Implementação de segurança wireless na empresa
Aprenda como proteger adequadamente a rede sem fio da sua empresa, levando em consideração a experiência do usuário, a confiança zero e os erros arquitetônicos frequentemente esquecidos.
A segurança sem fio é mais importante do que nunca à medida que o perímetro tradicional se dissolve e o trabalho remoto por meio de dispositivos conectados por Wi-Fi aumenta. A segurança sem fio deve ser constantemente reavaliada à medida que a arquitetura sem fio muda e novos terminais, como dispositivos da internet das coisas (IoT), se conectam à rede.
Com Arquitetura de segurança sem fio: projetando e mantendo redes sem fio seguras para empresas, a autora e fundadora da Viszen Security, Jennifer Minella, queria educar um público amplo sobre segurança e arquitetura de redes sem fio. “A tecnologia sem fio possui uma linguagem própria que não é necessariamente acessível a outros profissionais de TI”, disse Minella. "Escrevi o livro para qualquer profissional de TI que tenha conhecimentos básicos de rede."
Aqui, Minella discute por que o livro é necessário, quais empresas o considerarão útil, como gerenciar a segurança junto com a UX, como a confiança zero afetou a segurança sem fio e muito mais.
Por que você escreveu Wireless Security Architecture ?
Jennifer Minella: Meu livro cobre mais do que segurança sem fio; É mais como um livro de arquitetura de segurança de rede. Estou na função há quase 20 anos, fazendo diversas implementações e consultorias para diferentes empresas em todos os segmentos da indústria. Ao fazer projetos de arquitetura de rede e segurança, as mesmas questões surgem repetidamente. Eu queria que as pessoas tivessem uma fonte a quem pudessem recorrer.
Um dos meus grandes motivadores tem sido alinhar o SOC [centro de operações de segurança] e o NOC [centro de operações de rede]. É a minha maneira simpática de dizer que precisamos alinhar as redes com a segurança operacional e estrategicamente. Muitos tecnólogos concentram-se nos produtos e na sua configuração. Eles me ligariam para consultá-los durante o processo de tomada de decisão de segurança. Qual é o apetite ao risco e os requisitos de conformidade do escritório do CISO ou do escritório de gerenciamento de risco? Nem sempre se comunica bem, principalmente se a empresa não ocupa os dois cargos.
Também houve muitas atualizações recentes de segurança sem fio. As melhores práticas de hoje estão muitas vezes em oposição direta ao que seguíamos antes. Eu queria dar essa informação às pessoas. Isso acontece de duas maneiras no livro: Existem pequenas folhas de dicas para equipes pequenas que só precisam conhecer as melhores práticas. Arquitetos e profissionais mais interessados em tomar suas próprias decisões informadas podem ler o restante do livro e aprender sobre o processo de pensamento, os padrões, as informações e os dados que foram usados nessas decisões do tipo cábula. Eu queria dar às pessoas algo prático de usar, que não existe em nenhum outro recurso.
Se alguém lesse apenas um capítulo do livro, eu recomendaria que fosse o Apêndice C. Ele possui arquiteturas de exemplo, que é o culminar do conteúdo do livro em uma série de tabelas fáceis de ler.
Empresas de qualquer tamanho podem seguir os conselhos fornecidos no livro?
Minella: Sim, e é por isso que o livro tinha que ser tão grande. Minha experiência se estende a tudo, desde agências federais e empresas privadas até municípios estaduais e escolas individuais. Se você é uma organização com switches gerenciados e seus switches possuem endereços IP e uma interface que pode ser configurada, o livro é para você.
Embora eu não trabalhe muito com pequenas empresas, elas poderiam obter valor do lado do Wi-Fi. O livro se aprofunda na compreensão da relação entre segurança no lado conectado e em relação ao Wi-Fi.
Uma luta constante é manter a segurança sem arruinar a UX. Você tem algum conselho sobre como lidar com isso?
Minella: Quando se trata de tecnologia sem fio, existem alguns modelos UX diferentes a serem seguidos:
- Você se conecta e está aberto.
- Você se conecta e obtém um portal.
- Você insere uma senha para se conectar.
- Você executa autenticação 802.1x completa com credenciais/certificado.
Dito isto, existem alguns mecanismos mais recentes projetados para facilitar e adicionar segurança sem impactar ainda mais o usuário. Um exemplo é o Wi-Fi Enhanced Open, que adiciona criptografia a uma rede aberta, como a rede de hóspedes do Starbucks ou de um hotel. Normalmente, essas redes não são criptografadas porque é necessária uma troca de chaves para haver criptografia. No momento, isso não é compatível com todos os endpoints. A configuração necessária é confusa e inconsistente. Embora não seja perfeito, estamos caminhando para adicionar segurança sem impactar os usuários.
Outra opção é considerar o que vemos do espaço privado do celular. É interessante porque obtemos o mesmo nível de segurança, ou um nível equivalente, que obteríamos com uma rede totalmente segura 802.1x, mas não há nada que o usuário realmente precise fazer. As identidades são vinculadas a um número de série criptografado em um telefone ou a um ID de assinante no SIM e, em seguida, a segurança é adicionada a isso. Fora da caixa, a UX parece usar um telefone celular em uma rede de operadora pública.
Quais problemas de segurança você normalmente vê quando um computador configura uma rede sem fio?
Minella: Há várias coisas que vejo as pessoas fazendo normalmente. O grande problema é que eles não se aprofundam realmente em como estão minando os seus próprios mecanismos de segurança.
Um exemplo são os SSIDs [identificadores de conjunto de serviços]. Durante anos, fomos instruídos a travar os SSIDs. Isso tinha a ver com a sobrecarga do ponto de vista do espaço aéreo de RF [radiofrequência]: há um certo tempo no ar, e tudo o que fala e sinaliza ocupa parte desse tempo no ar. Portanto, se você tiver muitos SSIDs, mesmo que não haja nada neles, eles estarão ocupando uma certa quantidade de tempo de transmissão. Depois de reduzir para três, quatro ou cinco SSIDs, era como: “Ok, agora você precisa começar a agrupá-los em domínios de segurança comuns”. Mas, com a tecnologia mais recente, isso é um problema menor. É uma daquelas coisas contra-intuitivas em que o conselho agora é que precisamos fazer um trabalho melhor de descriptografia de SSIDs com base no perfil de segurança dos terminais que estão se conectando ou nos recursos ou dados que estão disponíveis nessas redes.
Os dispositivos do tipo IoT baseados em senha em uma única rede ou colocar tudo que pode funcionar com 802.1x em um SSID. Mesmo que tenham VLANs [LANs virtuais] separadas, uma vez na rede , a realidade é que o modo de operação padrão ( e o único modo de operação para alguns produtos) é que o SSID completo esteja em uma transmissão . domínio. Existem vulnerabilidades evitáveis entre esses endpoints, mesmo que atribuições de VLAN estáticas ou dinâmicas ocorram em outro lugar onde a vulnerabilidade exista no ar. Portanto, não recolha SSIDs. Em vez disso, aumente o número de SSIDs com base nos requisitos de segurança.
O próximo problema de segurança tem a ver com o fato de nem todos os dispositivos serem capazes de funcionar com 802.1x, que é o padrão ouro para segurança e um cenário padrão de acesso Wi-Fi. Para dispositivos que não funcionam com 802.1x, os fornecedores escolhem o caminho mais fácil e ignoram a autenticação MAC [controle de acesso à mídia] ou MAB. Isso prejudica efetivamente toda a segurança na rede 802.1x porque permite dispositivos que não participam da autenticação. Endereços MAC são identificação, não autenticação. A segurança em torno desse endpoint não está no mesmo nível do restante dos dispositivos na rede. Ele se sente seguro, mas é excepcionalmente inseguro. Muitos testadores de penetração usam isso para invadir uma rede.
O último problema tem a ver com protocolos destinados a serem utilizados em redes domésticas onde não existe infraestrutura como nas empresas, como servidores DNS e Dynamic Host Configuration Protocol [DHCP]. Em vez disso, um conjunto de protocolos, como o Bonjour da Apple e o DNS multicast, permite que as coisas se comuniquem entre si. Esta não é uma definição estrita de Wi-Fi, mas, efetivamente, eles usam infraestrutura de rede. Mas é apenas a parte de conectividade e não outros serviços de rede, como DNS e DHCP.
Basicamente, recebemos chamadas para possibilitar a comunicação entre as estações. Talvez oito ou dez anos atrás, isso estava desativado por padrão. Se eu vinculasse um SSID ao meu laptop e depois ao meu telefone, esses dois dispositivos não conseguiriam se comunicar. Depois, a consumerização tornou-se popular e os fabricantes receberam pedidos de apoio. O comportamento padrão mudou para ser aberto e permitir essa comunicação.
A comunicação irrestrita via SSID expõe as empresas a problemas como a propagação de malware, porque nada impede a comunicação de qualquer coisa. Dispositivos diferentes podem ter proteções diferentes de outros.
Os protocolos de consumo em redes corporativas são um grande problema. Você não pode entrar em uma organização e dizer a um executivo: “Lamento que seu AirPlay não funcione mais”. Eles simplesmente dirão para você reativar a habilidade.
Como a confiança zero afetou a segurança sem fio?
Minella: No momento o impacto direto foi mínimo. Isso mudará eventualmente.
As soluções de confiança zero podem ser classificadas em três modelos de casos de uso:
- usuário para recurso, seja no local ou na nuvem;
- dispositivo a dispositivo, sem que o usuário esteja necessariamente conectado; e
- serviço para serviço ou servidor para servidor.
Do usuário ao recurso, estejam eles juntos em um campus ou ambos remotos, é apropriado para confiança zero. Para o segundo, nos aprofundamos em produtos de microssegmentação baseados em rede . Este último envolve a microssegmentação da carga de trabalho, que é um conjunto de produtos completamente diferente .
O estranho é que muitas soluções de confiança zero são projetadas para serem nativas ou roteadas na nuvem, e são realmente projetadas para esse modelo em que o usuário está em um lugar e o recurso está em outro. Quando o usuário está co-localizado com o recurso, como no Wi-Fi, muitas vezes estamos fisicamente próximos do ponto de acesso e precisamos nos conectar ao Wi-Fi para sermos remotos. Embarcamos neste modelo em que contamos com algo baseado em agente ou um tipo de tecnologia de microssegmentação dispositivo a dispositivo.
Como muitos produtos de confiança zero são um cenário de modelo remoto baseado em nuvem, eles não conseguiram alcançar o mundo tradicional de LAN e Wi-Fi. Está acontecendo, mas lentamente. Com o tempo, nossos endpoints que estão sob gestão corporativa terão algum tipo de agente. Em vez de algo se conectar ao Wi-Fi e depois se conectar a uma VPN, torna-se o local onde o policial toma decisões e participa da aplicação da lei para acessar recursos. Esse mesmo endpoint gerenciado pode participar da conectividade Wi-Fi, como se estivéssemos usando 802.1x em uma rede com fio ou conectando-nos por meio de uma rede VPN.