With all the recent WIFI hacks, how we should configure our organizational Wifi security configs and version?
Potrebbe essere necessario un po 'più esplicito con le tue preoccupazioni. Lei parla di KRACK; Ho pubblicato questa risposta sull'impatto di KRACK. Oltre un anno da quel post e non ci sono ancora segnalazioni di questo exploit in natura. KRACK è in termini pratici un non-interesse a questo punto. Questo potrebbe cambiare? Certo, ma non probabile.
Solo l'altro recente "WIFI hack" di cui sono a conoscenza è l'attacco hashcat su PMKID su reti wireless che utilizzano PSK. Le attenuazioni qui servono a utilizzare PSK più lunghi e complessi o passare a 802.1X.
Sebbene non sia un trucco, WPA3 è stato menzionato in numerosi canali media ed è la fonte di un certo numero di queste discussioni che ho avuto negli ultimi mesi, quindi permettimi di puntare a un altro di mie risposte che parlano di WPA3. La maggior parte di questa risposta è ancora valida nonostante alcune modifiche minori apportate dalla WFA (ad esempio, credo che OWE sia ora anche opzionale).
How we can set our organizational enterprise WiFi to be secure, if there no best practices to follow?
Tutti i principali fornitori wireless aziendali mantengono i propri documenti sulle migliori pratiche che contengono raccomandazioni sulla sicurezza e sulla progettazione. Ecco alcuni esempi: Cisco , Aruba e Ruckus .
Sebbene molte delle raccomandazioni contenute nei documenti di best practice del fornitore siano specifiche per la loro piattaforma, i principi spesso possono ancora essere applicati. Ma alcune indicazioni generali che vorrei dare a qualsiasi implementazione in cui sono coinvolto sono le seguenti:
- Utilizza 802.1X su PSK. A seconda dei requisiti di sicurezza, scegli la prima opzione dai seguenti metodi EAP:
- EAP-PEAP o EAP-TTLS con configurazione client / supplicant adeguata e autenticazione a due fattori generalmente considerata più sicura.
- EAP-TLS se non puoi utilizzare quanto sopra con TFA.
- EAP-PEAP o EAP-TTLS con la corretta configurazione client / supplicant - generalmente sufficiente per i dispositivi non mobili e non implica le complessità aggiuntive dei certificati client utilizzati da EAP-TLS.
- Se è necessario utilizzare PSK, renderlo lungo e complesso (ma la lunghezza trionfa complessa se è necessario scegliere tra i due).
- Disabilitare le funzionalità di caching veloce di roaming / transizione / PMK sull'infrastruttura, se non necessario. Questo rallenterà le connessioni client e aumenterà il carico sui server RADIUS.
- Disabilita l'utilizzo di WEP o TKIP (spesso legato a WPA) - non solo necessario dal punto di vista della sicurezza, ma anche dal punto di vista delle prestazioni (802.11n o reti più recenti disabilitano velocità di trasmissione superiori a 54Mbps se entrambe sono in uso).
- Abilita l'802.11w obbligatorio (frame di gestione protetti) se i tuoi clienti lo supportano.
- Richiedi l'uso del DHCP da parte dei clienti se possibile.
- Abilita le funzionalità di isolamento del client se disponibili e i tuoi client wireless non hanno bisogno di accedere ad altri client wireless.
- Abilita le funzionalità di rilevamento anomalo per notificare quando vengono rilevate reti utilizzando gli stessi SSID della tua rete.
- Mantieni i tuoi client e infrastruttura danneggiati.