Kullanıcıya Özel Otantikasyon Yapmanın Kolay Yolu: PPSK (Private Pre-Shared Key)

PPSK Nedir?

Private pre-shared key (PPSK), ilk olarak Aerohive’ın (şimdi Extreme Networks) dünyaya tanıttığı bir çözümdür. Her kullanıcıya özel bir WPA/WPA2 şifresi vermeye dayanır.

Neden PPSK’ye İhtiyac Duyulmaktadır?

WPA/WPA2 preshared key’dir; Yani aynı WPA2 şifresi tüm kullanıcılara dağıtılır ve paylaşılır. Her kullanıcı ayrı bir credential ile otantike etmek istenirse, geçerli seçenek 802.1x’dir.

802.1x ile genel olarak iki türlü kullanıcıyı otontike edilebilir Username/password veya client sertifikası. Bunun için ekstra Radius sunucu kurulması gerekir ve Username/Password ile Active Directory veya LDAP ile entegre edilir. Client Sertifikası ile otantikasyon yapılırsa bir CA sunucu kurulmalıdır. Diğer yandan kablosuz ağ merkezi Radius sunucu veya CA sunucuya bağımlı olacaktır. Bu durum, WAN altyapısını kullanan şubeler için WAN linki kesildiğinde sıkıntı yaratacaktır.

Peki. kullanıcıya özel otantikasyon yapmanın daha basit yöntemi var mıdır? Tabii ki. Bu yöntem PPSK’dır.

PPSK ile Neler Sağlanabilir?

  • Her bir kullanıcıya benzersiz WPA2 şifresi sağlar. Her bir kullanıcı farklı profillere atanabilir. Bu, aynı SSID’ye bağlı her bir kullanıcı veya kullanıcı grubuna farklı ACL, VLAN atama, firewall policy atama vs. anlamına gelmektedir. Yani ileri seviye Profiling yapılabilir.

 

PPSK Hangi Alanlarda Kullanılabilir?

  • BYOD için kullanılabilir. Çalışanlar kendi tablet, mobil telefonlarını şirket ağına bağlayabilir ve bu kullanıcıların her birine ayrı bir WPA2 şifresi sağlanabilir. Çalışan farklı bir VLAN’a atanır ve VLAN’ın layer3 çıkışı Firewall yapılarak iç kaynaklara ve internete erişimi kontrol altına alınır. Çalışan şirketten ayrıldığında, çalışanın hesabını askıya almak yeterlidir.

 

  • IoT cihazları için kullanılabilir. IoT cihazları genelde 802.1x’i desteklemez, ya MAC authentication ya da WPA2 kullanılabilir ancak onlarca hatta yüzlerce IoT ünitesine paylaşımlı WPA2 şifresi atamak riskler yaratır. Şifre açığa çıktığında tüm IoT cihazlarında ayar yapmak oldukça fazla sorun doğuracaktır.

 

  • Personel erişimi için kullanılabilir. Örneğin; WAN altyapısında, şubenizdeki kullanıcıyı 802.1x ile bağlandı. Radius server, AD server merkezde. WAN bağlantısı gidince wireles servisi durdu. PPSK buna neden olmaz, çünkü PPSK credential’ları, profiling bilgileri Cloud üzerinden AP’lere aktarılır ve orada depo edilir. Tabii ki şifreleme ile bilgiler AP üzerinde tutulur. AP çalınsa dahi bilgiler dışarı export edilemez. Lokal kablosuz servisler kullanmaya devam edilebilir. Diğer yandan, şube tamamen internete bağımlı ise; artık tüm servisler Cloud üzerinde, tüm Credential bilgileri CloudIQ üzerinde tutulabilir. 1x‘de bir user ayrıldığında, sertifikası revoke edilir veya username’i AD’de disable edilir. PPSK’da da aynısı mümkündür.

 

  • Ziyaretçi erişimi için kullanılabilir. Her gün dinamik üretilen zaman bazlı şifreleri misafirlerinize dağıtılabilir. Hatta her gün herkes için tek bir ek şifre dağıtmak mümkündür.
    Örneğin; bir etkinlik yapılmakta veya oteldeki misafirlere internet sağlanmaktadır. Misafirler için bir mobil telefon veya bir tablet üzerinde uygulama şifreleri üretilir, arka planda API ile CloudIQ’da bu şifreleri ürettirebilir. Misafir, şifresini QR kod ile okutarak, ekranında görerek veya e-posta, SMS yöntemleri ile alabilir.

 

PPSK ile Enterprise uygulamalar için Profiling desteklenir. Her bir kullanıcı veya kullanıcı grubuna Firewall Policy, VLAN atanabilir.

Aşağıdaki gibi, tek bir SSID yayını ile kullanıcılar tek bir farklı profillere atanabilir. Her bir grup için farklı SSID yaratmak gerekmez. Fazla SSID fazla enterferense neden olur; çünkü her bir SSID kendi beacon bilgisini kablosuz ortama gönderir.

Kullanıcı bilgileri (WPA2 şifre vs.) AP’ler üzerinde veya Cloud üzerinde olmak üzere iki lokasyonda korunabilir.

  • 1-Local Storage
    • PPSK hesapları CloudIQ’de oluşturulur ve AP’lere yüklenir ve database Cloud IQ ile sync edilir.
    • PPSK bilgileri User group ve User Profiller AP’de saklanır.
    • Böylece, WAN bağlantısı kesildiğinde veya Cloud IQ’ye erişim kesildiğinde “user authentication” çalışmaya devam eder.

User group başına 1000 user‘a kadar destekler. Toplamda AP başına 10.000 user desteklenir.

  • 2- Cloud-IQ Storage
    • User profilleri ve User Access Control kuralları AP’de depolanırken, PPSK hesapları CloudIQ’da oluşturulur ve yine CloudIQ’da depolanır.
    • Artık 10.000 user sınırı yoktur.
    • AP, PPSK bilgisini CloudIQ’dan sorgulayacağı için, AP ile CloudIQ arasında RADSEC ile encypted iletişim kurulur.
    • Radsec; Secure Radius veya Radius over TLS (TCP 2083)
    • Her bir AP’den RadSec oturumu açmak yerine, AP’lerden biri otomatik olarak RadSec Proxy olur ve onun üzerinden PPSK doğrulamaları yapılır.
    • Şube internete bağımlı ise, bu yöntemin kullanılmasında bir sakınca yoktur.

  • WPA2 şifreleri bir kere oluşturulduktan sonra CloudIQ, Radsec Proxy AP’ye PMK (pairwise master key) iletir. Proxy AP’de diğer AP’lere PMK’yi dağıtır. Böylece, wireless client’ların sorunsuz ve hızlı Roaming yapabilmesi sağlanır.

ÖRNEK Konfigürasyon ve Profiling

  • Aşağıdaki gibi “PPSK-Gondor” isminde bir Wireless Network eklenebilir.

  • Farklı User grupları oluşturulabilir ve bu user gruplarda kullanıcılar yaratılabilir.

Kullanıcıları tek tek yaratılabilir ya da Cloud sistemi toplu olarak yaratabilir. Bu credential’ları SMS veya e-posta ile kullanıcılara iletilebilir.

Her bir user gruba farklı bir profil atanıyor. Her bir Profil farklı karakteristiklere (VLAN, Firewall, QoS vs.) sahiptir.

  • Bir gruba ait bir user bilgisi ile kablosuz ağa giren kullanıcıya farklı VLAN, Firewall Policy QoS, Client SLA, Scheduling atayarak user Profling yapılabilir.