É tentador tentar resolver uma área sem sinal de WiFi com um extensor de alcance de R$ 150 do corredor de eletrônicos mais próximo, ou presumir que a caixa de som inteligente no escritório administrativo é inofensiva. Duas histórias desta semana são um forte lembrete de que equipamentos de nível de consumo e rádios não controlados não têm lugar em uma rede da qual seus visitantes dependem.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) acaba de adicionar uma falha em extensor de alcance WiFi ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, e a Amazon começou a ativar automaticamente sua rede Sidewalk em dispositivos de consumo. Histórias diferentes, mesma lição: o que você não controla, você não pode proteger.
Uma falha em extensor de alcance, ativamente explorada
A CISA esta semana sinalizou uma vulnerabilidade no extensor de alcance TL-WA855RE da TP-Link (CVE-2020-24363) sob ataque ativo , ordenando que as agências federais corrijam o problema até 23 de setembro. A falha permite que um invasor que já esteja na rede reinicie o dispositivo e assuma o controle dele. Uma vez que o dispositivo é sequestrado, ele se torna um ponto de apoio - um local para interceptar tráfego ou migrar para outros sistemas.
O detalhe que importa para os estabelecimentos não é o modelo específico. É o padrão. Extensores de consumo são construídos para uma residência, não para uma empresa. Eles raramente recebem patches de atualização, são frequentemente esquecidos e quase nunca segmentados do tráfego que importa. Conecte um deles à sua rede de visitantes para corrigir uma falha de cobertura e você terá adicionado silenciosamente um dispositivo não gerenciado e não monitorado ao caminho que os dados dos seus visitantes percorrem.
Amazon Sidewalk e o surgimento de rádios "invisíveis"
A segunda história é mais sutil. A partir de 8 de junho, a Amazon começou a ativar automaticamente o Sidewalk - um recurso que compartilha uma fatia de largura de banda com dispositivos próximos através de uma rede mesh de vizinhança - em hardwares Echo e Ring. A tecnologia tem usos legítimos, mas o ponto principal para qualquer estabelecimento é este: rádios que você não configurou deliberadamente podem se ativar sozinhos e começar a transmitir dentro e ao redor do seu edifício.
Esse é o problema mais amplo da conectividade "invisível" - dispositivos transmitindo em seu estabelecimento ou perto dele que não fazem parte de sua rede gerenciada e não são visíveis para quem a administra. Uma caixa de som inteligente, o roteador de viagem de um funcionário, um extensor esquecido: cada um é um rádio que você não controla, e cada um amplia a superfície que um invasor pode sondar.
Por que isso é um argumento para segmentação, e não apenas para senhas melhores
O instinto é responder com senhas mais fortes. Útil, mas não atinge o ponto principal. A verdadeira proteção é arquitetônica: mantenha a rede de visitantes separada de tudo o mais e mantenha equipamentos de consumo não gerenciados totalmente fora dela.
A segmentação de rede significa que o tráfego de convidados é isolado de seus sistemas de ponto de venda, ferramentas de back-office e dispositivos operacionais. Se algo no lado do convidado for comprometido - o notebook infectado de um visitante ou um dispositivo não autorizado que alguém conectou - o dano será contido. Ele não poderá alcançar os sistemas que administram seus negócios. Este é o princípio por trás do WiFi de convidados gerenciado e seguro : uma rede controlada e monitorada com limites claros, em vez de uma colcha de retalhos de dispositivos de consumo que ninguém gerencia.
Como é o cenário ideal para um estabelecimento
Uma configuração de guest WiFi gerenciada adequadamente fecha as lacunas que essas duas histórias expõem. O tráfego de convidados é segmentado dos sistemas operacionais para que uma violação de um lado não possa passar para o outro. A cobertura é resolvida com pontos de acesso de classe empresarial gerenciados, em vez de repetidores de consumo que nunca recebem patches. A rede é monitorada centralmente, de modo que rádios inesperados ou não autorizados fiquem visíveis em vez de invisíveis. E as atualizações de firmware e segurança são tratadas como parte do serviço, não deixadas ao acaso.
Para um ponto de venda no varejo ou um hotel , essa é a diferença entre uma rede de convidados em que você pode confiar e uma que está acumulando riscos silenciosamente.
Conclusão
O alerta da CISA e a implantação de ativação automática da Amazon são os lembretes desta semana, mas o princípio é permanente: uma rede de convidados é tão confiável quanto os equipamentos e os limites por trás dela. Repetidores de consumo e rádios paralelos não devem chegar perto dela. Veja como a Purple oferece WiFi de convidados seguro e segmentado , ou agende uma demonstração .
