जवळच्या इलेक्ट्रॉनिक्सच्या दुकानातून $30 चा रेंज एक्स्टेंडर आणून WiFi डेड स्पॉटची समस्या सोडवणे, किंवा बॅक ऑफिसमधील स्मार्ट स्पीकर निरुपद्रवी आहे असे गृहीत धरणे नक्कीच सोपे वाटते. या आठवड्यातील दोन घटना आपल्याला याची तीव्र आठवण करून देतात की ग्राहक-श्रेणीचे (consumer-grade) गियर आणि अनियंत्रित रेडिओ उपकरणांना अशा नेटवर्कवर स्थान नाही ज्यावर तुमचे अतिथी अवलंबून आहेत.
अमेरिकेच्या सायबर सुरक्षा आणि इन्फ्रास्ट्रक्चर सुरक्षा एजन्सीने (CISA) नुकतीच त्यांच्या 'Known Exploited Vulnerabilities' कॅटलॉगमध्ये एका WiFi रेंज एक्स्टेंडरच्या त्रुटीचा समावेश केला आहे, आणि Amazon ने ग्राहक उपकरणांवर त्याचे Sidewalk नेटवर्क आपोआप सुरू करण्यास सुरुवात केली आहे. वेगवेगळ्या कथा, पण धडा एकच: ज्या गोष्टींवर तुमचे नियंत्रण नाही, त्या तुम्ही सुरक्षित करू शकत नाही.
एक रेंज एक्स्टेंडर त्रुटी, ज्याचा सक्रियपणे गैरफायदा घेतला जात आहे
CISA ने या आठवड्यात TP-Link च्या TL-WA855RE रेंज एक्स्टेंडरमधील एका त्रुटीवर (CVE-2020-24363) सक्रिय हल्ला होत असल्याचे चिन्हांकित केले आहे , आणि फेडरल एजन्सींना 23 सप्टेंबरपर्यंत याचे निवारण करण्याचे आदेश दिले आहेत. ही त्रुटी आधीच नेटवर्कवर असलेल्या हल्लेखोराला डिव्हाइस रीसेट करण्याची आणि त्यावर नियंत्रण मिळवण्याची परवानगी देते. एकदा एखादे डिव्हाइस हायजॅक झाले की, ते नेटवर्कमध्ये शिरण्याचे माध्यम बनते - जिथून डेटा ट्रॅफिक चोरणे किंवा इतर सिस्टीम्समध्ये प्रवेश करणे सोपे होते.
व्यावसायिक ठिकाणांसाठी महत्त्वाची गोष्ट म्हणजे तो विशिष्ट मॉडेल नाही, तर ती पद्धत आहे. ग्राहक-श्रेणीचे एक्स्टेंडर हे घरासाठी बनवलेले असतात, व्यवसायासाठी नाही. त्यांना क्वचितच पॅच केले जाते, अनेकदा ते दुर्लक्षित राहतात आणि महत्त्वाच्या ट्रॅफिकपासून त्यांना कधीही वेगळे (segmented) केले जात नाही. कव्हरेजची कमतरता भरून काढण्यासाठी तुमच्या अतिथी नेटवर्कमध्ये असे एखादे एक्स्टेंडर प्लग करणे म्हणजे, तुमच्या अभ्यागतांचा डेटा ज्या मार्गाने जातो त्या मार्गावर तुम्ही शांतपणे एक अनमॅनेज्ड आणि अनमॉनिटर्ड डिव्हाइस जोडले आहे.
Amazon Sidewalk आणि "shadow" रेडिओचा उदय
दुसरी गोष्ट अधिक सूक्ष्म आहे. 8 जूनपासून, Amazon ने Echo आणि Ring हार्डवेअरवर Sidewalk - शेजारील मेशद्वारे जवळील उपकरणांसह बँडविड्थचा काही भाग सामायिक करणारे वैशिष्ट्य - स्वयंचलितपणे सक्षम करण्यास सुरुवात केली आहे. या तंत्रज्ञानाचे वैध उपयोग आहेत, परंतु कोणत्याही वास्तूसाठी महत्त्वाची बाब ही आहे: तुम्ही मुद्दाम कॉन्फिगर न केलेले रेडिओ स्वतःहून सुरू होऊ शकतात आणि तुमच्या इमारतीमध्ये आणि आजूबाजूला ब्रॉडकास्टिंग सुरू करू शकतात.
ही "shadow" कनेक्टिव्हिटीची मोठी समस्या आहे - तुमच्या आवारात किंवा त्याजवळ ब्रॉडकास्ट करणारी अशी उपकरणे जी तुमच्या मॅनेज्ड नेटवर्कचा भाग नाहीत आणि जे हे नेटवर्क चालवतात त्यांना ती दिसतही नाहीत. एखादा स्मार्ट स्पीकर, कर्मचाऱ्याचा ट्रॅव्हल राउटर, विसरून गेलेले एक्स्टेंडर: यातील प्रत्येक असा रेडिओ आहे ज्यावर तुमचे नियंत्रण नाही, आणि यामुळे हल्लेखोर ज्या भागावर हल्ला करू शकतो ती जागा अधिक वाढते.
फक्त चांगल्या पासवर्डऐवजी हे सेगमेंटेशनच्या बाजूने असलेले कारण का आहे
यावर त्वरित प्रतिक्रिया म्हणून अधिक मजबूत पासवर्ड ठेवण्याची इच्छा होते. हे उपयुक्त आहे, पण यामुळे मुख्य मुद्दा सुटत नाही. खरी सुरक्षितता ही संरचनेत (architectural) आहे: अतिथी नेटवर्कला इतर सर्व गोष्टींपासून वेगळे ठेवा आणि अनमॅनेज्ड ग्राहक-श्रेणीचे गियर त्यापासून पूर्णपणे दूर ठेवा.
नेटवर्क विभाजन (segmentation) म्हणजे तुमच्या पाहुण्यांची (guest) ट्रॅफिक तुमच्या पॉईंट-ऑफ-सेल सिस्टीम्स, बॅक-ऑफिस टूल्स आणि ऑपरेशनल डिव्हाइसेसपासून वेगळी केली जाते. पाहुण्यांच्या बाजूने काही तडजोड झाली - उदा. एखाद्या अभ्यागताचा संसर्ग झालेला लॅपटॉप किंवा एखाद्याने प्लग इन केलेले अनधिकृत डिव्हाइस - तर नुकसान मर्यादित राहते. ते तुमच्या व्यवसाय चालवणाऱ्या सिस्टीमपर्यंत पोहोचू शकत नाही. सुरक्षित, व्यवस्थापित guest WiFi च्या मागे हेच तत्व आहे: स्पष्ट सीमा असलेले एक नियंत्रित, मॉनिटर केलेले नेटवर्क, कोणाच्याही मालकीचे नसलेल्या ग्राहक बॉक्सेसच्या पॅचवर्कऐवजी.
एखाद्या वेन्यूसाठी काय चांगले आहे?
योग्यरित्या व्यवस्थापित केलेले guest WiFi सेटअप या दोन कथा उघड करत असलेल्या त्रुटी दूर करते. Guest ट्रॅफिक ऑपरेशनल सिस्टीमपासून विभाजित केले जाते जेणेकरून एका बाजूला झालेली तडजोड दुसऱ्या बाजूला जाऊ शकत नाही. कव्हरेज कधीही पॅच न मिळणाऱ्या ग्राहक एक्स्टेंडर्सऐवजी व्यवस्थापित, व्यावसायिक दर्जाच्या ॲक्सेस पॉइंट्ससह सोडवले जाते. नेटवर्कचे मध्यवर्ती निरीक्षण केले जाते, ज्यामुळे अनपेक्षित किंवा अनधिकृत रेडिओ अदृश्य राहण्याऐवजी दृश्यमान होतात. आणि फर्मवेअर आणि सुरक्षा अद्यतने सेवेचा भाग म्हणून हाताळली जातात, ती नशिबावर सोडली जात नाहीत.
एखाद्या रिटेल फ्लोअरसाठी किंवा हॉटेलसाठी , हा अशा एका guest नेटवर्कमधील फरक आहे ज्याच्या पाठीशी तुम्ही उभे राहू शकता आणि दुसरे जे शांतपणे जोखीम वाढवत आहे.
महत्वाचा निष्कर्ष
CISA चा इशारा आणि Amazon चा ऑटो-इनेबल रोलआउट हे या आठवड्याचे स्मरणपत्र आहेत, परंतु तत्व कायमस्वरूपी आहे: एक guest नेटवर्क केवळ त्यामागील गियर आणि सीमांइतकेच विश्वासार्ह असते. ग्राहक एक्स्टेंडर्स आणि शॅडो रेडिओ याच्या जवळपासही असू नयेत. Purple कशा प्रकारे सुरक्षित, विभाजित guest WiFi प्रदान करते ते पहा , किंवा डेमो बुक करा .
