WPA3 a fost deja adoptat, iar din iulie 2020 este obligatoriu pentru dispozitivele care sunt certificate de WiFi-Alliance, WPA2 nu a fost anulat și nu urmează. În același timp, atât WPA2, cât și WPA3 prevăd funcționarea în modurile PSK și Enterprise, dar ne propunem să luăm în considerare tehnologia Private PSK în articolul nostru, precum și beneficiile care pot fi obținute cu ajutorul acesteia.
Problemele WPA2-Personal sunt cunoscute de mult timp și, în general, au fost deja remediate (Priority Management Frames, remedieri pentru vulnerabilitatea KRACK etc.). Principalul dezavantaj rămas al WPA2 care utilizează PSK este că parolele slabe sunt destul de ușor de spart cu un atac de dicționar. În cazul unui compromis și schimbarea parolei cu una nouă, va fi necesară reconfigurarea tuturor dispozitivelor conectate (și punctelor de acces), ceea ce poate fi un proces care consumă foarte mult timp (pentru a rezolva problema „parolă slabă”, WiFi- Alliance recomandă utilizarea parolelor de cel puțin 20 de caractere).
O altă problemă care uneori nu poate fi rezolvată folosind WPA2-Personal este alocarea de profiluri diferite (vlan, QoS, firewall...) către grupuri de dispozitive conectate la același SSID.
Cu ajutorul WPA2-Enterprise este posibil să se rezolve toate problemele descrise mai sus, dar prețul pentru aceasta va fi:
- Necesitatea de a avea sau de a implementa PKI (Public Key Infrastructure) și certificate de securitate;
- Instalarea poate fi dificilă;
- Depanarea poate fi dificilă;
- Nu este cea mai bună soluție pentru dispozitivele IoT sau accesul pentru oaspeți.
O soluție mai radicală la problemele WPA2-Personal este trecerea la WPA3, a cărei îmbunătățire principală este utilizarea SAE (Simultaneous Authentication of Equals) și PSK static. WPA3-Personal rezolvă problema „atacului de dicționar”, dar nu oferă o identificare unică în timpul autentificării și, în consecință, capacitatea de a atribui profiluri (din moment ce încă folosește o parolă statică comună).
De asemenea, este important să rețineți că peste 95% dintre clienții existenți nu acceptă în prezent WPA3 și SAE, iar WPA2 continuă să funcționeze cu succes pe miliardele de dispozitive deja lansate.
Pentru a obține o soluție la problemele existente sau potențiale descrise mai sus, Extreme Networks a dezvoltat tehnologia Private Pre-Shared Key (PPSK). PPSK este compatibil cu orice client Wi-Fi care acceptă WPA2-PSK și vă permite să atingeți un nivel de securitate comparabil cu cel atins folosind WPA2-Enterprise, fără a fi nevoie să construiți o infrastructură 802.1X/EAP. PSK privat este în esență WPA2-PSK, dar fiecare utilizator (sau grup de utilizatori) poate avea propria sa parolă generată dinamic. Managementul PPSK nu este diferit de managementul PSK, deoarece întregul proces este automatizat. Baza de date cheie poate fi stocată local pe puncte de acces sau în cloud.
Parolele pot fi generate automat, este posibil să le setați în mod flexibil lungimea/forța, perioada sau data expirării, modalitatea de livrare către utilizator (prin poștă sau SMS):
De asemenea, puteți configura numărul maxim de clienți care se pot conecta folosind un PPSK sau chiar puteți configura „legarea MAC” pentru dispozitivele conectate. La comanda administratorului de rețea, orice cheie poate fi revocată cu ușurință, iar accesul la rețea va fi refuzat fără a fi necesară reconfigurarea tuturor celorlalte dispozitive. Dacă clientul este conectat atunci când cheia este revocată, punctul de acces îl va deconecta automat de la rețea.
Dintre principalele avantaje ale PPSK, notăm:
- ușurință în utilizare cu un nivel ridicat de securitate;
- respingerea unui atac de dicționar este rezolvată folosind parole lungi și puternice pe care ExtremeCloudIQ le poate genera și distribui automat;
- capacitatea de a atribui diferite profiluri de securitate diferitelor dispozitive conectate la același SSID;
- excelent pentru accesul securizat al oaspeților;
- excelent pentru acces securizat atunci când dispozitivele nu acceptă 802.1X/EAP (scanere portabile sau dispozitive IoT/VoWiFi);
- folosit și îmbunătățit cu succes de peste 10 ani.
Dacă aveți întrebări sau aveți întrebări, puteți adresa oricând personalului biroului nostru - .
Sursa: www.habr.com