WPA3 er allerede blevet vedtaget, og siden juli 2020 er det obligatorisk for enheder, der gennemgår certificering i WiFi-alliancen; WPA2 er ikke blevet annulleret og vil ikke. Samtidig sørger både WPA2 og WPA3 for drift i PSK- og Enterprise-tilstande, men vi foreslår i vores artikel at overveje Private PSK-teknologien såvel som de fordele, der kan opnås med dens hjælp.
Problemerne med WPA2-Personal har været kendt i lang tid og er for det meste allerede blevet rettet (Priority Management Frames, rettelser til KRACK-sårbarheden osv.). Den største resterende ulempe ved WPA2 ved hjælp af PSK er, at svage adgangskoder er ret nemme at knække ved hjælp af et ordbogsangreb. Hvis adgangskoden er kompromitteret, og adgangskoden ændres til en ny, vil det være nødvendigt at omkonfigurere alle tilsluttede enheder (og adgangspunkter), hvilket kan være en meget arbejdskrævende proces (for at løse problemet med "svag adgangskode", WiFi -Alliance anbefaler at bruge adgangskoder på mindst 20 tegn.
Et andet problem, der nogle gange ikke kan løses ved hjælp af WPA2-Personal, er at tildele forskellige profiler (vlan, QoS, firewall...) til grupper af enheder, der er tilsluttet det samme SSID.
Ved hjælp af WPA2-Enterprise er det muligt at løse alle problemerne beskrevet ovenfor, men prisen for dette vil være:
- Behovet for at have eller implementere PKI (Public Key Infrastructure) og sikkerhedscertifikater;
- Installation kan være vanskelig;
- Der kan være problemer med fejlfinding;
- Ikke en optimal løsning til IoT-enheder eller gæsteadgang.
En mere radikal løsning på problemerne med WPA2-Personal er at skifte til WPA3, hvis største forbedring er brugen af SAE (Simultaneous Authentication of Equals) og statisk PSK. WPA3-Personal løser problemet med "ordbogsangrebet", men giver ikke entydig identifikation under godkendelse og dermed muligheden for at tildele profiler (da en fælles statisk adgangskode også bruges).
Det skal også tages i betragtning, at mere end 95 % af eksisterende klienter i øjeblikket ikke understøtter WPA3 og SAE, og WPA2 fortsætter med at fungere med succes på milliarder af enheder, der allerede er frigivet.
For at opnå en løsning på de eksisterende eller potentielle problemer beskrevet ovenfor, udviklede Extreme Networks teknologien Private Pre-Shared Key (PPSK). PPSK er kompatibel med enhver Wi-Fi-klient, der understøtter WPA2-PSK, og giver dig mulighed for at opnå et sikkerhedsniveau, der kan sammenlignes med det, der opnås med WPA2-Enterprise, uden at skulle bygge en 802.1X/EAP-infrastruktur. Privat PSK er i bund og grund WPA2-PSK, men hver bruger (eller gruppe af brugere) kan have deres egen dynamisk genererede adgangskode. Administration af PPSK er ikke anderledes end at administrere PSK, da hele processen er automatiseret. Nøgledatabasen kan gemmes lokalt på adgangspunkter eller i skyen.
Adgangskoder kan genereres automatisk; det er muligt fleksibelt at indstille deres længde/styrke, periode eller udløbsdato og leveringsmåde til brugeren (via e-mail eller SMS):
Du kan også konfigurere det maksimale antal klienter, der kan oprette forbindelse ved hjælp af en PPSK eller endda konfigurere "MAC-binding" for tilsluttede enheder. På kommando af netværksadministratoren kan enhver nøgle nemt tilbagekaldes, og adgang til netværket vil blive nægtet uden behov for at omkonfigurere alle andre enheder. Hvis klienten er tilsluttet, når nøglen tilbagekaldes, vil adgangspunktet automatisk afbryde forbindelsen fra netværket.
Blandt de vigtigste fordele ved PPSK bemærker vi:
- brugervenlighed med et højt sikkerhedsniveau;
- afvisning af et ordbogsangreb løses ved hjælp af lange og stærke adgangskoder, som ExtremeCloudIQ automatisk kan generere og distribuere;
- evnen til at tildele forskellige sikkerhedsprofiler til forskellige enheder forbundet til det samme SSID;
- Fantastisk til sikker gæsteadgang;
- Fantastisk til sikker adgang, når enheder ikke understøtter 802.1X/EAP (håndholdte scannere eller IoT/VoWiFi-enheder);
- succesfuld brug og forbedring i mere end 10 år.
Eventuelle spørgsmål, der opstår eller forbliver, kan altid stilles til vores kontorpersonale - .
Kilde: www.habr.com