Охоронці Wi-Fi: польовий посібник Cisco з безпеки бездротових мереж

За матеріалами Амріта Ніджера (Amrit Nijjer), blogs.cisco.com

Бездротові мережі — це надзвичайно важлива складова сучасного робочого середовища. Саме вони забезпечують новий рівень продуктивності та зростання бізнесу, створюють платформу для інновацій та зручність для користувачів. Але будьмо реалістами —транслюючи радіохвилі в етер, не варто сподіватися, що їх перехоплять лише потрібні люди. У Cisco добре знають, що бездротова безпека — це не тільки встановлення шифрування WPA3 в мережі, але й створення багаторівневої системи захисту, яка адаптується швидше, ніж зловмисники встигають сказати вголос «злий близнюк» (у кібербезпеці evil twin означає фальшиву точку доступу Wi-Fi, що маскується під справжню).

Чому етер — це поле битви

Характер трансляції сигналів Wi-Fi — одночасно і суперсила, і Ахіллесова п’ята. Поки користувачі насолоджуються безперебійним роумінгом, зловмисники використовують скрипти Python, шукаючи помилки в налаштуваннях і встановлюючи несанкціоновані точки доступу. Однак понад 20-річне лідерство Cisco у сфері бездротових мереж означає, що вендор постійно створює рішення для сценаріїв з високою щільністю користувачів і критичними застосуваннями (наприклад, для медичних команд, що обслуговують пацієнтів, аудиторій, де транслюються лекції, і виробництва з величезними обсягами IoT).

Надійний захист від зламу
Для тих, хто вже зараз замислюється про загрозу квантових комп’ютерів, в обладнанні Cisco передбачена підтримка стандарту WPA3-Enterprise-192, що пропонує найсильніше шифрування та автентифікацію, доступні на сьогодні

Підхід Cisco до боротьби з векторами бездротових загроз

Ось як сучасні бездротові технології здатні перехитрувати ворога:

• Впровадження моделі «нульової довіри», адже MAC-фільтри — це 2003 рік

Базова MAC-фільтрація вже не відповідає вимогам, оскільки її надто легко обдурити. Сучасна безпека підприємств вимагає більш цілісного підходу. Вона починається з використання автентифікації 802.1X і методів EAP на основі TLS, які забезпечують надійну взаємну автентифікацію, під час якої клієнт і мережа підтверджують свою ідентичність за допомогою сертифікатів X.509.

Наприклад, бездротові контролери LAN Cisco в поєднанні з Cisco Identity Services Engine (ISE) створюють конвеєр автентифікації 802.1X з динамічним призначенням VLAN, списками контролю доступу, що завантажуються (downloadable access control lists, dACL), сегментацією з тегами груп безпеки (Security Group Tags, SGT) та застосуванням політик, що блокують зловмисників. Немає сертифіката — немає мережі! Усе просто.

• Шифрування, яке справді має значення: WPA3 і не тільки

Точки доступу Wi-Fi 7 від Cisco постачаються з найновішою системою безпеки WPA3. Вдосконалення WPA3 Personal, Enhanced Open і WPA3-Enterprise забезпечують найсильніше шифрування завдяки алгоритму AES-256-GCMP, захищаючи дані під час передачі. А для тих, хто вже зараз замислюється про загрозу квантових комп’ютерів, є підтримка стандарту WPA3-Enterprise-192. Цей стандарт пропонує найсильніше шифрування та автентифікацію, доступні на сьогодні, поки розробляються бездротові стандарти постквантової криптографії. Обов’язкова функція WPA3 — механізм захисту керуючих кадрів від підробки та атак (Protected Management Frames, PMF/802.11w), що убезпечує від атак деавтентифікації та роз’єднання.

• Адаптивна система запобігання бездротовим вторгненням (WIPS): спектральний сторож на базі ШІ

Програмне забезпечення Cisco Adaptive Wireless IPS контролює кожен кадр, що проходить крізь повітряний простір організації. Спотворені beacon-кадри? Виявлено! «Злі близнюки»? Переміщено в карантин! DDoS-атаки? Знешкоджено! Використовуючи аналіз мережевого трафіку, інформацію про мережеві пристрої та топологію, методи на основі сигнатур і виявлення аномалій, система вивчає радіочастотне середовище та автоматично розрізняє добросовісних клієнтів і витончених зловмисників. Можна додати виявлення зловмисних пристроїв і пасток-ханепотів (honey pot) за допомогою керованих правил SSID і почати виганяти кіберзлочинців.

• Оновлення прошивки та гігієна сертифікатів

Оновлення firmware — це не просто рекомендації, а перша лінія захисту від загроз. Cisco постійно випускає нові версії прошивок для своїх точок доступу та контролерів, які усувають вразливості та підвищують стабільність. Адже застаріла прошивка — це справжнє запрошення для зловмисників. І сертифікати X.509, що забезпечують автентифікацію EAP-TLS, також мають термін дії. Варто автоматизувати робочі процеси оновлення та використовувати функції Cisco для спрощеного встановлення патчів. Управління життєвим циклом сертифікатів не є привабливим, але пояснювати бізнесу, чому електронна пошта не працює, теж не дуже приємно.

• Виявлення в режимі реального часу, забезпечення безпеки та автоматизовані бездротові операції

Cisco автоматично встановлює базові показники нормальної поведінки, позначає аномалії та автоматично запускає відповідні заходи ще до того, як SOC отримає сповіщення. Це дає змогу користувачам знаходити несанкціоновані DHCP-сервери, ідентифікувати підозрілі моделі роумінгу клієнтів і виявляти неправильно налаштовані SSID до того, як вони стануть предметом звітів про інциденти. А щоб автоматично виявляти та усувати високий рівень перешкод, які насправді можуть бути бездротовою атакою, на точках доступу для управління радіоресурсами на основі подій варто використовувати Cisco CleanAir.

Але всі знають, що мережа не є кінцевою метою зловмисників. Вони хочуть скомпрометувати клієнтів і застосунки. Cisco пропонує вбудовану інтеграцію з Apple, Intel, Samsung і Zebra, щоб надавати детальну інформацію про поведінку клієнтів у режимі реального часу. А якщо додати до цього інтеграцію Cisco ThousandEyes і Cisco Application Visibility and Control (AVC), то можна мати більшу прозорість, щоб краще захистити кожного клієнта і кожен застосунок у мережі.

Так можна отримати рівень видимості, що перетворить реактивне гасіння пожеж на проактивне вистежування загроз, адже найкращі інциденти безпеки — це ті, які ніколи не проходять повз автоматизовані засоби захисту.

Поради для практиків: посібник з безпеки

• Впровадьте 802.1X + EAP-TLS: це автентифікація або відмова в ній на основі сертифікатів. Інтегруйте з ISE для досконалості політики.
• Сегментація з відстеженням стану: динамічно групуйте та ізолюйте клієнтів за допомогою Campus Fabric та SGT. Це забезпечить розумну сегментацію без жодних клопотів.
• Обов’язково використовуйте WPA3-Enterprise і не робіть винятків: за необхідності зробіть перехідний режим, але вже зараз встановіть дату припинення його дії.
• Використовуйте ISE + Adaptive WIPS як зброю: динамічна оцінка стану + пошук загроз RF = досконала симфонія безпеки.
• Встановлюйте апдейти без затримок: оновлення прошивки та управління життєвим циклом сертифікатів є обов’язковими, а не опційними.
• Використовуйте аналітику, інсайти та операції на основі штучного інтелекту: Cisco Wireless Assurance включно з Cisco ThousandEyes — це надзвичайні можливості візуалізації.

Місія виконана: фіксація результату

Впровадження безпеки бездротової мережі підприємства — це не проста формальність, а постійна боротьба, що вимагає інтелекту, автоматизації та обладнання, яке надійно протистоїть тиску. Екосистема Cisco Wi-Fi 7, перевірені системи безпеки та інтеграції Cisco ISE надають інструменти для побудови мереж, які є одночасно високопродуктивними та захищеними від сучасних загроз. Більше про безпеку бездротових мереж — в інших статтях про те, що таке справжня безпека Wi-Fi (попередження: ці матеріали можуть викликати раптове бажання перевірити стан безпеки бездротової мережі!).

А тепер вперед: захистіть свої радіохвилі, як справжній воїн Wi-Fi.

Мегатрейд, як офіційний дистриб’ютор Cisco, є авторизованим каналом для придбання обладнання, ПЗ та сервісів Cisco на території України: sales@megatrade.ua, (044) 538-00-06

Технічні консультації для партнерів Мегатрейд: cisco@megatrade.ua

Cisco — лідер рейтингу IDC MarketScape для корпоративних WLAN

Як оптимізувати мережу Wi-Fi за допомогою трьох інноваційних технологій Cisco на базі ШІ