WPA3-ն արդեն ընդունվել է, և 2020 թվականի հուլիսից պարտադիր է WiFi-Alliance-ում սերտիֆիկացում անցած սարքերի համար, WPA2-ը չի չեղարկվել և չի պատրաստվում: Միևնույն ժամանակ, և՛ WPA2-ը, և՛ WPA3-ը ապահովում են PSK և Enterprise ռեժիմներում շահագործում, բայց մենք առաջարկում ենք մեր հոդվածում դիտարկել Private PSK տեխնոլոգիան, ինչպես նաև այն առավելությունները, որոնց կարելի է հասնել դրա օգնությամբ:
WPA2-Personal-ի հետ կապված խնդիրները վաղուց հայտնի են և մեծ մասամբ արդեն շտկված են (Priority Management Frames, KRACK խոցելիության շտկումներ և այլն): PSK-ի օգտագործմամբ WPA2-ի մնացած հիմնական թերությունն այն է, որ թույլ գաղտնաբառերը բավականին հեշտ է կոտրել բառարանային գրոհի միջոցով: Եթե գաղտնաբառը վտանգված է, և գաղտնաբառը փոխվում է նորով, ապա անհրաժեշտ կլինի վերակազմավորել բոլոր միացված սարքերը (և մուտքի կետերը), ինչը կարող է շատ աշխատատար գործընթաց լինել («թույլ գաղտնաբառի» խնդիրը լուծելու համար՝ WiFi -Ալյանսը խորհուրդ է տալիս օգտագործել առնվազն 20 նիշ երկարությամբ գաղտնաբառեր):
Մեկ այլ խնդիր, որը երբեմն հնարավոր չէ լուծել WPA2-Personal-ի միջոցով, տարբեր պրոֆիլներ (vlan, QoS, firewall...) նույն SSID-ին միացված սարքերի խմբերին հատկացնելն է:
WPA2-Enterprise-ի օգնությամբ հնարավոր է լուծել վերը նկարագրված բոլոր խնդիրները, սակայն դրա գինը կլինի.
- PKI (Public Key Infrastructure) և անվտանգության վկայագրեր ունենալու կամ տեղակայելու անհրաժեշտությունը.
- Տեղադրումը կարող է դժվար լինել;
- Հնարավոր են դժվարություններ անսարքությունների վերացման հետ կապված.
- Օպտիմալ լուծում չէ IoT սարքերի կամ հյուրերի մուտքի համար:
WPA2-Personal-ի խնդիրների ավելի արմատական լուծումը WPA3-ին անցնելն է, որի հիմնական բարելավումը SAE-ի (Simultaneous Authentication of Equals) և ստատիկ PSK-ի օգտագործումն է: WPA3-Personal-ը լուծում է «բառարանային գրոհի» հետ կապված խնդիրը, բայց նույնականացման ընթացքում չի ապահովում եզակի նույնականացում և, համապատասխանաբար, պրոֆիլներ նշանակելու հնարավորություն (քանի որ օգտագործվում է նաև ընդհանուր ստատիկ գաղտնաբառ):
Պետք է նաև հաշվի առնել, որ առկա հաճախորդների ավելի քան 95%-ը ներկայումս չի աջակցում WPA3-ին և SAE-ին, իսկ WPA2-ը շարունակում է հաջողությամբ աշխատել արդեն թողարկված միլիարդավոր սարքերի վրա։
Վերը նկարագրված առկա կամ հնարավոր խնդիրների լուծումը ստանալու համար Extreme Networks-ը մշակել է Private Pre-Shared Key (PPSK) տեխնոլոգիա: PPSK-ը համատեղելի է ցանկացած Wi-Fi հաճախորդի հետ, որն աջակցում է WPA2-PSK-ին և թույլ է տալիս հասնել անվտանգության այնպիսի մակարդակի, որը համեմատելի է WPA2-Enterprise-ի հետ ձեռք բերվածի հետ՝ առանց 802.1X/EAP ենթակառուցվածք կառուցելու անհրաժեշտության: Մասնավոր PSK-ն, ըստ էության, WPA2-PSK է, բայց յուրաքանչյուր օգտատեր (կամ օգտվողների խումբ) կարող է ունենալ դինամիկ ձևով ստեղծված իր սեփական գաղտնաբառը: PPSK-ի կառավարումը չի տարբերվում PSK-ի կառավարումից, քանի որ ամբողջ գործընթացը ավտոմատացված է: Բանալին տվյալների բազան կարող է պահվել տեղական մուտքի կետերում կամ ամպի մեջ:
Գաղտնաբառերը կարող են ստեղծվել ավտոմատ կերպով, հնարավոր է ճկուն կերպով սահմանել դրանց երկարությունը/ուժեղությունը, ժամկետը կամ պիտանելիության ժամկետը և օգտատիրոջը առաքման եղանակը (էլփոստով կամ SMS-ով).
Կարող եք նաև կարգավորել հաճախորդների առավելագույն քանակը, որոնք կարող են միանալ մեկ PPSK-ի միջոցով կամ նույնիսկ կարգավորել «MAC-binding» միացված սարքերի համար: Ցանցի ադմինիստրատորի հրամանով ցանկացած բանալի կարող է հեշտությամբ չեղարկվել, և մուտքը ցանց կմերժվի՝ առանց բոլոր մյուս սարքերը վերակազմավորելու անհրաժեշտության: Եթե հաճախորդը միացված է, երբ բանալին չեղարկվում է, մուտքի կետն ավտոմատ կերպով այն կանջատի ցանցից:
PPSK-ի հիմնական առավելությունների թվում մենք նշում ենք.
- օգտագործման հեշտությունը անվտանգության բարձր մակարդակով;
- բառարանային հարձակումը ետ մղելը լուծվում է երկար և ուժեղ գաղտնաբառերի միջոցով, որոնք ExtremeCloudIQ-ն կարող է ավտոմատ կերպով ստեղծել և տարածել.
- նույն SSID-ին միացված տարբեր սարքերին տարբեր անվտանգության պրոֆիլներ նշանակելու ունակություն.
- Հիանալի է հյուրերի անվտանգ մուտքի համար;
- Հիանալի է անվտանգ մուտքի համար, երբ սարքերը չեն աջակցում 802.1X/EAP (ձեռքի սկաներներ կամ IoT/VoWiFi սարքեր);
- հաջող օգտագործում և բարելավում ավելի քան 10 տարի:
Ցանկացած հարց, որը ծագում է կամ մնում է, միշտ կարող է տրվել մեր գրասենյակի աշխատակիցներին. .
Source: www.habr.com