¿Cuáles son algunas de las mejores prácticas para la seguridad de WiFi, a la luz de las vulnerabilidades descubiertas recientemente?

Navega tus respuestas
2

En los últimos meses, hemos visto la revelación de varias vulnerabilidades de WiFi (, por ejemplo, KRACK).

No parece que NIST haya actualizado ninguna de sus mejores prácticas. ¿Cómo debemos configurar nuestro WiFi empresarial para que sea seguro, en ausencia de tales recomendaciones oficiales?

    
pregunta Filopn 25.11.2018 - 10:43
fuente

3 respuestas

5
  

Con todos los hacks WIFI recientes, ¿cómo debemos configurar nuestras configuraciones y versiones de seguridad de la organización?

Es posible que deba ser un poco más explícito con sus inquietudes. Usted menciona KRACK; Publiqué esta respuesta sobre el impacto de KRACK. Hace más de un año desde ese puesto y todavía no hay informes de este exploit en la naturaleza. KRACK es, en la mayoría de los casos prácticos, una no preocupación en este punto. ¿Podría esto cambiar? Claro, pero no es probable.

Solo otro "hack WIFI" reciente que conozco es el ataque de hashcat en PMKIDs en redes inalámbricas que usan PSK. Las mitigaciones aquí son para usar PSK más largos y complejos o para cambiar a 802.1X.

Aunque no es un hack, WPA3 se ha mencionado en varios canales de medios y es la fuente de varias de estas discusiones que he tenido en los últimos meses, así que permítanme señalar otro de mis respuestas que hablan sobre WPA3. La mayoría de esa respuesta sigue siendo válida a pesar de algunos cambios menores de la WFA (por ejemplo, creo que OWE ahora también es opcional).

  

¿Cómo podemos configurar el WiFi de nuestra empresa para que sea seguro, si no hay mejores prácticas a seguir?

Todos los principales proveedores de servicios inalámbricos para empresas mantienen sus propios documentos de mejores prácticas que contienen recomendaciones de seguridad y diseño. Aquí hay algunos ejemplos: Cisco , Aruba y Ruckus .

Si bien muchas de las recomendaciones en los documentos de mejores prácticas de los proveedores son específicas para su plataforma, los principios a menudo todavía se pueden aplicar. Sin embargo, una guía general que daría a cualquier implementación en la que esté involucrado sería la siguiente:

  • Usa 802.1X sobre PSK. Dependiendo de sus requisitos de seguridad, elija la primera opción de los siguientes métodos de EAP:
    • EAP-PEAP o EAP-TTLS con la configuración adecuada del cliente / solicitante y la autenticación de dos factores generalmente se considera más segura.
    • EAP-TLS si no puede usar lo anterior con TFA.
    • EAP-PEAP o EAP-TTLS con la configuración adecuada del cliente / suplicante, generalmente suficiente para dispositivos no móviles y no implica la complejidad adicional de los certificados de cliente utilizados por EAP-TLS.
  • Si debes usar PSK, hazlo largo y complejo (pero la longitud es compleja si debes elegir entre los dos).
  • Desactive las funciones de caché rápido / transición / PMK en la infraestructura si no es necesario. Esto ralentizará las conexiones del cliente y aumentará la carga en los servidores RADIUS.
  • Deshabilite el uso de WEP o TKIP (a menudo vinculado a WPA): no solo es necesario desde la perspectiva de la seguridad, sino también desde la perspectiva del rendimiento (802.11ny las redes más nuevas deshabilitan velocidades de datos superiores a 54 Mbps, si está en uso).
  • Habilite 802.11w obligatorio (marcos de administración protegidos) si sus clientes lo admiten.
  • Requerir el uso de DHCP por los clientes si es posible.
  • Habilite las funciones de aislamiento del cliente si están disponibles y sus clientes inalámbricos no necesitan acceso a otros clientes inalámbricos.
  • Habilite las funciones de detección no autorizadas para notificar cuando se encuentren redes utilizando los mismos SSID que su red.
  • Mantenga a sus clientes e infraestructura parchados.
respondido por el YLearn 29.11.2018 - 08:50
fuente
2

Las mejores prácticas de seguridad son prácticamente las mismas en todas las TI: contraseñas seguras, actualizaciones de instalación, prepárate para el error humano ...

Con KRACK específicamente, la mayoría de los sistemas operativos hace mucho que han parchado KRACK. Siempre que todos los enrutadores inalámbricos / puntos de acceso Y clientes tengan los últimos parches de seguridad, debería estar bien.

También puedes ver el nuevo protocolo WPA3, pero WPA2 sigue siendo bastante seguro en el futuro inmediato.

    
respondido por el J. Rich 25.11.2018 - 17:36
fuente
0

Yo diría que la mayoría de los fabricantes no han reparado el exploit KRACK. Si bien los fabricantes de redes inalámbricas pueden haber creado nuevos estándares, eso no significa que el nuevo hardware tenga, de hecho, las actualizaciones y las soluciones necesarias para mitigar el ataque.

Personalmente, mi consejo es que se mantenga actualizado lo mejor que pueda, pero que tampoco se apresure en las actualizaciones más recientes, a veces la nueva actualización puede hacer que retroceda o hacer que corra en círculos debido a errores en la codificacion

El error humano es tu mayor preocupación. Hasta que las máquinas realmente ganen "inteligencia artificial"

Además, contraseñas seguras que utilizan múltiples tipos de caracteres. No hay caracteres consecutivos similares, y recomiendo altamente autenticación multifactor

    
respondido por el Syntaxxx Err0r 26.11.2018 - 18:19
fuente

Lea otras preguntas en las etiquetas

¿La gente objetaría mi sitio web solo porque use Google Analytics, +1 o FB Connect? ¿Este fragmento de código htaccess proporciona suficiente seguridad?