Private PSK (Pre-Shared Key) – особенности и возможности платформы ExtremeCloud IQ

WPA3 уже принят, и с июля 2020 обязателен для устройств которые проходят сертификацию в WiFi-Alliance, WPA2 никто не отменял и не собирается. При этом и WPA2, и WPA3 предусматривают работу в режимах PSK и Enterprise, но мы предлагаем рассмотреть в нашей статье технологию Private PSK, а также преимущества которых можно добиться с её помощью.

Проблемы WPA2-Personal давно известны и, в основном, уже были исправлены (Priority Management Frames, исправления для уязвимости KRACK и др.). Основной остающийся недостаток WPA2 c использованием PSK в том, что слабые пароли достаточно легко взламываются атакой по словарю. В случае же компрометации и смены пароля на новый, необходимо будет переконфигурировать все подключенные устройства (и точки доступа), что может оказаться весьма трудоёмким процессом (для решения проблемы «слабого пароля» WiFi-Alliance рекомендует использовать пароли длиной не менее 20 символов).

Еще одним вопросом, который порой невозможно решить с помощью WPA2-Personal это назначение различных профайлов (vlan, QoS, firewall…) на группы устройств, подключенных к одному и тому же SSID.

С помощью WPA2-Enterprise возможно решить все описанные выше проблемы, но платой за это будут:

• Необходимость наличия или развертывание PKI (Public Key Infrastructure) и сертификатов безопасности;
• Могут возникнуть сложности с установкой;
• Могут возникнуть сложности с траблшутингом;
• Не оптимальное решение для IoT устройств или гостевого доступа.

Более радикальным решением проблем WPA2-Personal является переход на WPA3, основным усовершенствованием которого является использование SAE (Simultaneous Authentication of Equals) и статических PSK. WPA3-Personal решает проблему с «атакой по словарю», но не обеспечивает уникальную идентификацию при аутентификации и соответственно возможность назначение профайлов (так как всё также используется общий статический пароль).

При этом еще необходимо учитывать, что более 95% существующих клиентов в настоящее время не поддерживают WPA3 и SAE, а WPA2 успешно продолжает работать на миллиардах уже выпущенных устройств.

Для того чтобы получить решение описанных выше существующих, или потенциально возможных, проблем компанией Extreme Networks была разработана технология Private Pre-Shared Key (PPSK). PPSK совместима с любым клиентом Wi-Fi, который поддерживает WPA2-PSK, и позволяет получить уровень безопасности сравнимый с уровнем который достигается при использовании WPA2-Enterprise, без необходимости построения инфраструктуры 802.1X/EAP. Private PSK — это по сути WPA2-PSK, но каждый пользователь (или группа пользователей) может иметь свой собственный динамически генерируемый пароль. Управление PPSK ничем не отличается от управления PSK, поскольку весь процесс автоматизирован. Базу данных с ключами можно хранить локально на точках доступа или в облаке.

Пароли могут генерироваться автоматически, есть возможность гибко задавать им длину/стойкость, период или срок действия, способ доставки до пользователя (на почту или SMS):

Можно также настроить максимальное количество клиентов, которые смогут подключится с помощью одного PPSK или даже настроить “MAC-binding” подключаемым устройствам. По команде администратора сети любой ключ может быть легко отозван, и доступ в сеть будет запрещен без необходимости переконфигурирования всех остальных устройств. Если в момент отзыва ключа клиент подключен, точка доступа автоматически его отключит от сети.

Из основных преимуществ PPSK отметим:

• простота использования при высоком уровне безопасности;
• отражение атаки по словарю решается с помощью длинных и устойчивых паролей, которые ExtremeCloudIQ умеет автоматически генерировать и рассылать;
• возможность назначения различных профайлов безопасности на различные устройства подключенных к одному SSID;
• отлично подходит для безопасного гостевого доступа;
• отлично подходит для безопасного доступа, когда устройства не поддерживают 802.1X / EAP (ручные сканеры или устройства IoT/VoWiFi);
• успешное использование и совершенствование на протяжении более 10 лет.

Любые возникшие или оставшиеся вопросы всегда можно задать сотрудникам нашего офиса – [email protected].

Источник: habr.com