პირადი PSK (Pre-Shared Key) - ExtremeCloud IQ პლატფორმის ფუნქციები და შესაძლებლობები

WPA3 უკვე მიღებულია და 2020 წლის ივლისიდან სავალდებულოა მოწყობილობებისთვის, რომლებიც გაივლიან სერტიფიცირებას WiFi-ალიანსში; WPA2 არ გაუქმებულა და არც აპირებს. ამავდროულად, როგორც WPA2, ასევე WPA3 უზრუნველყოფს მუშაობას PSK და Enterprise რეჟიმებში, მაგრამ ჩვენ ვთავაზობთ ჩვენს სტატიაში გავითვალისწინოთ Private PSK ტექნოლოგია, ისევე როგორც უპირატესობები, რომელთა მიღწევაც შესაძლებელია მისი დახმარებით.

WPA2-Personal-თან დაკავშირებული პრობლემები დიდი ხანია ცნობილია და, უმეტესწილად, უკვე მოგვარებულია (Priority Management Frames, KRACK დაუცველობის გამოსწორება და ა.შ.). WPA2-ის ძირითადი დარჩენილი მინუსი PSK-ის გამოყენებით არის ის, რომ სუსტი პაროლების გატეხვა საკმაოდ მარტივია ლექსიკონის შეტევის გამოყენებით. თუ პაროლი გატეხილია და პაროლი შეიცვლება ახლით, საჭირო იქნება ყველა დაკავშირებული მოწყობილობის (და წვდომის წერტილების) ხელახლა კონფიგურაცია, რაც შეიძლება იყოს ძალიან შრომატევადი პროცესი („სუსტი პაროლის“ პრობლემის გადასაჭრელად, WiFi -ალიანსი გირჩევთ გამოიყენოთ მინიმუმ 20 სიმბოლოს პაროლები).

კიდევ ერთი პრობლემა, რომელიც ზოგჯერ ვერ მოგვარდება WPA2-Personal-ის გამოყენებით, არის სხვადასხვა პროფილების (vlan, QoS, firewall...) მინიჭება იმავე SSID-თან დაკავშირებული მოწყობილობების ჯგუფებისთვის.

WPA2-Enterprise-ის დახმარებით შესაძლებელია ზემოთ აღწერილი ყველა პრობლემის გადაჭრა, მაგრამ ამის ფასი იქნება:

• PKI (საჯარო გასაღების ინფრასტრუქტურა) და უსაფრთხოების სერთიფიკატების არსებობის ან განლაგების საჭიროება;
• ინსტალაცია შეიძლება რთული იყოს;
• შეიძლება იყოს სირთულეები პრობლემების აღმოფხვრასთან დაკავშირებით;
• არ არის ოპტიმალური გადაწყვეტა IoT მოწყობილობებისთვის ან სტუმრების წვდომისთვის.

WPA2-Personal-ის პრობლემების უფრო რადიკალური გადაწყვეტა არის WPA3-ზე გადასვლა, რომლის მთავარი გაუმჯობესებაა SAE (Simultaneous Authentication of Equals) და სტატიკური PSK-ის გამოყენება. WPA3-Personal აგვარებს პრობლემას „ლექსიკონის შეტევით“, მაგრამ არ იძლევა უნიკალურ იდენტიფიკაციას ავტორიზაციის დროს და, შესაბამისად, პროფილების მინიჭების შესაძლებლობას (რადგან ჯერ კიდევ გამოიყენება საერთო სტატიკური პაროლი).

გასათვალისწინებელია ისიც, რომ არსებული კლიენტების 95%-ზე მეტს ამჟამად არ უჭერს მხარს WPA3 და SAE და WPA2 აგრძელებს წარმატებით მუშაობას უკვე გამოშვებულ მილიარდობით მოწყობილობაზე.

ზემოთ აღწერილი არსებული ან პოტენციური პრობლემების გადაჭრის მიზნით, Extreme Networks-მა შეიმუშავა Private Pre-Shared Key (PPSK) ტექნოლოგია. PPSK თავსებადია ნებისმიერ Wi-Fi კლიენტთან, რომელიც მხარს უჭერს WPA2-PSK-ს და საშუალებას გაძლევთ მიაღწიოთ უსაფრთხოების დონეს, რომელიც შედარებულია WPA2-Enterprise-ით მიღწეულთან, 802.1X/EAP ინფრასტრუქტურის აშენების საჭიროების გარეშე. პირადი PSK არსებითად არის WPA2-PSK, მაგრამ თითოეულ მომხმარებელს (ან მომხმარებელთა ჯგუფს) შეუძლია ჰქონდეს საკუთარი დინამიურად გენერირებული პაროლი. PPSK-ის მართვა არაფრით განსხვავდება PSK-ის მართვისგან, რადგან მთელი პროცესი ავტომატიზირებულია. ძირითადი მონაცემთა ბაზის შენახვა შესაძლებელია ადგილობრივად წვდომის წერტილებზე ან ღრუბელში.

პაროლების გენერირება შესაძლებელია ავტომატურად; შესაძლებელია მათი ხანგრძლივობის/სიძლიერის, ვადის ან ვადის გასვლის თარიღის მოქნილად დაყენება და მომხმარებლისთვის მიწოდების მეთოდი (ელფოსტით ან SMS-ით):

თქვენ ასევე შეგიძლიათ დააკონფიგურიროთ კლიენტების მაქსიმალური რაოდენობა, რომლებსაც შეუძლიათ დაკავშირება ერთი PPSK-ის გამოყენებით ან თუნდაც „MAC-binding“-ის კონფიგურაცია დაკავშირებული მოწყობილობებისთვის. ქსელის ადმინისტრატორის ბრძანებით, ნებისმიერი გასაღები შეიძლება ადვილად გაუქმდეს და ქსელზე წვდომა უარყოფილი იქნება ყველა სხვა მოწყობილობის ხელახალი კონფიგურაციის საჭიროების გარეშე. თუ კლიენტი დაკავშირებულია გასაღების გაუქმებისას, წვდომის წერტილი ავტომატურად გათიშავს მას ქსელიდან.

PPSK-ის მთავარ უპირატესობებს შორის აღვნიშნავთ:

• გამოყენების სიმარტივე უსაფრთხოების მაღალი დონით;
• ლექსიკონის თავდასხმის მოგერიება მოგვარებულია გრძელი და ძლიერი პაროლების გამოყენებით, რომლებსაც ExtremeCloudIQ-ს შეუძლია ავტომატურად შექმნას და გაავრცელოს;
• ერთსა და იმავე SSID-თან დაკავშირებულ სხვადასხვა მოწყობილობებზე უსაფრთხოების სხვადასხვა პროფილის მინიჭების შესაძლებლობა;
• შესანიშნავია სტუმრების უსაფრთხო წვდომისთვის;
• შესანიშნავია უსაფრთხო წვდომისთვის, როდესაც მოწყობილობები არ უჭერენ მხარს 802.1X/EAP (ხელის სკანერები ან IoT/VoWiFi მოწყობილობები);
• წარმატებული გამოყენება და გაუმჯობესება 10 წელზე მეტი ხნის განმავლობაში.

ნებისმიერი შეკითხვა, რომელიც წარმოიქმნება ან რჩება, ყოველთვის შეგიძლიათ დაუსვათ ჩვენი ოფისის თანამშრომლებს - [ელ.ფოსტით დაცულია].

წყარო: www.habr.com