WPA3 ya se ha adoptado, y desde julio de 2020 es obligatorio para los dispositivos certificados por WiFi-Alliance, WPA2 no se ha cancelado y no se cancelará. Al mismo tiempo, tanto WPA2 como WPA3 permiten operar en los modos PSK y Enterprise, pero proponemos considerar la tecnología Private PSK en nuestro artículo, así como los beneficios que se pueden lograr con su ayuda.
Los problemas de WPA2-Personal se conocen desde hace mucho tiempo y, en general, ya se han solucionado (Marcos de gestión de prioridad, arreglos para la vulnerabilidad KRACK, etc.). La principal desventaja que queda de WPA2 usando PSK es que las contraseñas débiles son bastante fáciles de descifrar con un ataque de diccionario. En caso de compromiso y cambio de la contraseña a una nueva, será necesario reconfigurar todos los dispositivos conectados (y puntos de acceso), lo que puede ser un proceso que requiere mucho tiempo (para resolver el problema de la "contraseña débil", WiFi- Alliance recomienda utilizar contraseñas de al menos 20 caracteres).
Otro tema que en ocasiones no se puede solucionar utilizando WPA2-Personal es la asignación de diferentes perfiles (vlan, QoS, firewall…) a grupos de dispositivos conectados a un mismo SSID.
Con la ayuda de WPA2-Enterprise, es posible resolver todos los problemas descritos anteriormente, pero el precio será:
- La necesidad de tener o implementar PKI (Public Key Infrastructure) y certificados de seguridad;
- La instalación puede ser difícil;
- La solución de problemas puede ser difícil;
- No es la mejor solución para dispositivos IoT o acceso de invitados.
Una solución más radical a los problemas de WPA2-Personal es la transición a WPA3, cuya principal mejora es el uso de SAE (Autenticación simultánea de iguales) y PSK estático. WPA3-Personal resuelve el problema del "ataque de diccionario", pero no proporciona una identificación única durante la autenticación y, en consecuencia, la capacidad de asignar perfiles (ya que todavía usa una contraseña estática común).
También es importante tener en cuenta que más del 95 % de los clientes existentes actualmente no son compatibles con WPA3 y SAE, y WPA2 sigue funcionando correctamente en los miles de millones de dispositivos que ya se han lanzado.
Para obtener una solución a los problemas existentes o potenciales descritos anteriormente, Extreme Networks desarrolló la tecnología Private Pre-Shared Key (PPSK). PPSK es compatible con cualquier cliente Wi-Fi que admita WPA2-PSK y le permite lograr un nivel de seguridad comparable al que se logra con WPA2-Enterprise, sin necesidad de construir una infraestructura 802.1X/EAP. Private PSK es esencialmente WPA2-PSK, pero cada usuario (o grupo de usuarios) puede tener su propia contraseña generada dinámicamente. La gestión de PPSK no es diferente de la gestión de PSK ya que todo el proceso está automatizado. La base de datos de claves se puede almacenar localmente en puntos de acceso o en la nube.
Las contraseñas se pueden generar automáticamente, es posible configurar de manera flexible su longitud/fortaleza, período o fecha de vencimiento, método de envío al usuario (por correo o SMS):
También puede configurar la cantidad máxima de clientes que pueden conectarse usando un PPSK, o incluso configurar el "enlace MAC" para los dispositivos conectados. A las órdenes del administrador de la red, cualquier clave se puede revocar fácilmente y se negará el acceso a la red sin necesidad de reconfigurar todos los demás dispositivos. Si el cliente está conectado cuando se revoca la clave, el punto de acceso lo desconectará automáticamente de la red.
De las principales ventajas de PPSK, observamos:
- facilidad de uso con un alto nivel de seguridad;
- repeler un ataque de diccionario se resuelve utilizando contraseñas largas y seguras que ExtremeCloudIQ puede generar y distribuir automáticamente;
- la capacidad de asignar diferentes perfiles de seguridad a diferentes dispositivos conectados al mismo SSID;
- excelente para el acceso seguro de invitados;
- ideal para acceso seguro cuando los dispositivos no son compatibles con 802.1X/EAP (escáneres portátiles o dispositivos IoT/VoWiFi);
- utilizado con éxito y mejorado durante más de 10 años.
Si tiene alguna pregunta o tiene alguna pregunta, siempre puede preguntar al personal de nuestra oficina: .
Fuente: habr.com