WPA3 is al aangenomen en is sinds juli 2020 verplicht voor apparaten die certificering ondergaan in de WiFi-Alliance; WPA2 is niet geannuleerd en gaat dat ook niet doen. Tegelijkertijd zorgen zowel WPA2 als WPA3 voor gebruik in de PSK- en Enterprise-modi, maar we stellen voor om in ons artikel de Private PSK-technologie te beschouwen, evenals de voordelen die met behulp hiervan kunnen worden bereikt.
De problemen met WPA2-Personal zijn al lang bekend en grotendeels al opgelost (Priority Management Frames, oplossingen voor de KRACK-kwetsbaarheid, enz.). Het belangrijkste resterende nadeel van WPA2 met PSK is dat zwakke wachtwoorden vrij eenvoudig te kraken zijn met behulp van een woordenboekaanval. Als het wachtwoord in gevaar komt en het wachtwoord wordt gewijzigd in een nieuw wachtwoord, zal het nodig zijn om alle aangesloten apparaten (en toegangspunten) opnieuw te configureren, wat een zeer arbeidsintensief proces kan zijn (om het probleem van het “zwakke wachtwoord” op te lossen, WiFi -Alliance raadt aan wachtwoorden van minimaal 20 tekens lang te gebruiken).
Een ander probleem dat soms niet kan worden opgelost met WPA2-Personal is het toewijzen van verschillende profielen (vlan, QoS, firewall...) aan groepen apparaten die op dezelfde SSID zijn aangesloten.
Met behulp van WPA2-Enterprise is het mogelijk om alle hierboven beschreven problemen op te lossen, maar de prijs hiervoor zal zijn:
- De noodzaak om PKI (Public Key Infrastructure) en beveiligingscertificaten te hebben of in te zetten;
- Installatie kan moeilijk zijn;
- Er kunnen problemen zijn bij het oplossen van problemen;
- Geen optimale oplossing voor IoT-apparaten of gasttoegang.
Een radicalere oplossing voor de problemen van WPA2-Personal is het overstappen naar WPA3, met als belangrijkste verbetering het gebruik van SAE (Simultaneous Authentication of Equals) en statische PSK. WPA3-Personal lost het probleem van de “woordenboekaanval” op, maar biedt geen unieke identificatie tijdens authenticatie en dus ook niet de mogelijkheid om profielen toe te wijzen (aangezien er ook een gemeenschappelijk statisch wachtwoord wordt gebruikt).
Er moet ook rekening mee worden gehouden dat meer dan 95% van de bestaande clients momenteel WPA3 en SAE niet ondersteunen, en dat WPA2 met succes blijft werken op miljarden apparaten die al zijn uitgebracht.
Om een oplossing te verkrijgen voor de hierboven beschreven bestaande of potentiële problemen, heeft Extreme Networks Private Pre-Shared Key (PPSK) technologie ontwikkeld. PPSK is compatibel met elke Wi-Fi-client die WPA2-PSK ondersteunt, en stelt u in staat een beveiligingsniveau te bereiken dat vergelijkbaar is met dat van WPA2-Enterprise, zonder dat u een 802.1X/EAP-infrastructuur hoeft te bouwen. Privé-PSK is in wezen WPA2-PSK, maar elke gebruiker (of groep gebruikers) kan zijn eigen dynamisch gegenereerde wachtwoord hebben. Het beheren van PPSK verschilt niet van het beheren van PSK, omdat het hele proces geautomatiseerd is. De sleuteldatabase kan lokaal op toegangspunten of in de cloud worden opgeslagen.
Wachtwoorden kunnen automatisch worden gegenereerd; de lengte/sterkte, periode of vervaldatum en de wijze van bezorging aan de gebruiker (per e-mail of sms) kunnen flexibel worden ingesteld:
U kunt ook het maximale aantal clients configureren dat verbinding kan maken met behulp van één PPSK of zelfs “MAC-binding” configureren voor aangesloten apparaten. Op bevel van de netwerkbeheerder kan elke sleutel eenvoudig worden ingetrokken en wordt de toegang tot het netwerk geweigerd zonder dat alle andere apparaten opnieuw hoeven te worden geconfigureerd. Als de client verbonden is wanneer de sleutel wordt ingetrokken, zal het toegangspunt deze automatisch loskoppelen van het netwerk.
Een van de belangrijkste voordelen van PPSK merken we op:
- gebruiksgemak met een hoog beveiligingsniveau;
- het afweren van een woordenboekaanval wordt opgelost met behulp van lange en sterke wachtwoorden, die ExtremeCloudIQ automatisch kan genereren en distribueren;
- de mogelijkheid om verschillende beveiligingsprofielen toe te wijzen aan verschillende apparaten die op dezelfde SSID zijn aangesloten;
- Ideaal voor veilige toegang voor gasten;
- Ideaal voor veilige toegang wanneer apparaten 802.1X/EAP niet ondersteunen (handheldscanners of IoT/VoWiFi-apparaten);
- succesvol gebruik en verbetering gedurende meer dan 10 jaar.
Eventuele vragen die ontstaan of blijven kunt u altijd stellen aan onze binnendienst - .
Bron: www.habr.com