WPA3 jam estis adoptita, kaj ekde julio 2020 estas deviga por aparatoj kiuj suferas atestilon en la WiFi-Alianco; WPA2 ne estis nuligita kaj ne iros. Samtempe, kaj WPA2 kaj WPA3 provizas funkciadon en PSK kaj Enterprise-reĝimoj, sed ni proponas konsideri en nia artikolo la Privata PSK-teknologio, same kiel la avantaĝojn, kiujn oni povas atingi per ĝia helpo.
La problemoj kun WPA2-Persona estas konataj delonge kaj, plejparte, jam estas riparitaj (Prioritataj Administradaj Kadroj, korektoj por la vundebleco KRACK, ktp.). La ĉefa restanta malavantaĝo de WPA2 uzanta PSK estas ke malfortaj pasvortoj estas sufiĉe facile rompeblaj per vortara atako. Se la pasvorto estas endanĝerigita kaj la pasvorto estas ŝanĝita al nova, estos necese reagordi ĉiujn konektitajn aparatojn (kaj alirpunktojn), kio povas esti tre laborintensa procezo (por solvi la problemon de "malforta pasvorto", WiFi. -Alliance rekomendas uzi pasvortojn de almenaŭ 20 signoj longaj).
Alia problemo, kiu foje ne povas esti solvita uzante WPA2-Personal, estas atribui malsamajn profilojn (vlan, QoS, fajroŝirmilo...) al grupoj de aparatoj konektitaj al la sama SSID.
Kun la helpo de WPA2-Enterprise eblas solvi ĉiujn problemojn priskribitajn supre, sed la prezo por ĉi tio estos:
- La bezono havi aŭ disfaldi PKI (Public Key Infrastructure) kaj sekurecajn atestilojn;
- Instalado povas esti malfacila;
- Povas esti malfacilaĵoj kun problemoj;
- Ne optimuma solvo por IoT-aparatoj aŭ gasta aliro.
Pli radikala solvo al la problemoj de WPA2-Persona estas ŝanĝi al WPA3, kies ĉefa plibonigo estas la uzo de SAE (Samtempa Aŭtentigo de Egaluloj) kaj statika PSK. WPA3-Persona solvas la problemon kun la "vortar-atako", sed ne provizas unikan identigon dum aŭtentigo kaj, sekve, la kapablon atribui profilojn (ĉar komuna statika pasvorto ankaŭ estas uzata).
Oni devas ankaŭ konsideri, ke pli ol 95% de ekzistantaj klientoj ne subtenas nuntempe WPA3 kaj SAE, kaj WPA2 daŭre funkcias sukcese sur miliardoj da aparatoj jam liberigitaj.
Por akiri solvon al la ekzistantaj aŭ eblaj problemoj priskribitaj supre, Extreme Networks evoluigis Private Pre-Shared Key (PPSK) teknologion. PPSK estas kongrua kun iu ajn WiFi-kliento, kiu subtenas WPA2-PSK, kaj ebligas al vi atingi nivelon de sekureco komparebla al tiu atingita per WPA2-Enterprise, sen la bezono konstrui infrastrukturon 802.1X/EAP. Privata PSK estas esence WPA2-PSK, sed ĉiu uzanto (aŭ grupo de uzantoj) povas havi sian propran dinamike generitan pasvorton. Administri PPSK ne diferencas de administri PSK ĉar la tuta procezo estas aŭtomatigita. La ŝlosila datumbazo povas esti konservita loke sur alirpunktoj aŭ en la nubo.
Pasvortoj povas esti generitaj aŭtomate; estas eble flekseble agordi ilian longon/forton, periodon aŭ limdaton, kaj metodon de livero al la uzanto (per retpoŝto aŭ SMS):
Vi ankaŭ povas agordi la maksimuman nombron da klientoj, kiuj povas konektiĝi per unu PPSK aŭ eĉ agordi "MAC-ligadon" por konektitaj aparatoj. Laŭ la komando de la reto-administranto, ajna ŝlosilo povas esti facile revokita, kaj aliro al la reto estos rifuzita sen neceso reagordi ĉiujn aliajn aparatojn. Se la kliento estas konektita kiam la ŝlosilo estas revokita, la alirpunkto aŭtomate malkonektos ĝin de la reto.
Inter la ĉefaj avantaĝoj de PPSK ni rimarkas:
- facileco de uzo kun alta nivelo de sekureco;
- forpuŝi vortaran atakon estas solvita per longaj kaj fortaj pasvortoj, kiujn ExtremeCloudIQ povas aŭtomate generi kaj distribui;
- la kapablo asigni malsamajn sekurecprofilojn al malsamaj aparatoj konektitaj al la sama SSID;
- Bonega por sekura gasta aliro;
- Bonega por sekura aliro kiam aparatoj ne subtenas 802.1X/EAP (porteblaj skaniloj aŭ IoT/VoWiFi-aparatoj);
- sukcesa uzo kaj plibonigo dum pli ol 10 jaroj.
Ajnaj demandoj, kiuj aperas aŭ restas, ĉiam povas esti demanditaj al nia oficeja personaro - .
fonto: www.habr.com