WPA3 нь аль хэдийн батлагдсан бөгөөд 2020 оны 2-р сараас хойш WiFi-Alliance-аас гэрчилгээжсэн төхөөрөмжүүдэд заавал байх ёстой, WPA2-г цуцлаагүй бөгөөд цаашид ч цуцлагдахгүй. Үүний зэрэгцээ WPA3 ба WPAXNUMX хоёулаа PSK болон Enterprise горимд ажиллах боломжийг олгодог боловч бид нийтлэлдээ Хувийн PSK технологи, түүнчлэн түүний тусламжтайгаар хүрч болох ашиг тусыг авч үзэхийг санал болгож байна.
WPA2-Хувийн асуудлууд нь удаан хугацааны туршид мэдэгдэж байсан бөгөөд ерөнхийдөө аль хэдийн шийдэгдсэн (Тэргүүлэх удирдлагын хүрээ, KRACK эмзэг байдлын засвар гэх мэт). PSK ашигладаг WPA2-ийн үлдсэн гол сул тал бол сул нууц үгийг толь бичгийн довтолгоонд амархан эвддэг явдал юм. Нууц үг эвдэрч, шинэ нууц үг солих тохиолдолд холбогдсон бүх төхөөрөмжүүдийг (болон хандалтын цэгүүдийг) дахин тохируулах шаардлагатай бөгөөд энэ нь маш их цаг хугацаа шаардсан үйл явц юм ("сул нууц үг" -ийн асуудлыг шийдэхийн тулд WiFi- Alliance нь дор хаяж 20 тэмдэгтээс бүрдэх нууц үг ашиглахыг зөвлөж байна).
Заримдаа WPA2-Personal ашиглан шийдвэрлэх боломжгүй өөр нэг асуудал бол ижил SSID-д холбогдсон төхөөрөмжүүдийн бүлэгт өөр өөр профайл (vlan, QoS, галт хана ...) хуваарилах явдал юм.
WPA2-Enterprise-ийн тусламжтайгаар дээр дурдсан бүх асуудлыг шийдэх боломжтой боловч үүний үнэ нь:
- PKI (Нийтийн Түлхүүр Дэд бүтэц) болон аюулгүй байдлын гэрчилгээтэй байх эсвэл байршуулах хэрэгцээ;
- Суурилуулалт нь хэцүү байж болно;
- Алдааг олж засварлахад хэцүү байж болно;
- IoT төхөөрөмж эсвэл зочдод хандах хамгийн сайн шийдэл биш.
WPA2-Personal-ийн асуудлыг шийдэх илүү радикал шийдэл бол WPA3 руу шилжих явдал бөгөөд гол сайжруулалт нь SAE (Тэгш ижил төстэй баталгаажуулалт) ба статик PSK ашиглах явдал юм. WPA3-Personal нь "тайлбарын халдлага"-ын асуудлыг шийддэг боловч баталгаажуулалтын явцад өвөрмөц таних тэмдэг өгдөггүй бөгөөд үүний дагуу профайл хуваарилах боломжийг олгодоггүй (энэ нь нийтлэг статик нууц үгийг ашигладаг хэвээр байна).
Одоо байгаа үйлчлүүлэгчдийн 95 гаруй хувь нь WPA3 болон SAE-г дэмждэггүй бөгөөд WPA2 нь аль хэдийн гаргасан олон тэрбум төхөөрөмж дээр амжилттай ажилласаар байгааг санах нь зүйтэй.
Дээр дурдсан одоо байгаа эсвэл болзошгүй асуудлуудыг шийдэхийн тулд Extreme Networks Private Pre-Shared Key (PPSK) технологийг боловсруулсан. PPSK нь WPA2-PSK-г дэмждэг ямар ч Wi-Fi клиенттэй нийцдэг бөгөөд 2X/EAP дэд бүтцийг бий болгох шаардлагагүйгээр WPA802.1-Enterprise-ийг ашиглан олж авсан аюулгүй байдлын түвшинд хүрэх боломжийг танд олгоно. Хувийн PSK нь үндсэндээ WPA2-PSK боловч хэрэглэгч бүр (эсвэл бүлэг хэрэглэгчид) өөрийн динамикаар үүсгэсэн нууц үгтэй байж болно. PPSK менежмент нь бүх үйл явц автоматжсан тул PSK менежментээс ялгаатай биш юм. Түлхүүр мэдээллийн санг нэвтрэх цэгүүд дээр эсвэл үүлэн дээр хадгалах боломжтой.
Нууц үгийг автоматаар үүсгэх боломжтой бөгөөд тэдгээрийн урт/хүч чадал, хугацаа эсвэл дуусах хугацаа, хэрэглэгчдэд хүргэх аргыг (мэйл эсвэл SMS) уян хатан тохируулах боломжтой.
Та мөн нэг PPSK ашиглан холбогдож чадах хамгийн их үйлчлүүлэгчийн тоог тохируулах эсвэл холбогдсон төхөөрөмжүүдийн хувьд "MAC-холбоо"-ыг тохируулах боломжтой. Сүлжээний администраторын тушаалаар ямар ч түлхүүрийг амархан цуцалж болох бөгөөд бусад бүх төхөөрөмжийг дахин тохируулах шаардлагагүйгээр сүлжээнд нэвтрэх эрхийг хориглох болно. Түлхүүрийг хүчингүй болгох үед үйлчлүүлэгч холбогдсон бол хандалтын цэг түүнийг сүлжээнээс автоматаар салгах болно.
PPSK-ийн гол давуу талуудаас бид дараахь зүйлийг тэмдэглэж байна.
- аюулгүй байдлын өндөр түвшинд ашиглахад хялбар;
- толь бичгийн халдлагыг няцаах нь ExtremeCloudIQ автоматаар үүсгэж, түгээх боломжтой урт, хүчтэй нууц үг ашиглан шийдэгддэг;
- ижил SSID-д холбогдсон өөр өөр төхөөрөмжид өөр өөр хамгаалалтын профайлыг хуваарилах чадвар;
- зочдод аюулгүй нэвтрэхэд тохиромжтой;
- төхөөрөмжүүд нь 802.1X/EAP (гарын сканнер эсвэл IoT/VoWiFi төхөөрөмж)-ийг дэмждэггүй үед аюулгүй нэвтрэхэд тохиромжтой;
- 10 гаруй жилийн турш амжилттай ашиглаж, сайжруулсан.
Хэрэв танд асуух зүйл байвал манай оффисын ажилтнуудаас асууж болно. .
Эх сурвалж: www.habr.com