Sự thiếu an toàn của Pre-shared Key
Phương pháp xác thực khá quen thuộc mà chúng ta thường dùng là mật khẩu. Chúng ta cấu hình SSID, đặt mật khẩu, sau đó cho người dùng biết mật khẩu. Người dùng sẽ dùng mật khẩu đó để truy cập vào Wi-Fi. Phương thức xác thực đó gọi là Pre-shared Key (PSK). Với phương thức xác thực này, chúng ta được lợi là nó vô cùng đơn giản và thân thiện với người dùng. Nhờ sự đơn giản đó, đội ngũ IT cũng ít phải tốn thời gian trong việc cấu hình, vận hành và hỗ trợ người dùng. Nhưng bù lại, phương pháp này không an toàn trong môi trường doanh nghiệp. Do tất cả mọi người cùng dùng chung một mật khẩu nên sẽ có nguy cơ bị lộ mật khẩu ra bên ngoài, và người ngoài có thể truy cập vào hệ thống mạng nội bộ. Tệ hơn, khi biết được mật khẩu, hacker có thể bắt gói và giải mã toàn bộ dữ liệu gửi qua mạng Wi-Fi. Để giảm thiểu khả năng lộ mật khẩu, đòi hỏi IT phải thường xuyên đổi mật khẩu và thông báo lại cho người dùng. Điều này thực sự không hề tiện chút nào.
Sự phức tạp và tốn kém của 802.1x
Để đảm bảo sự an toàn và bảo mật trong mạng doanh nghiệp, sự lựa chọn tốt nhất hiện nay chính là 802.1x. Với cách xác thực này, người dùng khi truy cập vào Wi-Fi phải dùng username và password, được lưu trữ tập trung trên Authentication Server. Ưu điểm lớn nhất của 802.1x là toàn bộ quá trình xác thực được mã hóa trong EAP Tunnel. Sau khi xác thực xong, mỗi người dùng sẽ có một key mã hóa riêng biệt. Ngoài ra, với 802.1x, chúng ta còn có thể kiểm soát người dùng thông qua AAA : Authentication – cho biết người dùng là ai, Authorization – phân quyền truy cập cho người dùng, Accounting – ghi lại quá trình truy cập của người dùng.
Hình 1. Quá trình xác thực với 802.1x
802.1x được xem như là hình thức xác thực an toàn nhất trong doanh nghiệp, tuy nhiên để triển khai 802.1x, đòi hỏi phải có một Authentication Server. Điều này dẫn đến việc tăng chi phí triển khai. Cấu hình 802.1x cũng phức tạp, làm cho quá trình vận hành của IT trở nên cồng kềnh. Quá trình đăng nhập vào Wi-Fi của người dùng với 802.1x cũng phức tạp hơn PSK, do đó, IT phải mất thời gian trong việc hỗ trợ người dùng.
PPSK – Sự kết hợp hoàn hảo của 802.1x và PSK
Nhận thấy các ưu, khuyết điểm của PSK và 802.1x, Ruijie Networks đưa ra giải pháp Private Pre-Shared Key (PPSK), là sự kết hợp các ưu điểm của PSK và 802.1x. Với PPSK, mỗi người dùng sẽ tự động được cấp cho một mật khẩu Wi-Fi riêng. IT có thể tạo hàng loạt bằng cách import file excel trên giao diện quản trị của Ruijie Cloud.
Hình 2. Giao diện cấu hình và quản lý PPSK
Về phía người dùng, trải nghiệm đăng nhập hoàn toàn giống với PSK, nhưng thay vì nhập mật khẩu chung, người dùng sẽ nhập WiFi Key của riêng mình. Sau khi người dùng đăng nhập lần đầu vào Wi-Fi, địa chỉ MAC của người dùng sẽ được gán vào với WiFi Key. Và sau này, cho dù mật khẩu này có bị lộ ra ngoài, người khác cũng không thể dùng nó để đăng nhập vào Wi-Fi. Nếu người dùng nghỉ việc, IT đơn giản là xóa Account, người dùng sẽ lập tức bị ngắt kết nối Wi-Fi và không thể kết nối lại nữa.
PPSK mang lại sự an toàn thông qua việc gán cho mỗi người dùng một Wi-Fi Key, loại bỏ nguy cơ bị lộ mật khẩu. Việc cấu hình PPSK vô cùng đơn giản thông qua Ruijie Cloud. Trải nghiệm người dùng hoàn toàn giống với PSK. Điều này giúp đơn giản hóa công tác vận hành và giảm tải cho IT trong việc hỗ trợ người dùng. Bên cạnh đó, Ruijie Networks cung cấp tính năng này hoàn toàn MIỄN PHÍ cùng với nền tảng Ruijie Cloud. Chi phí triển khai hoàn toàn giống với PSK truyền thống nhưng trải nghiệm lại dễ dàng và an toàn. PPSK là sự kết hợp hoàn hảo của PSK và 802.1x cho các doanh nghiệp SMB.
Kai Nguyễn – Ruijie Networks
