如果您听到以下消息,请阻止我:您正在建立一个新的无线网络,并且希望一切正常。您知道左右发生了安全漏洞,并且与项目有关的每个人都希望拥有强大的企业安全性。

但是,在需求收集过程的10分钟后,您意识到需要支持的许多设备在安全性方面都严重不足。

欢迎回到PSK世界,我们似乎都无法逃脱的地方。

PSK在这里停留

作为无线爱好者,多年来我一直在抱怨客户端设备的实施不佳。

根据我的定义,是什么使客户端设备“实施不佳”?过去,许多设备都陷入了低端无线电,现代商业WLAN标准过时的数据速率要求以及无法执行基于802.1X的企业WLAN安全的问题。

这迫使宁愿从PSK转移过来的环境为那些“其他设备”提供另一个SSID。打印机可能是这里的罪魁祸首,但是随着IoT浪潮的上升,预计许多新设备的Wi-Fi安全功能也将受到限制。

然后是为802.1X运行RADIUS后端的管理费用,IT受限的企业可能无法支持。

由于许多原因,建立使用预共享密钥作为无线层上的身份验证和加密基础的网络的需求将在未来逐渐出现。

一些供应商在PSK上大放异彩

如果您碰巧使用某些供应商提供的WLAN设备(Aerohive是此功能的领先者),则可以利用 私人PSK 或其变体之一。

这里的想法是,您和我都加入了相同的SSID,但是您的设备使用的预共享不同于我的预共享,并且这些密钥的发行和吊销很简单。

并非所有供应商都提供此选项(尽管应该提供),并且由于它不是任何网络标准的一部分,因此每个具备此功能的供应商都将按照自己的方式来做。在决定可以使用它之前,请确保对给定供应商进行调查。

如何与PSK一起生活

无论您支持的网络大小是多少,PSK都有很多问题,您有责任在特定WLAN的生命周期内承担这些责任。

PSK的某些方面很直观-就像您应该使用冗长而复杂的密码短语一样。其他人则不然,例如在某些供应商的网络设备中,一旦输入,就无法在任何管理视图中看到明文形式的预共享。希望您在某处记下了它。理想情况下,您应在所有PSK预共享中保留受密码保护的文件,并注明每个文件的启用日期。

某些环境不会“放弃”预共享。用户需要将其设备带给管理员,然后管理员才能对其进行键入,从而将其保密。

其他人则与员工自由共享。这和技术讨论一样深入到程序中。

无论您如何分配预共享密钥,您都还必须对使用它们的网络有所了解。例如,来宾通常不应与企业客户端设备位于同一网络上。 (更复杂的网络有时会将所有内容都放在相同的SSID上,但是又有了复杂的商业解决方案,这些解决方案使用各种属性来梳理出客户端随后从哪个逻辑网络中获得的信息。)

另外,您今天放置的任何预共享都不应在五年后开始使用。除非PSK WLAN处于严格控制的环境中,否则最佳做法是偶尔进行更改。

更改PSK预共享可能是绝对的痛苦,而更大的网络则意味着更多的痛苦。如果您有人员流动或有理由期望预共享已经暴露在您的业务范围之外(除了来宾网络之外),那么您需要硬着头皮。

根据正在使用的设备数量和必须更改密钥的用户数量,可能更容易用新密钥构建新的SSID,然后逐步将设备过渡到该SSID,直到您可以淘汰旧的设备为止。

无线网络中没有什么是简单的-甚至PSK也没有。