WPA3 er allerede vedtatt, og siden juli 2020 er det obligatorisk for enheter som er sertifisert av WiFi-Alliance, WPA2 har ikke blitt kansellert og kommer ikke til å gjøre det. Samtidig sørger både WPA2 og WPA3 for drift i PSK- og Enterprise-modus, men vi foreslår å vurdere privat PSK-teknologi i artikkelen vår, samt fordelene som kan oppnås med hjelpen.
WPA2-Personlige problemer har vært kjent i lang tid og har generelt allerede blitt fikset (Priority Management Frames, reparasjoner for KRACK-sårbarheten, etc.). Den største gjenværende ulempen med WPA2 ved bruk av PSK er at svake passord er ganske enkle å knekke med et ordbokangrep. I tilfelle et kompromiss og endring av passordet til et nytt, vil det være nødvendig å rekonfigurere alle tilkoblede enheter (og tilgangspunkter), noe som kan være en svært tidkrevende prosess (for å løse problemet med "svak passord", WiFi- Alliance anbefaler å bruke passord på minst 20 tegn).
Et annet problem som noen ganger ikke kan løses med WPA2-Personal, er tildelingen av forskjellige profiler (vlan, QoS, brannmur ...) til grupper av enheter koblet til samme SSID.
Ved hjelp av WPA2-Enterprise er det mulig å løse alle problemene beskrevet ovenfor, men prisen for dette vil være:
- Behovet for å ha eller distribuere PKI (Public Key Infrastructure) og sikkerhetssertifikater;
- Installasjonen kan være vanskelig;
- Feilsøking kan være vanskelig;
- Ikke den beste løsningen for IoT-enheter eller gjestetilgang.
En mer radikal løsning på problemene med WPA2-Personal er overgangen til WPA3, hvor den viktigste forbedringen er bruken av SAE (Simultaneous Authentication of Equals) og statisk PSK. WPA3-Personlig løser problemet med "ordbokangrep", men gir ikke unik identifikasjon under autentisering og følgelig muligheten til å tildele profiler (siden den fortsatt bruker et vanlig statisk passord).
Det er også viktig å huske på at over 95 % av eksisterende klienter for øyeblikket ikke støtter WPA3 og SAE, og WPA2 fortsetter å fungere med suksess på de milliarder av enheter som allerede er utgitt.
For å få en løsning på de eksisterende, eller potensielle problemene beskrevet ovenfor, utviklet Extreme Networks teknologi for Private Pre-Shared Key (PPSK). PPSK er kompatibel med alle Wi-Fi-klienter som støtter WPA2-PSK og lar deg oppnå et sikkerhetsnivå som kan sammenlignes med det som oppnås ved bruk av WPA2-Enterprise, uten å måtte bygge en 802.1X/EAP-infrastruktur. Privat PSK er i hovedsak WPA2-PSK, men hver bruker (eller gruppe av brukere) kan ha sitt eget dynamisk genererte passord. PPSK-administrasjon er ikke forskjellig fra PSK-administrasjon da hele prosessen er automatisert. Nøkkeldatabasen kan lagres lokalt på tilgangspunkter eller i skyen.
Passord kan genereres automatisk, det er mulig å fleksibelt stille inn lengde/styrke, periode eller utløpsdato, leveringsmetode til brukeren (via post eller SMS):
Du kan også konfigurere maksimalt antall klienter som kan koble til ved hjelp av én PPSK, eller til og med konfigurere "MAC-binding" for tilkoblede enheter. Etter kommando fra nettverksadministratoren kan enhver nøkkel enkelt trekkes tilbake, og tilgang til nettverket vil bli nektet uten at alle andre enheter må konfigureres på nytt. Hvis klienten er tilkoblet når nøkkelen trekkes tilbake, vil tilgangspunktet automatisk koble den fra nettverket.
Av hovedfordelene med PPSK merker vi:
- brukervennlighet med et høyt sikkerhetsnivå;
- å avvise et ordbokangrep løses ved å bruke lange og sterke passord som ExtremeCloudIQ automatisk kan generere og distribuere;
- muligheten til å tilordne forskjellige sikkerhetsprofiler til forskjellige enheter koblet til samme SSID;
- flott for sikker gjestetilgang;
- flott for sikker tilgang når enheter ikke støtter 802.1X/EAP (håndholdte skannere eller IoT/VoWiFi-enheter);
- vellykket brukt og forbedret i over 10 år.
Hvis du har spørsmål eller har spørsmål, kan du alltid spørre personalet på vårt kontor - .
Kilde: www.habr.com