WPA3 je že sprejet in je od julija 2020 obvezen za naprave, ki so certificirane v WiFi-Alliance; WPA2 ni bil preklican in ga ne bo. Hkrati WPA2 in WPA3 zagotavljata delovanje v načinih PSK in Enterprise, vendar predlagamo, da v našem članku razmislimo o tehnologiji Private PSK in prednostih, ki jih je mogoče doseči z njeno pomočjo.
Težave z WPA2-Personal so znane že dolgo in večinoma že odpravljene (Priority Management Frames, popravki za ranljivost KRACK itd.). Glavna preostala pomanjkljivost WPA2, ki uporablja PSK, je, da je šibka gesla dokaj enostavno razbiti z napadom po slovarju. Če je geslo ogroženo in se geslo spremeni v novo, bo treba znova konfigurirati vse povezane naprave (in dostopne točke), kar je lahko zelo delovno intenziven postopek (za rešitev težave s »šibkim geslom«, WiFi -Alliance priporoča uporabo gesel z vsaj 20 znaki).
Druga težava, ki je včasih ni mogoče rešiti z WPA2-Personal, je dodeljevanje različnih profilov (vlan, QoS, požarni zid ...) skupinam naprav, povezanih z istim SSID.
S pomočjo WPA2-Enterprise je mogoče rešiti vse zgoraj opisane težave, vendar bo cena za to:
- Potreba po uporabi ali uporabi PKI (Infrastruktura javnih ključev) in varnostnih potrdil;
- Namestitev je lahko težavna;
- Pri odpravljanju težav lahko pride do težav;
- Ni optimalna rešitev za naprave IoT ali dostop za goste.
Bolj radikalna rešitev težav WPA2-Personal je prehod na WPA3, katerega glavna izboljšava je uporaba SAE (Simultaneous Authentication of Equals) in statičnega PSK. WPA3-Personal rešuje težavo z "napadom po slovarju", vendar ne zagotavlja edinstvene identifikacije med preverjanjem pristnosti in s tem možnosti dodeljevanja profilov (saj se še vedno uporablja skupno statično geslo).
Upoštevati je treba tudi, da več kot 95 % obstoječih odjemalcev trenutno ne podpira WPA3 in SAE, WPA2 pa še naprej uspešno deluje na milijardah že izdanih naprav.
Da bi dobili rešitev za obstoječe ali potencialne težave, opisane zgoraj, je Extreme Networks razvil tehnologijo zasebnega vnaprej deljenega ključa (PPSK). PPSK je združljiv s katerim koli odjemalcem Wi-Fi, ki podpira WPA2-PSK, in vam omogoča, da dosežete raven varnosti, primerljivo s tisto, ki jo dosežete z WPA2-Enterprise, brez potrebe po izgradnji infrastrukture 802.1X/EAP. Zasebni PSK je v bistvu WPA2-PSK, vendar ima lahko vsak uporabnik (ali skupina uporabnikov) svoje dinamično generirano geslo. Upravljanje PPSK se ne razlikuje od upravljanja PSK, saj je celoten postopek avtomatiziran. Baza ključev je lahko shranjena lokalno na dostopnih točkah ali v oblaku.
Gesla se lahko generirajo avtomatsko, možno je fleksibilno nastaviti njihovo dolžino/moč, obdobje ali rok veljavnosti ter način dostave uporabniku (po elektronski pošti ali SMS):
Prav tako lahko konfigurirate največje število odjemalcev, ki se lahko povežejo z enim PPSK, ali celo konfigurirate »MAC-binding« za povezane naprave. Na ukaz omrežnega skrbnika je mogoče kateri koli ključ enostavno preklicati in dostop do omrežja bo zavrnjen, ne da bi bilo treba ponovno konfigurirati vse druge naprave. Če je odjemalec ob preklicu ključa povezan, ga dostopna točka samodejno izključi iz omrežja.
Med glavnimi prednostmi PPSK ugotavljamo:
- enostavna uporaba z visoko stopnjo varnosti;
- odganjanje slovarskega napada je rešeno z dolgimi in močnimi gesli, ki jih lahko ExtremeCloudIQ samodejno ustvari in razdeli;
- možnost dodeljevanja različnih varnostnih profilov različnim napravam, povezanim z istim SSID;
- Odlično za varen dostop gostov;
- Odličen za varen dostop, ko naprave ne podpirajo 802.1X/EAP (ročni skenerji ali naprave IoT/VoWiFi);
- uspešno uporabo in izboljšave že več kot 10 let.
Vsa vprašanja, ki se pojavijo ali ostajajo, lahko vedno postavite osebju naše pisarne - .
Vir: www.habr.com