DPSK, a Ruckustól. Működik!
Nehéz terület a WiFi biztonság kérdése, ugyanis adatunk, – bár kódolva – amint elhagyja az antennát modulált elektromágneses hullám formájában, az bárki számára egy adott lefedettségi területen belül, detektálhatóvá válik. Innentől már csak a támadó szakmai tudásán és technikai hátterén múlik, hogy vissza tudja-e fejteni a kódolt információt. Tehát fontos területről beszélünk, amellyel foglalkozni kell. A vezetéknélküli hálózatok világában léteznek jól és kevésbé jól bevált védelmi mechanizmusok. A következőkben a Ruckus innovatív megoldását fogjuk megvizsgálni, elemezni, amely nem más, mint a DPSK (Dynamic Pre-Shared Key).
A gyártó a PSK-s (Pre-Shared Key) megoldást gondolta újra. A PSK gyakorlatilag egy statikus kulcs, amit miután generáltunk és kiosztottunk a felhasználói körben, mindenki, vagy egy csoport egyaránt ezzel a kulccsal fogja tudni elérni a vezetéknélküli hálózatot.
DPSK-ból, ezzel szemben, minden eszköz egyedit kap, tehát függetlenül a személytől (authentikációs folyamattól) minden esetben olyan egyedi kulcs áll rendelkezésre, amely még egy esetleges „visszafejtés” esetén sem használható fel másik eszközön.
A termék egyik vitathatatlan előnye a biztonság mellett, a praktikusság. Elég, ha csak abba gondolunk bele, hogy egy nagy létszámmal rendelkező vállalat esetében, ha a hálózatra való authentikálás PSK-val történik meg, akkor például egy dolgozó felmondása esetén rögtön új PSK-t kell generálni, hogy a távozó alkalmazott már ne érhesse el a jövőben a hálózatot. Ellenben, ha ugyanebben a környezetben mondjuk DPSK-val dolgozunk, akkor elég csak annak az egy felhasználónak a kulcsát törölnünk, aki elhagyja a vállalatot.
Könnyűnek látszik és valójában tényleg az!
Az authentikációnak két eshetősége van a kulcsok alkalmazásának szempontjából:
- Bound DPSK
A DPSK kulcs létrehozásakor a kulcsot már eleve egy eszköz MAC címéhez rendeljük, így ezt a kulcsot már nem használhatjuk más eszközzel.
- unbound DPSK
A kulcs létrehozásakor nem egy eszköz MAC címéhez rendeljük hozzá a kulcsot, hanem annak első felhasználásakor rendelődik hozzá ahhoz az eszközhöz, amelyről csatlakoztunk a hálózathoz.
A PSK-s WLAN hozzáférés esetében a kliens készülék ugyanezt az előre megosztott kulcsot használja, hogy titkosított legyen az adatforgalom, de ebben a megközelítésben is problémás lesz a kulcs akár már egy felhasználó általi kompromittálódása is, mert a hálózati forgalom elérhetővé, a hálózat feltörhetővé válik. Ezzel szemben DPSK-t használva az adott WLAN-okhoz csatlakozott felhasználók számára biztonságos kapcsolat jön létre.
A Ruckus DPSK-ban rejlő további lehetőségek
Használhatunk integrált és RADIUS által definiált DPSK-t:
- Integrált DPSK
A kontroller rögzíti a kulcsokat minden egyes felhasználó számára.
- RADIUS által definiált DPSK
A kulcsra való jogosultságokat egy külső RADIUS szerver válaszának attribútumában kapja meg a kontroller.
Nézzük meg, hogy milyen konfigurációs lehetőségeink vannak DPSK-t használva egy virtuális SmartZone webes felületén:
Az integrált és a RADIUS által definiált DPSK-t az imént vizsgáltuk. Ezen felül, megadhatjuk, hogy a kulcs milyen hosszú legyen, milyen karakterekből álljon, valamint, hogy mennyi ideig legyen érvényes. Ezeket beállítva nézzük meg a kulcs generálásának a felületét és lehetőségeit:
A Generate DPSKs-ra kattintva a következő felületet látjuk:
Itt beállítható, hogy hány kulcsot generáljon a kontroller, valamint, hogy ezek a kulcsok melyik WLAN-hoz tartozzanak. Lehetőségünk van különböző felhasználói szabályokat is felvenni a kulcshoz és VLAN szeparációt is be tudunk állítani. A kapott DPSK egy CSV állományként tölthető le.
Nem hátrány, hogy a folyamat fordítva is működik, mely szerint mi általunk megadott „kritériumok” alapján tud a kontroller kulcsokat generálni. Az „Import CSV”-re kattintva tölthetünk fel egy általunk kitöltött táblázatot, amelynek mintáját a „Download Sample (CSV)”-re tölthetjük le. A táblázat felépítése a következő:
Összefoglalva, a DPSK nagyon könnyen kezelhető és biztonságosabb hálózatelérést tesz lehetővé. Mivel minden egyes felhasználó egyedi kulcsot kap, ezért nem ugyanaz a kulcsrészlet továbbítódik az elektromágneses hullámok által a levegőben, tehát jóval ellenállóbb, akár a Plain Text támadásokkal szemben is. Használata és automatikus telepítése ZoneDirector és Unleashed platformon nem jelent többletköltséget, az automatizálás SmartZone esetében CloudPath-et igényel, viszont cserébe további rengeteg feature fog rendelkezésünkre állni.
Ha tesztelnéd, kérdeznél, kattints az alábbi gombra, mi várjuk jelentkezésedet!