WPA3 вже прийнятий, і з липня 2020 року обов'язковий для пристроїв, які проходять сертифікацію в WiFi-Alliance, WPA2 ніхто не скасовував і не збирається. При цьому WPA2 і WPA3 передбачають роботу в режимах PSK і Enterprise, але ми пропонуємо розглянути в нашій статті технологію Private PSK, а також переваги яких можна досягти з її допомогою.
Проблеми WPA2-Personal давно відомі і в основному вже були виправлені (Priority Management Frames, виправлення для вразливості KRACK та ін.). Основний недолік WPA2 з використанням PSK в тому, що слабкі паролі досить легко зламуються атакою за словником. У разі компрометації та зміни пароля на новий, необхідно буде переконфігурувати всі підключені пристрої (і точки доступу), що може виявитися дуже трудомістким процесом (для вирішення проблеми «слабкого пароля» WiFi-Alliance рекомендує використовувати паролі довжиною не менше 20 символів).
Ще одним питанням, яке часом неможливо вирішити за допомогою WPA2-Personal це призначення різних профайлів (vlan, QoS, firewall ...) на групи пристроїв, підключених до одного SSID.
За допомогою WPA2-Enterprise можна вирішити всі описані вище проблеми, але платою за це будуть:
- Необхідність наявності або розгортання PKI (Public Key Infrastructure) та сертифікатів безпеки;
- Можуть виникнути труднощі із встановленням;
- Можуть виникнути труднощі з траблшутингом;
- Чи не оптимальне рішення для IoT пристроїв або гостьового доступу.
Більш радикальним вирішенням проблем WPA2-Personal є перехід на WPA3, основним удосконаленням якого є використання SAE (Simultaneous Authentication of Equals) та статичних PSK. WPA3-Personal вирішує проблему з «атакою за словником», але не забезпечує унікальну ідентифікацію при аутентифікації і, відповідно, можливість призначення профайлів (оскільки також використовується загальний статичний пароль).
При цьому ще необхідно враховувати, що більше 95% існуючих клієнтів нині не підтримують WPA3 та SAE, а WPA2 успішно продовжує працювати на мільярдах вже випущених пристроїв.
Для того, щоб отримати вирішення описаних вище існуючих або потенційно можливих проблем компанією Extreme Networks була розроблена технологія Private Pre-Shared Key (PPSK). PPSK сумісна з будь-яким клієнтом Wi-Fi, який підтримує WPA2-PSK, і дозволяє отримати рівень безпеки, який можна порівняти з рівнем, який досягається при використанні WPA2-Enterprise, без необхідності побудови інфраструктури 802.1X/EAP. Private PSK - це по суті WPA2-PSK, але кожен користувач (або група користувачів) може мати свій власний пароль, що динамічно генерується. Управління PPSK нічим не відрізняється від керування PSK, оскільки весь процес автоматизовано. Базу даних із ключами можна зберігати локально на точках доступу або у хмарі.
Паролі можуть генеруватися автоматично, є можливість гнучко задавати їм довжину/стійкість, період або термін дії, спосіб доставки користувача (на пошту або SMS):
Можна також налаштувати максимальну кількість клієнтів, які зможуть підключитися за допомогою одного PPSK або навіть налаштувати MAC-binding пристроям, що підключаються. За командою адміністратора мережі будь-який ключ може бути легко відкликаний, і доступ до мережі буде заборонено без необхідності переконфігурування решти пристроїв. Якщо під час відкликання ключа клієнт підключено, точка доступу автоматично його відключить від мережі.
З основних переваг PPSK зазначимо:
- простота використання за високого рівня безпеки;
- відображення атаки за словником вирішується за допомогою довгих та стійких паролів, які ExtremeCloudIQ вміє автоматично генерувати та розсилати;
- можливість призначення різних профайлів безпеки на різні пристрої, підключені до одного SSID;
- чудово підходить для безпечного гостьового доступу;
- відмінно підходить для безпечного доступу, коли пристрої не підтримують 802.1X/EAP (ручні сканери або IoT/VoWiFi);
- успішне використання та вдосконалення протягом більше 10 років.
Будь-які питання, що виникли або залишилися, завжди можна задати співробітникам нашого офісу – .
Джерело: habr.com