La tentazione di risolvere una zona d'ombra WiFi con un ripetitore di portata da 30 $ acquistato nel reparto di elettronica più vicino, o di ipotizzare che lo smart speaker nel retroufficio sia innocuo, è forte. Due storie di questa settimana ci ricordano chiaramente che i dispositivi di livello consumer e le radio non controllate non hanno posto in una rete su cui fanno affidamento i tuoi ospiti.
La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha appena aggiunto una vulnerabilità dei ripetitori di portata WiFi al suo catalogo Known Exploited Vulnerabilities, e Amazon ha iniziato ad attivare automaticamente la sua rete Sidewalk sui dispositivi consumer. Storie diverse, stessa lezione: ciò che non controlli, non puoi metterlo in sicurezza.
Una vulnerabilità del ripetitore di portata, attivamente sfruttata
Questa settimana CISA ha segnalato una vulnerabilità nel ripetitore di portata TP-Link TL-WA855RE (CVE-2020-24363) come sotto attacco attivo , ordinando alle agenzie federali di porvi rimedio entro il 23 settembre. La falla consente a un utente malintenzionato già presente sulla rete di ripristinare il dispositivo e assumerne il controllo. Una volta dirottato, il dispositivo diventa un punto d'appoggio - un luogo da cui intercettare il traffico o spostarsi verso altri sistemi.
Il dettaglio che conta per i locali non è il modello specifico. È il modello di comportamento. I ripetitori consumer sono costruiti per la casa, non per un'azienda. Vengono patchati raramente, spesso dimenticati e quasi mai segmentati rispetto al traffico importante. Collegandone uno alla tua rete ospiti per colmare una lacuna di copertura, avrai aggiunto silenziosamente un dispositivo non gestito e non monitorato al percorso dei dati dei tuoi visitatori.
Amazon Sidewalk e l'ascesa delle radio "ombra"
La seconda storia è più sottile. Dall'8 giugno, Amazon ha iniziato ad attivare automaticamente Sidewalk - una funzionalità che condivide una porzione di larghezza di banda con i dispositivi vicini su una rete mesh di quartiere - su hardware Echo e Ring. Questa tecnologia ha usi legittimi, ma il punto cruciale per qualsiasi locale è questo: le radio che non hai configurato deliberatamente possono accendersi da sole e iniziare a trasmettere all'interno e intorno al tuo edificio.
Questo è il problema più ampio della connettività "ombra" - dispositivi che trasmettono all'interno o nei pressi dei tuoi locali che non fanno parte della tua rete gestita e non sono visibili a chi la gestisce. Uno smart speaker, il router da viaggio di un dipendente, un ripetitore dimenticato: ognuno di essi è una radio che non controlli, e ognuno amplia la superficie che un utente malintenzionato può sondare.
Perché questo è un argomento a favore della segmentazione, e non solo di password migliori
L'istinto è quello di rispondere con password più robuste. Utile, ma non centra il punto. La vera protezione è architetturale: mantenere la rete ospiti separata da tutto il resto ed escludere completamente i dispositivi consumer non gestiti.
La segmentazione della rete consente di isolare il traffico degli ospiti dai sistemi POS, dagli strumenti di back-office e dai dispositivi operativi. Se qualcosa sul lato ospite viene compromesso - che si tratti del laptop infetto di un visitatore o di un dispositivo non autorizzato collegato da qualcuno - il danno viene circoscritto. Non può raggiungere i sistemi che gestiscono la tua attività. Questo è il principio alla base di un WiFi per ospiti sicuro e gestito : un'unica rete controllata e monitorata con confini chiari, invece di un mosaico di router domestici di cui nessuno è responsabile.
Come si presenta una configurazione ottimale per una sede
Una configurazione di guest WiFi gestita correttamente colma le lacune evidenziate in questi due scenari. Il traffico degli ospiti è segmentato dai sistemi operativi in modo che un problema di sicurezza da un lato non possa trasferirsi all'altro. La copertura viene garantita da access point gestiti di livello aziendale anziché da extender consumer che non vengono mai aggiornati. La rete è monitorata centralmente, in modo che le frequenze radio impreviste o non autorizzate siano visibili anziché invisibili. Inoltre, gli aggiornamenti del firmware e della sicurezza vengono gestiti come parte del servizio, senza lasciare nulla al caso.
Per uno spazio retail o un hotel , questa è la differenza tra una rete ospiti affidabile e una che sta silenziosamente accumulando rischi.
In conclusione
L'avviso di CISA e il rollout dell'attivazione automatica di Amazon sono i promemoria di questa settimana, ma il principio resta permanente: una rete ospiti è affidabile solo quanto lo sono l'hardware e i confini che la supportano. Gli extender consumer e le frequenze radio ombra non dovrebbero trovarsi nelle sue vicinanze. Scopri in che modo Purple offre un guest WiFi sicuro e segmentato , oppure prenota una demo .
