WPA3 ja s'ha adoptat, i des del juliol de 2020 és obligatori per als dispositius que se sotmeten a la certificació a WiFi-Alliance; WPA2 no s'ha cancel·lat i no ho farà. Al mateix temps, tant WPA2 com WPA3 preveuen el funcionament en modes PSK i Enterprise, però ens proposem considerar en el nostre article la tecnologia Private PSK, així com els avantatges que es poden aconseguir amb la seva ajuda.
Els problemes amb WPA2-Personal es coneixen des de fa temps i, en la seva majoria, ja s'han solucionat (Priority Management Frames, correccions per a la vulnerabilitat KRACK, etc.). El principal desavantatge restant de WPA2 que utilitza PSK és que les contrasenyes febles són bastant fàcils de trencar mitjançant un atac de diccionari. Si la contrasenya està compromesa i es canvia la contrasenya per una de nova, caldrà reconfigurar tots els dispositius connectats (i punts d'accés), cosa que pot ser un procés molt intensiu de mà d'obra (per resoldre el problema de la "contrasenya feble", WiFi -Alliance recomana utilitzar contrasenyes d'almenys 20 caràcters de longitud).
Un altre problema que de vegades no es pot resoldre amb WPA2-Personal és l'assignació de diferents perfils (vlan, QoS, tallafoc...) a grups de dispositius connectats al mateix SSID.
Amb l'ajuda de WPA2-Enterprise és possible resoldre tots els problemes descrits anteriorment, però el preu serà:
- La necessitat de disposar o desplegar PKI (Infraestructura de Clau Pública) i certificats de seguretat;
- La instal·lació pot ser difícil;
- Pot haver-hi dificultats amb la resolució de problemes;
- No és una solució òptima per a dispositius IoT o accés de convidats.
Una solució més radical als problemes de WPA2-Personal és canviar a WPA3, la millora principal del qual és l'ús de SAE (Simultaneous Authentication of Equals) i PSK estàtic. WPA3-Personal resol el problema amb l'"atac al diccionari", però no proporciona una identificació única durant l'autenticació i, en conseqüència, la possibilitat d'assignar perfils (ja que encara s'utilitza una contrasenya estàtica comuna).
També és important tenir en compte que més del 95% dels clients existents actualment no admeten WPA3 i SAE, mentre que WPA2 continua funcionant amb èxit en milers de milions de dispositius ja llançats.
Per tal d'obtenir una solució als problemes existents o potencials descrits anteriorment, Extreme Networks va desenvolupar la tecnologia de clau privada prèviament compartida (PPSK). PPSK és compatible amb qualsevol client Wi-Fi que admeti WPA2-PSK i us permet assolir un nivell de seguretat comparable al que s'aconsegueix amb WPA2-Enterprise, sense necessitat de construir una infraestructura 802.1X/EAP. El PSK privat és essencialment WPA2-PSK, però cada usuari (o grup d'usuaris) pot tenir la seva pròpia contrasenya generada dinàmicament. La gestió de PPSK no és diferent de la gestió de PSK, ja que tot el procés està automatitzat. La base de dades de claus es pot emmagatzemar localment en punts d'accés o al núvol.
Les contrasenyes es poden generar automàticament; és possible establir de manera flexible la seva durada/força, període o data de caducitat, i mètode d'entrega a l'usuari (per correu electrònic o SMS):
També podeu configurar el nombre màxim de clients que es poden connectar mitjançant un PPSK o fins i tot configurar "enllaç MAC" per als dispositius connectats. A l'ordre de l'administrador de la xarxa, qualsevol clau es pot revocar fàcilment i es denegarà l'accés a la xarxa sense necessitat de reconfigurar tots els altres dispositius. Si el client està connectat quan es revoca la clau, el punt d'accés el desconnectarà automàticament de la xarxa.
Entre els principals avantatges de PPSK destaquem:
- facilitat d'ús amb un alt nivell de seguretat;
- repel·lir un atac de diccionari es resol mitjançant contrasenyes llargues i fortes, que ExtremeCloudIQ pot generar i distribuir automàticament;
- la possibilitat d'assignar diferents perfils de seguretat a diferents dispositius connectats al mateix SSID;
- Ideal per a l'accés segur dels convidats;
- Ideal per a un accés segur quan els dispositius no admeten 802.1X/EAP (escàners de mà o dispositius IoT/VoWiFi);
- ús i millora amb èxit durant més de 10 anys.
Si tens qualsevol dubte o tens qualsevol dubte, sempre pots preguntar al personal de la nostra oficina - .
Font: www.habr.com