Το WPA3 έχει ήδη υιοθετηθεί και από τον Ιούλιο του 2020 είναι υποχρεωτικό για συσκευές που είναι πιστοποιημένες από την WiFi-Alliance, το WPA2 δεν έχει ακυρωθεί και δεν πρόκειται να το κάνει. Ταυτόχρονα, τόσο το WPA2 όσο και το WPA3 παρέχουν λειτουργία σε λειτουργίες PSK και Enterprise, αλλά προτείνουμε να λάβουμε υπόψη την τεχνολογία Private PSK στο άρθρο μας, καθώς και τα οφέλη που μπορούν να επιτευχθούν με τη βοήθειά της.
WPA2-Προσωπικά προβλήματα είναι γνωστά εδώ και πολύ καιρό και, γενικά, έχουν ήδη διορθωθεί (Πλαίσια διαχείρισης προτεραιότητας, διορθώσεις για την ευπάθεια KRACK κ.λπ.). Το κύριο μειονέκτημα του WPA2 που χρησιμοποιεί το PSK είναι ότι οι αδύναμοι κωδικοί πρόσβασης είναι αρκετά εύκολο να σπάσουν με μια επίθεση λεξικού. Σε περίπτωση συμβιβασμού και αλλαγής του κωδικού πρόσβασης σε νέο, θα χρειαστεί να ρυθμίσετε εκ νέου όλες τις συνδεδεμένες συσκευές (και τα σημεία πρόσβασης), κάτι που μπορεί να είναι μια πολύ χρονοβόρα διαδικασία (για την επίλυση του προβλήματος "αδύναμου κωδικού πρόσβασης", WiFi- Η Alliance συνιστά τη χρήση κωδικών πρόσβασης τουλάχιστον 20 χαρακτήρων).
Ένα άλλο ζήτημα που μερικές φορές δεν μπορεί να επιλυθεί χρησιμοποιώντας το WPA2-Personal είναι η εκχώρηση διαφορετικών προφίλ (vlan, QoS, τείχος προστασίας ...) σε ομάδες συσκευών που είναι συνδεδεμένες στο ίδιο SSID.
Με τη βοήθεια του WPA2-Enterprise είναι δυνατή η επίλυση όλων των προβλημάτων που περιγράφονται παραπάνω, αλλά η τιμή για αυτό θα είναι:
- Η ανάγκη ύπαρξης ή ανάπτυξης πιστοποιητικών PKI (Υποδομής δημόσιου κλειδιού) και ασφάλειας.
- Η εγκατάσταση μπορεί να είναι δύσκολη.
- Η αντιμετώπιση προβλημάτων μπορεί να είναι δύσκολη.
- Δεν είναι η καλύτερη λύση για συσκευές IoT ή πρόσβαση επισκεπτών.
Μια πιο ριζική λύση στα προβλήματα του WPA2-Personal είναι η μετάβαση στο WPA3, η κύρια βελτίωση του οποίου είναι η χρήση του SAE (Simultaneous Authentication of Equals) και του στατικού PSK. Το WPA3-Personal επιλύει το πρόβλημα "επίθεσης λεξικού", αλλά δεν παρέχει μοναδική αναγνώριση κατά τον έλεγχο ταυτότητας και, κατά συνέπεια, τη δυνατότητα εκχώρησης προφίλ (καθώς εξακολουθεί να χρησιμοποιεί έναν κοινό στατικό κωδικό πρόσβασης).
Είναι επίσης σημαντικό να έχετε κατά νου ότι πάνω από το 95% των υπαρχόντων πελατών δεν υποστηρίζουν αυτήν τη στιγμή WPA3 και SAE και το WPA2 συνεχίζει να λειτουργεί με επιτυχία στα δισεκατομμύρια συσκευές που έχουν ήδη κυκλοφορήσει.
Προκειμένου να βρεθεί λύση στα υπάρχοντα ή πιθανά προβλήματα που περιγράφονται παραπάνω, η Extreme Networks ανέπτυξε την τεχνολογία Private Pre-Shared Key (PPSK). Το PPSK είναι συμβατό με οποιονδήποτε πελάτη Wi-Fi που υποστηρίζει WPA2-PSK και σας επιτρέπει να επιτύχετε ένα επίπεδο ασφάλειας συγκρίσιμο με αυτό που επιτυγχάνεται χρησιμοποιώντας το WPA2-Enterprise, χωρίς να χρειάζεται να δημιουργήσετε μια υποδομή 802.1X/EAP. Το ιδιωτικό PSK είναι ουσιαστικά WPA2-PSK, αλλά κάθε χρήστης (ή ομάδα χρηστών) μπορεί να έχει τον δικό του δυναμικά δημιουργημένο κωδικό πρόσβασης. Η διαχείριση PPSK δεν διαφέρει από τη διαχείριση PSK καθώς η όλη διαδικασία είναι αυτοματοποιημένη. Η βασική βάση δεδομένων μπορεί να αποθηκευτεί τοπικά σε σημεία πρόσβασης ή στο cloud.
Οι κωδικοί πρόσβασης μπορούν να δημιουργηθούν αυτόματα, είναι δυνατό να ορίσετε με ευελιξία τη διάρκεια/ισχύ, την περίοδο ή την ημερομηνία λήξης τους, τον τρόπο παράδοσης στον χρήστη (μέσω ταχυδρομείου ή SMS):
Μπορείτε επίσης να διαμορφώσετε τον μέγιστο αριθμό πελατών που μπορούν να συνδεθούν χρησιμοποιώντας ένα PPSK ή ακόμα και να διαμορφώσετε το "MAC-binding" για συνδεδεμένες συσκευές. Κατόπιν εντολής του διαχειριστή του δικτύου, οποιοδήποτε κλειδί μπορεί εύκολα να ανακληθεί και η πρόσβαση στο δίκτυο θα απαγορεύεται χωρίς να χρειάζεται να ρυθμίσετε ξανά όλες τις άλλες συσκευές. Εάν ο υπολογιστής-πελάτης συνδεθεί κατά την ανάκληση του κλειδιού, το σημείο πρόσβασης θα το αποσυνδέσει αυτόματα από το δίκτυο.
Από τα κύρια πλεονεκτήματα του PPSK, σημειώνουμε:
- ευκολία χρήσης με υψηλό επίπεδο ασφάλειας.
- Η απόκρουση μιας επίθεσης λεξικού επιλύεται χρησιμοποιώντας μακρούς και ισχυρούς κωδικούς πρόσβασης που μπορεί να δημιουργήσει και να διανείμει αυτόματα το ExtremeCloudIQ.
- τη δυνατότητα εκχώρησης διαφορετικών προφίλ ασφαλείας σε διαφορετικές συσκευές που είναι συνδεδεμένες στο ίδιο SSID.
- Ιδανικό για ασφαλή πρόσβαση επισκεπτών.
- ιδανικό για ασφαλή πρόσβαση όταν οι συσκευές δεν υποστηρίζουν 802.1X/EAP (σαρωτές χειρός ή συσκευές IoT/VoWiFi).
- χρησιμοποιήθηκε με επιτυχία και βελτιώθηκε για πάνω από 10 χρόνια.
Εάν έχετε οποιεσδήποτε ερωτήσεις ή έχετε οποιεσδήποτε ερωτήσεις, μπορείτε πάντα να ρωτήσετε το προσωπικό του γραφείου μας - .
Πηγή: www.habr.com