Es ist verlockend, ein WiFi Funkloch mit einem 30-Dollar-Repeater aus der nächsten Elektronikabteilung zu beheben oder anzunehmen, dass der Smart Speaker im Backoffice harmlos ist. Zwei Berichte in dieser Woche erinnern uns eindringlich daran, dass Endverbraucher-Geräte und unkontrollierte Funkverbindungen in einem Netzwerk, auf das sich Ihre Gäste verlassen, nichts zu suchen haben.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat gerade eine Schwachstelle bei WiFi Repeatern in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen, und Amazon hat damit begonnen, sein Sidewalk-Netzwerk auf Endverbraucher-Geräten automatisch zu aktivieren. Unterschiedliche Geschichten, dieselbe Lektion: Was Sie nicht kontrollieren, können Sie nicht sichern.
Eine Schwachstelle bei Repeatern, die aktiv ausgenutzt wird
Die CISA hat diese Woche eine Schwachstelle im TL-WA855RE-Repeater von TP-Link (CVE-2020-24363) als unter aktivem Angriff markiert und Bundesbehörden angewiesen, diese bis zum 23. September zu beheben. Die Schwachstelle ermöglicht es einem Angreifer, der sich bereits im Netzwerk befindet, das Gerät zurückzusetzen und die Kontrolle darüber zu übernehmen. Sobald ein Gerät gekapert wurde, dient es als Einstiegspunkt - ein Ort, um Datenverkehr abzufangen oder auf andere Systeme überzugreifen.
Das entscheidende Detail für Standorte ist nicht das spezifische Modell. Es ist das Muster. Repeater für Endverbraucher sind für das Zuhause gebaut, nicht für ein Unternehmen. Sie werden selten gepatcht, oft vergessen und fast nie vom wichtigen Datenverkehr segmentiert. Schließen Sie einen davon an Ihr Gästenetzwerk an, um ein Abdeckungsproblem zu lösen, und Sie haben stillschweigend ein nicht verwaltetes, nicht überwachtes Gerät in den Pfad eingefügt, den die Daten Ihrer Besucher nehmen.
Amazon Sidewalk und der Aufstieg von "Schatten"-Funkverbindungen
Die zweite Geschichte ist subtiler. Ab dem 8. Juni hat Amazon damit begonnen, Sidewalk - eine Funktion, die einen Teil der Bandbreite über ein Nachbarschafts-Mesh-Netzwerk mit Geräten in der Nähe teilt - auf Echo- und Ring-Hardware automatisch zu aktivieren. Die Technologie hat legitime Einsatzzwecke, aber die Hauptbotschaft für jedes Gebäude lautet: Funkverbindungen, die Sie nicht bewusst konfiguriert haben, können sich selbst einschalten und in und um Ihr Gebäude herum senden.
Das ist das allgemeinere Problem von "Schatten"-Konnektivität - Geräte, die auf oder in der Nähe Ihres Geländes senden, die nicht Teil Ihres verwalteten Netzwerks sind und für den Betreiber unsichtbar bleiben. Ein Smart Speaker, der Reise-Router eines Mitarbeiters, ein vergessener Repeater: Jeder davon ist eine Funkverbindung, die Sie nicht kontrollieren, und jeder vergrößert die Angriffsfläche, die ein Angreifer sondieren kann.
Warum dies für eine Segmentierung spricht und nicht nur für bessere Passwörter
Der erste Reflex ist oft, mit stärkeren Passwörtern zu reagieren. Das ist zwar nützlich, geht aber am Thema vorbei. Der echte Schutz ist architektonischer Natur: Halten Sie das Gästenetzwerk von allem anderen getrennt, und halten Sie nicht verwaltete Endverbraucher-Geräte gänzlich davon fern.
Netzwerksegmentierung bedeutet, dass der Datenverkehr von Gästen von Ihren Point-of-Sale-Systemen, Back-Office-Tools und betrieblichen Geräten isoliert ist. Wenn auf der Gästeseite etwas kompromittiert wird - zum Beispiel der infizierte Laptop eines Besuchers oder ein nicht autorisiertes Gerät, das jemand angeschlossen hat -, bleibt der Schaden eingegrenzt. Er kann nicht auf die Systeme übergreifen, die Ihr Unternehmen betreiben. Das ist das Prinzip hinter sicherem, verwaltetem Gast-WiFi : ein kontrolliertes, überwachtes Netzwerk mit klaren Grenzen anstelle eines Flickenteppichs von Consumer-Boxen, für die sich niemand verantwortlich fühlt.
Wie eine optimale Lösung für einen Standort aussieht
Eine ordnungsgemäß verwaltete Gast-WiFi -Einrichtung schließt die Lücken, die diese beiden Geschichten aufzeigen. Der Gast-Datenverkehr ist von den betrieblichen Systemen segmentiert, sodass eine Sicherheitsverletzung auf der einen Seite nicht auf die andere übertragen werden kann. Die Abdeckung wird mit verwalteten Access Points der Business-Klasse gelöst und nicht mit Consumer-Extendern, die nie aktualisiert werden. Das Netzwerk wird zentral überwacht, sodass unerwartete oder nicht autorisierte Funkverbindungen sichtbar statt unsichtbar sind. Und Firmware- und Sicherheitsupdates werden als Teil des Dienstes abgewickelt und nicht dem Zufall überlassen.
Für eine Einzelhandelsfläche oder ein Hotel ist das der Unterschied zwischen einem Gastnetzwerk, für das Sie bürgen können, und einem, das unbemerkt Risiken anhäuft.
Das Fazit
Die Warnung von CISA und die automatische Aktivierung von Amazon sind die Erinnerungen dieser Woche, aber das Prinzip gilt dauerhaft: Ein Gastnetzwerk ist nur so vertrauenswürdig wie die Geräte und die Grenzen dahinter. Consumer-Extender und Schatten-Funknetzwerke haben dort absolut nichts zu suchen. Erfahren Sie, wie Purple sicheres, segmentiertes Gast-WiFi bereitstellt , oder buchen Sie eine Demo .
