PSK פרטי (מפתח משותף מראש) - תכונות ויכולות של פלטפורמת ExtremeCloud IQ

WPA3 כבר אומץ, ומאז יולי 2020 הוא חובה עבור מכשירים שאושרו על ידי WiFi-Alliance, WPA2 לא בוטל ולא הולך לעשות זאת. יחד עם זאת, גם WPA2 וגם WPA3 מספקים הפעלה במצבי PSK ו-Enterprise, אך אנו מציעים לשקול את טכנולוגיית PSK פרטית במאמר שלנו, כמו גם את היתרונות שניתן להשיג בעזרתה.

בעיות WPA2-Personal ידועות כבר זמן רב ובאופן כללי, כבר תוקנו (Priority Management Frames, תיקונים לפגיעות KRACK וכו'). החיסרון העיקרי שנותר ב-WPA2 באמצעות PSK הוא שסיסמאות חלשות קלות למדי לפיצוח בהתקפת מילון. במקרה של פשרה והחלפת הסיסמה לחדשה, יהיה צורך להגדיר מחדש את כל המכשירים המחוברים (ונקודות הגישה), מה שיכול להיות תהליך שלוקח זמן רב (כדי לפתור את בעיית "הסיסמה החלשה", WiFi- Alliance ממליצה להשתמש בסיסמאות של 20 תווים לפחות).

בעיה נוספת שלעיתים לא ניתנת לפתרון באמצעות WPA2-Personal היא הקצאת פרופילים שונים (Vlan, QoS, Firewall...) לקבוצות של מכשירים המחוברים לאותו SSID.

בעזרת WPA2-Enterprise ניתן לפתור את כל הבעיות שתוארו לעיל, אך המחיר לכך יהיה:

• הצורך להחזיק או לפרוס PKI (תשתית מפתח ציבורי) ואישורי אבטחה;
• ההתקנה עשויה להיות קשה;
• פתרון בעיות עשוי להיות קשה;
• לא הפתרון הטוב ביותר עבור מכשירי IoT או גישה לאורחים.

פתרון קיצוני יותר לבעיות של WPA2-Personal הוא המעבר ל-WPA3, שהשיפור העיקרי בו הוא השימוש ב-SAE (Simultaneous Authentication of Equals) וב-PSK סטטי. WPA3-Personal פותר את בעיית "התקפת המילון", אך אינו מספק זיהוי ייחודי במהלך האימות ובהתאם לכך יכולת להקצות פרופילים (שכן הוא עדיין משתמש בסיסמה סטטית נפוצה).

חשוב גם לזכור כי למעלה מ-95% מהלקוחות הקיימים אינם תומכים כיום ב-WPA3 ו-SAE, ו-WPA2 ממשיך לעבוד בהצלחה על מיליארדי המכשירים שכבר שוחררו.

על מנת לקבל פתרון לבעיות הקיימות, או הפוטנציאליות המתוארות לעיל, פיתחה אקסטרים נטוורקס את טכנולוגיית ה-Private Pre-Shared Key (PPSK). PPSK תואם לכל לקוח Wi-Fi התומך ב-WPA2-PSK ומאפשר לך להשיג רמת אבטחה דומה לזו המושגת באמצעות WPA2-Enterprise, ללא צורך בבניית תשתית 802.1X/EAP. PSK פרטי הוא בעצם WPA2-PSK, אבל לכל משתמש (או קבוצת משתמשים) יכול להיות סיסמה משלהם שנוצרה באופן דינמי. ניהול PPSK אינו שונה מניהול PSK שכן התהליך כולו אוטומטי. ניתן לאחסן את מסד הנתונים של המפתח באופן מקומי בנקודות גישה או בענן.

ניתן להפיק סיסמאות באופן אוטומטי, ניתן להגדיר בצורה גמישה את אורך/חוזקן, תקופה או תאריך תפוגה, שיטת משלוח למשתמש (במייל או ב-SMS):

אתה יכול גם להגדיר את המספר המקסימלי של לקוחות שיכולים להתחבר באמצעות PPSK אחד, או אפילו להגדיר "MAC-binding" עבור התקנים מחוברים. בפקודת מנהל הרשת, ניתן לבטל בקלות כל מפתח, והגישה לרשת תישלל ללא צורך בהגדרה מחדש של כל שאר המכשירים. אם הלקוח מחובר כאשר המפתח נשלל, נקודת הגישה תנתק אותו אוטומטית מהרשת.

מהיתרונות העיקריים של PPSK, נציין:

• קלות שימוש עם רמת אבטחה גבוהה;
• הרחקת התקפת מילון נפתרת באמצעות סיסמאות ארוכות וחזקות ש-ExtremeCloudIQ יכול ליצור ולהפיץ באופן אוטומטי;
• היכולת להקצות פרופילי אבטחה שונים למכשירים שונים המחוברים לאותו SSID;
• נהדר עבור גישה מאובטחת לאורחים;
• מעולה לגישה מאובטחת כאשר מכשירים אינם תומכים ב-802.1X/EAP (סורקים כף יד או התקני IoT/VoWiFi);
• השתמשו בהצלחה והשתפרו במשך למעלה מ-10 שנים.

אם יש לך שאלות או שאלות, אתה תמיד יכול לשאול את צוות משרדנו - [מוגן בדוא"ל].

מקור: www.habr.com