WPA3 xa foi adoptado, e desde xullo de 2020 é obrigatorio para os dispositivos que se sometan a certificación en WiFi-Alliance; WPA2 non foi cancelado e non o vai facer. Ao mesmo tempo, tanto WPA2 como WPA3 prevén o funcionamento en modos PSK e Enterprise, pero propoñemos considerar no noso artigo a tecnoloxía Private PSK, así como as vantaxes que se poden conseguir coa súa axuda.
Os problemas con WPA2-Personal son coñecidos desde hai tempo e, na súa maior parte, xa están solucionados (Marcos de xestión prioritaria, correccións para a vulnerabilidade KRACK, etc.). A principal desvantaxe restante de WPA2 usando PSK é que os contrasinais débiles son bastante fáciles de descifrar mediante un ataque de dicionario. Se o contrasinal está comprometido e o contrasinal se cambia por un novo, será necesario reconfigurar todos os dispositivos conectados (e puntos de acceso), o que pode ser un proceso moi laborioso (para resolver o problema do "contrasinal débil", o WiFi -Alliance recomenda usar contrasinais de polo menos 20 caracteres de lonxitude).
Outro problema que ás veces non se pode solucionar usando WPA2-Personal é a asignación de diferentes perfís (vlan, QoS, firewall...) a grupos de dispositivos conectados ao mesmo SSID.
Coa axuda de WPA2-Enterprise é posible resolver todos os problemas descritos anteriormente, pero o prezo será:
- A necesidade de ter ou implantar PKI (Infraestrutura de Chave Pública) e certificados de seguridade;
- A instalación pode ser difícil;
- Pode haber dificultades coa resolución de problemas;
- Non é unha solución óptima para dispositivos IoT ou acceso para hóspedes.
Unha solución máis radical aos problemas de WPA2-Personal é cambiar a WPA3, cuxa principal mellora é o uso de SAE (Simultaneous Authentication of Equals) e PSK estático. WPA3-Personal resolve o problema do "ataque ao dicionario", pero non proporciona unha identificación única durante a autenticación e, en consecuencia, a posibilidade de asignar perfís (xa que aínda se usa un contrasinal estático común).
Tamén hai que ter en conta que máis do 95% dos clientes existentes non admiten actualmente WPA3 e SAE, e que WPA2 segue funcionando con éxito en miles de millóns de dispositivos xa lanzados.
Para obter unha solución aos problemas existentes ou potenciais descritos anteriormente, Extreme Networks desenvolveu a tecnoloxía PPSK (Private Pre-Shared Key). PPSK é compatible con calquera cliente Wi-Fi que admita WPA2-PSK e permítelle acadar un nivel de seguridade comparable ao alcanzado con WPA2-Enterprise, sen necesidade de construír unha infraestrutura 802.1X/EAP. PSK privado é esencialmente WPA2-PSK, pero cada usuario (ou grupo de usuarios) pode ter o seu propio contrasinal xerado dinámicamente. Xestionar PPSK non é diferente de xestionar PSK xa que todo o proceso está automatizado. A base de datos de claves pódese almacenar localmente en puntos de acceso ou na nube.
Os contrasinais pódense xerar automaticamente; é posible establecer de forma flexible a súa duración/forza, período ou data de caducidade e método de entrega ao usuario (por correo electrónico ou SMS):
Tamén pode configurar o número máximo de clientes que poden conectarse usando un PPSK ou incluso configurar a "vinculación MAC" para os dispositivos conectados. A orde do administrador de rede, calquera chave pode ser facilmente revogada e o acceso á rede será denegado sen necesidade de reconfigurar todos os demais dispositivos. Se o cliente está conectado cando se revoga a clave, o punto de acceso desconectarao automaticamente da rede.
Entre as principais vantaxes do PPSK destacamos:
- facilidade de uso cun alto nivel de seguridade;
- repeler un ataque de dicionario resólvese usando contrasinais longos e fortes, que ExtremeCloudIQ pode xerar e distribuír automaticamente;
- a posibilidade de asignar diferentes perfís de seguridade a diferentes dispositivos conectados ao mesmo SSID;
- Ideal para o acceso seguro dos hóspedes;
- Ideal para o acceso seguro cando os dispositivos non admiten 802.1X/EAP (escáneres de man ou dispositivos IoT/VoWiFi);
- uso exitoso e mellora durante máis de 10 anos.
Calquera dúbida que xurda ou quede sempre pódese facer ao persoal da nosa oficina - .
Fonte: www.habr.com