Segmentacja z przewodowej sieci LAN

Ze względu na publiczną dostępność bezprzewodowej transmisji radiowej (szyfrowanej lub nie), należy zająć się segmentacją w ramach istniejącej sieci LAN, aby zmniejszyć ryzyko pełnego dostępu wewnętrznego z powodu wygaśnięcie zabezpieczeń bezprzewodowych. Solidna postawa bezpieczeństwa sieci zakłada, że ​​szczególnie ryzykowny segment może zostać naruszony i ma na celu złagodzenie szkód spowodowanych taką katastrofą. Wartość segmentacji bezprzewodowej sieci LAN od przewodowej sieci LAN opiera się na możliwości zabezpieczenia się przed następującymi zdarzeniami, które mogą prowadzić do naruszenia bezpieczeństwa sieci LAN ze zdalnej lokalizacji, takiej jak parking firmowy.

* Złośliwe wykorzystanie zhakowanych danych uwierzytelniających opartych na nazwie użytkownika/hasło pracownika za pośrednictwem wiadomości e-mail typu spear phishing lub innej kradzieży.

* Błędna konfiguracja kontroli bezpieczeństwa sieci bezprzewodowej, taka jak słaba implementacja EAP (EAP-LEAP lub brak weryfikacji certyfikatu AP w EAP-PEAP-MSCHAP-v2), która może być wykorzystywana do ataków podszywania się na słownik lub RADIUS.

* Nieuczciwe „hotspotting” AP laptopów pracowników w celu nawiązania łączności i narażenia punktu końcowego na eksploatację usług lub ruchu HTTP MITM. Gdy punkt końcowy zostanie podłączony do legalnej sieci bezprzewodowej przedsiębiorstwa, osoba atakująca może uzyskać dostęp do sieci LAN.

Potrzeba segmentacji ruchu bezprzewodowego wynika z nieodłącznego braku fizycznej kontroli ruchu 802.11 i zasięgu dostępności. Zewnętrzny atak na strefę DMZ lub inne urządzenie z dostępem do Internetu może prowadzić do naruszenia zasobów strefy DMZ, ale mechanizmy kontrolne zazwyczaj występują w postaci wieloodcinkowych lub warstwowych zapór ogniowych, które ograniczają ekspozycję z sieci DMZ i uniemożliwiają bezpośrednią łączność LAN. Ten rodzaj segmentacji powinien być stosowany w środowisku bezprzewodowym z podobnych powodów, aczkolwiek o różnych wektorach ataku.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *