WPA3 jau buvo priimtas, o nuo 2020 m. liepos mėn. yra privalomas įrenginiams, kurie sertifikuojami „WiFi-Alliance“; WPA2 nebuvo atšauktas ir nebus atšauktas. Tuo pačiu metu tiek WPA2, tiek WPA3 numato veikimą PSK ir Enterprise režimais, tačiau savo straipsnyje siūlome apsvarstyti privačią PSK technologiją, taip pat privalumus, kuriuos galima pasiekti naudojant ją.
WPA2-Personal problemos buvo žinomos jau seniai ir didžioji dalis jau ištaisytos (prioritetinių valdymo rėmų, KRACK pažeidžiamumo pataisymų ir kt.). Pagrindinis likęs WPA2 naudojant PSK trūkumas yra tas, kad silpnus slaptažodžius gana lengva nulaužti naudojant žodyno ataką. Jei slaptažodis bus pažeistas ir slaptažodis pakeistas į naują, reikės iš naujo sukonfigūruoti visus prijungtus įrenginius (ir prieigos taškus), o tai gali būti labai daug darbo reikalaujantis procesas (siekiant išspręsti „silpno slaptažodžio“ problemą, WiFi -Aljansas rekomenduoja naudoti mažiausiai 20 simbolių ilgio slaptažodžius).
Kita problema, kurios kartais nepavyksta išspręsti naudojant WPA2-Personal, yra skirtingų profilių (vlan, QoS, ugniasienės...) priskyrimas įrenginių grupėms, prijungtoms prie to paties SSID.
WPA2-Enterprise pagalba galima išspręsti visas aukščiau aprašytas problemas, tačiau kaina už tai bus:
- Poreikis turėti arba įdiegti PKI (Public Key Infrastructure) ir saugos sertifikatus;
- Įdiegimas gali būti sudėtingas;
- Gali kilti sunkumų šalinant triktis;
- Ne optimalus sprendimas daiktų interneto įrenginiams ar svečio prieigai.
Radikalesnis WPA2-Personal problemų sprendimas – pereiti prie WPA3, kurio pagrindinis patobulinimas – SAE (Simultaneous Authentication of Equals) ir statinio PSK naudojimas. „WPA3-Personal“ išsprendžia „žodyno atakos“ problemą, tačiau autentifikavimo metu nesuteikia unikalaus identifikavimo ir, atitinkamai, galimybės priskirti profilius (nes taip pat naudojamas įprastas statinis slaptažodis).
Taip pat reikėtų atsižvelgti į tai, kad daugiau nei 95% esamų klientų šiuo metu nepalaiko WPA3 ir SAE, o WPA2 ir toliau sėkmingai veikia milijarduose jau išleistų įrenginių.
Siekdama išspręsti aukščiau aprašytas esamas ar galimas problemas, „Extreme Networks“ sukūrė privataus iš anksto bendrinamo rakto (PPSK) technologiją. PPSK yra suderinamas su bet kuriuo Wi-Fi klientu, kuris palaiko WPA2-PSK, ir leidžia pasiekti saugumo lygį, panašų į tą, kuris pasiekiamas naudojant WPA2-Enterprise, nekuriant 802.1X/EAP infrastruktūros. Privatus PSK iš esmės yra WPA2-PSK, tačiau kiekvienas vartotojas (arba vartotojų grupė) gali turėti savo dinamiškai sugeneruotą slaptažodį. PPSK valdymas nesiskiria nuo PSK valdymo, nes visas procesas yra automatizuotas. Pagrindinė duomenų bazė gali būti saugoma vietoje prieigos taškuose arba debesyje.
Slaptažodžiai gali būti generuojami automatiškai, galima lanksčiai nustatyti jų ilgį/stiprumą, laikotarpį ar galiojimo datą bei pristatymo vartotojui būdą (el. paštu arba SMS):
Taip pat galite sukonfigūruoti maksimalų klientų, galinčių prisijungti naudojant vieną PPSK, skaičių arba netgi sukonfigūruoti prijungtų įrenginių „MAC surišimą“. Tinklo administratoriaus nurodymu bet kurį raktą galima lengvai atšaukti, o prieiga prie tinklo bus uždrausta, nereikės iš naujo konfigūruoti visų kitų įrenginių. Jei klientas yra prijungtas, kai atšaukiamas raktas, prieigos taškas automatiškai atjungs jį nuo tinklo.
Tarp pagrindinių PPSK privalumų pažymime:
- naudojimo paprastumas ir aukštas saugumo lygis;
- žodyno atakos atmušimas sprendžiamas naudojant ilgus ir stiprius slaptažodžius, kuriuos ExtremeCloudIQ gali automatiškai sugeneruoti ir platinti;
- galimybė priskirti skirtingus saugos profilius skirtingiems įrenginiams, prijungtiems prie to paties SSID;
- Puikiai tinka saugiai svečių prieigai;
- Puikiai tinka saugiai prieigai, kai įrenginiai nepalaiko 802.1X/EAP (rankiniai skaitytuvai arba IoT/VoWiFi įrenginiai);
- sėkmingas naudojimas ir tobulinimas daugiau nei 10 metų.
Bet kokius iškilusius ar išliekančius klausimus visada galite užduoti mūsų biuro darbuotojams - .
Šaltinis: www.habr.com