WPA3 jau ir pieņemts, un kopš 2020. gada jūlija tas ir obligāts ierīcēm, kurām tiek veikta WiFi alianses sertifikācija; WPA2 nav atcelts un netiks atcelts. Tajā pašā laikā gan WPA2, gan WPA3 nodrošina darbību PSK un Enterprise režīmos, taču mēs piedāvājam mūsu rakstā apsvērt Private PSK tehnoloģiju, kā arī priekšrocības, ko var sasniegt ar tās palīdzību.
Problēmas ar WPA2-Personal ir zināmas jau ilgu laiku un lielākoties jau ir novērstas (Priority Management Frames, KRACK ievainojamības labojumi utt.). Galvenais atlikušais WPA2 trūkums, izmantojot PSK, ir tas, ka vājas paroles ir diezgan viegli uzlauzt, izmantojot vārdnīcas uzbrukumu. Ja parole ir apdraudēta un parole tiek nomainīta uz jaunu, būs jāpārkonfigurē visas pievienotās ierīces (un piekļuves punkti), kas var būt ļoti darbietilpīgs process (lai atrisinātu “vājas paroles” problēmu, WiFi -Alianse iesaka izmantot paroles, kuru garums ir vismaz 20 rakstzīmes).
Vēl viena problēma, ko dažkārt nevar atrisināt, izmantojot WPA2-Personal, ir dažādu profilu (vlan, QoS, ugunsmūris...) piešķiršana ierīču grupām, kas savienotas ar vienu un to pašu SSID.
Ar WPA2-Enterprise palīdzību ir iespējams atrisināt visas iepriekš aprakstītās problēmas, taču cena par to būs:
- Nepieciešamība iegūt vai izvietot PKI (publiskās atslēgas infrastruktūras) un drošības sertifikātus;
- Uzstādīšana var būt sarežģīta;
- Var rasties grūtības ar problēmu novēršanu;
- Nav optimāls risinājums IoT ierīcēm vai viesa piekļuvei.
Radikālāks risinājums WPA2-Personal problēmām ir pāreja uz WPA3, kuras galvenais uzlabojums ir SAE (Simultaneous Authentication of Equals) un statiskā PSK izmantošana. WPA3-Personal atrisina problēmu ar “vārdnīcas uzbrukumu”, taču autentifikācijas laikā nenodrošina unikālu identifikāciju un attiecīgi iespēju piešķirt profilus (jo tiek izmantota arī parastā statiskā parole).
Jāņem vērā arī tas, ka vairāk nekā 95% esošo klientu šobrīd neatbalsta WPA3 un SAE, un WPA2 turpina veiksmīgi darboties miljardos jau izlaisto ierīču.
Lai iegūtu risinājumu iepriekš aprakstītajām esošajām vai potenciālajām problēmām, Extreme Networks izstrādāja Private Pre-Shared Key (PPSK) tehnoloģiju. PPSK ir saderīgs ar jebkuru Wi-Fi klientu, kas atbalsta WPA2-PSK, un ļauj sasniegt drošības līmeni, kas ir salīdzināms ar WPA2-Enterprise sasniegto, bez nepieciešamības izveidot 802.1X/EAP infrastruktūru. Privātais PSK būtībā ir WPA2-PSK, taču katram lietotājam (vai lietotāju grupai) var būt sava dinamiski ģenerēta parole. PPSK pārvaldība neatšķiras no PSK pārvaldības, jo viss process ir automatizēts. Atslēgu datu bāzi var glabāt lokāli piekļuves punktos vai mākonī.
Paroles var ģenerēt automātiski, ir iespējams elastīgi iestatīt to garumu/spēku, termiņu vai derīguma termiņu un piegādes veidu lietotājam (pa e-pastu vai SMS):
Varat arī konfigurēt maksimālo klientu skaitu, kas var izveidot savienojumu, izmantojot vienu PPSK, vai pat konfigurēt “MAC saistīšanu” pievienotajām ierīcēm. Pēc tīkla administratora pavēles jebkuru atslēgu var viegli atsaukt, un piekļuve tīklam tiks liegta bez nepieciešamības pārkonfigurēt visas pārējās ierīces. Ja klients ir savienots, kad atslēga tiek atsaukta, piekļuves punkts to automātiski atvienos no tīkla.
Starp galvenajām PPSK priekšrocībām mēs atzīmējam:
- lietošanas vienkāršība ar augstu drošības līmeni;
- vārdnīcas uzbrukuma atvairīšana tiek atrisināta, izmantojot garas un spēcīgas paroles, kuras ExtremeCloudIQ var automātiski ģenerēt un izplatīt;
- iespēja piešķirt dažādus drošības profilus dažādām ierīcēm, kas savienotas ar vienu un to pašu SSID;
- Lieliski piemērots drošai viesu piekļuvei;
- Lieliski piemērots drošai piekļuvei, kad ierīces neatbalsta 802.1X/EAP (rokas skeneri vai IoT/VoWiFi ierīces);
- veiksmīga izmantošana un uzlabošana vairāk nekā 10 gadus.
Jebkurus jautājumus, kas rodas vai paliek, vienmēr varat uzdot mūsu biroja darbiniekiem - .
Avots: www.habr.com