[IT-инфраструктура, Сетевые технологии, Беспроводные технологии, IT-компании] Private PSK (Pre-Shared Key) – особенности и возможности платформы ExtremeCloud IQ
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
WPA3 уже принят, и с июля 2020 обязателен для устройств которые проходят сертификацию в WiFi-Alliance, WPA2 никто не отменял и не собирается. При этом и WPA2, и WPA3 предусматривают работу в режимах PSK и Enterprise, но мы предлагаем рассмотреть в нашей статье технологию Private PSK, а также преимущества которых можно добиться с её помощью.
Проблемы WPA2-Personal давно известны и, в основном, уже были исправлены (Priority Management Frames, исправления для уязвимости KRACK и др.). Основной остающийся недостаток WPA2 c использованием PSK в том, что слабые пароли достаточно легко взламываются атакой по словарю. В случае же компрометации и смены пароля на новый, необходимо будет переконфигурировать все подключенные устройства (и точки доступа), что может оказаться весьма трудоёмким процессом (для решения проблемы «слабого пароля» WiFi-Alliance рекомендует использовать пароли длиной не менее 20 символов).
Еще одним вопросом, который порой невозможно решить с помощью WPA2-Personal это назначение различных профайлов (vlan, QoS, firewall…) на группы устройств, подключенных к одному и тому же SSID.
С помощью WPA2-Enterprise возможно решить все описанные выше проблемы, но платой за это будут:
— Необходимость наличия или развертывание PKI (Public Key Infrastructure) и сертификатов безопасности;
— Могут возникнуть сложности с установкой;
— Могут возникнуть сложности с траблшутингом;
— Не оптимальное решение для IoT устройств или гостевого доступа.
Более радикальным решением проблем WPA2-Personal является переход на WPA3, основным усовершенствованием которого является использование SAE (Simultaneous Authentication of Equals) и статических PSK. WPA3-Personal решает проблему с «атакой по словарю», но не обеспечивает уникальную идентификацию при аутентификации и соответственно возможность назначение профайлов (так как всё также используется общий статический пароль).
При этом еще необходимо учитывать, что более 95% существующих клиентов в настоящее время не поддерживают WPA3 и SAE, а WPA2 успешно продолжает работать на миллиардах уже выпущенных устройств.
Для того чтобы получить решение описанных выше существующих, или потенциально возможных, проблем компанией Extreme Networks была разработана технология Private Pre-Shared Key (PPSK). PPSK совместима с любым клиентом Wi-Fi, который поддерживает WPA2-PSK, и позволяет получить уровень безопасности сравнимый с уровнем который достигается при использовании WPA2-Enterprise, без необходимости построения инфраструктуры 802.1X/EAP. Private PSK — это по сути WPA2-PSK, но каждый пользователь (или группа пользователей) может иметь свой собственный динамически генерируемый пароль. Управление PPSK ничем не отличается от управления PSK, поскольку весь процесс автоматизирован. Базу данных с ключами можно хранить локально на точках доступа или в облаке.
Пароли могут генерироваться автоматически, есть возможность гибко задавать им длину/стойкость, период или срок действия, способ доставки до пользователя (на почту или SMS):
Можно также настроить максимальное количество клиентов, которые смогут подключится с помощью одного PPSK или даже настроить “MAC-binding” подключаемым устройствам. По команде администратора сети любой ключ может быть легко отозван, и доступ в сеть будет запрещен без необходимости переконфигурирования всех остальных устройств. Если в момент отзыва ключа клиент подключен, точка доступа автоматически его отключит от сети.
Из основных преимуществ PPSK отметим:
— Простота использования при высоком уровне безопасности;
— Отражение атаки по словарю решается с помощью длинных и устойчивых паролей, которые ExtremeCloudIQ умеет автоматически генерировать и рассылать;
— Возможность назначения различных профайлов безопасности на различные устройства подключенных к одному SSID;
— Отлично подходит для безопасного гостевого доступа;
— Отлично подходит для безопасного доступа, когда устройства не поддерживают 802.1X / EAP (ручные сканеры или устройства IoT/VoWiFi);
— Успешное использование и совершенствование на протяжении более 10 лет.
Любые возникшие или оставшиеся вопросы всегда можно задать сотрудникам нашего офиса – cis@extremenetworks.com.
===========
Источник:
habr.com
===========
Похожие новости:
- [Космонавтика, Сотовая связь, Будущее здесь, IT-компании] НАСА выдаст Nokia $14,1 млн для развертывания сети 4G LTE на Луне
- [IT-компании, Машинное обучение, Программирование] Microsoft рассказала, как ИИ поможет инвалидам
- [IT-компании, Удалённая работа] Новый опрос сервиса Blind показал, что сотрудники Кремниевой долины измотаны удаленкой
- [*nix, GitHub, IT-компании, Разработка под Linux] Apple, похоже, забросила проект открытого протокола печати CUPS
- [IT-инфраструктура, Законодательство в IT, IT-компании, Удалённая работа] Ассоциация участников отрасли ЦОД предупреждает о проблемах и сбоях при переводе на удаленную работу 30% инженеров
- [Беспроводные технологии, Информационная безопасность, Разработка под Linux] В Linux выявили уязвимость стека Bluetooth, которая позволяет выполнить код на уровне ядра
- [Гаджеты, Накопители, Игры и игровые приставки, IT-компании] Внутренности проприетарной карты расширения накопителя Xbox Series X: флэш-память SK Hynix
- [IT-инфраструктура, Виртуализация, Конференции, IT-компании] VMworld 2020: щеночки, «кубики» и Рене Зеллвегер
- [IT-компании, Гаджеты, Законодательство в IT, Смартфоны] Во Франции в комплекте iPhone 12 наушники останутся из-за требований по защите детей от электромагнитного излучения
- [IT-инфраструктура, Бизнес-модели, Финансы в IT] Яндекс не будет покупать «Тинькофф банк». Переговоры остановили
Теги для поиска: #_itinfrastruktura (IT-инфраструктура), #_setevye_tehnologii (Сетевые технологии), #_besprovodnye_tehnologii (Беспроводные технологии), #_itkompanii (IT-компании), #_extreme_networks, #_extremecloud_iq, #_wifi, #_blog_kompanii_extreme_networks (
Блог компании Extreme Networks
), #_itinfrastruktura (
IT-инфраструктура
), #_setevye_tehnologii (
Сетевые технологии
), #_besprovodnye_tehnologii (
Беспроводные технологии
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 14-Май 17:40
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
WPA3 уже принят, и с июля 2020 обязателен для устройств которые проходят сертификацию в WiFi-Alliance, WPA2 никто не отменял и не собирается. При этом и WPA2, и WPA3 предусматривают работу в режимах PSK и Enterprise, но мы предлагаем рассмотреть в нашей статье технологию Private PSK, а также преимущества которых можно добиться с её помощью.  Проблемы WPA2-Personal давно известны и, в основном, уже были исправлены (Priority Management Frames, исправления для уязвимости KRACK и др.). Основной остающийся недостаток WPA2 c использованием PSK в том, что слабые пароли достаточно легко взламываются атакой по словарю. В случае же компрометации и смены пароля на новый, необходимо будет переконфигурировать все подключенные устройства (и точки доступа), что может оказаться весьма трудоёмким процессом (для решения проблемы «слабого пароля» WiFi-Alliance рекомендует использовать пароли длиной не менее 20 символов). Еще одним вопросом, который порой невозможно решить с помощью WPA2-Personal это назначение различных профайлов (vlan, QoS, firewall…) на группы устройств, подключенных к одному и тому же SSID. С помощью WPA2-Enterprise возможно решить все описанные выше проблемы, но платой за это будут: — Необходимость наличия или развертывание PKI (Public Key Infrastructure) и сертификатов безопасности; — Могут возникнуть сложности с установкой; — Могут возникнуть сложности с траблшутингом; — Не оптимальное решение для IoT устройств или гостевого доступа. Более радикальным решением проблем WPA2-Personal является переход на WPA3, основным усовершенствованием которого является использование SAE (Simultaneous Authentication of Equals) и статических PSK. WPA3-Personal решает проблему с «атакой по словарю», но не обеспечивает уникальную идентификацию при аутентификации и соответственно возможность назначение профайлов (так как всё также используется общий статический пароль).  При этом еще необходимо учитывать, что более 95% существующих клиентов в настоящее время не поддерживают WPA3 и SAE, а WPA2 успешно продолжает работать на миллиардах уже выпущенных устройств. Для того чтобы получить решение описанных выше существующих, или потенциально возможных, проблем компанией Extreme Networks была разработана технология Private Pre-Shared Key (PPSK). PPSK совместима с любым клиентом Wi-Fi, который поддерживает WPA2-PSK, и позволяет получить уровень безопасности сравнимый с уровнем который достигается при использовании WPA2-Enterprise, без необходимости построения инфраструктуры 802.1X/EAP. Private PSK — это по сути WPA2-PSK, но каждый пользователь (или группа пользователей) может иметь свой собственный динамически генерируемый пароль. Управление PPSK ничем не отличается от управления PSK, поскольку весь процесс автоматизирован. Базу данных с ключами можно хранить локально на точках доступа или в облаке.  Пароли могут генерироваться автоматически, есть возможность гибко задавать им длину/стойкость, период или срок действия, способ доставки до пользователя (на почту или SMS):   Можно также настроить максимальное количество клиентов, которые смогут подключится с помощью одного PPSK или даже настроить “MAC-binding” подключаемым устройствам. По команде администратора сети любой ключ может быть легко отозван, и доступ в сеть будет запрещен без необходимости переконфигурирования всех остальных устройств. Если в момент отзыва ключа клиент подключен, точка доступа автоматически его отключит от сети. Из основных преимуществ PPSK отметим: — Простота использования при высоком уровне безопасности; — Отражение атаки по словарю решается с помощью длинных и устойчивых паролей, которые ExtremeCloudIQ умеет автоматически генерировать и рассылать; — Возможность назначения различных профайлов безопасности на различные устройства подключенных к одному SSID; — Отлично подходит для безопасного гостевого доступа; — Отлично подходит для безопасного доступа, когда устройства не поддерживают 802.1X / EAP (ручные сканеры или устройства IoT/VoWiFi); — Успешное использование и совершенствование на протяжении более 10 лет. Любые возникшие или оставшиеся вопросы всегда можно задать сотрудникам нашего офиса – cis@extremenetworks.com. =========== Источник: habr.com =========== Похожие новости:
Блог компании Extreme Networks ), #_itinfrastruktura ( IT-инфраструктура ), #_setevye_tehnologii ( Сетевые технологии ), #_besprovodnye_tehnologii ( Беспроводные технологии ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 14-Май 17:40
Часовой пояс: UTC + 5