WPA3 мурунтан эле кабыл алынган жана 2020-жылдын июлунан тартып WiFi-Альянста сертификациядан өткөн түзмөктөр үчүн милдеттүү; WPA2 жокко чыгарылган эмес жана мындан ары да жок. Ошол эле учурда, WPA2 жана WPA3 экөө тең PSK жана Enterprise режимдеринде иштөөнү камсыз кылат, бирок биз макалабызда Private PSK технологиясын, ошондой эле анын жардамы менен жетишүүгө мүмкүн болгон артыкчылыктарды карап чыгууну сунуштайбыз.
WPA2-Personal көйгөйлөрү көптөн бери белгилүү жана көпчүлүк учурда чечилген (Priority Management Frames, KRACK аялуулугун оңдоо ж.б.). PSK колдонгон WPA2нин калган негизги кемчилиги - алсыз сырсөздөрдү сөздүк чабуулу аркылуу бузуп салуу оңой. Эгер сырсөз бузулуп, сырсөз жаңысына өзгөртүлсө, анда бардык туташкан түзмөктөрдү (жана кирүү чекиттерин) кайра конфигурациялоо керек болот, бул абдан көп эмгекти талап кылган процесс ("чабал сырсөз" маселесин чечүү үчүн, WiFi -Альянс кеминде 20 белгиден турган сырсөздөрдү колдонууну сунуштайт).
Кээде WPA2-Personal аркылуу чечилбей турган дагы бир маселе - бир SSIDге туташкан түзмөктөрдүн топторуна ар кандай профилдерди (vlan, QoS, брандмауэр...) ыйгаруу.
WPA2-Enterprise жардамы менен жогоруда сүрөттөлгөн бардык көйгөйлөрдү чечүүгө болот, бирок анын баасы:
- PKI (Ачык ачкыч инфраструктурасы) жана коопсуздук сертификаттарына ээ болуу же жайылтуу зарылчылыгы;
- Орнотуу кыйын болушу мүмкүн;
- Мүчүлүштүктөрдү аныктоодо кыйынчылыктар болушу мүмкүн;
- IoT түзмөктөрү же конок мүмкүнчүлүгү үчүн оптималдуу чечим эмес.
WPA2-Personal көйгөйлөрүнүн бир кыйла радикалдуу чечими WPA3ке өтүү болуп саналат, анын негизги өркүндөтүүсү SAE (бир убактагы бирдей аутентификация) жана статикалык PSK колдонуу болуп саналат. WPA3-Personal "сөздүк чабуулу" менен көйгөйдү чечет, бирок аутентификация учурунда уникалдуу идентификацияны жана ошого жараша профилдерди дайындоо мүмкүнчүлүгүн бербейт (анткени жалпы статикалык сырсөз да колдонулат).
Ошондой эле, учурдагы кардарлардын 95% дан ашыгы учурда WPA3 жана SAE колдобой турганын эске алуу керек, ал эми WPA2 буга чейин чыгарылган миллиарддаган түзмөктөрдө ийгиликтүү ишин улантууда.
Жогоруда сүрөттөлгөн бар же мүмкүн болгон көйгөйлөрдүн чечимин алуу үчүн, Extreme Networks Private Pre-Shared Key (PPSK) технологиясын иштеп чыккан. PPSK WPA2-PSK колдогон бардык Wi-Fi кардары менен шайкеш келет жана 2X/EAP инфраструктурасын куруунун зарылдыгы жок, WPA802.1-Enterprise менен жетишилген коопсуздук деңгээлине жетүүгө мүмкүндүк берет. Жеке PSK негизинен WPA2-PSK, бирок ар бир колдонуучу (же колдонуучулар тобу) өзүнүн динамикалык түрдө түзүлгөн сырсөзүнө ээ болушу мүмкүн. PPSK башкаруу PSK башкаруудан эч айырмасы жок, анткени бүт процесс автоматташтырылган. Негизги маалымат базасы кирүү чекиттеринде же булутта жергиликтүү түрдө сакталышы мүмкүн.
Сырсөздөр автоматтык түрдө түзүлүшү мүмкүн; алардын узундугун/күчүн, мөөнөтүн же жарактуулук мөөнөтүн жана колдонуучуга жеткирүү ыкмасын ийкемдүү түрдө коюуга болот (электрондук почта же SMS аркылуу):
Сиз ошондой эле бир PPSK аркылуу туташа турган кардарлардын максималдуу санын конфигурациялай аласыз же туташкан түзмөктөр үчүн “MAC-байлоону” конфигурациялай аласыз. Тармактын администраторунун буйругу менен каалаган ачкычты оңой эле жокко чыгарууга болот жана башка бардык түзмөктөрдү кайра конфигурациялоонун зарылдыгы жок тармакка кирүү мүмкүнчүлүгүнөн баш тартылат. Эгерде кардар ачкыч жокко чыгарылганда туташкан болсо, кирүү чекити аны автоматтык түрдө тармактан ажыратат.
PPSK негизги артыкчылыктарынын арасында биз белгилей кетүү керек:
- коопсуздуктун жогорку деңгээли менен колдонуунун жөнөкөйлүгү;
- сөздүк чабуулунун мизин кайтаруу ExtremeCloudIQ автоматтык түрдө түзүп жана тарата турган узун жана күчтүү сырсөздөрдүн жардамы менен чечилет;
- бир SSIDге туташкан ар кандай түзмөктөргө ар кандай коопсуздук профилдерин дайындоо мүмкүнчүлүгү;
- коопсуз конок жетүү үчүн сонун;
- Түзмөктөр 802.1X/EAP (кол сканерлери же IoT/VoWiFi түзмөктөрү) колдоого албаганда коопсуз кирүү үчүн эң сонун;
- ийгиликтүү пайдалануу жана 10 жылдан ашык жакшыртуу.
Ар кандай пайда болгон же калган суроолорду биздин кеңсе кызматкерлерине ар дайым берсе болот - .
Source: www.habr.com