如何避免WPA无线安全标准攻击(3)

　　战胜WPA攻击

　　说白了，避免受到这种攻击危害的最佳方法是停止使用TKIP。在这种攻击中被利用的MIC并没有被CCMP所采用，因此你最快捷的方法是开始使用WPA2，并对其进行配置，仅启用AES-CCMP。

　　Wi-Fi认证的产品要求使用WPA2已经有多年了，如果你一直依赖于标准的设备更新周期来从TKIP迁移那些陈旧的客户端，这种新的安全攻击可能成为完全放弃TKIP的动机。

　　然而，如果你的WLAN只包括一些较老的WPA设备(这些设备不可能由支持WPA2的设备来替换之)，你可以采取以下的步骤：

　　1. 如果你的接入点(或WLAN控制器)提供了选项来禁用MIC的失败报告，你需要重新配置接入点。这种安全性攻击要求MIC报告来区分错误的校验和及错误的MIC;关闭报告选项会挫败攻击，而不会影响WLAN的性能。

　　2. 如果你的接入点(或WLAN控制器)提供了一个可配置的WPA重建密钥的时间间隔，你应当减少此时间间隔，使攻击者猜到整个MIC密钥之前能够更新“密钥对”。 拓斯和拜克建议用120秒，思科建议用300秒来减少对WLAN中RADIUS的影响。

　　3. 如果你的接入点(或WLAN控制器)提供了选项禁用WMM，这可能会延长用来猜测MIC密钥的时间。但对防止攻击却是不够的，而且不可能成为WLAN安全性与功能性的一个很好的制衡点。

　　为进一步限制由更频繁的重建密钥所引起的额外成本，你可能需要将WPA客户端与WPA2客户端隔离开。将WPA客户端迁移到其自已的SSID有助于帮助管理员计划其退役进程，并更容易看出哪些设备有可能被攻击者实施漏洞利用。

　　最后，需要记住的是，WPA和WPA2并不是确保消息安全性的唯一方法。更高一层的VPN协议，如IPsec和SSL等都可以用其自己的加密消息认证来检测数据包伪造。虽然高层的VPN不能像ARP一样用于LAN广播数据包，但它们可用于护卫所有的TCP/IP数据包防止安全攻击，而无需依赖于WPA的安全检查。

（编辑：ASP站长网）