WPA3 është miratuar tashmë, dhe që nga korriku 2020 është i detyrueshëm për pajisjet që janë të certifikuara nga WiFi-Alliance, WPA2 nuk është anuluar dhe nuk do të anulohet. Në të njëjtën kohë, të dy WPA2 dhe WPA3 ofrojnë funksionim në modalitetet PSK dhe Enterprise, por ne propozojmë të shqyrtojmë teknologjinë Private PSK në artikullin tonë, si dhe përfitimet që mund të arrihen me ndihmën e saj.
WPA2-Problemet personale janë të njohura për një kohë të gjatë dhe, në përgjithësi, tashmë janë rregulluar (Kornizat e Menaxhimit të Prioritetit, rregullimet për cenueshmërinë KRACK, etj.). Disavantazhi kryesor i mbetur i WPA2 duke përdorur PSK është se fjalëkalimet e dobëta janë mjaft të lehta për t'u thyer me një sulm fjalori. Në rast të një kompromisi dhe ndryshimi të fjalëkalimit në një të ri, do të jetë e nevojshme të rikonfiguroni të gjitha pajisjet e lidhura (dhe pikat e hyrjes), gjë që mund të jetë një proces shumë kohë (për të zgjidhur problemin e "fjalëkalimit të dobët", WiFi- Aleanca rekomandon përdorimin e fjalëkalimeve me të paktën 20 karaktere).
Një çështje tjetër që ndonjëherë nuk mund të zgjidhet duke përdorur WPA2-Personal është caktimi i profileve të ndryshme (vlan, QoS, muri i zjarrit ...) për grupet e pajisjeve të lidhura me të njëjtin SSID.
Me ndihmën e WPA2-Enterprise është e mundur të zgjidhen të gjitha problemet e përshkruara më lart, por çmimi për këtë do të jetë:
- Nevoja për të patur ose vendosur PKI (Infrastruktura e Çelësave Publike) dhe certifikata sigurie;
- Instalimi mund të jetë i vështirë;
- Zgjidhja e problemeve mund të jetë e vështirë;
- Jo zgjidhja më e mirë për pajisjet IoT ose aksesin e mysafirëve.
Një zgjidhje më radikale për problemet e WPA2-Personal është kalimi në WPA3, përmirësimi kryesor i të cilit është përdorimi i SAE (Simultaneous Authentication of Equals) dhe PSK statike. WPA3-Personal zgjidh problemin e "sulmit të fjalorit", por nuk siguron identifikim unik gjatë vërtetimit dhe, në përputhje me rrethanat, aftësinë për të caktuar profile (pasi përdor ende një fjalëkalim të përbashkët statik).
Është gjithashtu e rëndësishme të kihet parasysh se mbi 95% e klientëve ekzistues aktualisht nuk mbështesin WPA3 dhe SAE, dhe WPA2 vazhdon të punojë me sukses në miliarda pajisje të lëshuara tashmë.
Për të marrë një zgjidhje për problemet ekzistuese ose të mundshme të përshkruara më sipër, Extreme Networks zhvilloi teknologjinë Private Pre-Shared Key (PPSK). PPSK është i pajtueshëm me çdo klient Wi-Fi që mbështet WPA2-PSK dhe ju lejon të arrini një nivel sigurie të krahasueshëm me atë të arritur duke përdorur WPA2-Enterprise, pa pasur nevojë të ndërtoni një infrastrukturë 802.1X/EAP. PSK private është në thelb WPA2-PSK, por çdo përdorues (ose grup përdoruesish) mund të ketë fjalëkalimin e tij të krijuar në mënyrë dinamike. Menaxhimi i PPSK nuk është i ndryshëm nga menaxhimi i PSK pasi i gjithë procesi është i automatizuar. Baza e të dhënave kryesore mund të ruhet në nivel lokal në pikat e hyrjes ose në renë kompjuterike.
Fjalëkalimet mund të gjenerohen automatikisht, është e mundur që në mënyrë fleksibël të vendoset gjatësia/forca e tyre, periudha ose data e skadimit, mënyra e dorëzimit te përdoruesi (me postë ose SMS):
Ju gjithashtu mund të konfiguroni numrin maksimal të klientëve që mund të lidhen duke përdorur një PPSK, ose madje të konfiguroni "MAC-binding" për pajisjet e lidhura. Me komandën e administratorit të rrjetit, çdo çelës mund të revokohet lehtësisht dhe qasja në rrjet do të refuzohet pa pasur nevojë të rikonfiguroni të gjitha pajisjet e tjera. Nëse klienti është i lidhur kur çelësi revokohet, pika e hyrjes do ta shkëputë automatikisht atë nga rrjeti.
Nga avantazhet kryesore të PPSK, vërejmë:
- lehtësia e përdorimit me një nivel të lartë sigurie;
- zmbrapsja e një sulmi fjalori zgjidhet duke përdorur fjalëkalime të gjata dhe të forta që ExtremeCloudIQ mund të gjenerojë dhe shpërndajë automatikisht;
- aftësia për të caktuar profile të ndryshme sigurie në pajisje të ndryshme të lidhura me të njëjtën SSID;
- i shkëlqyeshëm për akses të sigurt të mysafirëve;
- i shkëlqyeshëm për akses të sigurt kur pajisjet nuk mbështesin 802.1X/EAP (skanerë dore ose pajisje IoT/VoWiFi);
- përdorur me sukses dhe përmirësuar për më shumë se 10 vjet.
Nëse keni ndonjë pyetje ose keni ndonjë pyetje, gjithmonë mund të pyesni stafin e zyrës sonë - .
Burimi: www.habr.com