Na łamach „Na Styku Sieci” opisaliśmy czym jest standard WPA3. Tutaj natomiast omawiamy wersję Enterprise tego standardu, oraz sposoby na migrację ze standardu WPA2.
Migracja do WPA3-Personal
Wi-Fi Alliance dostarcza dwa możliwe sposoby migracji z sieci WPA2 do WPA3:
WPA3-Personal Transition Mode
Nazywany także WPA3-SAE Transition Mode. Ten tryb oznacza, że AP wspiera jednocześnie metody WPA2-Personal i WPA3-Personal w ramach jednego Basic Service Set (BSS), używając tego samego hasła w obu przypadkach. Urządzenia WPA2-only będą łączyć się korzystając z WPA2-Personal, natomiast urządzenia WPA2/WPA3 będą korzystać z bezpieczniejszej opcji, czyli WPA3-Personal. Użycie PMF powinno być opcjonalne, tak, aby wszystkie urządzenia były w stanie się podłączyć - te które mogą będą używały PMF.
WPA3-Personal
Zwykły tryb WPA3 bez kompatybilności wstecznej z WPA2. Użycie PMF jest wymagane dla każdego urządzenia.
Na urządzeniach klienckich nie jest wymagana żadna dodatkowa konfiguracja. Warunkiem koniecznym do pełnej migracji jest natomiast wspieranie WPA3 przez wszystkie urządzenia.
Kilka słów o WPA3-Enterprise
WPA3-Enterprise nie zmienia ani nie wymienia protokołów używanych w WPA2-Enterprise. Zamiast tego, w myśl zasady, że jedno słabe ogniwo osłabia cały łańcuch, skupia się na dokładniejszym zdefiniowaniu polityk mających poprawić jakość implementacji tych protokołów.
Z tego powodu powstało określenie WPA3-CNSA (Commercial National Security Agency). Jest to zbiór najlepszych ustawień i opcji szyfrowania, który musi być użyty jako całość - dzięki temu wdrożenie staje się łatwiejsze i możemy zapomnieć o kłopotach znanych z WPA2-Enterprise, czyli godzinach spędzonych na dostosowywaniu protokołów i ustawień na urządzeniach klienckich i infrastrukturze sieciowej.
WPA3-Enterprise wprowadza także opcjonalny tryb kryptografii na poziomie 192 bitów, przeznaczony przede wszystkim dla instytucji rządowych i finansowych.
Migracja do WPA3-Enterprise
W przypadku WPA3-Enterprise nie istnieje tryb przejściowy i trzeba przygotować się na jednorazowe przełączenie z WPA2-Enterprise do WPA3-CNSA. Jednakże wciąż możliwe powinno być podłączenie się klienta WPA2-Enterprise do sieci WPA3-Enterprise, zakładając oczywiście spójną konfigurację zabezpieczeń po obu stronach.
Wybór pozostaje w przypadku mechanizmu PMF - można użyć trybu opcjonalnego lub wymaganego, nie ma jednakże możliwości całkowitego wyłączenia.
W trybie opcjonalnym urządzenia WPA2-only będą negocjować użycie PMF, natomiast urządzenia WPA2/WPA3 będą musiały go użyć. W trybie wymaganego PMF wszystkie urządzenia muszą wspierać ten standard.
W przypadku sieci WPA3-Enterprise skonfigurowanej do użycia zabezpieczeń na poziomie 192 bitów wszystkie urządzenia klienckie chcące się połączyć muszą także to wspierać.
Czytaj cały artykuł "WPA2 to przeżytek - czas na WPA3!" →
|