web-dev-qa-db-ja.com

最近発見された脆弱性に照らして、WiFiセキュリティのベストプラクティスは何ですか?

過去数か月の間に、いくつかのWiFi脆弱性が明らかになりました(eg KRACK)。

NISTがベストプラクティスを更新したようには見えません。このような公式の推奨事項がない場合、エンタープライズWiFiを安全に構成するにはどうすればよいですか?

2
Filipon

最近のすべてのWIFIハックで、組織のWifiセキュリティ構成とバージョンをどのように構成する必要がありますか?

懸念事項について、もう少し明確にする必要があるかもしれません。あなたはKRACKに言及します。私は投稿しました この答え KRACKの影響について。その投稿から1年以上が経過しており、この悪用の報告はまだありません。 KRACKは、現時点ではほとんど問題ではありません。これは変更できますか?確かですが、そうではありません。

PSKを使用するワイヤレスネットワーク上のPMKIDに対するハッシュキャット攻撃は、私が知っている他の最近の「WIF​​Iハッキング」だけです。ここでの緩和策は、より長く、より複雑なPSKを使用するか、802.1Xに切り替えることです。

これはハックではありませんが、WPA3は多くのメディアチャネルで言及されており、過去数か月に私が行ったこれらの多くの議論の源泉なので、別のポイントを指摘させてください 私の回答 WPA3について話します。その答えの大部分は、WFAからのいくつかのマイナーな変更にもかかわらず、まだ当てはまります(たとえば、OWEもオプションになったと思います)。

従うべきベストプラクティスがない場合、組織のエンタープライズWiFiを安全に設定するにはどうすればよいですか?

すべての主要なエンタープライズワイヤレスベンダーは、セキュリティと設計の推奨事項を含む独自のベストプラクティスドキュメントを維持しています。次にいくつかの例を示します: CiscoAruba 、および Ruckus

ベンダーのベストプラクティスドキュメントの推奨事項の多くはプラットフォームに固有ですが、原則は引き続き適用できます。しかし、私が関わっている展開に対して私が与える一般的なガイダンスは次のとおりです。

  • PSKで802.1Xを使用します。セキュリティ要件に応じて、以下のEAPメソッドから最初のオプションを選択します。
    • 適切なクライアント/サプリカント構成と2要素認証を備えたEAP-PEAPまたはEAP-TTLS。
    • TFAで上記を使用できない場合はEAP-TLS。
    • 適切なクライアント/サプリカント構成を備えたEAP-PEAPまたはEAP-TTLS-一般に非モバイルデバイスには十分であり、EAP-TLSで使用されるクライアント証明書の追加の複雑さは伴いません。
  • PSKを使用する必要がある場合は、PSKを長く複雑にします(ただし、2つを選択する必要がある場合は、長さが複雑になります)。
  • 必要がない場合は、インフラストラクチャの高速ローミング/移行/ PMKキャッシング機能を無効にします。これにより、クライアント接続が遅くなり、RADIUSサーバーの負荷が増加します。
  • WEPまたはTKIP(多くの場合WPAに関連付けられている)の使用を無効にします-セキュリティの観点からだけでなく、パフォーマンスの観点からも必要です(802.11n以降のネットワークでは、54Mbpsを超えるデータレートが使用されている場合は無効にします)。
  • クライアントがサポートしている場合は、必須の802.11w(保護された管理フレーム)を有効にします。
  • 可能であれば、クライアントによるDHCPの使用を要求します。
  • 可能な場合はクライアント分離機能を有効にし、ワイヤレスクライアントが他のワイヤレスクライアントにアクセスする必要がないようにします。
  • 不正検出機能を有効にして、ネットワークがネットワークと同じSSIDを使用して検出されたときに通知する。
  • クライアントとインフラストラクチャにパッチを適用し続けます。
5
YLearn

セキュリティのベストプラクティスはIT全体でほとんど同じです:強力なパスワード、更新のインストール、 人為的エラーに備える ...

特にKRACKを使用すると、ほとんどのオペレーティングシステムに長い間パッチが適用されています。すべてのワイヤレスルーター/アクセスポイントとクライアントに最新のセキュリティパッチがある限り、問題はありません。

また、新しいWPA3プロトコルを検討することもできますが、WPA2は予見可能な将来のために依然として非常に安全です。

2
J. Rich

ほとんどのメーカーがKRACKエクスプロイトに実際にパッチを当てていません。ワイヤレスメーカーは新しい標準を考案しているかもしれませんが、実際には、新しいハードウェアが実際に攻撃を緩和するために必要な更新と修正を行うことを意味するわけではありません。

個人的には、できる限り最新の状態に保つことをお勧めしますが、常に最新の更新に急いで行くこともしないでください。コーディングのエラーが原因で、新しい更新によって元に戻されたり、サークルで実行されたりすることがあります。

ヒューマンエラーはあなたの最大の心配です。機械が本当に「人工知能」を獲得するまで

さらに、複数の文字タイプを利用する強力なパスワード。同様の連続する文字はなく、強くお勧めします多要素認証

0
Syntaxxx Err0r