Защита подключений сотрудников к точкам доступа Wi-Fi
Введение
Как сетевому администратору вы, вероятно, знаете, что беспроводные соединения сопряжены с другими рисками по сравнению с проводными соединениями Ethernet. Кроме того, вы должны знать основы, например, что Wi-Fi по умолчанию не зашифрован, и вы должны использовать безопасность WPA2, чтобы другие не могли подключаться к беспроводной сети и/или отслеживать ее. Но вы, возможно, упустили из виду влияние пользователей на безопасность Wi-Fi.
Есть небольшие вещи, которые пользователи могут сделать, чтобы сделать сеть и устройства более безопасными. Здесь я рассказываю о рисках безопасности и мерах предосторожности, которые сотрудники и пользователи должны учитывать при использовании Wi-Fi, будь то на работе, дома или вне дома.
Советы по безопасности Wi-Fi на работе
Хотя ИТ-отдел имеет большую часть контроля над сетью и ее безопасностью, например, включение безопасности WPA2, действия сотрудников и конечных пользователей также влияют на безопасность сети. Хотя вы не можете на самом деле контролировать пользователей, рассмотрите возможность реализации таких политик, чтобы помочь своим пользователям узнать, как защитить сеть:
Пользователи должны уведомить ИТ-персонал, если они потеряли свой смартфон или ноутбук, настроенный для подключения к частной сети Wi-Fi, чтобы никто, кто не получит его, не пошел в бизнес и не подключился к сети Wi-Fi. Если используется аутентификация 802.1X, ИТ-персонал может просто изменить индивидуальный пароль пользователя. Или, если используется предварительный общий ключ (PSK), ИТ-персонал может изменить глобальный пароль Wi-Fi.
Пользователям не следует подключаться к каким-либо другим SSID или соседним беспроводным сетям. Если они это сделают, пользователи в этой другой сети могут получить доступ к данным на своем устройстве.
Пользователи не должны разглашать пароль Wi-Fi или информацию для входа в систему посторонним лицам или, возможно, даже другим сотрудникам, сохраняя их по мере необходимости, чтобы предотвратить их разглашение.
Пользователи должны обращать внимание на все, что отличается от Wi-Fi, например ошибки при подключении или новые SSID в этом районе, чтобы не стать жертвой приманки Wi-Fi или атаки «человек посередине»..
Любой, кто хочет установить беспроводной маршрутизатор или точку доступа в здании, должен обратиться к ИТ-персоналу, чтобы получить разрешение, чтобы они могли убедиться, что он надежно защищен. Это вызывает еще одно замечание: ИТ-персонал настраивает обнаружение беспроводных мошенников или периодически вручную сканирует радиоволны на наличие любых неавторизованных точек доступа.
Защита соединений в общедоступных точках доступа Wi-Fi
Если пользователи находятся вне дома и собираются подключиться к общедоступным точкам доступа Wi-Fi, их устройство и данные на нем, которые могут быть связаны с работой, подвергаются риску. А поскольку общедоступные сети обычно не зашифрованы, другие поблизости могут следить за их онлайн-активностью. Это может включать логины для сайтов или служб, которые не зашифрованы, например электронная почта.
Чтобы защитить свое устройство и данные, пользователи должны указать, что сеть является общедоступной, после подключения к ноутбуку с Windows. Это изменяет настройки брандмауэра Windows, чтобы заблокировать доступ к ноутбуку от других, включая любые сетевые ресурсы.
Пользователи никогда не должны входить на какой-либо веб-сайт или службу, которые не зашифрованы. Рассмотрите возможность обучения пользователей тому, как определить разницу: вместо и как проверить проверку сертификата браузера.
Если ваша компания использует почтовые серверы POP3 или IMAP, включите шифрование (SSL), чтобы, когда пользователи находятся в общедоступных сетях, их учетные данные электронной почты не отправлялись в открытом виде.
Вам следует подумать о том, чтобы предложить VPN для частых путешественников, что позволит им получить удаленный доступ к сети, а также обезопасит их интернет-трафик. Если удаленный доступ к сети не требуется, порекомендуйте сторонний VPN-сервис, такой как Hotspot Shield, просто для защиты их соединений в общедоступных или ненадежных сетях.
На смартфонах и планшетах пользователи могут захотеть использовать данные 3G/4G оператора мобильной связи, поскольку эти соединения обычно зашифрованы. Тем не менее, если сотовые данные недоступны или требуется более качественное соединение, пользователи также могут использовать VPN на мобильных устройствах для защиты трафика Wi-Fi. Многие мобильные устройства предлагают встроенную VPN-связь, в дополнение к приложениям VPN.
Защита Wi-Fi дома
Хотя вы можете подумать, что это не ваше дело, что сотрудники делают дома, если они используют ноутбуки для работы и берут их домой, вы также должны постараться обеспечить безопасность их домашней сети. Если у них нет (или плохая) защита Wi-Fi, их соединение будет подвержено тем же рискам, что и использование общедоступных сетей: соседи потенциально могут подключиться к их устройству, и любая онлайн-активность может быть перехвачена, включая любые входы в систему, которые не зашифровано.
Попытайтесь обучить сотрудников, которые берут свой ноутбук домой, о безопасности Wi-Fi и попытаться убедиться, что у них установлен пароль Wi-Fi.
Резюме
Помните, что хотя вы, как сетевой администратор, имеете контроль над сетью, пользователи также играют роль в ее безопасности. Обучение их основам безопасности Wi-Fi, предоставление им советов и внедрение политик может помочь им повысить безопасность и вам.