WPA3 již byl přijat a od července 2020 je povinný pro zařízení, která jsou certifikována WiFi-Alliance, WPA2 zrušeno nebylo a ani se nechystá. WPA2 i WPA3 zároveň umožňují provoz v režimech PSK a Enterprise, ale v našem článku navrhujeme zvážit technologii Private PSK a výhody, které lze s její pomocí dosáhnout.
Problémy WPA2-Personal jsou známy již dlouhou dobu a obecně již byly opraveny (Priority Management Frames, opravy zranitelnosti KRACK atd.). Hlavní zbývající nevýhodou WPA2 pomocí PSK je, že slabá hesla lze poměrně snadno prolomit pomocí slovníkového útoku. V případě kompromitace a změny hesla na nové bude nutné překonfigurovat všechna připojená zařízení (a přístupové body), což může být časově velmi náročný proces (pro vyřešení problému se „slabým heslem“, WiFi- Alliance doporučuje používat hesla o délce alespoň 20 znaků).
Dalším problémem, který někdy nelze vyřešit pomocí WPA2-Personal, je přiřazení různých profilů (vlan, QoS, firewall ...) skupinám zařízení připojených ke stejnému SSID.
S pomocí WPA2-Enterprise je možné vyřešit všechny výše popsané problémy, ale cena za to bude:
- Potřeba mít nebo nasadit PKI (Public Key Infrastructure) a bezpečnostní certifikáty;
- Instalace může být obtížná;
- Odstraňování problémů může být obtížné;
- Není to nejlepší řešení pro zařízení IoT nebo přístup hostů.
Radikálnějším řešením problémů WPA2-Personal je přechod na WPA3, jehož hlavním vylepšením je použití SAE (Simultaneous Authentication of Equals) a statického PSK. WPA3-Personal řeší problém „slovníkového útoku“, ale neposkytuje jednoznačnou identifikaci při autentizaci, a tedy ani možnost přidělování profilů (protože stále používá společné statické heslo).
Je také důležité mít na paměti, že více než 95 % stávajících klientů v současnosti nepodporuje WPA3 a SAE a WPA2 nadále úspěšně funguje na miliardách již vydaných zařízení.
Aby bylo možné vyřešit stávající nebo potenciální problémy popsané výše, vyvinula společnost Extreme Networks technologii Private Pre-Shared Key (PPSK). PPSK je kompatibilní s jakýmkoli Wi-Fi klientem, který podporuje WPA2-PSK a umožňuje vám dosáhnout úrovně zabezpečení srovnatelné s úrovní dosahovanou pomocí WPA2-Enterprise, aniž byste museli budovat infrastrukturu 802.1X/EAP. Private PSK je v podstatě WPA2-PSK, ale každý uživatel (nebo skupina uživatelů) může mít své vlastní dynamicky generované heslo. Správa PPSK se neliší od správy PSK, protože celý proces je automatizovaný. Databáze klíčů může být uložena lokálně na přístupových bodech nebo v cloudu.
Hesla lze generovat automaticky, je možné flexibilně nastavit jejich délku/sílu, periodu nebo datum expirace, způsob doručení uživateli (poštou nebo SMS):
Můžete také nakonfigurovat maximální počet klientů, kteří se mohou připojit pomocí jednoho PPSK, nebo dokonce nakonfigurovat „MAC-binding“ pro připojená zařízení. Na příkaz správce sítě lze jakýkoli klíč snadno odvolat a přístup do sítě bude odepřen bez nutnosti překonfigurování všech ostatních zařízení. Pokud je klient připojen, když je klíč odvolán, přístupový bod jej automaticky odpojí od sítě.
Mezi hlavní výhody PPSK si všimneme:
- snadné použití s vysokou úrovní zabezpečení;
- odražení slovníkového útoku je řešeno pomocí dlouhých a silných hesel, která dokáže ExtremeCloudIQ automaticky generovat a distribuovat;
- možnost přiřadit různé bezpečnostní profily různým zařízením připojeným ke stejnému SSID;
- skvělé pro bezpečný přístup hostů;
- skvělé pro bezpečný přístup, když zařízení nepodporují 802.1X/EAP (ruční skenery nebo zařízení IoT/VoWiFi);
- úspěšně používán a zdokonalován již více než 10 let.
V případě jakýchkoliv dotazů nebo dotazů se vždy můžete obrátit na pracovníky naší kanceláře - .
Zdroj: www.habr.com