Introdução
O Wi-Fi é muito diferente do Ethernet. Para conectar ou escutar na parte com fio de uma rede geralmente requer acesso físico ao roteador, um switch ou porta ou cabeamento Ethernet. No entanto, a parte sem fio da rede pode ser cortada, escutada ou interrompida em qualquer lugar dentro da área de cobertura, que pode até ser estendida além do alcance normal com antenas de alto ganho ou direcionais. Muitas vezes isso inclui áreas fora de sua segurança física, como em escritórios vizinhos, prédios e estacionamentos.Além disso, existem muitos mitos que envolvem segurança sem fio e técnicas que podem ser usadas para proteger o Wi-Fi, como não transmitir o SSID, filtragem de endereço MAC ou restrições de endereço IP. No entanto, aqui eu compartilho algumas das melhores maneiras de proteger sua LAN sem fio, técnicas que realmente oferecem boa proteção.
Ativar segurança WPA2 para criptografia
Alguns sugerem usar uma abordagem em camadas para a segurança Wi-Fi. Eu realmente não discordo, mas eu certamente sugiro primeiro garantir que você tenha ativado a segurança WPA2 com criptografia AES em qualquer rede sem fio ou SSID para uso privado. Tenha em mente que muitos roteadores e pontos de acesso sem fio oferecem uma opção WPA / WPA2 e AES / TKIP. Sugiro selecionar apenas suporte à segurança WPA2 com criptografia AES, uma vez que é a opção mais segura. Dessa forma, não há uma chance de os dispositivos sem fio se conectarem à menor opção segura de segurança WPA com criptografia TKIP, que é mais vulnerável ao cracking.Se você tiver quaisquer dispositivos mais antigos que suportam apenas WPA com TKIP ou a segurança WEP (Wired Equivalent Privacy) ainda mais antiga, que há muito poucos hoje em dia, sugiro tentar ver se uma atualização de software pode oferecer WPA2 com AES. Se a atualização não for possível ou não habilitar o suporte, sugiro substituir o dispositivo ou o adaptador sem fio do dispositivo.
Utilize o modo empresarial de segurança WPA2
Como você pode muito bem saber, escolher entre WPA e WPA2 não é a única escolha que você tem. Cada versão pode ser usada com dois modos muito diferentes: o modo pessoal, tecnicamente chamado de Chave Pré-compartilhada (PSK) eo modo corporativo que utiliza um servidor RADIUS para habilitar a autenticação 802.1X.Embora o modo pessoal (PSK) seja muito mais fácil de configurar inicialmente, o modo corporativo é normalmente a opção mais apropriada e segura para redes de tipo empresarial. Mesmo com o esforço necessário para configurar um servidor ou serviço RADIUS para a autenticação 802.1X, o modo corporativo de segurança WPA2 pode exigir menos esforço ao longo do tempo quando comparado com o modo pessoal.
O modo pessoal oferece apenas uma senha única ou global que todos os usuários devem saber para se conectar e, normalmente, é salva nos dispositivos. Depois que um dispositivo ou funcionário sai da organização, essa senha salva pode ser usada por outra pessoa para se conectar à rede sem fio. Assim, cada vez que um funcionário ou membro da equipe sai ou um dispositivo Wi-Fi é roubado, a senha global deve ser alterada para permanecer segura. Ao usar o modo corporativo, as credenciais de login para apenas o dispositivo ou usuário afetado precisam ser alteradas.
Tenha em mente que existem serviços RADIUS hospedados lá fora, que são muito úteis para aqueles que não querem configurar e executar seu próprio servidor, ou para situações em que não é prático, como em redes de escritórios muito pequenas ou remotas. Além disso, esses serviços podem ser ótimos para TI ou provedores de serviços gerenciados (MSPs) para proteger a rede de vários clientes sem precisar configurar e manter um servidor em cada local.
Alterar senha com freqüência se estiver usando segurança pessoal
Se você usa o modo pessoal ou PSK de segurança WPA2 por qualquer motivo, talvez talvez apenas para um punhado de dispositivos que não suportam o modo corporativo, você deve alterar a senha Wi-Fi global muitas vezes. Alterar a senha muitas vezes pode ajudar a evitar cracking sem fio e também é bom fazer no caso os administradores não estão cientes de um dispositivo perdido ou roubado.Proteger adequadamente qualquer acesso público
Segurança sem fio não é tudo sobre criptografia. Pense sobre a segurança física de sua rede e facilidade também. Você pode ter a melhor configuração de criptografia e alterar a senha a cada hora, por exemplo, mas ainda se tornar hackeado por outros meios. Uma forma é que alguém obtenha acesso físico ao seu roteador sem fio ou a um ponto de acesso e, em seguida, execute rapidamente uma restauração de fábrica usando o botão de restauração no dispositivo. Isso iria remover todas as configurações do roteador ou do ponto de acesso, incluindo qualquer senha de segurança ou métodos de configuração, provavelmente dando a alguém próximo acesso completamente aberto à rede sem fio e com fio.Certifique-se de que todo o equipamento de rede esteja fora do alcance do público e até mesmo restrinja o acesso aos funcionários e ao pessoal, bem como reduza as chances de qualquer insider se mexer com a rede também. Certifique-se de que os pontos de acesso colocados em todo o edifício ou localizados fora são montados bem fora do alcance e seus cabos de rede também, para evitar que alguém redefini-los ou desconectá-los. Coloque o roteador da rede, switches e outros equipamentos de rede em um armário trancado ou sala de fiação para impedir o acesso e adulteração. Assegure-se de que todo o cabeamento de rede esteja fora do alcance do público e até de usuários dentro da organização para reduzir as chances de alguém cortar o cabo e tocar no cabo. Quaisquer portas Ethernet abertas ou não utilizadas em switches ou tomadas de parede através do edifício devem ser desabilitadas para impedir que alguém se conecte a elas.
Acompanhar dispositivos móveis
Como tocado, perdido ou roubado dispositivos Wi-Fi são uma ameaça à segurança. Seja usando o modo pessoal ou corporativo de segurança Wi-Fi, a senha normalmente é armazenada nos dispositivos. O uso do modo corporativo permite que você altere facilmente as credenciais de login de um indivíduo. No entanto, primeiro você deve saber que o dispositivo é perdido ou roubado. Assim, você deve manter fechadas guias em qualquer dispositivo que se conecta à rede sem fio. Diga aos funcionários e funcionários que devem informar sobre dispositivos vulneráveis.Também discuta as políticas de rede, incluindo os dispositivos que podem ser conectados à rede. Também entendo que eles geralmente podem conectar seus dispositivos pessoais, como seu tablet de casa ou smartphone pessoal, com ou sem a sua permissão, uma vez que a senha pode ser de conhecimento público dentro da organização e que também pode ser facilmente revelado em dispositivos onde a senha é Armazenados.
Monitorar pontos de acesso rogue
Além de restaurar pontos de acesso aos padrões de fábrica, outros roteadores sem fio ou pontos de acesso podem ser conectados sem permissão, possivelmente abrindo acesso sem fio à rede. Isso pode até ser feito inocentemente por funcionários ou funcionários para ajudar a aumentar a cobertura Wi-Fi, por exemplo. Para ajudar a capturar este e outros pontos de acesso fraudulentos ou mal configurados, considere a possibilidade de ativar algum tipo de monitoramento. Alguns pontos de acesso incluem built-in rogue ou varredura de detecção de intrusão. Se seus pontos de acesso não, considere implementar uma solução de terceiros.Resumo
Lembre-se, é melhor ativar o suporte para apenas a segurança WPA2 com criptografia AES e provavelmente usando o modo corporativo para que os dispositivos ou usuários tenham suas próprias credenciais de login exclusivas. Se você utilizar o modo pessoal, entretanto, mude a senha regularmente para tornar o cracking mais difícil, e especialmente depois que o pessoal sair da organização ou dispositivos são perdidos ou roubados. Por último, mas não menos importante, não se esqueça da segurança física da rede e dos componentes, incluindo manter as abas nos dispositivos móveis usados no Wi-Fi.
0 comentários :
Postar um comentário