تم اعتماد WPA3 بالفعل، ومنذ يوليو 2020 أصبح إلزاميًا للأجهزة التي تخضع لشهادة WiFi-Alliance، ولم يتم إلغاء WPA2 ولن يتم إلغاءه. في الوقت نفسه، يوفر كل من WPA2 وWPA3 التشغيل في وضعي PSK وEnterprise، لكننا نقترح النظر في مقالتنا حول تقنية PSK الخاصة، بالإضافة إلى المزايا التي يمكن تحقيقها بمساعدتها.
إن المشكلات المتعلقة بـ WPA2-Personal معروفة منذ فترة طويلة، وقد تم بالفعل إصلاحها في معظمها (إطارات إدارة الأولوية، وإصلاحات ثغرة KRACK، وما إلى ذلك). العيب الرئيسي المتبقي لـ WPA2 باستخدام PSK هو أنه من السهل اختراق كلمات المرور الضعيفة باستخدام هجوم القاموس. إذا تم اختراق كلمة المرور وتغيير كلمة المرور إلى كلمة مرور جديدة، فسيكون من الضروري إعادة تكوين جميع الأجهزة المتصلة (ونقاط الوصول)، والتي يمكن أن تكون عملية كثيفة العمالة (لحل مشكلة "كلمة المرور الضعيفة"، WiFi - توصي Alliance باستخدام كلمات مرور لا يقل طولها عن 20 حرفًا).
هناك مشكلة أخرى لا يمكن حلها في بعض الأحيان باستخدام WPA2-Personal، وهي تعيين ملفات تعريف مختلفة (شبكة محلية ظاهرية، جودة الخدمة، جدار الحماية...) لمجموعات من الأجهزة المتصلة بنفس SSID.
بمساعدة WPA2-Enterprise، من الممكن حل جميع المشكلات الموضحة أعلاه، ولكن ثمن ذلك سيكون:
- الحاجة إلى امتلاك أو نشر PKI (البنية التحتية للمفتاح العام) وشهادات الأمان؛
- قد يكون التثبيت صعبًا؛
- قد تكون هناك صعوبات في استكشاف الأخطاء وإصلاحها؛
- ليس الحل الأمثل لأجهزة إنترنت الأشياء أو وصول الضيف.
الحل الأكثر جذرية لمشاكل WPA2-Personal هو التبديل إلى WPA3، والتحسين الرئيسي له هو استخدام SAE (المصادقة المتزامنة للمساواة) وPSK الثابت. يحل WPA3-Personal مشكلة "هجوم القاموس"، لكنه لا يوفر تعريفًا فريدًا أثناء المصادقة، وبالتالي القدرة على تعيين ملفات التعريف (نظرًا لاستخدام كلمة مرور ثابتة شائعة أيضًا).
ويجب أيضًا أن يؤخذ في الاعتبار أن أكثر من 95% من العملاء الحاليين لا يدعمون حاليًا WPA3 وSAE، ويستمر WPA2 في العمل بنجاح على مليارات الأجهزة التي تم إصدارها بالفعل.
من أجل الحصول على حل للمشكلات الحالية أو المحتملة الموضحة أعلاه، قامت شركة Extreme Networks بتطوير تقنية المفتاح الخاص المشترك مسبقًا (PPSK). يتوافق PPSK مع أي عميل Wi-Fi يدعم WPA2-PSK، ويتيح لك تحقيق مستوى من الأمان مشابه لذلك الذي تم تحقيقه مع WPA2-Enterprise، دون الحاجة إلى إنشاء بنية تحتية 802.1X/EAP. PSK الخاص هو في الأساس WPA2-PSK، ولكن يمكن لكل مستخدم (أو مجموعة من المستخدمين) أن يكون لديه كلمة مرور خاصة به تم إنشاؤها ديناميكيًا. لا تختلف إدارة PPSK عن إدارة PSK نظرًا لأن العملية بأكملها تتم تلقائيًا. يمكن تخزين قاعدة البيانات الرئيسية محليًا على نقاط الوصول أو في السحابة.
يمكن إنشاء كلمات المرور تلقائيًا، ومن الممكن ضبط طولها/قوتها، ومدتها أو تاريخ انتهاء صلاحيتها، وطريقة تسليمها للمستخدم (عن طريق البريد الإلكتروني أو الرسائل القصيرة) بمرونة:
يمكنك أيضًا تكوين الحد الأقصى لعدد العملاء الذين يمكنهم الاتصال باستخدام PPSK واحد أو حتى تكوين "ربط MAC" للأجهزة المتصلة. وبأمر من مسؤول الشبكة، يمكن إلغاء أي مفتاح بسهولة، وسيتم رفض الوصول إلى الشبكة دون الحاجة إلى إعادة تكوين جميع الأجهزة الأخرى. إذا كان العميل متصلاً عند إلغاء المفتاح، فستقوم نقطة الوصول تلقائيًا بفصله عن الشبكة.
من بين المزايا الرئيسية لـ PPSK نلاحظ:
- سهولة الاستخدام مع مستوى عال من الأمان.
- يتم حل مشكلة صد هجوم القاموس باستخدام كلمات مرور طويلة وقوية، والتي يمكن لـ ExtremeCloudIQ إنشاؤها وتوزيعها تلقائيًا؛
- القدرة على تعيين ملفات تعريف أمان مختلفة لأجهزة مختلفة متصلة بنفس SSID؛
- رائعة للوصول الآمن للضيوف؛
- رائعة للوصول الآمن عندما لا تدعم الأجهزة 802.1X/EAP (الماسحات الضوئية المحمولة أو أجهزة IoT/VoWiFi)؛
- الاستخدام الناجح والتحسين لأكثر من 10 سنوات.
يمكن دائمًا طرح أي أسئلة تنشأ أو تبقى على موظفي مكتبنا - .
المصدر: www.habr.com