WPA3 已经被采用,并且自 2020 年 2 月起对于经过 WiFi 联盟认证的设备是强制性的,WPA2 尚未取消,也不会取消。 同时,WPA3 和 WPAXNUMX 都提供 PSK 和企业模式下的操作,但我们建议在本文中考虑私有 PSK 技术,以及通过其帮助可以实现的好处。
WPA2-个人问题早已为人所知,并且一般来说已经得到修复(优先级管理框架、KRACK 漏洞修复等)。 使用 PSK 的 WPA2 的主要缺点是弱密码很容易通过字典攻击破解。 如果发生泄露并将密码更改为新密码,则需要重新配置所有连接的设备(和接入点),这可能是一个非常耗时的过程(为了解决“弱密码”问题,WiFi-联盟建议使用至少 20 个字符的密码)。
使用 WPA2-Personal 有时无法解决的另一个问题是将不同的配置文件(vlan、QoS、防火墙...)分配给连接到同一 SSID 的设备组。
在 WPA2-Enterprise 的帮助下,可以解决上述所有问题,但代价是:
- 需要拥有或部署PKI(公钥基础设施)和安全证书;
- 安装可能比较困难;
- 故障排除可能很困难;
- 不是物联网设备或访客访问的最佳解决方案。
解决WPA2-Personal问题的更根本的办法是过渡到WPA3,其主要改进是使用SAE(同时身份验证)和静态PSK。 WPA3-个人解决了“字典攻击”问题,但在身份验证期间不提供唯一标识,因此不提供分配配置文件的能力(因为它仍然使用通用静态密码)。
同样重要的是要记住,超过 95% 的现有客户端目前不支持 WPA3 和 SAE,而 WPA2 继续在已发布的数十亿设备上成功运行。
为了解决上述现有或潜在问题,Extreme Networks 开发了专用预共享密钥 (PPSK) 技术。 PPSK 与任何支持 WPA2-PSK 的 Wi-Fi 客户端兼容,并允许您实现与使用 WPA2-Enterprise 相当的安全级别,而无需构建 802.1X/EAP 基础设施。 私有 PSK 本质上是 WPA2-PSK,但每个用户(或用户组)都可以拥有自己的动态生成的密码。 PPSK 管理与 PSK 管理没有什么不同,因为整个过程都是自动化的。 密钥数据库可以存储在本地接入点或云端。
密码可以自动生成,可以灵活设置密码的长度/强度、期限或到期日期、发送给用户的方式(通过邮件或短信):
您还可以配置可以使用一个 PPSK 连接的最大客户端数量,甚至为连接的设备配置“MAC 绑定”。 根据网络管理员的命令,可以轻松撤销任何密钥,并且无需重新配置所有其他设备即可拒绝对网络的访问。 如果在密钥被撤销时客户端已连接,则接入点将自动断开其与网络的连接。
对于 PPSK 的主要优点,我们注意到:
- 易于使用且安全性高;
- 使用 ExtremeCloudIQ 可以自动生成和分发的长而强的密码来解决字典攻击;
- 能够为连接到同一 SSID 的不同设备分配不同的安全配置文件;
- 非常适合安全的访客访问;
- 当设备不支持 802.1X/EAP(手持式扫描仪或 IoT/VoWiFi 设备)时,非常适合安全访问;
- 成功使用并改进了10多年。
如果您有任何疑问或疑问,您可以随时询问我们办公室的工作人员—— .
来源: habr.com