การทำระบบ Authentication ของอุปกรณ์ IOT อย่างง่ายด้วย Multiple Pre-Shared Keys

อย่างไรก็ตาม หลายๆอุปกรณ์ IoT มักเป็น Headless และไม่รองรับมาตรฐานความปลอดภัยอย่างเช่น 802.11X เมื่อต้องรับมือกับอุปกรณ์ IoT ที่เป็น Headless นั้นแตกต่างอย่างชัดเจน วิธีการตรวจสอบทั่วไปที่ใช้บ่อยที่สุดคือ WPA2-PSK แม้ว่าการใช้ WPA2-PSK นั้นจะมีความปลอดภัยมากกว่าการใช้ open หรือ WEP แต่เครือข่ายก็ยังคงมีช่องโหว่ด้านความปลอดภัยอยู่

WPA2-PSK มีข้อจำกัดหลายประการ:

• รหัสผ่าน passphrase ของ WPA2-PSK นั้นถูกแชร์ให้อุปกรณ์ทั้งหมดที่เชื่อมต่อกับ SSID เดียวกัน ถ้าคีย์ถูกทำลาย แน่นอนว่าความปลอดภัยก็จะถูกละเมิดตามไปด้วย

• ด้านการดำเนินงานของการเปลี่ยนคีย์นั้นต้องทำด้วยตัวเอง และต้องใช้ความรู้ของเจ้าหน้าที่ IT

MSPK เป็นทางออกที่ดีกว่าสำหรับ IoT

Multiple Pre-Shared Key (MPSK) นั้นเป็นตัวเลือกที่ดีกว่า โดย Aruba ClearPass 6.8 และ Aruba OS 8.4 ใช้ประโยชน์จากมาตรฐานใหม่ๆอย่างเช่น WPA3 และ Opportunistic Wireless Encryption เพื่อแก้ปัญหา PSK

โดยเฉพาะ MPSK ได้เปิดการใช้งานอุปการณ์เฉพาะทางและกลุ่มของรหัสผ่าน (passphrases) ซึ่งช่วยเพิ่มความปลอดภัยและความยืดหยุ่นในการปรับใช้สำหรับอุปกรณ์ IoT ที่เป็น Headless รหัสผ่านสามารถกำหนดให้ดำเนินการกับกลุ่มของอุปกรณ์ตามคุณลักษณะทั่วไปเช่นข้อมูลการทำโปรไฟล์หรือกำหนดให้กับการลงทะเบียนอุปกรณ์แต่ละครั้งด้วย ClearPass Policy Manager

ในตอนนี้ SSID เดียวกันสามารถรองรับ Pre-Shared Keys ได้ การใช้ SSID เดียวช่วยปรับปรุงการใช้แบนด์วิดท์ RF ให้การใช้งานดียิ่งขึ้น การใช้ MPSK ช่วยลดเวลาและความพยายามสำหรับแผนกไอทีในการรักษาความปลอดภัยเครือข่าย และการนำเสนอ PSK หลายตัวในแพลตฟอร์มที่แตกต่างกันจะทำให้มั่นใจในความปลอดภัยที่ดีขึ้น

MPSK มีประโยชน์หลายประการ

อย่างแรกคือ นอกจากจะสร้างความสัมพันธ์แบบหนึ่งต่อหนึ่งระหว่างอุปกรณ์ (เช่นที่อยู่ MAC) และผู้ใช้ที่เฉพาะเจาะจงจึงให้การมองเห็นความรับผิดชอบและการจัดการสำหรับผู้ใช้คนเดียว ในอารูบาสิ่งนี้จะเปิดใช้งานผ่านการลงทะเบียนอุปกรณ์บริการตนเอง ClearPass

อย่างที่สอง MPSK สามารถใช้เชื่อมโยงอุปกรณ์กับกลุ่มผู้ใช้ตัวอย่างเช่นสมาร์ททีวีที่ทีมการตลาดใช้ ในอารูบาสิ่งนี้จะเปิดใช้งานผ่านนโยบายบังคับใช้โดยผู้ดูแลระบบ ClearPass

MPSK ทำงานอย่างไร

MPSK Feature ใหม่นี้ ใช้  Mac Authen โดยจะส่ง PSK ให้จาก  Vendor Specific Attributes(VSAs) และจะใช้การเข้ารหัส จากรหัสผ่านที่ไม่ได้เข้ารหัสของ controller

VSAs ได้ถูกเพิ่ม การเข้าถึงที่สมบูรณ์ จาก Mac Authen .. รหัสผ่านที่ถูกเข้ารหัสนี้ ใช้ การเข้ารหัสเดียวกับ MS-MPPE-Recv-Key VSA, ซึ่งสามารถดูได้ที่ RFC2548 ตรงส่วน 2.4.3

MPSK ไม่ได้แทนที่วิธีการตรวจสอบความปลอดภัยเหมือน EAP-TLS สำหรับอุปกรณ์พกพา เช่น โน๊คบุค แท็บเล็ต และสมาร์ทโฟน อย่างไรก็ตาม MPSK ได้ให้วิธีที่ดีกว่าเพื่อให้แน่ใจว่าอุปกรณ์ IoT ได้รับการรับรองความถูกต้องและเชื่อมต่อกับเครือข่ายอย่างถูกกฎหมายโดยไม่ต้องมีส่วนร่วมด้านไอที

About Author

araya

See author's posts