WPA3 a déjà été adopté et est obligatoire depuis juillet 2020 pour les appareils qui subissent une certification dans la WiFi-Alliance ; WPA2 n'a pas été annulé et ne le sera pas. Dans le même temps, WPA2 et WPA3 permettent de fonctionner en modes PSK et Entreprise, mais nous proposons de considérer dans notre article la technologie Private PSK, ainsi que les avantages qui peuvent être obtenus avec son aide.
Les problèmes avec WPA2-Personal sont connus depuis longtemps et, pour la plupart, déjà résolus (Priority Management Frames, correctifs pour la vulnérabilité KRACK, etc.). Le principal inconvénient restant du WPA2 utilisant PSK est que les mots de passe faibles sont assez faciles à déchiffrer à l'aide d'une attaque par dictionnaire. Si le mot de passe est compromis et que le mot de passe est remplacé par un nouveau, il sera nécessaire de reconfigurer tous les appareils connectés (et points d'accès), ce qui peut être un processus très laborieux (pour résoudre le problème du « mot de passe faible », WiFi -Alliance recommande d'utiliser des mots de passe d'au moins 20 caractères).
Un autre problème qui ne peut parfois pas être résolu avec WPA2-Personal est l'attribution de différents profils (vlan, QoS, pare-feu...) à des groupes d'appareils connectés au même SSID.
Avec l'aide de WPA2-Enterprise, il est possible de résoudre tous les problèmes décrits ci-dessus, mais le prix à payer sera de :
- La nécessité de disposer ou de déployer des PKI (Public Key Infrastructure) et des certificats de sécurité ;
- L'installation peut être difficile ;
- Des difficultés peuvent survenir lors du dépannage ;
- Ce n'est pas une solution optimale pour les appareils IoT ou l'accès invité.
Une solution plus radicale aux problèmes de WPA2-Personal consiste à passer à WPA3, dont la principale amélioration est l'utilisation de SAE (Simultaneous Authentication of Equals) et de PSK statique. WPA3-Personal résout le problème de « l'attaque par dictionnaire », mais ne fournit pas d'identification unique lors de l'authentification et, par conséquent, la possibilité d'attribuer des profils (puisqu'un mot de passe statique commun est toujours utilisé).
Il convient également de prendre en compte que plus de 95 % des clients existants ne prennent actuellement pas en charge WPA3 et SAE, et que WPA2 continue de fonctionner avec succès sur des milliards d'appareils déjà commercialisés.
Afin d'obtenir une solution aux problèmes existants ou potentiels décrits ci-dessus, Extreme Networks a développé la technologie PPSK (Private Pre-Shared Key). PPSK est compatible avec n'importe quel client Wi-Fi prenant en charge WPA2-PSK et vous permet d'atteindre un niveau de sécurité comparable à celui obtenu avec WPA2-Enterprise, sans avoir besoin de construire une infrastructure 802.1X/EAP. Le PSK privé est essentiellement WPA2-PSK, mais chaque utilisateur (ou groupe d'utilisateurs) peut avoir son propre mot de passe généré dynamiquement. La gestion du PPSK n'est pas différente de la gestion du PSK puisque l'ensemble du processus est automatisé. La base de données de clés peut être stockée localement sur les points d'accès ou dans le cloud.
Les mots de passe peuvent être générés automatiquement ; il est possible de définir de manière flexible leur longueur/force, leur période ou date d'expiration et leur mode de transmission à l'utilisateur (par e-mail ou SMS) :
Vous pouvez également configurer le nombre maximum de clients pouvant se connecter à l'aide d'un PPSK ou même configurer la « liaison MAC » pour les appareils connectés. Sur ordre de l'administrateur réseau, n'importe quelle clé peut être facilement révoquée et l'accès au réseau sera refusé sans qu'il soit nécessaire de reconfigurer tous les autres appareils. Si le client est connecté lorsque la clé est révoquée, le point d'accès le déconnectera automatiquement du réseau.
Parmi les principaux avantages du PPSK, on note :
- facilité d'utilisation avec un haut niveau de sécurité ;
- repousser une attaque par dictionnaire est résolu à l'aide de mots de passe longs et forts, qu'ExtremeCloudIQ peut automatiquement générer et distribuer ;
- la possibilité d'attribuer différents profils de sécurité à différents appareils connectés au même SSID ;
- Idéal pour un accès sécurisé aux invités ;
- Idéal pour un accès sécurisé lorsque les appareils ne prennent pas en charge 802.1X/EAP (scanners portables ou appareils IoT/VoWiFi) ;
- utilisation réussie et amélioration depuis plus de 10 ans.
Toutes les questions qui se posent ou restent peuvent toujours être posées à notre personnel de bureau - .
Source: habr.com