为了解决 WiFi 盲区,我们很容易会从最近的电器商店购买一个价值30美元的范围扩展器,或者认为后台办公室里的智能扬声器是无害的。本周的两个案例给我们敲响了警钟:在您访客所依赖的网络上,消费级设备和未受控制的无线电装置没有任何容身之地。
美国网络安全和基础设施安全局 (CISA) 刚刚将一个 WiFi 范围扩展器漏洞加入了其已知被利用漏洞目录,而亚马逊也开始在其消费级设备上自动启用其 Sidewalk 网络。虽然是不同的故事,但教训是相同的:您无法控制的东西,您就无法保障其安全。
一个正在被积极利用的范围扩展器漏洞
CISA本周 将 TP-Link TL-WA855RE 范围扩展器中的一个漏洞 (CVE-2020-24363) 标记为正受到积极攻击 ,并要求联邦机构在9月23日之前进行修复。该漏洞允许已经在网络上的攻击者重置设备并夺取其控制权。一旦设备被劫持,它就会成为一个立足点 - 一个拦截流量或转向其他系统的场所。
对于场所而言,重要的细节不是特定的型号。而是这种模式。消费级扩展器是为家庭而非企业设计的。它们极少有补丁更新,经常被遗忘,并且几乎从未与重要的流量进行隔离。将一个扩展器插入您的访客网络以解决覆盖空缺,您就悄无声息地在您访客数据传输的路径上增加了一个未托管、未受监控的设备。
Amazon Sidewalk 与“影子”无线电的兴起
第二个故事更为微妙。从6月8日起,亚马逊开始在其 Echo 和 Ring 硬件上自动启用 Sidewalk - 该功能通过邻里网状网络与附近设备共享一部分带宽。这项技术有其合理的用途,但对任何场所来说,最重要的新闻是:您没有刻意配置的无线电装置可以自己开启,并在您的建筑物内及周围开始广播。
这就是“影子”连接这一更广泛的问题 - 在您的场所内或附近广播的设备不属于您的托管网络,且对于网络运行人员来说是不可见的。智能扬声器、员工的旅行路由器、被遗忘的扩展器:每一个都是您无法控制的无线电装置,每一个都扩大了攻击者可以探测的表面。
为什么这主张的是网络隔离,而不仅仅是更好的密码
人们本能的反应是使用更强大的密码。这很有用,但没有抓到重点。真正的保护是架构上的:将访客网络与所有其他网络隔离开来,并彻底将未托管的消费级设备排除在外。
网络分段意味着访客流量与您的 POS 系统、后台办公工具和运营设备是隔离的。如果访客端出现安全问题(例如访客的笔记本电脑感染了病毒,或有人接入了恶意设备),损害也会被控制在有限范围内。它无法波及运行您业务的系统。这就是 安全、受管的访客 WiFi 背后的原则:一个边界清晰、受控且受监控的网络,而不是无人管理的消费级设备拼凑而成的网络。
对场所而言,什么是优秀的设计
一个管理得当的 访客 WiFi 架构可以弥补这两个案例所暴露的缺陷。访客流量与运营系统相隔离,因此一侧的漏洞无法扩散到另一侧。覆盖问题通过受管的企业级接入点来解决,而不是使用永远得不到补丁修复的消费级扩展器。网络是集中监控的,因此意外或恶意的无线电设备是可见的,而不是隐形的。此外,固件和安全更新是作为服务的一部分来处理的,而不是听天由命。
对于 零售商场 或 酒店 来说,这就是您可以放心支持的访客网络与悄然累积风险的访客网络之间的区别。
总结
CISA 的警报和 Amazon 的自动启用部署是本周的提醒,但其原则是长期的:访客网络的可靠性仅取决于其背后的设备和边界。消费级扩展器和影子无线电设备绝不能靠近它。 了解 Purple 如何提供安全、隔离的访客 WiFi ,或 预定演示 。
