WPA je pro použití s RADIUS serverem (zabezpečení 802.1X). WPA-PSK (WiFi protected access - PreShared Key) je pro použití bez RADIUS serveru.
WPA je standard, který zahrnuje WEP + TKIP a umí i broadcast key rotation.
TKIP ... temporary key integrity protocol. Obsahuje PPK (per packet keying) a MIC (message integrity check)
PPK ... každý packet je šifrován jiným WEP klíčem. Ten je odvozen od WEP klíče a IV. Pokud dojde k vyčerpání unikátních IV (16,7 milionů kombinací), jsou opět použity stejné WEP packet klíče. Proto se do této doby musí změnit základní WEP klíč pomocí 802.1X (WPA si základní klíč mění také každých 10 000 paketů)
MIC ... kontroluje, zda packety dorazily ve správném pořadí a pokud ne, pak je zahazuje
Broadcast key rotation ... rotace brodcastového key klíče je zde dosazen proto, že TKIP může ochraňovat pouze unicast klíče. Proto je možné zaútočit odposlechnutím broadcastových packetů a využitím těchto WEP klíčů k útokům pomocí broadcastu. (Je možné, že tuto techniku používají pouze zařízení Cisco, proto ji dále nebudu popisovat)
Teď k nastavení WPA-PSK (WPA2-PSK jsem ještě nezkoušel, ale stačí použít místo TKIP AES+CCMP)
Na AP:
Nastavit šifrování TKIP
Nastavit Broadcast key rotation - pokud to AP umí
Nastavit otevřenou authentifikaci
Nastavit PSK
Na Clientovi:
Nastavit WPA-PSK
Nastavit šifru TKIP
Nastavit PSK
Co se týče Intel PROSet/Wireless, pak nové verze zvládají více druhů zabezpečení než většina ostatních karet, jelikož spolupracuje s Cisco. Z tohoto důvodu umožňuje i spoustu druhů authentifikace pomocí EAP, které jiné karty neumí. Používám Integrovanou kartu 2100 802.11B, mám možnost používat také 2200BG 802.11G. Každopádně je nutné udržovat tyto ovladače a software aktualizované (legální windows se většinou stará o aktualizace sám, proto tam už máte možnost WPA) nejen kvůli novým možnostem zabezpečení, ale také kvůli bezpečnostním dírám (byla objevena velká bezpečnostní díra pro všechny WiFi karty - nejen pro Intel).
K nastavení Intel PROSet/Wireless na WPA-PSK:
Na první záložce je třeba zrušit zaškrtnutí "Enable Cisco compatibility extension" (myslím, že to bylo třeba zaškrtnout jen pokud jsem měl skryté SSID nebo filtrování MAC adres)
Na další záložce je třeba nastavit Network Authentification: WPA-Personal, Data Encryption: TKIP a Pass Phrase:
Toť vše!!!