Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Есть ли планы по поводу Private PSK?, UniFi Network
 
#1
07.08.2017 19:39:00
У меня есть клиент, который хочет перейти с текущей системы Aerohive на другую Wi-Fi платформу. Они активно используют функцию Private PSK от Aerohive, которая в их среде позволяет направлять промышленные устройства для мониторинга и управления в нужный VLAN в зависимости от PSK, настроенного на этих устройствах. На данный момент в Unifi похожей функции, похоже, нет. К сожалению, из-за этого внедрение Unifi для них маловероятно, так как это потребует либо масштабной перенастройки клиентских устройств, либо покупки дополнительных точек доступа, чтобы избежать перенасыщения SSID на каждой из них, либо совмещения обоих вариантов.

Аутентификация по 802.1x на клиентских устройствах невозможна, так как эти устройства просто не поддерживают этот стандарт. В прошлом были обсуждения на эту тему, но, похоже, этот вопрос был отложен в сторону. Так что... Есть ли планы внедрить эту функцию? Она была бы полезна во многих случаях, не только в этом конкретном.
 
 
 
#2
16.12.2018 14:54:00
@lbgaus

Хотя Mikrotik и поддерживает использование приватной passphrase, к сожалению, MAC-адрес в записи ACL обязателен, поэтому каждое устройство нужно вручную предварительно регистрировать по MAC. Объяснение этому есть в сообщении от поддержки Mikrotik. Единственные Wi-Fi решения, которые я нашёл и которые позволяют нескольким устройствам использовать общий PSK и при этом идентифицировать их по нему (например, для назначения VLAN в зависимости от PSK), без необходимости ручного ввода их MAC-адресов — это Ruckus (групповой DPSK), Aerohive (PPSK) и Xirrus (EasyPass), и все они требуют существенную ежегодную подписку за каждую точку доступа. Если кто-то знает аналог функции Group PSK от Ruckus, но без большой ежегодной подписки за каждую точку, дайте знать!
 
 
 
#3
29.11.2018 17:04:00
Очень надеюсь, что Ubiquiti когда-нибудь подумает над тем, чтобы это предложить... WPA2-Enterprise просто не подходит для некоторых случаев (например, для IoT-устройств). Но если это хоть немного поможет в вашем поиске, недавно я узнал, что Wi-Fi роутеры Mikrotik поддерживают DPSK/PPSK как настраиваемую опцию, хотя об этом почти не упоминается. Это доступно в функции «Access List» в настройках беспроводной сети. (Конкретно, поверх стандартной Wi-Fi конфигурации с общим PSK, вы можете добавить записи ACL с заполненным полем «Private Pre-Shared Key» вашим пользовательским PSK и, по желанию, ограничить использование определённым MAC-адресом). Также можно настроить VLAN-теги или просто создать виртуальный SSID для каждой VLAN. Чтобы пользоваться централизованным управлением беспроводными точками доступа, нужно использовать CAPsMAN вместе с роутерами Mikrotik.
 
 
 
#4
31.03.2018 01:12:00
Я бы очень поддержал идею добавить PPSK. Это отличная система. Я работаю с Aerohive, у меня больше 3000 точек доступа и около 65 000 пользователей. Их новый hivemanager (NG) управляется через API, так что можно связать его с Active Directory и такими системами, как Rapid Identity, чтобы автоматизировать создание и назначение ключей пользователям.

Хотелось бы иметь альтернативу Aerohive. И PPSK — это не проприетарное решение, а сильно доработанная версия hostapd. При этом они изо всех сил стараются не дать пользователям доступ к shell на своих устройствах, чтобы ты не увидел их реализацию...

Поэтому я думаю, что UBNT вполне легко смогли бы реализовать эту функцию. Настоящая золотая жила для UBNT — это внедрить hostapd на своих точках доступа, использовать UNMS в качестве центрального сервера аутентификации для больших развертываний PPSK, а также интегрировать это с Google API для управления Chromebook. Школьные системы по всему миру сразу бы перешли на это решение.
 
 
 
#5
19.01.2018 16:53:00
Устройства, которые не работают с порталами, в основном — это IoT-устройства (например, термостаты). Их лучше всего оставлять в изолированной гостевой сети, так как сами по себе такие устройства уже представляют высокий риск. На самом деле в том, чтобы выдавать каждому из них отдельные учетные данные, мало смысла. По моему мнению, PPSK — это просто еще один способ для производителей выкачать больше денег с клиентов. Я считаю, что есть более эффективные варианты, которые лучше снижают риски при комплексном подходе к контролю доступа в сеть. Так что да, возможно, у меня есть определённая предвзятость. «Открытые SSID» вообще не рассматриваются (там же нет никакой аутентификации), поэтому не совсем понимаю, как они связаны с PPSK.

Когда вы говорите «MAC Auth» — вы имеете в виду фильтрацию по MAC-адресу на точке доступа или MAB (mac authentication bypass)? PPSK не применим к MAB: первое относится к WLAN с аутентификацией через PSK, а второе — к WLAN с аутентификацией через EAP. Фильтрация по MAC-адресу при этом независима от обеих схем.
 
 
 
#6
19.01.2018 16:22:00
Неверно, что #1 портал/хотспот поддерживается всеми устройствами — многие клиенты используют другие решения для подключения с TLS и MAC-аутентификацией. Понимаем, что у многих клиентов, которые хотят PPSK, уже есть открытые SSID или публично доступные PSK с MAC-аутентификацией. PPSK с MAC-аутентификацией сокращает риски взлома и несанкционированного доступа по сравнению с теми же открытыми SSID или публично доступными PSK с MAC-аутентификацией.
 
 
 
#7
19.01.2018 15:52:00
PPSK не имеет ничего общего с RADIUS — на самом деле первая технология придумана именно чтобы избежать необходимости во втором, внедряя проприетарное решение для управления идентификацией и AAA. Есть два разных случая:  
1. Устройства, которые не поддерживают 802.1X  
2. Сайт, который не хочет внедрять RADIUS  

Для первого варианта, возможно, подойдут уже имеющиеся возможности портала или хотспота. Большинство таких устройств — это IoT (идиотские устройства), которым вообще не стоит давать полный доступ к внутренней сети. Раньше поддержка 802.1X была ограничена, но сейчас Windows, macOS, iOS, Android и почти все дистрибутивы Linux поддерживают это «из коробки».  

Для второго варианта с UniFi это не должно быть проблемой, если есть USG — там уже есть полностью интегрированное решение RADIUS. Всё это прямо в BUI, готовое к использованию.  

Лично меня каждый раз коробит, когда кто-то предлагает ещё одно решение аутентификации. Чем больше таких решений, тем шире поверхность атаки и тем больше шансов для взлома и несанкционированного доступа.
 
 
 
#8
19.01.2018 15:24:00
Цель PPSK — это простой способ использовать аутентификацию Radius для гостей и клиентских устройств, чтобы подключаться к защищённой сети с разными учётными данными. Насколько мне известно, Aerohive, Cisco, Ruckus и Cirrus сейчас предлагают PPSK. Каждый из них — проприетарный, поэтому стандарт IEEE был бы кстати.
 
 
 
Страницы: 1
Читают тему (гостей: 1)