使用 WPA2-PSK 的危险之一是攻击者可能会使用相同的 SSID 设置另一个无线网络,甚至通过 MAC 欺骗使用相同的接入点 MAC 地址。然后,攻击者可能会使用 deauth 攻击导致网络中的内部计算机必须重新进行身份验证,从而允许攻击者恢复足够的内容,最终以暴力方式进入您的无线网络。
但是,我不确定在使用 WPA2-Enterprise 之类的东西时这种攻击方法是否得到缓解。我是一名系统管理员,对我来说,使用内部 RADIUS 身份验证服务器设置 WPA2-Enterprise 并从 WPA2-PSK 迁移出来会相对简单(工作时间不到 1 小时)。然而,这是否缓解了邪恶双胞胎问题?
我会称之为邪恶的双胞胎攻击。公司笔记本电脑易受此影响的情况并不少见。
WPA2-Enterprise 支持许多 EAP - 可扩展身份验证协议。(维基百科文章)安全性取决于您使用的 EAP 以及您如何配置它。一些 EAP 比 PSK 更容易受到“邪恶双胞胎”攻击,因为攻击者不需要暴力破解密钥。
幸运的是,许多 EAP 可以抵御邪恶双胞胎。一种方法是在内部使用 TLS;PEAP 是一种流行的选择。为了抵御邪恶双胞胎,您必须启用证书验证并将证书分发给所有客户端。无需获得由根 CA 颁发的此类证书。
您说得对,WPA2-Enterprise 本身并不能解决蜜罐问题,但是您可以将 TLS 与它一起使用,确保服务器具有有效的证书,并且客户端将在身份验证之前对其进行检查,这应该处理问题。