WPA3 ужо прыняты, і з ліпеня 2020 года абавязковы для прылад якія праходзяць сертыфікацыю ў WiFi-Alliance, WPA2 ніхто не адмяняў і не збіраецца. Пры гэтым і WPA2, і WPA3 прадугледжваюць працу ў рэжымах PSK і Enterprise, але мы прапануем разгледзець у нашым артыкуле тэхналогію Private PSK, а таксама перавагі якіх можна дабіцца з яе дапамогай.
Праблемы WPA2-Personal даўно вядомыя і, у асноўным, ужо былі выпраўленыя (Priority Management Frames, выпраўленні для ўразлівасці KRACK і інш.). Асноўны які застаецца недахоп WPA2 c выкарыстаннем PSK у тым, што слабыя паролі досыць лёгка ўзломваюцца нападам па слоўніку. У выпадку ж кампраметацыі і змены пароля на новы, неабходна будзе пераканфігураваць усе падлучаныя прылады (і кропкі доступу), што можа апынуцца вельмі працаёмкім працэсам (для рашэння праблемы "слабога пароля" WiFi-Alliance рэкамендуе выкарыстоўваць паролі даўжынёй не меней 20 знакаў).
Яшчэ адным пытаннем, якое часам немагчыма вырашыць з дапамогай WPA2-Personal гэта прызначэнне розных прафайлаў (vlan, QoS, firewall…) на групы прылад, падлучаных да аднаго і таго ж SSID.
З дапамогай WPA2-Enterprise магчыма вырашыць усе апісаныя вышэй праблемы, але платай за гэта будуць:
- Неабходнасць наяўнасці або разгортванне PKI (Public Key Infrastructure) і сертыфікатаў бяспекі;
- Могуць узнікнуць складанасці з усталёўкай;
- Могуць узнікнуць складанасці з траблшутынгам;
- Ня аптымальнае рашэнне для IoT прылад або гасцявога доступу.
Больш радыкальным рашэннем праблем WPA2-Personal з'яўляецца пераход на WPA3, асноўным удасканаленнем якога з'яўляецца выкарыстанне SAE (Simultaneous Authentication of Equals) і статычных PSK. WPA3-Personal вырашае праблему з «нападам па слоўніку», але не забяспечвае ўнікальную ідэнтыфікацыю пры аўтэнтыфікацыі і адпаведна магчымасць прызначэнне прафайлаў (бо ўсё таксама выкарыстоўваецца агульны статычны пароль).
Пры гэтым яшчэ неабходна ўлічваць, што больш за 95% існуючых кліентаў у цяперашні час не падтрымліваюць WPA3 і SAE, а WPA2 паспяхова працягвае працаваць на мільярдах ужо выпушчаных прылад.
Для таго каб атрымаць рашэнне апісаных вышэй існых, ці патэнцыйна магчымых, праблем кампаніяй Extreme Networks была распрацавана тэхналогія Private Pre-Shared Key (PPSK). PPSK сумяшчальная з любым кліентам Wi-Fi, які падтрымлівае WPA2-PSK, і дазваляе атрымаць узровень бяспекі параўнальны з узроўнем які дасягаецца пры выкарыстанні WPA2-Enterprise, без неабходнасці пабудовы інфраструктуры 802.1X/EAP. Private PSK - гэта па сутнасці WPA2-PSK, але кожны карыстальнік (або група карыстальнікаў) можа мець свой уласны дынамічна генераваны пароль. Упраўленне PPSK нічым не адрозніваецца ад кіравання PSK, паколькі ўвесь працэс аўтаматызаваны. Базу дадзеных з ключамі можна захоўваць лакальна на кропках доступу ці ў воблаку.
Паролі могуць генеравацца аўтаматычна, ёсць магчымасць гнутка задаваць ім даўжыню/ўстойлівасць, перыяд або тэрмін дзеяння, спосаб дастаўкі да карыстальніка (на пошту ці SMS):
Можна таксама наладзіць максімальную колькасць кліентаў, якія змогуць падключыцца з дапамогай аднаго PPSK ці нават наладзіць "MAC-binding" падключаюцца прыладам. Па камандзе адміністратара сеткі любы ключ можа быць лёгка адкліканы, і доступ у сетку будзе забаронены без неабходнасці пераканфігуравання ўсіх астатніх прылад. Калі ў момант водгуку ключа кліент падлучаны, кропка доступу аўтаматычна яго адключыць ад сеткі.
З асноўных пераваг PPSK адзначым:
- прастата выкарыстання пры высокім узроўні бяспекі;
- адбіццё нападу па слоўніку вырашаецца з дапамогай доўгіх і ўстойлівых пароляў, якія ExtremeCloudIQ умее аўтаматычна генераваць і рассылаць;
- магчымасць прызначэння розных прафайлаў бяспекі на розныя прылады падлучаных да аднаго SSID;
- выдатна падыходзіць для бяспечнага гасцявога доступу;
- выдатна падыходзіць для бяспечнага доступу, калі прылады не падтрымліваюць 802.1X / EAP (ручныя сканары або прылады IoT/VoWiFi);
- паспяховае выкарыстанне і ўдасканаленне на працягу больш за 10 гадоў.
Любыя пытанні, якія ўзніклі або засталіся, заўсёды можна задаць супрацоўнікам нашага офіса – .
Крыніца: habr.com