Quali sono le migliori pratiche per la sicurezza WiFi, alla luce delle vulnerabilità scoperte di recente?

2

Negli ultimi mesi abbiamo visto la rivelazione di diverse vulnerabilità WiFi ( eg KRACK).

Non sembra che il NIST abbia aggiornato una delle sue migliori pratiche. Come dovremmo configurare la nostra azienda WiFi per essere sicuri, in assenza di tali raccomandazioni ufficiali?

    
posta Filopn 25.11.2018 - 10:43
fonte

3 risposte

5

With all the recent WIFI hacks, how we should configure our organizational Wifi security configs and version?

Potrebbe essere necessario un po 'più esplicito con le tue preoccupazioni. Lei parla di KRACK; Ho pubblicato questa risposta sull'impatto di KRACK. Oltre un anno da quel post e non ci sono ancora segnalazioni di questo exploit in natura. KRACK è in termini pratici un non-interesse a questo punto. Questo potrebbe cambiare? Certo, ma non probabile.

Solo l'altro recente "WIFI hack" di cui sono a conoscenza è l'attacco hashcat su PMKID su reti wireless che utilizzano PSK. Le attenuazioni qui servono a utilizzare PSK più lunghi e complessi o passare a 802.1X.

Sebbene non sia un trucco, WPA3 è stato menzionato in numerosi canali media ed è la fonte di un certo numero di queste discussioni che ho avuto negli ultimi mesi, quindi permettimi di puntare a un altro di mie risposte che parlano di WPA3. La maggior parte di questa risposta è ancora valida nonostante alcune modifiche minori apportate dalla WFA (ad esempio, credo che OWE sia ora anche opzionale).

How we can set our organizational enterprise WiFi to be secure, if there no best practices to follow?

Tutti i principali fornitori wireless aziendali mantengono i propri documenti sulle migliori pratiche che contengono raccomandazioni sulla sicurezza e sulla progettazione. Ecco alcuni esempi: Cisco , Aruba e Ruckus .

Sebbene molte delle raccomandazioni contenute nei documenti di best practice del fornitore siano specifiche per la loro piattaforma, i principi spesso possono ancora essere applicati. Ma alcune indicazioni generali che vorrei dare a qualsiasi implementazione in cui sono coinvolto sono le seguenti:

  • Utilizza 802.1X su PSK. A seconda dei requisiti di sicurezza, scegli la prima opzione dai seguenti metodi EAP:
    • EAP-PEAP o EAP-TTLS con configurazione client / supplicant adeguata e autenticazione a due fattori generalmente considerata più sicura.
    • EAP-TLS se non puoi utilizzare quanto sopra con TFA.
    • EAP-PEAP o EAP-TTLS con la corretta configurazione client / supplicant - generalmente sufficiente per i dispositivi non mobili e non implica le complessità aggiuntive dei certificati client utilizzati da EAP-TLS.
  • Se è necessario utilizzare PSK, renderlo lungo e complesso (ma la lunghezza trionfa complessa se è necessario scegliere tra i due).
  • Disabilitare le funzionalità di caching veloce di roaming / transizione / PMK sull'infrastruttura, se non necessario. Questo rallenterà le connessioni client e aumenterà il carico sui server RADIUS.
  • Disabilita l'utilizzo di WEP o TKIP (spesso legato a WPA) - non solo necessario dal punto di vista della sicurezza, ma anche dal punto di vista delle prestazioni (802.11n o reti più recenti disabilitano velocità di trasmissione superiori a 54Mbps se entrambe sono in uso).
  • Abilita l'802.11w obbligatorio (frame di gestione protetti) se i tuoi clienti lo supportano.
  • Richiedi l'uso del DHCP da parte dei clienti se possibile.
  • Abilita le funzionalità di isolamento del client se disponibili e i tuoi client wireless non hanno bisogno di accedere ad altri client wireless.
  • Abilita le funzionalità di rilevamento anomalo per notificare quando vengono rilevate reti utilizzando gli stessi SSID della tua rete.
  • Mantieni i tuoi client e infrastruttura danneggiati.
risposta data 29.11.2018 - 08:50
fonte
2

Le migliori pratiche di sicurezza sono praticamente le stesse in tutto il settore IT: password complesse, aggiornamenti di installazione, preparati per l'errore umano ...

Con KRACK in particolare, la maggior parte dei sistemi operativi ha rattoppato KRACK da molto tempo. Finché tutti i router / punti di accesso e i client wireless hanno le ultime patch di sicurezza dovresti stare bene.

Potresti anche esaminare il nuovo protocollo WPA3, ma il WPA2 è ancora abbastanza sicuro per il prossimo futuro.

    
risposta data 25.11.2018 - 17:36
fonte
0

Direi che la maggior parte dei produttori non ha rattoppato l'exploit KRACK. Sebbene i produttori wireless possano aver escogitato nuovi standard, ciò non significa in realtà che il nuovo hardware avrà, in effetti, gli aggiornamenti e le correzioni necessari per mitigare l'attacco.

Personalmente, il mio consiglio è solo quello di tenervi aggiornati al meglio, ma non sempre affrettatevi anche agli aggiornamenti più recenti, a volte il nuovo aggiornamento può farvi tornare indietro o fare girare in cerchio a causa di errori in la codifica

L'errore umano è la tua più grande preoccupazione. Fino a quando le macchine non avranno veramente "intelligenza artificiale"

Inoltre, password complesse che utilizzano più tipi di caratteri. Nessun carattere consecutivo simile e consigliamo vivamente l'autenticazione multifactor

    
risposta data 26.11.2018 - 18:19
fonte

Leggi altre domande sui tag