…in the name of… Security

Serwer RADIUS może podejmować zaawansowane decyzje dotyczące autoryzacji dla prawidłowego dopasowania nazwy użytkownika/hasła. Wykorzystanie wyznaczonych grup użytkowników w procesie autoryzacji może zapewnić precyzyjną kontrolę nad tym, którzy użytkownicy mogą korzystać z sieci bezprzewodowej podzielonej na duże odległości. Jeśli wiadomo, że administratorzy domeny, użytkownicy zaawansowani lub konta usług ogólnych nigdy nie powinni mieć możliwości uwierzytelniania za pośrednictwem połączenia bezprzewodowego, można im niejawnie odmówić członkostwa w grupie użytkowników bezprzewodowych. Każda grupa użytkowników, która wymaga możliwości uwierzytelniania przez sieć bezprzewodową, powinna być członkiem tej grupy. Domyślna implementacja RSN, która może i będzie autoryzować dowolnego użytkownika w podanym katalogu, może stać się ofiarą ataków na konta domyślne, nieaktywne, gościnne lub testowe w wyznaczonym katalogu. Konta testowe mogą być podatne na słabe hasła kanoniczne (np. „testowe” lub „hasło”) ze względu na ich utworzenie na wczesnych etapach tworzenia oprogramowania lub katalogów lub za pomocą innych środków, które omijają firmową politykę haseł. Gdy w grę wchodzi mechanizm uwierzytelniania nazwy użytkownika/hasła, atakujący może próbować podstawowych ataków brute-force, aby uzyskać dostęp do sieci za pomocą standardowych kont testowych lub kont gości. Wiele organizacji nie uważa, że ​​jest to poważny problem, ale gdy katalog zawiera tysiące kont, a organizacje nie przeprowadzają regularnych audytów, łatwo jest prześlizgnąć się przez szczeliny. Korzystanie z wyznaczonej grupy bezprzewodowej:

* Zmniejsza obszar ataku, nawet jeśli przeciwnik jest w stanie uzyskać listę kont użytkowników i wykorzystać je do brutalnego wymuszenia sieci bezprzewodowej przy użyciu podstawowych haseł.

* Zmniejsza liczbę punktów końcowych z zapisanymi lub zapamiętanymi profilami sieciowymi, które mogą zostać zaatakowane i użyte do przechwytywania skrótów wyzwań związanych z nazwą użytkownika/hasłem w hotspotu lub ataku typu personifikacja RADIUS.

Zalety segmentacji opartej na SSID/VLAN obejmują:

* Zróżnicowane traktowanie użytkowników bezprzewodowych według grupy lub SSID; na przykład,

* Identyfikator SSID „sprzedaż korporacyjna” i „firma-hr” może zapewniać różne poziomy dostępu. Najlepszą praktyką byłoby ukrycie i zamaskowanie nazw SSID, aby zaciemnić ich cel osobie z zewnątrz.

* Łatwość administrowania siecią poprzez eliminację konieczności przypisywania sieci VLAN na podstawie perportu. Przypisanie sieci VLAN opartej na identyfikatorze SSID wymaga jedynie konfiguracji punktu końcowego, aby zapewnić, że punkt końcowy zapewnia poświadczenia niezbędne do uwierzytelnienia przy określonym identyfikatorze SSID.

Wadą segmentacji opartej na SSID/VLAN jest zwiększone obciążenie sieci bezprzewodowej i zmniejszona wydajność z powodu wielu wymagań dotyczących pamięci SSID.

Podsumowanie kontroli segmentacji sieci bezprzewodowej

* Segmentacja sieci LAN: chroni wewnętrzną sieć LAN w przypadku naruszenia bezpieczeństwa sieci bezprzewodowej poprzez VLAN i bezprzewodowe listy ACL zapory sieciowej oparte na IP.

* Sieci VPN mogą być używane przez medium bezprzewodowe, aby umożliwić użytkownikom dostęp do zasobów sieci LAN.

* Segmentacja sieci wewnątrzprzewodowej:

* Na podstawie SSID: użycie oddzielnych identyfikatorów SSID dla różnych przypadków biznesowych można łatwo mapować do sieci VLAN i zapewniać różne poziomy segmentacji.

* W oparciu o grupy: przypisanie VLAN oparte na RADIUS dla bieżących uprawnień grupowych użytkownika bezprzewodowego

Segmentacja międzysieciowa umożliwia różnym typom użytkowników łączenie się z różnymi identyfikatorami SSID dostarczanymi przez ten sam fizyczny punkt dostępu i zapewnianie różnych uprawnień dostępu w oparciu o sieć. Proces segmentacji każdego identyfikatora SSID we własnej sieci zwykle obejmuje tagowanie VLAN na poziomie punktu dostępowego w celu rozróżnienia ruchu warstwy 2 poprzez wymuszenie przepływu komunikacji między sieciami VLAN przez zaporę sieciową lub router upstream z listami ACL opartymi na sieci VLAN/IP. Systemy katalogowe zaplecza, takie jak LDAP, mogą być wykorzystywane przez nowoczesne punkty dostępowe do podejmowania decyzji o przypisaniu sieci VLAN, jakie otrzyma dany użytkownik, niezależnie od identyfikatora SSID, pod którym aktualnie się znajduje. Dynamiczne systemy oparte na katalogach zaplecza nie są całkowicie bezpieczne ze względu na to, że adresy MAC są używane jako unikalny agent identyfikacji. Ten rodzaj segmentacji może być wymuszony w warstwie sieciowej, poprzez wspomniany wcześniej firewall VLAN lub poprzez listy dostępu VPN, jeśli dostęp bezprzewodowy pracowników jest wymuszony przez tunel VPN w celu komunikowania się z zasobami LAN.

W zależności od przeznaczenia sieci bezprzewodowej, użytkownicy mogą wymagać takiego samego dostępu w sieci bezprzewodowej, jaki zapewnia przewodowa sieć LAN. Na korzyść udostępnienia sieci bezprzewodowej całej przewodowej sieci LAN można zastosować rozwiązanie VPN. Taka architektura umożliwiłaby dostęp sieci bezprzewodowej do Internetu, tylko bramy VPN lub innych podstawowych zasobów wewnętrznych (takich jak witryna intranetowa), które wymuszają użycie bramy VPN dla wszelkich innych zasobów. Dodatkową siłą zapewnianą przez VPN, oprócz uwierzytelniania bezprzewodowego, jest dogłębna ochrona. Aby uzyskać dostęp do wewnętrznej sieci LAN z sieci bezprzewodowej, osoba atakująca musi złamać zabezpieczenia i uzyskać dostęp do sieci VPN oprócz wszelkich mechanizmów uwierzytelniania bezprzewodowego/kontroli dostępu w warstwie 2. Atakujący, który uzyska dostęp do bezprzewodowego medium, prawdopodobnie nigdy nie podejrzewałby korzystania z VPN i zakładał stan ograniczonego dostępu wewnętrznego lub pomyliłby obecny stan z całą siecią LAN. Należy przeprowadzić ocenę, aby zrozumieć przypadek biznesowy, w którym zasoby bezprzewodowe wymagają pełnego dostępu do firmowej sieci LAN i wyraźnego zezwolenia na dostęp na podstawie adresu IP/portu. Szczegółową segmentację można uzyskać, wykorzystując przypisania sieci VLAN na podstawie SSID, wyjaśnione szczegółowo w kolejnych sekcjach, w celu przypisania ograniczeń dla poszczególnych sieci VLAN z obsługą list ACL w wyższych punktach sieci.

Ze względu na publiczną dostępność bezprzewodowej transmisji radiowej (szyfrowanej lub nie), należy zająć się segmentacją w ramach istniejącej sieci LAN, aby zmniejszyć ryzyko pełnego dostępu wewnętrznego z powodu wygaśnięcie zabezpieczeń bezprzewodowych. Solidna postawa bezpieczeństwa sieci zakłada, że ​​szczególnie ryzykowny segment może zostać naruszony i ma na celu złagodzenie szkód spowodowanych taką katastrofą. Wartość segmentacji bezprzewodowej sieci LAN od przewodowej sieci LAN opiera się na możliwości zabezpieczenia się przed następującymi zdarzeniami, które mogą prowadzić do naruszenia bezpieczeństwa sieci LAN ze zdalnej lokalizacji, takiej jak parking firmowy.

* Złośliwe wykorzystanie zhakowanych danych uwierzytelniających opartych na nazwie użytkownika/hasło pracownika za pośrednictwem wiadomości e-mail typu spear phishing lub innej kradzieży.

* Błędna konfiguracja kontroli bezpieczeństwa sieci bezprzewodowej, taka jak słaba implementacja EAP (EAP-LEAP lub brak weryfikacji certyfikatu AP w EAP-PEAP-MSCHAP-v2), która może być wykorzystywana do ataków podszywania się na słownik lub RADIUS.

* Nieuczciwe „hotspotting” AP laptopów pracowników w celu nawiązania łączności i narażenia punktu końcowego na eksploatację usług lub ruchu HTTP MITM. Gdy punkt końcowy zostanie podłączony do legalnej sieci bezprzewodowej przedsiębiorstwa, osoba atakująca może uzyskać dostęp do sieci LAN.

Potrzeba segmentacji ruchu bezprzewodowego wynika z nieodłącznego braku fizycznej kontroli ruchu 802.11 i zasięgu dostępności. Zewnętrzny atak na strefę DMZ lub inne urządzenie z dostępem do Internetu może prowadzić do naruszenia zasobów strefy DMZ, ale mechanizmy kontrolne zazwyczaj występują w postaci wieloodcinkowych lub warstwowych zapór ogniowych, które ograniczają ekspozycję z sieci DMZ i uniemożliwiają bezpośrednią łączność LAN. Ten rodzaj segmentacji powinien być stosowany w środowisku bezprzewodowym z podobnych powodów, aczkolwiek o różnych wektorach ataku.

Sieci przewodowe zwykle przypisują sieci VLAN na podstawie portu lub adresu MAC. W przypadku przypisywania sieci VLAN na podstawie portów zarządzanie w dużej mierze opiera się na prawidłowej konfiguracji przełączników warstwy dostępu, konfiguracji portów trunkingowych dla uplinków oraz eliminowaniu propagacji wrażliwych sieci VLAN w różnych lokalizacjach fizycznych. Zmiany operacyjne mogą dyktować aktualizację wielu przełączników w przypadku stosunkowo niewielkich ruchów. W przypadku przypisania sieci VLAN na podstawie przewodowego adresu MAC, należy użyć przełącznika obsługującego uwierzytelnianie MAC i serwerów RADIUS zaplecza dla mapowania MAC->VLAN. Przypisywanie sieci VLAN oparte na adresach MAC może poprawić możliwości zarządzania i nadzoru, ale stwarza poważne zagrożenie bezpieczeństwa, ponieważ są one podatne na fałszowanie adresu MAC, co może umożliwić atakującemu dostęp do wrażliwych sieci VLAN poprzez fałszowanie adresu MAC uwierzytelnionego urządzenia. W środowisku bezprzewodowym sieci VLAN można przypisywać na podstawie identyfikatora SSID lub grupy użytkowników, a działania administracyjne związane z udostępnieniem użytkownikowi sieci VLAN można znacznie ograniczyć lub całkowicie usunąć. Użytkownik nie jest już ograniczony do określonej fizycznej lokalizacji, aby uzyskać dostęp do wymaganej sieci VLAN, ponieważ niezbędny identyfikator SSID może być dostępny w dowolnym miejscu na terenie kampusu. W przypadku rozszerzenia wdrożenie nowego cienkiego punktu dostępowego w bliskiej odległości zapewni niezbędne sieci VLAN, dla których skonfigurowany jest profil suplikanta klienta. Ponieważ przypisanie sieci VLAN może być kontrolowane przez pomniejsze konfiguracje suplikantów klienta i uprawnienia RADIUS zaplecza, segmentację można określić podczas procesu udostępniania zasobów, a następnie wymagać stosunkowo niewielkiego zarządzania.

Podstawowa sieć bezprzewodowa powinna być podzielona na dwa sposoby. Po pierwsze, sieć bezprzewodowa powinna być podzielona na segmenty z wewnętrznej sieci LAN, a po drugie, sieci bezprzewodowe powinny być podzielone na sieci bezprzewodowe o różnych zastosowaniach biznesowych. Ponadto podczas procesu segmentacji należy rozważyć umieszczenie czujnika WIDS z możliwością fizycznego pokrycia wszystkich obszarów sieci przewodowej.

Sprzęt sieci bezprzewodowej dla przedsiębiorstw jest dostępny w dwóch podstawowych odmianach: cienkie (lekkie) i grube (autonomiczne) punkty dostępowe. Te dwa typy projektów będą miały duży wpływ na sposób obsługi i zarządzania siecią bezprzewodową oraz zakres dostępnych kontroli w celu jej zabezpieczenia.

* Athick AP posiada dużo inteligencji i funkcji poza podstawowymi funkcjami 802.11 lub RSN. Funkcje te obejmują usługi pomocnicze, takie jak DHCP, SNMP, QOS, zapory itp. Chociaż tego typu usługi zdecydowanie mają swoje miejsce, z punktu widzenia zarządzania synchronizacja konfiguracji między grubymi klientami lub różnymi dostawcami może być trudna.

* Punkty dostępowe Thin Client to punkty dostępowe typu bare-bone, które implementują tylko niezbędne funkcje 802.11/RSN. Przedsiębiorstwa powinny wykorzystywać punkty dostępowe dla klientów uproszczonych, aby obniżyć koszty i zwiększyć bezpieczeństwo zarządzania siecią bezprzewodową. Te punkty dostępowe wykorzystują podłączony sprzęt przełącznika lub dedykowane kontrolery bezprzewodowe w celu uzyskania informacji i ustawień konfiguracyjnych. Po uruchomieniu i inicjalizacji cienki klient wykryje, skontaktuje się i pobierze najnowsze ustawienia konfiguracyjne. Bezpieczeństwo zapewniane przez środowisko cienkiego klienta wykracza poza łatwość zarządzania urządzeniami, zapewniając następujące dodatkowe korzyści:

* Fizyczne zabezpieczenie danych konfiguracyjnych: konfiguracja grubego klienta może zostać naruszona przez fizyczną kradzież i analizę. Cienki klient przechowuje konfigurację typu „bare bone”, aby umożliwić łączność 802.11, współdzielone klucze tajne RADIUS i ciągi SNMP; inne przechowywane informacje o konfiguracji są przechowywane na przełączniku zaplecza lub kontrolerze bezprzewodowym

* Mesh Security Functions: Powszechna forma komunikacji między punktami dostępowymi, taka jak Lightweight Access Point Protocol (LWAPP)39, umożliwia powszechną komunikację między punktami dostępowymi i kontrolerami w całym przedsiębiorstwie. Ten mechanizm komunikacji w połączeniu z fizyczną obecnością punktów dostępowych w lokalizacjach głównych i zdalnych umożliwia wykorzystanie ich do funkcji bezpieczeństwa. Wykorzystanie klienckich punktów dostępowych do monitorowania bezpieczeństwa może być korzystne z punktu widzenia oszczędności kosztów na rzecz dedykowanego systemu WIDS, aczkolwiek przy braku funkcjonalności.

– Wykrywaj nieuczciwe punkty dostępowe za pomocą technik wykrywania nieuczciwego dostępu do infrastruktury AP. Istnieją rozwiązania specyficzne dla dostawców, które wykorzystują punkty dostępowe obsługujące klientów do chwilowego skanowania w poszukiwaniu fałszywych sygnałów nawigacyjnych AP, które nie są częścią sieci LWAPP.

– Punkt dostępowy można ustawić w roli wykrywania i podłączyć do portu analizatora portów przełączanych (SPAN), aby wyśledzić potencjalne nieuczciwe sygnały nawigacyjne AP dla wewnętrznej łączności sieciowej

Wcześniej szczegółowo omówiliśmy podstawowe i konkretne luki w zabezpieczeniach, aby wyeksponować nieodłączne ryzyko związane z mediami sieci bezprzewodowej i przedstawić tło niektórych najnowszych i największych zagrożeń, którymi należy się zająć. Zrozumienie ryzyk organizacji i związanych z nimi zagrożeń, ponieważ odnoszą się one do jej unikalnego środowiska sieciowego, ma kluczowe znaczenie dla zapewnienia prawidłowego zarządzania nimi. Właściwe zarządzanie ryzykiem związanym z bezpieczeństwem technicznym zaczyna się od bezpiecznego projektu, a kończy na wdrożeniu bezpiecznych kontroli technicznych w celu dalszego wspierania bezpiecznego projektu. Wyrażenie „chrupiące na zewnątrz, miękkie i łatwe do pogryzienia w środku” ma bezpośredni wpływ na ten szczególny rodzaj zarządzania. Kontrole łagodzące mogą zapewnić chrupiący obwód, ale bezpieczna konstrukcja zapobiega przeżuwaniu wnętrza w przypadku awarii kontroli obwodu. W tej sekcji omówimy priorytetowe kwestie projektowe, które sprzyjają bezpiecznej sieci bezprzewodowej w przedsiębiorstwie. Tym rozważaniom projektowym powinny towarzyszyć omówione wcześniej techniczne środki kontroli łagodzącej, aby zapewnić zdrowe podejście. Integracja i dopuszczenie różnych rodzajów technicznych środków kontroli łagodzących, takich jak metody EAP, identyfikatory SSID, infrastruktury PKI, certyfikaty AP lub konfiguracje suplikantów podczas początkowej fazy projektowania sieci bezprzewodowej, może zwiększyć ich skuteczność, ponieważ działają one jako całość, w przeciwieństwie do sytuacji po fakcie dodatki.

Zgodność z przepisami. Regularne testy penetracji sieci bezprzewodowych i nieuczciwe audyty AP są niezbędną funkcją wielu certyfikatów regulacyjnych (takich jak Payment Card Industry [PCI]). Wykorzystanie zdalnego dedykowanego czujnika WIDS może być opłacalną alternatywą dla rozmieszczenia wykonawców lub pracowników wewnętrznych w każdej fizycznej lokalizacji w celu zbadania i oceny kontroli.

Wykrywanie nieuczciwych punktów dostępu. Nieuczciwe punkty dostępowe to problem numer jeden zagrażający bezpieczeństwu sieci bezprzewodowej.37 Nawet w obliczu kontroli dostępu do portów przełączników 802.1X, funkcja PAT (Port Address Translation) może zapewnić dostęp do sieci przewodowej wielu klientom bezprzewodowym poprzez współdzielenie jednego autoryzowanego adresu MAC. Pojedynczy niezarządzany punkt dostępowy może zapewnić nieograniczony dostęp do sieci wewnętrznej przez dłuższy czas. Metody wykrywania nieuczciwych punktów dostępu:

* Umieszczenie na białej liście firmowych punktów dostępu przez:

* Dostawca: Nieuczciwe punkty dostępowe można wykryć na podstawie niestandardowej marki/modelu, przeszukując część adresu MAC klienta bazowego OUI.

* SSID: Nieuczciwe punkty dostępowe można wykryć poprzez identyfikację przesyłanych sygnałów nawigacyjnych SSID zawierających niestandardowy identyfikator SSID przedsiębiorstwa (np. „Linksys” lub „Netgear”).

* Adres MAC: Statyczną listę adresów MAC autoryzowanych punktów dostępu można uzyskać za pośrednictwem protokołu SNMP lub innych środków i dostarczyć do systemu WIDS jako „znane dobre” punkty dostępowe.

* Stopień szyfrowania/uwierzytelniania: TheWIDScan próbuje połączyć się z potencjalnymi nieuczciwymi punktami dostępowymi i wyliczyć dostępne/żądane poziomy szyfrowania/uwierzytelniania. Niestandardowy poziom lub metoda wskazywałaby na nieuczciwy AP.

* Powiązani klienci

* WIDS może przeprowadzić analizę podłączonych klientów potencjalnego nieuczciwego punktu dostępowego, aby określić, czy klienci są dostarczani przez przedsiębiorstwa na podstawie OUI adresów MAC.

* Siła sygnału

* WIDS stale monitoruje fale radiowe i może ostrzegać o wykryciu anomalii nowego AP w bliskiej odległości od fizycznego czujnika/lokalizacji, określając siłę sygnału potencjalnego fałszywego AP mierzoną w dBm. Jeśli siła dBm spadnie w zakresie progu skonfigurowanego przez użytkownika, może zostać wyzwolony alert.

Potwierdzenie wewnętrznej łączności LAN:

* Łączność z urządzeniami wewnętrznymi: Zdalny czujnik WIDS może próbować połączyć się z nieuczciwą siecią bezprzewodową i pingować znane urządzenie wewnętrzne, aby potwierdzić łączność z siecią przedsiębiorstwa (przy założeniu braku uwierzytelniania).

* Wyliczanie tabel CAM (Simple Network Management Protocol) w pamięci adresowalnej zawartością: Tabele CAM wewnętrznego przełącznika sieciowego zawierają wszystkie adresy MAC, o których wie urządzenie i na którym porcie się znajdują. Ta technika wykrywania opiera się na fakcie, że bezprzewodowe punkty dostępowe posiadają dwie karty sieciowe. Jedna karta sieciowa znajduje się po przewodowej stronie punktu dostępowego, a druga po stronie bezprzewodowej/radiu. Obie te karty posiadają adresy MAC, które różnią się jedną lub dwiema wartościami. Czujnik WIDS może identyfikować adres MAC używany przez radio bezprzewodowe poprzez pasywne monitorowanie warstwy łącza danych i przeszukiwać wszystkie znane tabele przełączników CAM za pośrednictwem SNMP w celu znalezienia podobnego adresu MAC. Kontroler WIDS może być wyposażony w ciąg odczytu SNMP do środowiska przełączników w całym przedsiębiorstwie używanego przez zespół zarządzający siecią do różnych procesów monitorowania/odpytywania.

Przeciwdziałanie. W przypadku wykrycia nieuczciwego punktu dostępowego, system WIDS można skonfigurować tak, aby wyłączyć port przełącznika, na którym się on znajduje, za pomocą ciągów zapisu SNMP lub przechwycić alert na konsoli centralnej. Czujnik WIDS można również ustawić w trybie blokowania, który będzie wykorzystywał

sfałszowane pakiety deauthentication 802.11, aby uniemożliwić klientom pomyślne nawiązanie połączenia z fałszywym punktem dostępowym. Sfałszowane pakiety deauthentication zostały omówione wcześniej w Sekcji 33.5.3, Ramki zarządzania iw odpowiednich okolicznościach mogą być użyte do zwiększenia bezpieczeństwa. Działania te należy dokładnie przeanalizować przed ich wykonaniem, aby zminimalizować prawdopodobieństwo nieświadomego zaatakowania legalnej sąsiedniej firmy lub gospodarstwa domowego.

Obrona w głąb — podstawowe sterowanie. Opisane wcześniej formanty są najlepszymi praktykami, które mogą stworzyć lub złamać zabezpieczenia sieci bezprzewodowej w przedsiębiorstwie. Oprócz tych kontroli, istnieją pewne kontrole, które same w sobie nie zapewniają dużej ochrony, ale razem mogą zmniejszyć wskaźnik sukcesu atakującego. Bezpieczeństwo poprzez ukrywanie może być złym pomysłem, jeśli jest to jedyny środek bezpieczeństwa, ale w połączeniu z solidnymi kontrolami bezpieczeństwa, można potencjalnie ograniczyć uzasadnione ataki na podstawową kontrolę bezpieczeństwa (taką jak EAP-MS-CHAP-v2). Te kontrolki nazywamy kontrolkami script-kiddie; stawiają niewielki opór doświadczonemu napastnikowi, ale powodują, że przeciwnik podejmuje wiele kroków, zanim nawet ujawni swój cel.

*Ograniczenia oparte na adresie MAC: W zależności od możliwości każdego punktu dostępowego określonego producenta, może być możliwe ograniczenie powiązania do punktu dostępowego na podstawie adresu MAC, nawet w środowisku korporacyjnym. Istnieją metody dynamicznej aktualizacji mapowań adresów MAC w repozytorium zaplecza, podobne do przypisywania VLAN opartego na przewodowym MAC.

* Maskowanie SSID: Maskowanie SSID jest doskonałym przykładem zabezpieczenia poprzez ukrywanie. Obecność punktu dostępowego i identyfikatora BSSID można zidentyfikować za pomocą różnych narzędzi do testowania penetracji, które mogą analizować surowy ruch 802.11, ale zwykły domyślny system operacyjny lub suplikant klienta innej firmy nie wyświetlają obecności punktu dostępowego z nierozgłaszającym identyfikatorem SSID.

* Izolacja klienta: Izolacja klienta to kontrola specyficzna dla punktu dostępu, która monitoruje docelowy adres MAC ruchu przychodzącego. Jeśli ruch jest przeznaczony dla innego klienta w tym samym punkcie dostępowym lub identyfikatorze SSID w środowisku cienkiego klienta, dostęp do niego zostanie odrzucony. Celem tej kontroli jest ograniczenie możliwości komunikowania się złośliwego użytkownika z innymi urządzeniami podłączonymi do AP. Ta funkcja jest powszechna w publicznych punktach dostępowych, w których użytkownik końcowy niekoniecznie jest dobrze sprawdzony lub uwierzytelniony. W zależności od zastosowania w przedsiębiorstwie konkretnego identyfikatora SSID/VLAN, ta funkcja może być włączona, aby uniemożliwić dostęp do innych punktów końcowych w środowisku, w którym usługi są świadczone bezprzewodowo przez innych klientów bezprzewodowych, takich jak drukarka; należy przeprowadzić analizę, aby umożliwić tylko podzbiór komunikacji z tymi urządzeniami.