É tentador resolver uma zona sem cobertura WiFi com um extensor de alcance de 30 € da secção de eletrónica mais próxima, ou assumir que a coluna inteligente nas traseiras do escritório é inofensiva. Duas histórias desta semana são um lembrete categórico de que equipamentos de consumo e rádios não controlados não têm lugar numa rede da qual os seus convidados dependem.
A CISA (US Cybersecurity and Infrastructure Security Agency) acabou de adicionar uma falha num extensor de alcance WiFi ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, e a Amazon começou a ligar automaticamente a sua rede Sidewalk em todos os dispositivos de consumo. Histórias diferentes, a mesma lição: o que não controla, não pode proteger.
Uma falha num extensor de alcance, ativamente explorada
A CISA esta semana sinalizou uma vulnerabilidade no extensor de alcance TL-WA855RE da TP-Link (CVE-2020-24363) como estando sob ataque ativo , ordenando às agências federais que resolvessem o problema até 23 de setembro. A falha permite que um atacante que já se encontre na rede reinicie o dispositivo e assuma o controlo do mesmo. Uma vez pirateado, o dispositivo torna-se um ponto de apoio - um local para intercetar tráfego ou fazer a transição para outros sistemas.
O detalhe que importa para os estabelecimentos não é o modelo específico. É o padrão. Os extensores de consumo são concebidos para uma casa, não para uma empresa. Raramente recebem correções, são frequentemente esquecidos e quase nunca são segmentados do tráfego que realmente importa. Ligar um à sua rede de convidados para corrigir uma falha de cobertura significa que adicionou discretamente um dispositivo não gerido e não monitorizado ao caminho por onde passam os dados dos seus visitantes.
Amazon Sidewalk e o surgimento de rádios "fantasma"
A segunda história é mais subtil. A partir de 8 de junho, a Amazon começou a ativar automaticamente o Sidewalk - uma funcionalidade que partilha uma fatia de largura de banda com dispositivos próximos através de uma rede em malha de vizinhança - em hardware Echo e Ring. A tecnologia tem utilizações legítimas, mas o título principal para qualquer instalação é este: rádios que não configurou deliberadamente podem ligar-se sozinhos e começar a transmitir dentro e em redor do seu edifício.
Esse é o problema mais amplo da conectividade "fantasma" - dispositivos que transmitem nas suas instalações ou perto delas, que não fazem parte da sua rede gerida e não são visíveis para quem a administra. Uma coluna inteligente, o router de viagem de um funcionário, um extensor esquecido: cada um é um rádio que não controla e cada um alarga a superfície que um atacante pode testar.
Por que razão isto é um argumento para a segmentação, e não apenas para melhores palavras-passe
O instinto é responder com palavras-passe mais fortes. Útil, mas não foca o essencial. A verdadeira proteção é estrutural: manter a rede de convidados separada de tudo o resto e manter os equipamentos de consumo não geridos totalmente fora dela.
A segmentação de rede significa que o tráfego de convidados é isolado dos seus sistemas de ponto de venda, ferramentas de back-office e dispositivos operacionais. Se algo no lado do convidado for comprometido - o portátil infetado de um visitante ou um dispositivo não autorizado que alguém ligou - o dano é contido. Não consegue aceder aos sistemas que gerem o seu negócio. Este é o princípio por trás de um WiFi de convidados seguro e gerido : uma rede controlada e monitorizada com limites claros, em vez de uma manta de retalhos de caixas de consumo que ninguém possui.
Como deve ser um bom cenário para um espaço
Uma configuração de guest WiFi devidamente gerida fecha as lacunas que estas duas histórias expõem. O tráfego de convidados é segmentado dos sistemas operacionais para que um comprometimento de um lado não possa passar para o outro. A cobertura é resolvida com pontos de acesso geridos de nível empresarial, em vez de extensores de consumo que nunca recebem atualizações. A rede é monitorizada centralmente, de modo a que os rádios inesperados ou não autorizados sejam visíveis em vez de invisíveis. E as atualizações de firmware e segurança são tratadas como parte do serviço, não deixadas ao acaso.
Para um espaço de retalho ou um hotel , esta é a diferença entre uma rede de convidados que pode defender e uma que está silenciosamente a acumular riscos.
A conclusão
O alerta da CISA e a implementação de ativação automática da Amazon são os lembretes desta semana, mas o princípio é permanente: uma rede de convidados é apenas tão fiável quanto os equipamentos e os limites por trás dela. Os extensores de consumo e os rádios shadow não têm lugar perto dela. Veja como a Purple disponibiliza WiFi de convidados seguro e segmentado , ou reserve uma demonstração .
