WPA3 har redan antagits och sedan juli 2020 är det obligatoriskt för enheter som genomgår certifiering i WiFi-alliansen; WPA2 har inte avbrutits och kommer inte att göra det. Samtidigt tillhandahåller både WPA2 och WPA3 drift i PSK- och Enterprise-lägen, men vi föreslår att i vår artikel överväga den privata PSK-tekniken, såväl som de fördelar som kan uppnås med dess hjälp.
Problemen med WPA2-Personal har varit kända sedan länge och har för det mesta redan åtgärdats (Priority Management Frames, fixar för KRACK-sårbarheten, etc.). Den största återstående nackdelen med WPA2 med PSK är att svaga lösenord är ganska lätta att knäcka med hjälp av en ordboksattack. Om lösenordet äventyras och lösenordet ändras till ett nytt kommer det att bli nödvändigt att konfigurera om alla anslutna enheter (och åtkomstpunkter), vilket kan vara en mycket arbetskrävande process (för att lösa problemet med "svagt lösenord", WiFi -Alliance rekommenderar att du använder lösenord på minst 20 tecken.
Ett annat problem som ibland inte kan lösas med WPA2-Personal är att tilldela olika profiler (vlan, QoS, brandvägg...) till grupper av enheter som är anslutna till samma SSID.
Med hjälp av WPA2-Enterprise är det möjligt att lösa alla problem som beskrivs ovan, men priset för detta kommer att vara:
- Behovet av att ha eller distribuera PKI (Public Key Infrastructure) och säkerhetscertifikat;
- Installationen kan vara svår;
- Det kan finnas problem med felsökning;
- Inte en optimal lösning för IoT-enheter eller gäståtkomst.
En mer radikal lösning på problemen med WPA2-Personal är att byta till WPA3, vars främsta förbättring är användningen av SAE (Simultaneous Authentication of Equals) och statisk PSK. WPA3-Personal löser problemet med "ordboksattacken", men ger inte unik identifiering under autentisering och följaktligen möjligheten att tilldela profiler (eftersom ett vanligt statiskt lösenord också används).
Det bör också beaktas att mer än 95 % av befintliga klienter för närvarande inte stöder WPA3 och SAE, och WPA2 fortsätter att fungera framgångsrikt på miljarder enheter som redan har släppts.
För att få en lösning på de befintliga eller potentiella problemen som beskrivs ovan utvecklade Extreme Networks teknologin Private Pre-Shared Key (PPSK). PPSK är kompatibel med alla Wi-Fi-klienter som stöder WPA2-PSK, och låter dig uppnå en säkerhetsnivå som är jämförbar med den som uppnås med WPA2-Enterprise, utan att behöva bygga en 802.1X/EAP-infrastruktur. Privat PSK är i huvudsak WPA2-PSK, men varje användare (eller grupp av användare) kan ha sitt eget dynamiskt genererade lösenord. Att hantera PPSK skiljer sig inte från att hantera PSK eftersom hela processen är automatiserad. Nyckeldatabasen kan lagras lokalt på accesspunkter eller i molnet.
Lösenord kan genereras automatiskt; det är möjligt att flexibelt ställa in deras längd/styrka, period eller utgångsdatum och leveranssätt till användaren (via e-post eller SMS):
Du kan också konfigurera det maximala antalet klienter som kan ansluta med en PPSK eller till och med konfigurera "MAC-bindning" för anslutna enheter. På kommando av nätverksadministratören kan valfri nyckel enkelt återkallas och åtkomst till nätverket nekas utan att alla andra enheter behöver konfigureras om. Om klienten är ansluten när nyckeln återkallas kommer åtkomstpunkten automatiskt att koppla bort den från nätverket.
Bland de viktigaste fördelarna med PPSK noterar vi:
- användarvänlighet med hög säkerhetsnivå;
- att avvärja en ordboksattack löses med hjälp av långa och starka lösenord, som ExtremeCloudIQ automatiskt kan generera och distribuera;
- möjligheten att tilldela olika säkerhetsprofiler till olika enheter anslutna till samma SSID;
- Perfekt för säker gäståtkomst;
- Perfekt för säker åtkomst när enheter inte stöder 802.1X/EAP (handhållna skannrar eller IoT/VoWiFi-enheter);
- framgångsrik användning och förbättring i mer än 10 år.
Eventuella frågor som uppstår eller kvarstår kan alltid ställas till vår kontorspersonal - .
Källa: will.com