WPA3 został już przyjęty, a od lipca 2020 jest obowiązkowy dla urządzeń certyfikowanych przez WiFi-Alliance, WPA2 nie został anulowany i nie zostanie anulowany. Jednocześnie zarówno WPA2, jak i WPA3 zapewniają działanie w trybach PSK i Enterprise, ale proponujemy rozważyć w naszym artykule technologię Private PSK, a także korzyści, które można osiągnąć za jej pomocą.
Problemy z WPA2-Personal są znane od dawna i generalnie zostały już naprawione (Priority Management Frames, poprawki do luki KRACK itp.). Główną pozostałą wadą WPA2 przy użyciu PSK jest to, że słabe hasła są dość łatwe do złamania za pomocą ataku słownikowego. W przypadku włamania i zmiany hasła na nowe konieczna będzie ponowna konfiguracja wszystkich podłączonych urządzeń (i punktów dostępowych), co może być procesem bardzo czasochłonnym (aby rozwiązać problem „słabego hasła”, WiFi- Alliance zaleca stosowanie haseł o długości co najmniej 20 znaków).
Innym problemem, którego czasami nie można rozwiązać za pomocą WPA2-Personal, jest przypisanie różnych profili (vlan, QoS, firewall ...) do grup urządzeń podłączonych do tego samego SSID.
Z pomocą WPA2-Enterprise możliwe jest rozwiązanie wszystkich opisanych powyżej problemów, ale cena za to będzie wynosić:
- Konieczność posiadania lub wdrażania PKI (Infrastruktury Klucza Publicznego) i certyfikatów bezpieczeństwa;
- Instalacja może być trudna;
- Rozwiązywanie problemów może być trudne;
- Nie jest to najlepsze rozwiązanie dla urządzeń IoT lub dostępu dla gości.
Bardziej radykalnym rozwiązaniem problemów WPA2-Personal jest przejście na WPA3, którego głównym ulepszeniem jest zastosowanie SAE (Simultaneous Authentication of Equals) i statycznego PSK. WPA3-Personal rozwiązuje problem „ataku słownikowego”, ale nie zapewnia unikalnej identyfikacji podczas uwierzytelniania, a co za tym idzie, możliwości przypisywania profili (ponieważ nadal używa wspólnego hasła statycznego).
Należy również pamiętać, że ponad 95% obecnych klientów nie obsługuje obecnie WPA3 i SAE, a WPA2 nadal z powodzeniem działa na miliardach już wydanych urządzeń.
Aby uzyskać rozwiązanie istniejących lub potencjalnych problemów opisanych powyżej, firma Extreme Networks opracowała technologię Private Pre-Shared Key (PPSK). PPSK jest kompatybilny z każdym klientem Wi-Fi obsługującym WPA2-PSK i pozwala osiągnąć poziom bezpieczeństwa porównywalny z tym, który osiąga się przy użyciu WPA2-Enterprise, bez konieczności budowania infrastruktury 802.1X/EAP. Prywatny PSK to zasadniczo WPA2-PSK, ale każdy użytkownik (lub grupa użytkowników) może mieć własne, dynamicznie generowane hasło. Zarządzanie PPSK nie różni się od zarządzania PSK, ponieważ cały proces jest zautomatyzowany. Baza danych kluczy może być przechowywana lokalnie w punktach dostępowych lub w chmurze.
Hasła mogą być generowane automatycznie, można elastycznie ustawić ich długość/siłę, okres lub datę ważności, sposób dostarczenia do użytkownika (pocztą lub SMS):
Możesz także skonfigurować maksymalną liczbę klientów, którzy mogą łączyć się za pomocą jednego PPSK, a nawet skonfigurować „wiązanie MAC” dla podłączonych urządzeń. Na polecenie administratora sieci dowolny klucz można łatwo unieważnić, a dostęp do sieci zostanie zablokowany bez konieczności ponownej konfiguracji wszystkich pozostałych urządzeń. Jeśli klient jest podłączony w momencie unieważnienia klucza, punkt dostępowy automatycznie odłączy go od sieci.
Z głównych zalet PPSK zauważamy:
- łatwość obsługi przy wysokim poziomie bezpieczeństwa;
- odparcie ataku słownikowego jest rozwiązywane przy użyciu długich i silnych haseł, które ExtremeCloudIQ może automatycznie generować i rozpowszechniać;
- możliwość przypisania różnych profili bezpieczeństwa do różnych urządzeń podłączonych do tego samego SSID;
- doskonały do bezpiecznego dostępu dla gości;
- doskonały do bezpiecznego dostępu, gdy urządzenia nie obsługują standardu 802.1X/EAP (skanery ręczne lub urządzenia IoT/VoWiFi);
- z powodzeniem stosowane i udoskonalane od ponad 10 lat.
Jeśli masz jakieś pytania lub masz jakieś pytania, zawsze możesz zwrócić się do pracowników naszego biura - .
Źródło: www.habr.com