WPA3 đã được thông qua và kể từ tháng 2020 năm 2, nó bắt buộc đối với các thiết bị được WiFi-Alliance chứng nhận, WPA2 chưa bị hủy bỏ và sẽ không xảy ra. Đồng thời, cả WPA3 và WPAXNUMX đều cung cấp khả năng hoạt động ở chế độ PSK và Enterprise, nhưng chúng tôi đề xuất xem xét công nghệ PSK Riêng tư trong bài viết của mình, cũng như những lợi ích có thể đạt được với sự trợ giúp của nó.
Các vấn đề về WPA2-Personal đã được biết đến từ lâu và nhìn chung đã được khắc phục (Khung quản lý ưu tiên, các bản sửa lỗi cho lỗ hổng KRACK, v.v.). Nhược điểm chính còn lại của WPA2 sử dụng PSK là mật khẩu yếu khá dễ bị bẻ khóa bằng một cuộc tấn công từ điển. Trong trường hợp bị xâm phạm và thay đổi mật khẩu sang mật khẩu mới, sẽ cần phải cấu hình lại tất cả các thiết bị được kết nối (và các điểm truy cập), đây có thể là một quá trình rất tốn thời gian (để giải quyết vấn đề “mật khẩu yếu”, WiFi- Alliance khuyên bạn nên sử dụng mật khẩu có ít nhất 20 ký tự).
Một vấn đề khác đôi khi không thể giải quyết bằng WPA2-Personal là việc gán các cấu hình khác nhau (vlan, QoS, tường lửa ...) cho các nhóm thiết bị được kết nối với cùng một SSID.
Với sự trợ giúp của WPA2-Enterprise, có thể giải quyết tất cả các vấn đề được mô tả ở trên, nhưng cái giá cho việc này sẽ là:
- Sự cần thiết phải có hoặc triển khai PKI (Cơ sở hạ tầng khóa công khai) và chứng chỉ bảo mật;
- Cài đặt có thể khó khăn;
- Khắc phục sự cố có thể khó khăn;
- Không phải là giải pháp tốt nhất cho thiết bị IoT hoặc quyền truy cập của khách.
Một giải pháp triệt để hơn cho các vấn đề của WPA2-Personal là chuyển đổi sang WPA3, cải tiến chính của nó là sử dụng SAE (Xác thực đồng thời bằng) và PSK tĩnh. WPA3-Personal giải quyết vấn đề "tấn công từ điển", nhưng không cung cấp nhận dạng duy nhất trong quá trình xác thực và theo đó, khả năng gán cấu hình (vì nó vẫn sử dụng mật khẩu tĩnh thông thường).
Cũng cần lưu ý rằng hơn 95% khách hàng hiện tại không hỗ trợ WPA3 và SAE và WPA2 tiếp tục hoạt động thành công trên hàng tỷ thiết bị đã được phát hành.
Để có được giải pháp cho các vấn đề hiện tại hoặc tiềm ẩn được mô tả ở trên, Extreme Networks đã phát triển công nghệ Khóa chia sẻ trước riêng tư (PPSK). PPSK tương thích với bất kỳ ứng dụng khách Wi-Fi nào hỗ trợ WPA2-PSK và cho phép bạn đạt được mức độ bảo mật tương đương với mức độ bảo mật đạt được khi sử dụng WPA2-Enterprise mà không cần xây dựng cơ sở hạ tầng 802.1X/EAP. PSK riêng về cơ bản là WPA2-PSK, nhưng mỗi người dùng (hoặc nhóm người dùng) có thể có mật khẩu được tạo động của riêng họ. Quản lý PPSK không khác với quản lý PSK vì toàn bộ quy trình được tự động hóa. Cơ sở dữ liệu chính có thể được lưu trữ cục bộ trên các điểm truy cập hoặc trên đám mây.
Mật khẩu có thể được tạo tự động, có thể thiết lập linh hoạt độ dài/độ mạnh, thời hạn hoặc ngày hết hạn, phương thức gửi tới người dùng (qua thư hoặc SMS):
Bạn cũng có thể định cấu hình số lượng máy khách tối đa có thể kết nối bằng một PPSK hoặc thậm chí định cấu hình “liên kết MAC” cho các thiết bị được kết nối. Theo lệnh của quản trị viên mạng, bất kỳ khóa nào cũng có thể dễ dàng bị thu hồi và quyền truy cập vào mạng sẽ bị từ chối mà không cần phải cấu hình lại tất cả các thiết bị khác. Nếu máy khách được kết nối khi khóa bị thu hồi, điểm truy cập sẽ tự động ngắt kết nối máy khách khỏi mạng.
Trong số những ưu điểm chính của PPSK, chúng tôi lưu ý:
- dễ sử dụng với mức độ bảo mật cao;
- đẩy lùi một cuộc tấn công từ điển được giải quyết bằng cách sử dụng mật khẩu dài và mạnh mà ExtremeCloudIQ có thể tự động tạo và phân phối;
- khả năng gán các cấu hình bảo mật khác nhau cho các thiết bị khác nhau được kết nối với cùng một SSID;
- tuyệt vời để truy cập khách an toàn;
- tuyệt vời để truy cập an toàn khi thiết bị không hỗ trợ 802.1X/EAP (máy quét cầm tay hoặc thiết bị IoT/VoWiFi);
- được sử dụng và cải tiến thành công trong hơn 10 năm.
Nếu bạn có bất kỳ câu hỏi nào hoặc có bất kỳ câu hỏi nào, bạn luôn có thể hỏi nhân viên của văn phòng chúng tôi - .
Nguồn: www.habr.com