WPA3 on juba vastu võetud ja alates 2020. aasta juulist on WiFi-liidus sertifitseeritud seadmete jaoks kohustuslik; WPA2 pole tühistatud ega kavatseta. Samal ajal pakuvad nii WPA2 kui ka WPA3 töötamist PSK- ja Enterprise-režiimides, kuid teeme oma artiklis ettepaneku kaaluda privaat-PSK-tehnoloogiat ja selle abiga saavutatavaid eeliseid.
WPA2-Personali probleemid on olnud teada juba pikka aega ja enamasti on need juba parandatud (Priority Management Frames, KRACKi haavatavuse parandused jne). PSK-d kasutava WPA2 peamine puudus on see, et nõrku paroole on sõnaraamaturünnaku abil üsna lihtne murda. Kui parool on ohus ja parool muudetakse uueks, tuleb kõik ühendatud seadmed (ja pääsupunktid) ümber seadistada, mis võib olla väga töömahukas protsess (nõrga parooli probleemi lahendamiseks, WiFi - Alliance soovitab kasutada vähemalt 20 tähemärgi pikkuseid paroole).
Teine probleem, mida mõnikord WPA2-Personali abil lahendada ei saa, on erinevate profiilide (vlan, QoS, tulemüür...) määramine sama SSID-ga ühendatud seadmete rühmadele.
WPA2-Enterprise'i abil on võimalik lahendada kõik ülalkirjeldatud probleemid, kuid selle hind on:
- PKI (Public Key Infrastructure) ja turbesertifikaatide olemasolu või juurutamise vajadus;
- Paigaldamine võib olla keeruline;
- Tõrkeotsinguga võib esineda raskusi;
- Pole optimaalne lahendus asjade Interneti-seadmete või külaliste juurdepääsu jaoks.
Radikaalsem lahendus WPA2-Personali probleemidele on üleminek WPA3-le, mille peamiseks täiustuseks on SAE (Simultaneous Authentication of Equals) ja staatilise PSK kasutamine. WPA3-Personal lahendab probleemi "sõnastikurünnakuga", kuid ei paku autentimise ajal unikaalset identifitseerimist ja vastavalt ka profiilide määramise võimalust (kuna endiselt kasutatakse tavalist staatilist parooli).
Arvestada tuleks ka sellega, et enam kui 95% olemasolevatest klientidest ei toeta praegu WPA3 ja SAE ning WPA2 töötab jätkuvalt edukalt miljarditel juba välja antud seadmetel.
Ülalkirjeldatud olemasolevatele või võimalikele probleemidele lahenduse leidmiseks töötas Extreme Networks välja Private Pre-Shared Key (PPSK) tehnoloogia. PPSK ühildub kõigi WPA2-PSK-d toetavate Wi-Fi-klientidega ja võimaldab teil saavutada WPA2-Enterprise'iga võrreldava turbetaseme, ilma et oleks vaja ehitada 802.1X/EAP infrastruktuuri. Privaatne PSK on sisuliselt WPA2-PSK, kuid igal kasutajal (või kasutajate rühmal) võib olla oma dünaamiliselt genereeritud parool. PPSK haldamine ei erine PSK haldamisest, kuna kogu protsess on automatiseeritud. Võtmeandmebaasi saab salvestada lokaalselt pääsupunktides või pilves.
Paroole saab genereerida automaatselt, nende pikkust/tugevust, perioodi või aegumiskuupäeva ning kasutajale kättetoimetamise viisi (e-maili või SMS-iga) on võimalik paindlikult määrata:
Samuti saate konfigureerida maksimaalse arvu kliente, kes saavad ühe PPSK-ga ühenduse luua, või isegi konfigureerida ühendatud seadmete jaoks MAC-sidumise. Võrguadministraatori käsul saab iga võtme lihtsalt tühistada ja juurdepääsu võrgule keelatakse, ilma et oleks vaja kõiki teisi seadmeid ümber konfigureerida. Kui klient on võtme tühistamisel ühendatud, katkestab pääsupunkt selle automaatselt võrgust.
PPSK peamiste eeliste hulgas märgime:
- kasutusmugavus ja kõrge turvalisuse tase;
- sõnastikurünnaku tõrjumine lahendatakse pikkade ja tugevate paroolide abil, mida ExtremeCloudIQ suudab automaatselt genereerida ja levitada;
- võimalus määrata erinevaid turvaprofiile erinevatele sama SSID-ga ühendatud seadmetele;
- Suurepärane külaliste turvaliseks juurdepääsuks;
- Suurepärane turvaliseks juurdepääsuks, kui seadmed ei toeta 802.1X/EAP-d (pihuskannerid või IoT/VoWiFi-seadmed);
- edukas kasutamine ja täiustamine enam kui 10 aastat.
Kõik küsimused, mis tekivad või jäävad, võib alati esitada meie kontori töötajatele - .
Allikas: www.habr.com