2018. September

DPSK, a Ruckustól. Működik!

Nehéz terület a WiFi biztonság kérdése, ugyanis adatunk, – bár kódolva – amint elhagyja az antennát modulált elektromágneses hullám formájában, az bárki számára egy adott lefedettségi területen belül, detektálhatóvá válik. Innentől már csak a támadó szakmai tudásán és technikai hátterén múlik, hogy vissza tudja-e fejteni a kódolt információt. Tehát fontos területről beszélünk, amellyel foglalkozni kell. A vezetéknélküli hálózatok világában léteznek jól és kevésbé jól bevált védelmi mechanizmusok. A következőkben a Ruckus innovatív megoldását fogjuk megvizsgálni, elemezni, amely nem más, mint a DPSK (Dynamic Pre-Shared Key).

A gyártó a PSK-s (Pre-Shared Key) megoldást gondolta újra. A PSK gyakorlatilag egy statikus kulcs, amit miután generáltunk és kiosztottunk a felhasználói körben, mindenki, vagy egy csoport egyaránt ezzel a kulccsal fogja tudni elérni a vezetéknélküli hálózatot.

DPSK-ból, ezzel szemben, minden eszköz egyedit kap, tehát függetlenül a személytől (authentikációs folyamattól) minden esetben olyan egyedi kulcs áll rendelkezésre, amely még egy esetleges „visszafejtés” esetén sem használható fel másik eszközön.

A termék egyik vitathatatlan előnye a biztonság mellett, a praktikusság. Elég, ha csak abba gondolunk bele, hogy egy nagy létszámmal rendelkező vállalat esetében, ha a hálózatra való authentikálás PSK-val történik meg, akkor például egy dolgozó felmondása esetén rögtön új PSK-t kell generálni, hogy a távozó alkalmazott már ne érhesse el a jövőben a hálózatot. Ellenben, ha ugyanebben a környezetben mondjuk DPSK-val dolgozunk, akkor elég csak annak az egy felhasználónak a kulcsát törölnünk, aki elhagyja a vállalatot.

 

DPSK, Ruckus, WiFi, Ruckus Wifi, biztonságos WiFi, WiFi kulcs

 

Könnyűnek látszik és valójában tényleg az!

 Az authentikációnak két eshetősége van a kulcsok alkalmazásának szempontjából:

  • Bound DPSK

A DPSK kulcs létrehozásakor a kulcsot már eleve egy eszköz MAC címéhez rendeljük, így ezt a kulcsot már nem használhatjuk más eszközzel.

  • unbound DPSK

A kulcs létrehozásakor nem egy eszköz MAC címéhez rendeljük hozzá a kulcsot, hanem annak első felhasználásakor rendelődik hozzá ahhoz az eszközhöz, amelyről csatlakoztunk a hálózathoz.

A PSK-s WLAN hozzáférés esetében a kliens készülék ugyanezt az előre megosztott kulcsot használja, hogy titkosított legyen az adatforgalom, de ebben a megközelítésben is problémás lesz a kulcs akár már egy felhasználó általi kompromittálódása is, mert a hálózati forgalom elérhetővé, a hálózat feltörhetővé válik. Ezzel szemben DPSK-t használva az adott WLAN-okhoz csatlakozott felhasználók számára biztonságos kapcsolat jön létre.

A Ruckus DPSK-ban rejlő további lehetőségek

Használhatunk integrált és RADIUS által definiált DPSK-t:

  • Integrált DPSK

A kontroller rögzíti a kulcsokat minden egyes felhasználó számára.

  • RADIUS által definiált DPSK

A kulcsra való jogosultságokat egy külső RADIUS szerver válaszának attribútumában kapja meg a kontroller.

Nézzük meg, hogy milyen konfigurációs lehetőségeink vannak DPSK-t használva egy virtuális SmartZone  webes felületén:

 

DPSK, Ruckus, biztonságos WiFi, Ruckus WiFi, adatvédelem

 

Az integrált és a RADIUS által definiált DPSK-t az imént vizsgáltuk. Ezen felül, megadhatjuk, hogy a kulcs milyen hosszú legyen, milyen karakterekből álljon, valamint, hogy mennyi ideig legyen érvényes. Ezeket beállítva nézzük meg a kulcs generálásának a felületét és lehetőségeit:

 

DPSK, Ruckus Wifi, Ruckus, biztonságos WiFi, WiFi kulcs

 

A Generate DPSKs-ra kattintva a következő felületet látjuk:

 

DPSK, Ruckus, Ruckus WiFi, biztonságos WiFi, WiFi kulcs

 

Itt beállítható, hogy hány kulcsot generáljon a kontroller, valamint, hogy ezek a kulcsok melyik WLAN-hoz tartozzanak. Lehetőségünk van különböző felhasználói szabályokat is felvenni a kulcshoz és VLAN szeparációt is be tudunk állítani. A kapott DPSK egy CSV állományként tölthető le.

Nem hátrány, hogy a folyamat fordítva is működik, mely szerint mi általunk megadott „kritériumok” alapján tud a kontroller kulcsokat generálni. Az „Import CSV”-re kattintva tölthetünk fel egy általunk kitöltött táblázatot, amelynek mintáját a „Download Sample (CSV)”-re tölthetjük le. A táblázat felépítése a következő:

 

DPSK, Ruckus WiFi, biztonságos WiFi, WiFi kulcs

 

Összefoglalva, a DPSK nagyon könnyen kezelhető és biztonságosabb hálózatelérést tesz lehetővé. Mivel minden egyes felhasználó egyedi kulcsot kap, ezért nem ugyanaz a kulcsrészlet továbbítódik az elektromágneses hullámok által a levegőben, tehát jóval ellenállóbb, akár a Plain Text támadásokkal szemben is. Használata és automatikus telepítése ZoneDirector és Unleashed platformon nem jelent többletköltséget, az automatizálás SmartZone esetében CloudPath-et igényel, viszont cserébe további rengeteg feature fog rendelkezésünkre állni.

Ha tesztelnéd, kérdeznél, kattints az alábbi gombra, mi várjuk jelentkezésedet!