Je třeba si uvědomit, zda se bavíme o WPA nebo WPA2. WPA vznikla jako nouzovka, když se provalily slabiny WEP. Očekávalo se, že se výrobci chytnou za nos a dodají do svých krabic uprade firmware s WPA podporou, kde se to celé bude hroutit v CPU, takže se volil kompromis, aby to ještě fungovlo a zlepšil se stav WEP. Takže WPA neodolá dnešním možnostem ani v režimu pasivním.
U WPA2 je to trošku lepší, ale pokud znám dané sdílené heslo pro ověření, tak jsem schopen dešifrovat i komunikaci jiných, protože není implementován PFS princip.
To je u WPA/WPA2-PSK verze. Fakticky WPA zlomíte jen pasivním odposlechem, u WPA2-PSK je třeba už určitého zasahování nebo znalost toho sdíleného hesla.
Dané heslo slouží jako podklad pro klíč sloužící k ověření a vyjednání hesla pro spojení. (zadané heslo se vezme spolu s SSID, provádí se několik hash permutací a tím vznikne sdílený klíč pro ověření a vyjednání klíče spojení plus předání klíče skupinového). Vlasntí komunikace se pak šifruje klíčem spojení a data multicast/broadcast dalším sdíleným skupinovým klíčem, který znají všichni připojení. Čas od času se vyvolá překlíčovaní (dle nastavení AP mezi 5 min až 24 hod obvykle).
Pokud je použita enterprise verze, tak WPA2 se dá považovat za OK, pokud je v 802.1x použito něco, co je samo odolné, což znamená EAP-TLS (a klient ověřuje správně certifikát Radius serveru) nebo pokud se trvá na jméně/hesle, tak PEAP (aka EAP-TTLS a v něm tunelované obvykle MS-CHAPv2) a klient opět korektně ověřuje správnost ceritfikátu pro TLS tunel.
Pokud si tazazel ujasnil, že PSK mu stačí (WPA2-PSK samozřejmě, s výslověně zakázaným WPA) ve verzi s tím, že dá každému jiné heslo, ať nemusí uživatel obtěžovat s konfigurací 802.1x, tak u Mikrotiku postupuje cca následovně:
V /interface wireless security-profiles si udělá pro každého uživatele bezpečnostní profil plus jeden navíc sdílený, který nikomu nepoví. Ten sdílený profil nastavit přímo k wlan1 interface v /interface wireless set wlan1 security-profile=... A jednotlivé profily pro uživatele mlátím do connect listu, kdy je přistrkuji k mac adresám koncáků (můžu dát jeden profil k víc mac, pokud má notes, mobil, tablet) /interface wireless connect-list add mac-address=XXXXX security-profile=YYY.
Pokud je nad schopnosti koncáka sdělit jaké má MAC adresy na krabičkách má, tak postupuju tak, že vytvořený profil pro daného člověka prvně nastavím přímo na wlan1 interface, řejnu mu, ať se připojí všema krabičkama co má a jak tam je, tak si dám jeho MAC adresy zkopírovat z registration listu do connect listu a jen doklikám příslušný profil a následně na wlan1 dám zase ten vyhrazený profil.