WPA3 è già stato adottato e da luglio 2020 è obbligatorio per i dispositivi certificati da WiFi-Alliance, WPA2 non è stato cancellato e non lo farà. Allo stesso tempo, sia WPA2 che WPA3 prevedono il funzionamento in modalità PSK ed Enterprise, ma nel nostro articolo proponiamo di considerare la tecnologia Private PSK, nonché i vantaggi che si possono ottenere con il suo aiuto.
I problemi di WPA2-Personal sono noti da tempo e, in generale, sono già stati risolti (Priority Management Frames, fix per la vulnerabilità KRACK, ecc.). Il principale svantaggio rimanente di WPA2 che utilizza PSK è che le password deboli sono abbastanza facili da decifrare con un attacco del dizionario. In caso di compromissione e modifica della password con una nuova, sarà necessario riconfigurare tutti i dispositivi connessi (e i punti di accesso), il che può richiedere molto tempo (per risolvere il problema della "password debole", WiFi- Alliance consiglia di utilizzare password di almeno 20 caratteri).
Un altro problema che a volte non può essere risolto utilizzando WPA2-Personal è l'assegnazione di profili diversi (vlan, QoS, firewall...) a gruppi di dispositivi connessi allo stesso SSID.
Con l'aiuto di WPA2-Enterprise è possibile risolvere tutti i problemi sopra descritti, ma il prezzo per questo sarà:
- La necessità di disporre o distribuire PKI (Public Key Infrastructure) e certificati di sicurezza;
- L'installazione può essere difficile;
- La risoluzione dei problemi può essere difficile;
- Non è la soluzione migliore per i dispositivi IoT o l'accesso guest.
Una soluzione più radicale ai problemi di WPA2-Personal è il passaggio a WPA3, il cui principale miglioramento è l'uso di SAE (Simultaneous Authentication of Equals) e PSK statico. WPA3-Personal risolve il problema dell'"attacco al dizionario", ma non fornisce l'identificazione univoca durante l'autenticazione e, di conseguenza, la possibilità di assegnare profili (poiché utilizza ancora una password statica comune).
È inoltre importante tenere presente che oltre il 95% dei client esistenti attualmente non supporta WPA3 e SAE e WPA2 continua a funzionare con successo sui miliardi di dispositivi già rilasciati.
Al fine di ottenere una soluzione ai problemi esistenti o potenziali sopra descritti, Extreme Networks ha sviluppato la tecnologia PPSK (Private Pre-Shared Key). PPSK è compatibile con qualsiasi client Wi-Fi che supporti WPA2-PSK e consente di raggiungere un livello di sicurezza paragonabile a quello ottenuto utilizzando WPA2-Enterprise, senza la necessità di creare un'infrastruttura 802.1X/EAP. Private PSK è essenzialmente WPA2-PSK, ma ogni utente (o gruppo di utenti) può avere la propria password generata dinamicamente. La gestione PPSK non è diversa dalla gestione PSK poiché l'intero processo è automatizzato. Il database delle chiavi può essere memorizzato localmente sui punti di accesso o nel cloud.
Le password possono essere generate automaticamente, è possibile impostarne in modo flessibile la lunghezza/forza, il periodo o la data di scadenza, il metodo di consegna all'utente (via mail o SMS):
È inoltre possibile configurare il numero massimo di client che possono connettersi utilizzando un PPSK o persino configurare il "binding MAC" per i dispositivi collegati. Al comando dell'amministratore di rete, qualsiasi chiave può essere facilmente revocata e l'accesso alla rete verrà negato senza la necessità di riconfigurare tutti gli altri dispositivi. Se il client è connesso quando la chiave viene revocata, il punto di accesso lo disconnetterà automaticamente dalla rete.
Tra i principali vantaggi di PPSK, notiamo:
- facilità d'uso con un elevato livello di sicurezza;
- respingere un attacco del dizionario viene risolto utilizzando password lunghe e complesse che ExtremeCloudIQ può generare e distribuire automaticamente;
- la possibilità di assegnare diversi profili di sicurezza a diversi dispositivi collegati allo stesso SSID;
- ottimo per l'accesso sicuro degli ospiti;
- ottimo per l'accesso sicuro quando i dispositivi non supportano 802.1X/EAP (scanner portatili o dispositivi IoT/VoWiFi);
- utilizzato con successo e migliorato per oltre 10 anni.
Se hai domande o hai domande, puoi sempre chiedere al personale del nostro ufficio -
Fonte: habr.com