基础和运营影响。

尽管 WPA2 作为行业标准已经使用了近二十年,但其结构性漏洞——特别是针对四次握手的离线字典攻击——使得向 WPA3 过渡成为必要。WPA3 引入了对等同时认证(SAE)以消除这些风险,同时引入增强开放(OWE)来保护未经认证的访客网络。对于企业运营商来说,要求很明确:必须从环境中清除 WPA,WPA2-Enterprise 仍然是企业访问的可行基线,而 WPA3 必须逐步采用,以确保长期符合 PCI DSS 和 GDPR 的要求。本指南概述了这些协议背后的技术机制,并提供了用于现代化无线基础设施的与供应商无关的部署策略。

技术深度剖析:架构演变

WiFi 保护访问(WPA)的发展反映了密码安全与计算能力之间持续的军备竞赛。理解每种协议的底层机制对于设计有弹性的网络架构至关重要。

WPA:紧急补丁

WPA 于 2003 年推出,旨在快速应对有线等效保密(WEP)的灾难性失败。WPA 的主要创新是临时密钥完整性协议(TKIP),它为每个数据包动态生成新的 128 位加密密钥。这解决了 WEP 静态密钥重用漏洞。然而,由于 WPA 必须在传统 WEP 硬件上运行,TKIP 建立在相同的 RC4 流密码之上。到 2009 年,密码学研究表明存在针对 TKIP 的实际攻击,使 WPA 从根本上不安全。在现代企业环境中,WPA 是一个严重的安全责任,必须主动弃用。

WPA2:企业基线

WPA2 于 2004 年获批,它通过用计数器模式及密码块链消息认证码协议(CCMP)下的高级加密标准(AES)替换 TKIP,带来了结构性的转变。AES 是一种强大的分组密码,CCMP 则同时提供加密和数据完整性验证。这一架构使 WPA2 成为企业网络的主导标准。

然而,WPA2 分为两种不同的运作模式:

**WPA2-Personal(PSK):**此模式依赖于预共享密钥(PSK)。同一服务集标识符(SSID)上的每个设备在四次握手期间使用相同的密码短语来派生会话密钥。这里的关键漏洞是四次握手可以被被动捕获。攻击者随后可以使用高性能 GPU 集群对捕获的握手进行离线字典攻击。因此,如果密码短语缺乏足够的熵,WPA2-Personal 针对定向攻击提供的安全性极低。

**WPA2-Enterprise(802.1X):**相比之下,WPA2-Enterprise 利用 IEEE 802.1X 进行基于端口的网络访问控制。设备不共享通用密码短语;相反,它们使用可扩展身份验证协议(EAP)单独进行身份验证。身份验证由 RADIUS 服务器与目录服务(例如 Active Directory 或 LDAP)通信进行中介。每个经过身份验证的会话都会获得唯一的加密密钥材料。此架构降低了与共享密码短语相关的风险,并且仍然是企业网络访问的基线标准。

comparison_chart.png

WPA3:现代标准

自 2020 年 7 月起,对于 Wi-Fi CERTIFIED 设备强制使用,WPA3 解决了 WPA2 在其生命周期中暴露的密码漏洞。

**WPA3-Personal(SAE):**WPA3-Personal 的定义性特征是用对等同时认证(SAE),也称为蜻蜓握手,取代易受攻击的四次握手。SAE 是一种零知识证明协议。它需要在每次身份验证尝试时与接入点进行主动交互,使得离线字典攻击在计算上不可行。这有效地消除了 KRACK(密钥重装攻击)漏洞类别。

**WPA3-Enterprise:**WPA3-Enterprise 通过引入可选的 192 位安全套件增强了企业安全性。此模式使用 AES-GCMP-256 进行加密,并使用 HMAC-SHA-384 保证消息完整性,符合高安全性政府和金融部署所需的商业国家安全算法(CNSA)套件。

**前向保密:**WPA3 通过 SAE 握手生成临时会话密钥来实现前向保密。如果攻击者记录了加密流量并随后获取了网络凭证,他们无法追溯解密历史流量。对于处理敏感数据的场所来说,这是一个关键的风险降低机制。

**增强开放(OWE):**对于访客网络,WPA3 引入机会性无线加密(OWE)。OWE 提供未经认证的加密——设备无需密码即可连接,但设备与接入点之间的流量是单独加密的。这消除了对开放访客网络的被动窃听,而不会带来连接摩擦。

实施指南:保护企业环境

部署现代 WiFi 安全需要采用分段方法,平衡企业访问的严格需求与访客网络和传统 IoT 设备的运维现实。

architecture_overview.png

企业网和员工网络

对于内部网络,目标是强身份验证和强大的加密。

  1. **强制 802.1X 身份验证:**部署 WPA2-Enterprise 或 WPA3-Enterprise。绝不要对员工网络使用 WPA2-Personal。
  2. **实施强 EAP 方法:**尽可能使用 EAP-TLS(传输层安全),因为它需要客户端和服务器证书,提供了最高级别的保证。如果证书部署不切实际,可以使用 PEAP-MSCHAPv2,前提是客户端严格验证 RADIUS 服务器证书。
  3. **启用 WPA3 过渡模式:**如果您的接入点支持 WPA3,请启用过渡模式。这允许支持 WPA3 的客户端从 SAE 和前向保密中受益,同时保持传统 WPA2 客户端的连接。监控 RADIUS 日志以跟踪客户端设备的迁移率。

访客 WiFi 和公共接入

访客网络提出了一个独特的挑战:平衡安全性、合规性和用户体验。广播共享 WPA2-Personal 密码的传统方法既不安全,也不符合数据隐私法规,因为它无法提供用户身份的可见性。

  1. **部署 Captive Portal:**实现一个开放的 SSID 或 WPA2/WPA3-Personal SSID 与 captive portal 集成。这确保用户必须进行身份验证并接受条款和条件后才能获得网络访问。
  2. **利用身份提供商:**使用像 Purple 这样的平台来管理访客身份验证。Purple 可以在 Connect 许可下充当像 OpenRoaming 这样的服务的免费身份提供商,简化访问,同时为 WiFi Analytics 捕获经过同意的第一方数据。
  3. **启用 OWE:**如果您的基础设施支持,请在开放的访客 SSID 上启用以机会性无线加密(OWE)。这会在不需要用户输入密码的情况下加密访客流量以防范被动嗅探,从而显著改善 Guest WiFi 环境的安全态势。

IoT 和传统设备分段

许多 IoT 设备——例如传统的销售点终端、楼宇管理系统和 IP 摄像头——不支持 WPA3 或 802.1X 身份验证。

  1. **隔离传统设备:**不要为了迁就传统设备而降低主网络的安全性。相反,请为 IoT 硬件创建专用的 VLAN 和 SSID。
  2. **实施 MPSK/PPSK:**在您的供应商支持的情况下,对 IoT 网络使用多预共享密钥(MPSK)或私有预共享密钥(PPSK)。这为每个单独的 IoT 设备分配唯一的 WPA2 密码短语,在单个设备遭到入侵时限制影响范围。
  3. **限制横向移动:**对 IoT VLAN 应用严格的防火墙规则,仅允许必要的出站通信,并阻止横向移动到企业子网。

最佳实践与合规性

维护安全的无线环境需要持续的运维纪律。

  • **证书生命周期管理:**在 WPA2/WPA3-Enterprise 部署中,过期的 RADIUS 证书是网络中断的主要原因。实施自动证书续期并严格监控到期日期。
  • **非法 AP 检测:**利用接入点的无线入侵防御系统(WIPS)功能来检测和消除广播您企业 SSID 的非法接入点。
  • **PCI DSS 4.0 合规性:**对于处理支付卡数据的环境,WPA2-Personal 通常是不够的。PCI DSS 要求强加密和访问控制。需要 WPA2-Enterprise 或 WPA3-Enterprise 以及强大的 EAP 方法来保持合规性。
  • **定期审计:**对您的无线基础设施进行季度审计,验证固件版本、加密配置以及 IoT 设备的分段。

故障排除与风险缓解

在过渡到 WPA3 或管理混合环境时,通常会出现特定的故障模式:

  • **客户端兼容性问题:**某些传统客户端可能会由于驱动程序实现不佳而无法连接到以 WPA3 过渡模式运行的 SSID。如果发生这种情况,您可能需要为传统设备维护一个仅 WPA2 的单独 SSID,直到它们被淘汰。
  • **802.1X 超时错误:**WPA2/WPA3-Enterprise 中的身份验证超时通常是由于 RADIUS 服务器和目录服务之间的延迟,或者客户端申请程序配置错误无法验证服务器证书造成的。确保 RADIUS 服务器在地理上靠近接入点,并且客户端信任存储区已正确配置。
  • **PMF 不兼容:**在 WPA3 中,受保护的管理帧(PMF)是强制性的,并且在 WPA2 中强烈建议使用以防止解除认证攻击。然而,一些较旧的 WPA2 客户端不支持 PMF,如果 PMF 设置为“必需”,则将无法关联。在过渡阶段将 PMF 设置为“可选”。

投资回报率与业务影响

升级无线安全协议不仅仅是一项技术任务;它还能带来切实的业务价值:

  • **风险缓解:**过渡到 WPA3 和 WPA2-Enterprise 可显著降低成功无线入侵的可能性,从而减轻与数据泄露相关的财务和声誉损害。
  • **合规保证:**与现代密码标准保持一致,可确保符合 PCI DSS、GDPR 和特定行业的法规,避免监管罚款并简化审计流程。
  • **运营效率:**实施自动证书管理和 802.1X 身份验证,可降低与管理共享密码以及排查连接问题相关的运营开销。
  • **提升访客体验:**通过像 Purple 这样的平台部署 OWE 和无缝 captive portal 身份验证,通过提供安全、无摩擦的连接,改善了访客体验,从而提高了采用率,并为营销活动获取了更丰富的数据。有关优化身份验证流程的见解,请参阅 10 个最佳 WiFi 启动页面示例(以及它们成功的原因)

收听我们关于 WPA、WPA2 和 WPA3 的全面简报,以获取更多见解:

Key Definitions

802.1X

一项用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

WPA2/WPA3-Enterprise 的基础,要求在授予网络访问权限之前,使用 RADIUS 服务器验证个人用户或设备凭证。

AES-CCMP

带计数器模式 CBC-MAC 协议的高级加密标准。WPA2 中引入的一种强大的加密协议。

取代易受攻击的 TKIP 的标准加密机制,提供数据机密性和完整性。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种需要客户端和服务器证书的身份验证方法。

被认为是企业 WiFi 身份验证的黄金标准,因为它消除了对密码的依赖并防止凭证被盗。

Four-Way Handshake

WPA2-Personal 中使用预共享密钥(PSK)派生加密密钥并建立安全会话的过程。

WPA2-Personal 中的主要漏洞点,因为它可以被捕获并遭受离线字典攻击。

Opportunistic Wireless Encryption (OWE)

WPA3 的一项功能,为开放 WiFi 网络提供未经认证的加密。

对于保护访客 WiFi 环境至关重要,可在不需要用户输入密码的情况下防止被动窃听。

RADIUS

远程身份验证拨入用户服务。一种网络协议,提供集中式身份验证、授权和计费(AAA)管理。

部署 WPA2-Enterprise 或 WPA3-Enterprise 所需的核心基础设施组件,在接入点和目录服务之间中介身份验证。

Simultaneous Authentication of Equals (SAE)

WPA3-Personal 中使用的一种安全密钥建立协议,取代了四次握手。

通过要求每次身份验证尝试都进行主动交互来防止离线字典攻击,即使使用弱密码也能保护网络。

TKIP

临时密钥完整性协议。与 WPA 一起引入的旧加密协议,旨在取代 WEP。

现在被认为非常脆弱且已弃用。它在网络上的存在表明存在严重的安全风险。

Worked Examples

一家拥有 200 间客房的酒店需要升级其无线基础设施。当前设置对所有客人和酒店员工(客房服务平板电脑、维护设备)使用单一的 WPA2-Personal SSID。客人的密码印在钥匙卡套上。IT 经理应如何重新设计此架构以确保安全性和合规性?

IT 经理必须将网络分段为映射到单独 VLAN 的不同 SSID。

  1. **员工网络:**为员工设备创建一个隐藏的 SSID,使用 WPA2-Enterprise 或 WPA3-Enterprise(802.1X)。客房服务平板电脑和维护设备应使用通过移动设备管理(MDM)解决方案管理的客户端证书(EAP-TLS)进行身份验证。这消除了共享密码,并允许撤销单个设备。
  2. **访客网络:**如果硬件允许,创建一个使用 WPA3 增强开放(OWE)的开放 SSID,确保在无需密码的情况下进行加密传输。通过像 Purple 这样的平台与 captive portal 集成,以处理服务条款接受并为营销分析捕获经过同意的身份数据。
  3. **IoT 网络:**为传统酒店系统(例如智能恒温器)创建一个专用 SSID,使用带有多预共享密钥(MPSK)的 WPA2-Personal,为每种设备类型分配唯一的密码,并限制该 VLAN 访问互联网或企业子网。
Examiner's Commentary: 这种方法有效地降低了原始扁平网络的风险。通过为员工实施 802.1X,酒店实现了强大的访问控制。将访客转移到带有 OWE 的 captive portal 改善了用户体验,同时通过建立用户身份确保符合数据保护法规。对 IoT 使用 MPSK 隔离了易受攻击的设备,而无需进行硬件升级。

一家大型零售连锁店正在 50 个地点部署新的销售点(POS)终端。网络架构师必须确保无线部署符合 PCI DSS 4.0 要求。现有网络使用 WPA2-Personal 和一个复杂且频繁轮换的密码短语。这足够吗?

不,在现代零售环境中,无论密码复杂性或轮换频率如何,依赖 WPA2-Personal 都不足以满足 PCI DSS 合规性。网络架构师必须为 POS 网络部署 WPA2-Enterprise 或 WPA3-Enterprise。

  1. **身份验证:**使用 RADIUS 服务器实施 802.1X 身份验证。每个 POS 终端必须配备唯一的客户端证书(EAP-TLS)以进行网络身份验证。
  2. **加密:**确保网络配置为使用 AES-CCMP(WPA2)或 AES-GCMP(WPA3)。必须在无线控制器上明确禁用 TKIP。
  3. **分段:**POS SSID 必须映射到一个高度受限的 VLAN,该 VLAN 仅允许流量到达支付处理网关。它必须与商店的企业网和访客网络完全隔离。
Examiner's Commentary: PCI DSS 要求强加密和个人问责制。WPA2-Personal 未能满足问责制要求,因为所有设备共享相同的凭证。EAP-TLS 提供了最强大的相互身份验证形式,确保只有经过授权的企业设备才能连接到支付网络,并防止非法接入点拦截支付流量。

Practice Questions

Q1. 您的组织正在将企业网络从 WPA2-Personal 迁移到 WPA3-Enterprise。在部署期间,一些运行过时无线驱动程序的旧笔记本电脑无法连接到新的 SSID,即使配置了正确的证书也是如此。最安全的临时解决方案是什么?

Hint: 考虑降低主企业网络等级与隔离问题设备的影响。

View model answer

创建一个临时的、隐藏的 WPA2-Enterprise SSID,专门用于传统笔记本电脑,并映射到相同的企业 VLAN。不要将主 SSID 降级为 WPA2-Personal 或禁用 WPA3。优先更新无线驱动程序或更换传统笔记本电脑上的网卡,以尽快完全停用临时 WPA2-Enterprise SSID。

Q2. 一家医院的 IT 主管希望保护公共访客 WiFi 网络。他们提议实施 WPA2-Personal,并在候诊区的数字标牌上显示密码,以防止路过时的窃听。为什么这种方法有缺陷?推荐的替代方案是什么?

Hint: 评估公开广播密码的安全价值以及访客身份的合规要求。

View model answer

广播 WPA2-Personal 密码提供的安全性可以忽略不计,因为范围内的任何人都可以捕获四次握手,并且如果他们知道密码(公开展示的)就可以解密流量。此外,它无法提供用户身份的可见性,使事件响应和合规性复杂化。推荐的替代方案是部署一个带有 WPA3 增强开放(OWE)的开放 SSID,以在没有密码的情况下加密传输流量,并与 captive portal 集成以对用户进行身份验证、接受服务条款并捕获身份数据。

Q3. 您正在审计一个零售环境,发现仓库中的无线条码扫描器通过 WPA(TKIP)连接,因为其固件无法更新以支持 WPA2。仓库经理由于预算限制拒绝更换扫描器。您如何缓解此风险?

Hint: 在处理不安全的传统硬件时,重点关注网络分段和访问控制。

View model answer

必须通过严格的网络分段来控制风险。将条码扫描器移至具有自己的隐藏 SSID 的专用隔离 VLAN。在路由器/防火墙上实施严格的防火墙规则,仅允许扫描器在所需端口上与特定库存管理服务器通信。阻止来自扫描器 VLAN 的所有互联网访问以及到其他企业子网的所有横向移动。