WPA3 už bol prijatý a od júla 2020 je povinný pre zariadenia, ktoré prechádzajú certifikáciou vo WiFi-Alliance; WPA2 nebol zrušený a nebude. WPA2 aj WPA3 zároveň zabezpečujú prevádzku v režimoch PSK a Enterprise, ale v našom článku navrhujeme zvážiť technológiu Private PSK, ako aj výhody, ktoré je možné s jej pomocou dosiahnuť.
Problémy s WPA2-Personal sú známe už dlho a z väčšej časti sú už opravené (Priority Management Frames, opravy zraniteľnosti KRACK atď.). Hlavnou zostávajúcou nevýhodou WPA2 pomocou PSK je, že slabé heslá sa dajú pomerne ľahko prelomiť pomocou slovníkového útoku. Ak je heslo prezradené a heslo je zmenené na nové, bude potrebné prekonfigurovať všetky pripojené zariadenia (a prístupové body), čo môže byť proces veľmi náročný na prácu (na vyriešenie problému so „slabým heslom“, WiFi -Aliancia odporúča používať heslá s dĺžkou aspoň 20 znakov).
Ďalším problémom, ktorý sa niekedy nedá vyriešiť pomocou WPA2-Personal, je priraďovanie rôznych profilov (vlan, QoS, firewall...) skupinám zariadení pripojených k rovnakému SSID.
Pomocou WPA2-Enterprise je možné vyriešiť všetky vyššie uvedené problémy, ale cena za to bude:
- Potreba mať alebo nasadiť PKI (Public Key Infrastructure) a bezpečnostné certifikáty;
- Inštalácia môže byť náročná;
- Môžu sa vyskytnúť problémy s riešením problémov;
- Nie je to optimálne riešenie pre zariadenia internetu vecí alebo prístup hostí.
Radikálnejším riešením problémov WPA2-Personal je prechod na WPA3, ktorého hlavným vylepšením je použitie SAE (Simultaneous Authentication of Equals) a statického PSK. WPA3-Personal rieši problém so „slovníkovým útokom“, ale neposkytuje jedinečnú identifikáciu počas autentifikácie a teda ani možnosť priraďovania profilov (keďže sa stále používa bežné statické heslo).
Treba tiež vziať do úvahy, že viac ako 95 % existujúcich klientov v súčasnosti nepodporuje WPA3 a SAE a WPA2 naďalej úspešne funguje na miliardách už vydaných zariadení.
S cieľom získať riešenie existujúcich alebo potenciálnych problémov popísaných vyššie vyvinula spoločnosť Extreme Networks technológiu súkromného predzdieľaného kľúča (PPSK). PPSK je kompatibilný s akýmkoľvek klientom Wi-Fi, ktorý podporuje WPA2-PSK, a umožňuje vám dosiahnuť úroveň zabezpečenia porovnateľnú s úrovňou dosiahnutou s WPA2-Enterprise, bez potreby budovania infraštruktúry 802.1X/EAP. Súkromné PSK je v podstate WPA2-PSK, ale každý používateľ (alebo skupina používateľov) môže mať svoje vlastné dynamicky generované heslo. Riadenie PPSK sa nelíši od riadenia PSK, pretože celý proces je automatizovaný. Databáza kľúčov môže byť uložená lokálne na prístupových bodoch alebo v cloude.
Heslá je možné generovať automaticky, je možné flexibilne nastaviť ich dĺžku/silu, dobu alebo dátum expirácie a spôsob doručenia používateľovi (e-mailom alebo SMS):
Môžete tiež nakonfigurovať maximálny počet klientov, ktorí sa môžu pripojiť pomocou jedného PPSK, alebo dokonca nakonfigurovať „viazanie MAC“ pre pripojené zariadenia. Na príkaz správcu siete je možné ľubovoľný kľúč jednoducho odvolať a prístup do siete bude odmietnutý bez potreby prekonfigurovania všetkých ostatných zariadení. Ak je klient pripojený, keď je kľúč odvolaný, prístupový bod ho automaticky odpojí od siete.
Medzi hlavné výhody PPSK uvádzame:
- jednoduché použitie s vysokou úrovňou bezpečnosti;
- odrazenie slovníkového útoku je riešené pomocou dlhých a silných hesiel, ktoré dokáže ExtremeCloudIQ automaticky generovať a distribuovať;
- možnosť priradiť rôzne bezpečnostné profily rôznym zariadeniam pripojeným k rovnakému SSID;
- Skvelé pre bezpečný prístup hostí;
- Skvelé pre bezpečný prístup, keď zariadenia nepodporujú 802.1X/EAP (ručné skenery alebo zariadenia IoT/VoWiFi);
- úspešné používanie a zlepšovanie už viac ako 10 rokov.
Akékoľvek otázky, ktoré vyvstanú alebo zostanú, môžete vždy položiť zamestnancom našej kancelárie - .
Zdroj: hab.com