WPA3 telah pun diterima pakai, dan sejak Julai 2020 adalah wajib untuk peranti yang diperakui oleh WiFi-Alliance, WPA2 tidak dibatalkan dan tidak akan diteruskan. Pada masa yang sama, kedua-dua WPA2 dan WPA3 menyediakan operasi dalam mod PSK dan Perusahaan, tetapi kami mencadangkan untuk mempertimbangkan teknologi PSK Persendirian dalam artikel kami, serta faedah yang boleh dicapai dengan bantuannya.
WPA2-Masalah peribadi telah diketahui sejak sekian lama dan, secara amnya, telah pun dibetulkan (Kerangka Pengurusan Keutamaan, pembetulan untuk kelemahan KRACK, dsb.). Kelemahan utama WPA2 menggunakan PSK ialah kata laluan yang lemah agak mudah dipecahkan dengan serangan kamus. Sekiranya berlaku kompromi dan menukar kata laluan kepada yang baru, adalah perlu untuk mengkonfigurasi semula semua peranti yang disambungkan (dan titik akses), yang boleh menjadi proses yang sangat memakan masa (untuk menyelesaikan masalah "kata laluan yang lemah", WiFi- Alliance mengesyorkan menggunakan kata laluan sekurang-kurangnya 20 aksara).
Isu lain yang kadangkala tidak dapat diselesaikan menggunakan WPA2-Personal ialah penugasan profil berbeza (vlan, QoS, firewall ...) kepada kumpulan peranti yang disambungkan ke SSID yang sama.
Dengan bantuan WPA2-Enterprise adalah mungkin untuk menyelesaikan semua masalah yang diterangkan di atas, tetapi harga untuk ini adalah:
- Keperluan untuk mempunyai atau menggunakan sijil keselamatan PKI (Public Key Infrastructure) dan sijil keselamatan;
- Pemasangan mungkin sukar;
- Penyelesaian masalah mungkin sukar;
- Bukan penyelesaian terbaik untuk peranti IoT atau akses tetamu.
Penyelesaian yang lebih radikal kepada masalah WPA2-Personal ialah peralihan kepada WPA3, penambahbaikan utamanya ialah penggunaan SAE (Simultaneous Authentication of Equals) dan PSK statik. WPA3-Personal menyelesaikan masalah "serangan kamus", tetapi tidak memberikan pengenalan unik semasa pengesahan dan, dengan itu, keupayaan untuk menetapkan profil (kerana ia masih menggunakan kata laluan statik biasa).
Penting juga untuk diingat bahawa lebih 95% pelanggan sedia ada pada masa ini tidak menyokong WPA3 dan SAE, dan WPA2 terus berfungsi dengan jayanya pada berbilion-bilion peranti yang telah dikeluarkan.
Untuk mendapatkan penyelesaian kepada masalah sedia ada, atau potensi masalah yang diterangkan di atas, Extreme Networks membangunkan teknologi Kunci Pra-Perkongsian Persendirian (PPSK). PPSK serasi dengan mana-mana klien Wi-Fi yang menyokong WPA2-PSK dan membolehkan anda mencapai tahap keselamatan yang setanding dengan yang dicapai menggunakan WPA2-Enterprise, tanpa perlu membina infrastruktur 802.1X/EAP. PSK persendirian pada asasnya ialah WPA2-PSK, tetapi setiap pengguna (atau kumpulan pengguna) boleh mempunyai kata laluan mereka sendiri yang dijana secara dinamik. Pengurusan PPSK tidak berbeza dengan pengurusan PSK kerana keseluruhan proses adalah automatik. Pangkalan data utama boleh disimpan secara tempatan pada titik akses atau dalam awan.
Kata laluan boleh dijana secara automatik, adalah mungkin untuk menetapkan panjang/kekuatan, tempoh atau tarikh tamat tempoh, kaedah penghantaran kepada pengguna secara fleksibel (melalui mel atau SMS):
Anda juga boleh mengkonfigurasi bilangan maksimum pelanggan yang boleh menyambung menggunakan satu PPSK, atau juga mengkonfigurasi "pengikatan MAC" untuk peranti yang disambungkan. Atas arahan pentadbir rangkaian, sebarang kunci boleh dibatalkan dengan mudah, dan akses kepada rangkaian akan dinafikan tanpa perlu mengkonfigurasi semula semua peranti lain. Jika klien disambungkan apabila kunci dibatalkan, pusat akses akan memutuskan sambungannya secara automatik daripada rangkaian.
Daripada kelebihan utama PPSK, kami perhatikan:
- kemudahan penggunaan dengan tahap keselamatan yang tinggi;
- menangkis serangan kamus diselesaikan menggunakan kata laluan yang panjang dan kuat yang ExtremeCloudIQ boleh menjana dan mengedarkan secara automatik;
- keupayaan untuk menetapkan profil keselamatan yang berbeza kepada peranti berbeza yang disambungkan kepada SSID yang sama;
- bagus untuk akses tetamu yang selamat;
- bagus untuk akses selamat apabila peranti tidak menyokong 802.1X/EAP (pengimbas pegang tangan atau peranti IoT/VoWiFi);
- berjaya digunakan dan diperbaiki selama lebih 10 tahun.
Jika anda mempunyai sebarang soalan atau mempunyai sebarang soalan, anda sentiasa boleh bertanya kepada kakitangan pejabat kami - .
Sumber: www.habr.com