為了解決 WiFi 訊號死角,人們很容易會想去最近的電子賣場買一個 30 美元的訊號延伸器,或認為後辦公室的智慧喇叭無傷大雅。本週的兩則故事給我們敲響了警鐘:消費級設備和不受控制的無線電裝置絕不應該出現在您賓客所依賴的網路中。
美國網路安全暨基礎設施安全局 (CISA) 剛剛將一款 WiFi 訊號延伸器的漏洞新增至其已知的已遭利用漏洞目錄中,而 Amazon 也開始在消費級設備上自動啟用其 Sidewalk 網路。不同的故事,相同的教訓:您無法控制的東西,就無法確保其安全。
一個正在被積極利用的訊號延伸器漏洞
CISA 本週 將 TP-Link TL-WA855RE 訊號延伸器中的一個漏洞 (CVE-2020-24363) 標記為正遭受積極攻擊 ,並要求聯邦機構在 9 月 23 日前進行修復。該漏洞允許已在網路中的攻擊者重設裝置並奪取其控制權。裝置一旦被劫持,就會成為一個立足點 - 一個用來攔截流量或轉移到其他系統的起點。
對場所而言,重要的細節不是特定的型號,而是其模式。消費級延伸器是為家庭而非企業設計的。它們很少進行修補,經常被遺忘,且幾乎從不與重要流量進行隔離。將其中一個插到您的賓客網路中以解決覆蓋範圍缺口,您就等於在訪客數據傳輸的路径上默默地增加了一個未託管、未監控的裝置。
Amazon Sidewalk 與「影子」無線電的興起
第二個故事則較為隱蔽。自 6 月 8 日起,Amazon 開始在 Echo 和 Ring 硬體上自動啟用 Sidewalk - 這是一項透過鄰近網狀網路與附近裝置共享部分頻寬的功能。這項技術有其合法用途,但對任何場所來說,重點在於:您沒有刻意配置的無線電裝置可以自行啟動,並開始在您的建築物內外進行廣播。
這就是更廣泛的「影子」連線問題 - 在您的場所內或附近廣播,但不屬於您的託管網路,且對網路管理者不可見的裝置。一個智慧喇叭、員工的隨身路由器、一個被遺忘的延伸器:每一個都是您無法控制的無線電裝置,而且每一個都會擴大攻擊者可以探測的受攻擊面。
為什麼這支持了網路隔離,而不僅僅是更強密碼的論點
直覺反應是用更強的密碼來應對。這很有用,但沒有抓到重點。真正的防禦是架構上的:將賓客網路與其他所有事物隔離開來,並完全阻止未託管的消費級設備進入其中。
網路分段意味著將訪客流量與您的銷售點(POS)系統、後勤辦公工具以及營運設備隔離開來。如果訪客端發生安全漏洞 - 例如訪客受感染的筆記型電腦,或是有人接入的惡意裝置 - 損害也會被控制在一定範圍內。它無法存取運作您業務的系統。這就是 安全、受管制的訪客 WiFi 背後的原則:一個邊界清晰、受控且受監控的網路,而不是無人管理的消費級設備拼湊而成的網路。
場所管理的理想狀態
一個妥善管理的 訪客 WiFi 設定可以彌補這兩個案例所暴露的漏洞。訪客流量與營運系統進行了分段隔離,因此一側的安全漏洞不會蔓延到另一側。網路覆蓋問題是透過受管理的商業級無線存取點(AP)來解決,而不是使用永遠無法獲得補丁更新的消費級訊號延伸器。網路是集中監控的,因此非預期或惡意的無線裝置是清晰可見的,而不是隱形的。此外,韌體和安全更新將作為服務的一部分進行處理,而不是聽天由命。
對於 零售賣場 或 飯店 而言,這就是您可以放心支援的訪客網路與暗藏安全風險的訪客網路之間的差別。
總結結論
CISA 的警報和 Amazon 自動啟用的功能部署是本週的提醒,但其背後的原則是長期的:訪客網路的可靠性取決於其背後的設備與安全邊界。消費級訊號延伸器和影子無線裝置絕不應該出現在其附近。 瞭解 Purple 如何提供安全、分段的訪客 WiFi ,或 預約示範 。
