WPA3 allaqachon qabul qilingan va 2020 yil iyul oyidan boshlab WiFi-Alliance tomonidan sertifikatlangan qurilmalar uchun majburiy bo'lib, WPA2 bekor qilinmagan va bundan buyon ham davom etmaydi. Shu bilan birga, WPA2 ham, WPA3 ham PSK va Enterprise rejimlarida ishlashni ta'minlaydi, ammo biz maqolamizda Private PSK texnologiyasini, shuningdek, uning yordami bilan erishish mumkin bo'lgan imtiyozlarni ko'rib chiqishni taklif qilamiz.
WPA2-Shaxsiy muammolar uzoq vaqtdan beri ma'lum bo'lgan va umuman olganda, allaqachon tuzatilgan (Priority Management Frames, KRACK zaifligi uchun tuzatishlar va boshqalar). PSK-dan foydalangan holda WPA2-ning asosiy kamchiligi shundaki, zaif parollarni lug'at hujumi bilan buzish juda oson. Murosa va parolni yangisiga o'zgartirgan taqdirda, barcha ulangan qurilmalarni (va kirish nuqtalarini) qayta sozlash kerak bo'ladi, bu juda ko'p vaqt talab qilishi mumkin bo'lgan jarayon ("zaif parol" muammosini hal qilish uchun, WiFi- Alliance kamida 20 belgidan iborat parollardan foydalanishni tavsiya qiladi).
Ba'zida WPA2-Personal yordamida hal qilib bo'lmaydigan yana bir muammo bu bir xil SSID ga ulangan qurilmalar guruhlariga turli xil profillarni (vlan, QoS, xavfsizlik devori ...) tayinlashdir.
WPA2-Enterprise yordamida yuqorida tavsiflangan barcha muammolarni hal qilish mumkin, ammo buning narxi quyidagicha bo'ladi:
- PKI (Ochiq kalitlar infratuzilmasi) va xavfsizlik sertifikatlariga ega bo'lish yoki joylashtirish zarurati;
- O'rnatish qiyin bo'lishi mumkin;
- Muammolarni bartaraf etish qiyin bo'lishi mumkin;
- IoT qurilmalari yoki mehmonlarga kirish uchun eng yaxshi yechim emas.
WPA2-Personal muammolarining yanada radikal yechimi WPA3 ga o'tish bo'lib, uning asosiy takomillashuvi SAE (Tenglarning bir vaqtning o'zida autentifikatsiyasi) va statik PSK dan foydalanishdir. WPA3-Personal "lug'at hujumi" muammosini hal qiladi, lekin autentifikatsiya paytida noyob identifikatsiyani va shunga mos ravishda profillarni tayinlash qobiliyatini ta'minlamaydi (chunki u hali ham umumiy statik paroldan foydalanadi).
Shuni ham yodda tutish kerakki, mavjud mijozlarning 95% dan ortig'i hozirda WPA3 va SAE-ni qo'llab-quvvatlamaydi va WPA2 allaqachon chiqarilgan milliardlab qurilmalarda muvaffaqiyatli ishlashda davom etmoqda.
Yuqorida tavsiflangan mavjud yoki potentsial muammolarni hal qilish uchun Extreme Networks Private Pre-Shared Key (PPSK) texnologiyasini ishlab chiqdi. PPSK WPA2-PSK-ni qo'llab-quvvatlaydigan har qanday Wi-Fi mijozi bilan mos keladi va 2X/EAP infratuzilmasini qurishga hojat qoldirmasdan WPA802.1-Enterprise yordamida erishilgan xavfsizlik darajasiga erishish imkonini beradi. Shaxsiy PSK aslida WPA2-PSK, lekin har bir foydalanuvchi (yoki foydalanuvchilar guruhi) o'zining dinamik ravishda yaratilgan paroliga ega bo'lishi mumkin. PPSK boshqaruvi PSK boshqaruvidan farq qilmaydi, chunki butun jarayon avtomatlashtirilgan. Kalit ma'lumotlar bazasi kirish nuqtalarida yoki bulutda mahalliy sifatida saqlanishi mumkin.
Parollar avtomatik ravishda yaratilishi mumkin, ularning uzunligini/kuchini, muddatini yoki amal qilish muddatini, foydalanuvchiga yetkazib berish usulini moslashuvchan tarzda sozlash mumkin (pochta yoki SMS orqali):
Bundan tashqari, bitta PPSK yordamida ulanishi mumkin bo'lgan maksimal mijozlar sonini sozlashingiz yoki hatto ulangan qurilmalar uchun "MAC-bog'lash" ni sozlashingiz mumkin. Tarmoq ma'murining buyrug'i bilan har qanday kalit osongina bekor qilinishi mumkin va tarmoqqa kirish boshqa barcha qurilmalarni qayta sozlashni talab qilmasdan rad etiladi. Agar mijoz kalit bekor qilinganda ulangan bo'lsa, kirish nuqtasi uni avtomatik ravishda tarmoqdan uzib qo'yadi.
PPSK ning asosiy afzalliklaridan quyidagilarni ta'kidlaymiz:
- yuqori darajadagi xavfsizlik bilan foydalanish qulayligi;
- lug'at hujumini qaytarish ExtremeCloudIQ avtomatik ravishda yaratishi va tarqatishi mumkin bo'lgan uzoq va kuchli parollar yordamida hal qilinadi;
- bir xil SSID ga ulangan turli qurilmalarga turli xil xavfsizlik profillarini belgilash imkoniyati;
- mehmonlarga xavfsiz kirish uchun ajoyib;
- qurilmalar 802.1X/EAP (qoβl skanerlari yoki IoT/VoWiFi qurilmalari) ni qoβllab-quvvatlamasa, xavfsiz kirish uchun ajoyib;
- 10 yildan ortiq vaqt davomida muvaffaqiyatli ishlatilgan va yaxshilangan.
Agar sizda biron bir savol yoki savollaringiz bo'lsa, har doim bizning ofisimiz xodimlariga murojaat qilishingiz mumkin - .
Manba: www.habr.com