पास के इलेक्ट्रॉनिक्स स्टोर से $30 का रेंज एक्सटेंडर खरीदकर WiFi डेड स्पॉट को ठीक करना, या यह मान लेना कि बैक ऑफिस में रखा स्मार्ट स्पीकर हानिरहित है, काफी आसान लगता है। इस सप्ताह की दो घटनाएं इस बात की याद दिलाती हैं कि कंज्यूमर-ग्रेड गियर और अनियंत्रित रेडियो का उस नेटवर्क पर कोई स्थान नहीं है जिस पर आपके मेहमान भरोसा करते हैं।
यूएस साइबरसिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने हाल ही में अपने Known Exploited Vulnerabilities कैटलॉग में एक WiFi रेंज एक्सटेंडर की खामी को जोड़ा है, और Amazon ने कंज्यूमर डिवाइसेज पर अपने Sidewalk नेटवर्क को ऑटोमैटिक रूप से चालू करना शुरू कर दिया है। अलग कहानियां, एक ही सबक: जिसे आप कंट्रोल नहीं करते, उसे आप सुरक्षित नहीं कर सकते।
रेंज एक्सटेंडर की खामी, जिसका सक्रिय रूप से फायदा उठाया जा रहा है
CISA ने इस सप्ताह TP-Link के TL-WA855RE रेंज एक्सटेंडर (CVE-2020-24363) में एक भेद्यता (vulnerability) को सक्रिय हमले के तहत चिह्नित किया है , और संघीय एजेंसियों को 23 सितंबर तक इसे ठीक करने का आदेश दिया है। यह खामी नेटवर्क पर पहले से मौजूद हमलावर को डिवाइस को रीसेट करने और उस पर नियंत्रण हासिल करने की अनुमति देती है। एक बार डिवाइस हाईजैक हो जाने के बाद, यह एक पैर जमाने का जरिया (foothold) बन जाता है - ट्रैफिक को इंटरसेप्ट करने या अन्य सिस्टम तक पहुंचने का स्थान।
वेन्यू के लिए जो बात मायने रखती है वह कोई विशिष्ट मॉडल नहीं है। यह इसका पैटर्न है। कंज्यूमर एक्सटेंडर घर के लिए बनाए जाते हैं, व्यवसाय के लिए नहीं। उन्हें शायद ही कभी पैच किया जाता है, अक्सर लोग उन्हें भूल जाते हैं, और महत्वपूर्ण ट्रैफिक से उन्हें लगभग कभी भी अलग (segment) नहीं किया जाता है। कवरेज गैप को ठीक करने के लिए अपने गेस्ट नेटवर्क में एक एक्सटेंडर प्लग करें और आपने चुपचाप अपने विजिटर्स के डेटा ट्रैवल के रास्ते में एक अनमैनेज्ड, अनमॉनीटर्ड डिवाइस जोड़ दिया है।
Amazon Sidewalk और "शैडो" रेडियो का उदय
दूसरी कहानी अधिक सूक्ष्म है। 8 जून से, Amazon ने Echo और Ring हार्डवेयर पर Sidewalk को ऑटो-इनेबल करना शुरू कर दिया - यह एक ऐसा फीचर है जो पड़ोस के मेश नेटवर्क पर आस-पास के डिवाइसेज के साथ बैंडविड्थ का एक हिस्सा साझा करता है। इस तकनीक के वैध उपयोग हैं, लेकिन किसी भी परिसर के लिए मुख्य बात यह है: जिन रेडियो को आपने जानबूझकर कॉन्फ़िगर नहीं किया है, वे खुद चालू हो सकते हैं और आपकी बिल्डिंग के अंदर और आसपास ब्रॉडकास्ट करना शुरू कर सकते हैं।
यह "शैडो" कनेक्टिविटी की व्यापक समस्या है - आपके परिसर में या उसके पास ब्रॉडकास्ट करने वाले ऐसे डिवाइसेज जो आपके मैनेज्ड नेटवर्क का हिस्सा नहीं हैं और इसे चलाने वाले को दिखाई नहीं देते हैं। एक स्मार्ट स्पीकर, स्टाफ सदस्य का ट्रैवल राउटर, एक भूला हुआ एक्सटेंडर: इनमें से प्रत्येक एक ऐसा रेडियो है जिसे आप कंट्रोल नहीं करते हैं, और प्रत्येक हमलावर के लिए हमले के दायरे को बढ़ाता है।
यह केवल बेहतर पासवर्ड के लिए नहीं, बल्कि सेगमेंटेशन के पक्ष में एक तर्क क्यों है
स्वाभाविक प्रतिक्रिया मजबूत पासवर्ड का उपयोग करने की होती है। यह उपयोगी है, लेकिन यह मुख्य बात को छोड़ देता है। वास्तविक सुरक्षा आर्किटेक्चरल है: गेस्ट नेटवर्क को बाकी सब चीजों से अलग रखें, और अनमैनेज्ड कंज्यूमर गियर को इससे पूरी तरह दूर रखें।
नेटवर्क सेगमेंटेशन का मतलब है कि गेस्ट ट्रैफिक आपके पॉइंट-ऑफ-सेल सिस्टम, बैक-ऑफिस टूल्स और ऑपरेशनल डिवाइसेज से अलग (isolated) रहता है। यदि गेस्ट साइड पर कोई चीज़ प्रभावित होती है - जैसे किसी विजिटर का संक्रमित लैपटॉप, या किसी के द्वारा प्लग किया गया कोई अनधिकृत डिवाइस - तो नुकसान सीमित रहता है। यह आपके व्यवसाय को चलाने वाले सिस्टम तक नहीं पहुंच सकता। यही सुरक्षित, मैनेज्ड गेस्ट WiFi के पीछे का सिद्धांत है: स्पष्ट सीमाओं वाला एक नियंत्रित, मॉनीटर्ड नेटवर्क, न कि कंज्यूमर डिवाइसेज का ऐसा पैचवर्क जिसका कोई मालिक न हो।
एक वेन्यू के लिए सबसे बेहतर व्यवस्था क्या है
एक उचित रूप से मैनेज्ड गेस्ट WiFi सेटअप उन कमियों को दूर करता है जो ये दो कहानियां उजागर करती हैं। गेस्ट ट्रैफिक को ऑपरेशनल सिस्टम से अलग किया जाता है ताकि एक तरफ की सुरक्षा में सेंध दूसरी तरफ न जा सके। कवरेज को बिना पैच वाले कंज्यूमर एक्सटेंडर्स के बजाय मैनेज्ड, बिजनेस-ग्रेड एक्सेस पॉइंट्स से हल किया जाता है। नेटवर्क की केंद्रीय रूप से निगरानी की जाती है, जिससे अप्रत्याशित या अनधिकृत रेडियो अदृश्य रहने के बजाय दिखाई देते हैं। और फर्मवेयर और सुरक्षा अपडेट को सर्विस के हिस्से के रूप में संभाला जाता है, न कि भाग्य के भरोसे छोड़ा जाता है।
एक रिटेल फ्लोर या होटल के लिए, यही अंतर है एक ऐसे गेस्ट नेटवर्क में जिस पर आप भरोसा कर सकते हैं और एक ऐसा नेटवर्क जो चुपचाप जोखिम बढ़ा रहा है।
निष्कर्ष
CISA का अलर्ट और Amazon का ऑटो-इनेबल रोलआउट इस सप्ताह के रिमाइंडर हैं, लेकिन सिद्धांत स्थायी है: एक गेस्ट नेटवर्क केवल उतना ही भरोसेमंद होता है जितना कि उसके पीछे का गियर और उसकी सीमाएं। कंज्यूमर एक्सटेंडर और शैडो रेडियो इसके आस-पास भी नहीं होने चाहिए। देखें कि कैसे Purple सुरक्षित, सेगमेंटेड गेस्ट WiFi प्रदान करता है , या डेमो बुक करें ।
