WPA3 已經被採用,並且自 2020 年 2 月起對於經過 WiFi 聯盟認證的設備是強制性的,WPA2 尚未取消,也不會取消。 同時,WPA3 和 WPAXNUMX 都提供 PSK 和企業模式下的操作,但我們建議在本文中考慮私有 PSK 技術,以及通過其幫助可以實現的好處。
WPA2-個人問題早已為人所知,並且一般來說已經得到修復(優先級管理框架、KRACK 漏洞修復等)。 使用 PSK 的 WPA2 的主要缺點是弱密碼很容易通過字典攻擊破解。 如果發生洩露並將密碼更改為新密碼,則需要重新配置所有連接的設備(和接入點),這可能是一個非常耗時的過程(為了解決“弱密碼”問題,WiFi-聯盟建議使用至少20 個字符的密碼)。
使用 WPA2-Personal 有時無法解決的另一個問題是將不同的配置文件(vlan、QoS、防火牆...)分配給連接到同一 SSID 的設備組。
在 WPA2-Enterprise 的幫助下,可以解決上述所有問題,但代價是:
- 需要擁有或部署PKI(公鑰基礎設施)和安全證書;
- 安裝可能比較困難;
- 故障排除可能很困難;
- 不是物聯網設備或訪客訪問的最佳解決方案。
解決WPA2-Personal問題的更根本的解決方案是過渡到WPA3,其主要改進是使用SAE(同時身份驗證)和靜態PSK。 WPA3-個人解決了“字典攻擊”問題,但在身份驗證期間不提供唯一標識,因此不提供分配配置文件的能力(因為它仍然使用通用靜態密碼)。
同樣重要的是要記住,超過 95% 的現有客戶端目前不支持 WPA3 和 SAE,而 WPA2 繼續在已發布的數十億設備上成功運行。
為了解決上述現有或潛在問題,Extreme Networks 開發了專用預共享密鑰 (PPSK) 技術。 PPSK 與任何支持 WPA2-PSK 的 Wi-Fi 客戶端兼容,並允許您實現與使用 WPA2-Enterprise 相當的安全級別,而無需構建 802.1X/EAP 基礎設施。 私有 PSK 本質上是 WPA2-PSK,但每個用戶(或用戶組)都可以擁有自己的動態生成的密碼。 PPSK 管理與 PSK 管理沒有什麼不同,因為整個過程都是自動化的。 密鑰數據庫可以存儲在本地接入點或云端。
密碼可以自動生成,可以靈活設置密碼的長度/強度、期限或到期日期、發送給用戶的方式(通過郵件或短信):
您還可以配置可以使用一個 PPSK 連接的最大客戶端數量,甚至為連接的設備配置“MAC 綁定”。 根據網絡管理員的命令,可以輕鬆撤銷任何密鑰,並且無需重新配置所有其他設備即可拒絕對網絡的訪問。 如果在密鑰被撤銷時客戶端已連接,則接入點將自動斷開其與網絡的連接。
對於 PPSK 的主要優點,我們注意到:
- 易於使用且安全性高;
- 使用 ExtremeCloudIQ 可以自動生成和分發的長而強的密碼來解決字典攻擊;
- 能夠為連接到同一 SSID 的不同設備分配不同的安全配置文件;
- 非常適合安全的訪客訪問;
- 當設備不支持 802.1X/EAP(手持式掃描儀或 IoT/VoWiFi 設備)時,非常適合安全訪問;
- 成功使用並改進了10多年。
如果您有任何疑問或疑問,您可以隨時詢問我們辦公室的工作人員—— .
來源: www.habr.com