WPA3 ist bereits eingeführt und seit Juli 2020 verpflichtend für Geräte, die von der WiFi-Alliance zertifiziert sind, WPA2 wurde nicht abgeschafft und wird dies auch nicht tun. Gleichzeitig ermöglichen sowohl WPA2 als auch WPA3 den Betrieb im PSK- und Enterprise-Modus. Wir schlagen jedoch vor, in unserem Artikel die private PSK-Technologie sowie die Vorteile zu berücksichtigen, die mit ihrer Hilfe erzielt werden können.
WPA2-Personal-Probleme sind seit langem bekannt und wurden im Allgemeinen bereits behoben (Priority Management Frames, Fixes für die KRACK-Schwachstelle usw.). Der größte verbleibende Nachteil von WPA2 mit PSK besteht darin, dass schwache Passwörter mit einem Wörterbuchangriff relativ leicht zu knacken sind. Im Falle einer Kompromittierung und Änderung des Passworts durch ein neues müssen alle angeschlossenen Geräte (und Zugangspunkte) neu konfiguriert werden, was ein sehr zeitaufwändiger Prozess sein kann (um das Problem des „schwachen Passworts“ zu lösen, WLAN- Alliance empfiehlt die Verwendung von Passwörtern mit mindestens 20 Zeichen.
Ein weiteres Problem, das mit WPA2-Personal manchmal nicht gelöst werden kann, ist die Zuweisung verschiedener Profile (VLAN, QoS, Firewall ...) zu Gruppen von Geräten, die mit derselben SSID verbunden sind.
Mit Hilfe von WPA2-Enterprise ist es möglich, alle oben beschriebenen Probleme zu lösen, der Preis dafür beträgt jedoch:
- Die Notwendigkeit, über PKI (Public Key Infrastructure) und Sicherheitszertifikate zu verfügen oder diese bereitzustellen;
- Die Installation kann schwierig sein;
- Die Fehlerbehebung kann schwierig sein.
- Nicht die beste Lösung für IoT-Geräte oder Gastzugang.
Eine radikalere Lösung für die Probleme von WPA2-Personal ist der Übergang zu WPA3, dessen wichtigste Verbesserung die Verwendung von SAE (Simultaneous Authentication of Equals) und statischem PSK ist. WPA3-Personal löst das Problem des „Wörterbuchangriffs“, bietet jedoch keine eindeutige Identifizierung bei der Authentifizierung und dementsprechend die Möglichkeit, Profile zuzuweisen (da immer noch ein gemeinsames statisches Passwort verwendet wird).
Es ist auch wichtig zu bedenken, dass über 95 % der bestehenden Clients WPA3 und SAE derzeit nicht unterstützen und WPA2 weiterhin erfolgreich auf den Milliarden bereits veröffentlichter Geräte funktioniert.
Um eine Lösung für die oben beschriebenen bestehenden oder potenziellen Probleme zu finden, hat Extreme Networks die Private Pre-Shared Key (PPSK)-Technologie entwickelt. PPSK ist mit jedem Wi-Fi-Client kompatibel, der WPA2-PSK unterstützt, und ermöglicht Ihnen das Erreichen eines Sicherheitsniveaus, das mit dem von WPA2-Enterprise vergleichbar ist, ohne dass eine 802.1X/EAP-Infrastruktur aufgebaut werden muss. Privates PSK ist im Wesentlichen WPA2-PSK, aber jeder Benutzer (oder jede Benutzergruppe) kann sein eigenes dynamisch generiertes Passwort haben. Das PPSK-Management unterscheidet sich nicht vom PSK-Management, da der gesamte Prozess automatisiert ist. Die Schlüsseldatenbank kann lokal auf Access Points oder in der Cloud gespeichert werden.
Passwörter können automatisch generiert werden, es ist möglich, deren Länge/Stärke, Zeitraum oder Ablaufdatum, Versandart an den Benutzer (per Post oder SMS) flexibel festzulegen:
Sie können auch die maximale Anzahl von Clients konfigurieren, die eine Verbindung über ein PPSK herstellen können, oder sogar „MAC-Bindung“ für verbundene Geräte konfigurieren. Auf Befehl des Netzwerkadministrators kann jeder Schlüssel einfach widerrufen und der Zugriff auf das Netzwerk verweigert werden, ohne dass alle anderen Geräte neu konfiguriert werden müssen. Wenn der Client beim Widerrufen des Schlüssels verbunden ist, wird der Access Point ihn automatisch vom Netzwerk trennen.
Zu den Hauptvorteilen von PPSK zählen:
- Benutzerfreundlichkeit mit einem hohen Maß an Sicherheit;
- Die Abwehr eines Wörterbuchangriffs wird mithilfe langer und sicherer Passwörter gelöst, die ExtremeCloudIQ automatisch generieren und verteilen kann.
- die Möglichkeit, verschiedenen Geräten, die mit derselben SSID verbunden sind, unterschiedliche Sicherheitsprofile zuzuweisen;
- ideal für sicheren Gastzugang;
- ideal für sicheren Zugriff, wenn Geräte 802.1X/EAP nicht unterstützen (Handscanner oder IoT/VoWiFi-Geräte);
- seit über 10 Jahren erfolgreich eingesetzt und verbessert.
Wenn Sie Fragen haben oder Fragen haben, können Sie sich jederzeit an die Mitarbeiter unseres Büros wenden - .
Source: habr.com