So schützen Sie APs und Switches mit Cloud-Management vor Cyberangriffen

Schützen Sie APs und Switches vor Cyberangriffen

In den letzten Jahren haben sich Netzwerke in Richtung Management direkt aus der Cloud, setzen manche IT-Administratoren in Unternehmen Geräte wie Switches oder APs nicht mehr lokal, sondern direkt aus der Cloud des Herstellers ein. Dies hat viele Vorteile, wie eine einfache und schnelle Installation anhand der Seriennummer, kontinuierliches Monitoring aus der Cloud ohne eigene Monitoring-Systeme konfigurieren zu müssen und Zugriff auf die Konfiguration von überall. Heute zeigen wir Ihnen in diesem Artikel, wie Sie Ihr Netzwerk vor Angriffen schützen können, wenn Sie es aus der Cloud verwalten.

Was ist Netzwerkmanagement aus der Cloud oder Cloud?

Lokale Netzwerke haben sich aus dem lokalen Management entwickelt, bei dem wir lokal auf die verschiedenen Switches zugreifen mussten und wo wir eine Software oder Hardware hatten W-Lan Controller für Access Points bis hin zur zentralen Verwaltung aus der Cloud. In einer zentralen Verwaltung in der Cloud oder Cloud können wir das gesamte Netzwerk vom Hauptrouter bis zu den verschiedenen Access Points verwalten, die wir mit dem Switch verbunden haben, und das alles über ein Control Panel, mit dem wir über das Web zugreifen, oder auch über eine App auf unserem Smartphone.

Mit einer Netzwerkverwaltung in der Cloud können wir alle gewünschten Switches und WLAN-Zugangspunkte global und automatisch konfigurieren. Auf diese Weise müssen wir nicht Switch für Switch die gleichen oder ähnliche Konfigurationen vornehmen, jetzt können wir auf alle Switches gleichzeitig anwenden, was IT-Administratoren viel Arbeit und auch viel Zeit spart. Dasselbe passiert mit den APs, obwohl wir schon lange über die WiFi-Controller verfügen, um verschiedene WiFi-Zugangspunkte zentral zu verwalten, ist es jetzt mit der Verwaltung in der Cloud noch einfacher, da wir mehrere APs von verschiedenen «Standorten» bereitstellen lassen können. Und verwalten Sie sie alle über dasselbe Bedienfeld.

Die Verwaltung von Netzwerken aus der Cloud hat viele positive Aspekte, wie zum Beispiel:

  • Zero-Touch-Bereitstellung, wir können die APs und Switches registrieren, bevor wir sie mit dem Stromnetz verbinden, und ihre Seriennummer in der Cloud registrieren, um sie dem Inventar hinzuzufügen.
  • Kontinuierliche und automatische Überwachung mit E-Mail-Benachrichtigungen und Push-Benachrichtigungen.
  • Automatische Firmware-Updates, bei Bedarf oder nach einem bestimmten Zeitplan.
  • Aufzeichnungen mit allen an der Konfiguration vorgenommenen Änderungen.
  • Rollenbasierte Administration, um Konfigurationen an andere IT-Kollegen zu delegieren.
  • Kabelgebundene und erweiterte WLAN-Verkehrsberichte, in denen wir im Detail sehen können, was im Netzwerk passiert.
  • Fernzugriff von überall, es ist nur der Zugriff auf die Plattform über das Web oder mit der mobilen App erforderlich.
  • Verwaltung mehrerer Sites mit demselben Benutzerkonto.

Natürlich hat es auch einige negative Aspekte, wie zum Beispiel immer abhängig von einer Internetverbindung, um Änderungen vorzunehmen, für eine kontinuierliche Überwachung oder um die Aufzeichnungen in Echtzeit hochzuladen, außerdem werden wir immer vom Hersteller der Lösung abhängig sein, und , müssen wir teilweise für die Nutzung der Cloud bezahlen und es reicht nicht nur, Hardware zu kaufen.

Nachdem wir nun die Hauptmerkmale der Verwaltung Ihres Netzwerks in der Cloud kennen, sehen wir uns an, wie wir es vor Cyberangriffen schützen können.

Sicherheitsempfehlungen für das Cloud-Management Ihres Netzwerks

Um Ihr professionelles lokales Netzwerk mit einem Cloud-Management richtig zu schützen, Es werden die gleichen Sicherheitsempfehlungen befolgt wie bei einem lokalen Management d.h. wir müssen den Netzwerkverkehr mithilfe von VLANs korrekt segmentieren, wir müssen den Spanning-Tree korrekt konfigurieren, um Angriffe zu vermeiden , natürlich die Ports der Switches mit Port-Sicherheit ist etwas Grundlegendes. All diese Sicherheitsmaßnahmen sind in einem Cloud-Management immer noch in Kraft, weil all diese Protokolle noch vorhanden sind, das einzige, was sich ändert, ist die Verwaltung der verschiedenen Teams.

Beim lokalen Management ist es am gebräuchlichsten, ein VLAN mit einem Subnetz speziell für die Verwaltung die verschiedenen Geräte (Router, Switches und WiFi-Zugangspunkte) und der Zugriff auf dieses VLAN kann direkt vom Verwaltungsnetzwerk von einem oder mehreren Computern aus erfolgen, wobei HTTPS verwendet wird, um Punkt-zu-Punkt-Vertraulichkeit und Authentizität zu gewährleisten, ein weiteres sehr interessantes Option ist zu verbinden über VPN mit IPsec, OpenVPN oder WireGuard direkt auf einen Server die sich in diesem Management-Netzwerk befindet, und «springen» von hier direkt in die Verwaltung der verschiedenen Geräte. Natürlich ist es nicht nur wichtig, das Administrationsnetzwerk ordnungsgemäß von anderen isolieren Benutzern ist es auch sehr wichtig, robuste Benutzeranmeldeinformationen mit guten Passwörtern zu verwenden, um Probleme zu vermeiden.

Die Kommunikation der verschiedenen Geräte wie Switches und APs mit der Hersteller-Cloud erfolgt über HTTPS , daher verwendet es TLS v1.2- oder TLS v1.3-Verbindungen, damit wir die Vertraulichkeit, Authentizität und Integrität der übertragenen Daten haben, um mögliche Angriffe auf die Kommunikation der Geräte mit der Cloud des Herstellers zu vermeiden .

Um aus der Ferne auf die lokale Verwaltung eines Netzwerks zuzugreifen, sollte ein Angreifer die Firewall mit den entsprechenden Angriffsbegrenzungsregeln und auch mit ihrem IDS / IPS, jedoch mit Management aus der Cloud, das einzige, was sie tun können, ist dieses Management in der Cloud anzugreifen und zu versuchen, Brute-Force- oder Wörterbuchangriffe auf unsere durchzuführen Zugangsdaten zu erhalten. Wir delegieren die Sicherheit des Systems an den Hersteller selbst, der alles daran setzt, diese Art von Angriffen zu verhindern, da Google, Microsoft oder ein anderes Unternehmen auf diese Weise die Sicherheit Ihres verwalteten lokalen Netzwerks korrekt schützt. Aus der Cloud ist es wichtig, Ihre Zugangsdaten richtig zu schützen:

  • Verwenden Sie für den Zugriff ein sicheres Kennwort, das den grundlegenden Richtlinien zur Kennworterstellung entspricht.
  • Ändern Sie das Passwort von Zeit zu Zeit.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit. Wenn unser Passwort durchgesickert ist, können sie ohne diesen zweiten Authentifizierungsfaktor nicht darauf zugreifen.

Sobald wir wissen, wie wir unser Cloud-Management-Konto schützen können, zeigen wir Ihnen die wichtigsten Optionen in Nuclias Cloud, Aruba Instant On und auch in EnGenius Cloud, den drei Cloud-Management-Lösungen, die wir in diesem Artikel am meisten empfehlen.

Sicherheitseinstellungen in Nuclias Cloud

Nuclias Cloud ist die Cloud-Netzwerkmanagement-Lösung des Herstellers D-Link, als erstes müssen wir uns über das Web auf der Plattform registrieren, dann gehen wir per Klick auf unseren Namen zu unserem Nutzer. Im Abschnitt „Mein Profil“ können wir das zuvor festgelegte Passwort ändern. D-Link erzwingt Passwörter mit mehr als 8 Zeichen, daher ist dies eine sehr gute Sicherheitsmaßnahme. Das Maximum beträgt 64 Zeichen, sodass wir den Passwortgenerator der wichtigsten Webbrowser verwenden können, um ein starkes Passwort zu erstellen.

Nuclias Cloud unterstützt die Zwei-Faktor-Authentifizierung. Darüber hinaus können Sie zwischen der Authentifizierung per E-Mail oder mit Google Authenticator oder einer anderen App zur Authentifizierung mit TOTP-Codes (Temporal One Time Password) wählen D-Konto. In der Cloud verknüpfen. Unsere Empfehlung ist, Google Authenticator zu verwenden, da die Generierung der Codes augenblicklich erfolgt und wir nicht warten müssen, bis wir die erhalten E-Mail in unserem Posteingang.

Dies sind die einzigen Optionen zum Schutz des Benutzerkontos, die restlichen Optionen wie die Abwehr von Brute-Force- oder Wörterbuchangriffen werden an den Cloud-Dienst delegiert und wir können überhaupt nichts konfigurieren. Wir können das Konto auch nicht so konfigurieren, dass sich nur IPs aus Spanien mit unserem Konto anmelden können, was dringend empfohlen wird, um automatisierte Angriffe abzuwehren.

Schutz des Zugriffs auf Ihr Aruba Instant On-Konto

Im Fall von Aruba Instant On können wir im Abschnitt „Kontoverwaltung“ auch das Passwort einfach ändern. In diesem Fall beträgt die Mindestanzahl der Zeichen 10 Zeichen, zusätzlich müssen eine Zahl, ein Großbuchstabe und ein Symbol der angegebenen, um ein sehr robustes Passwort zu erstellen und es vor möglichen Brute-Force- oder Wörterbuchangriffen zu schützen. Darüber hinaus können wir auch die Zwei-Faktor-Authentifizierung aktivieren, dazu müssen wir nur auf „Zwei-Faktor-Authentifizierung konfigurieren“ klicken, das Passwort eingeben und den Schritten folgen.

In diesem Fall können wir mit Aruba Instant On nur eine Authentifizierungsanwendung wie Google Authenticator, Latch oder Authy unter anderem verwenden, wir haben nicht die Möglichkeit des zweiten Authentifizierungsfaktors per E-Mail. Wir müssen den QR-Code mit der App scannen oder den Code manuell eingeben.

Wie Sie gesehen haben, enthält Aruba Instant On auch die grundlegenden Sicherheitsmaßnahmen zum Schutz unseres Kontos in der Cloud, die zum Schutz der Verwaltung unseres Netzwerks absolut erforderlich sind.

Konfigurieren Sie die Sicherheit in der EnGenius Cloud

Im Fall von EnGenius Cloud können wir im Menü oben rechts die wichtigsten Sicherheitsoptionen anzeigen. Hier haben wir auch die Möglichkeit, ein starkes Passwort zu konfigurieren und die zweistufige Authentifizierung zu aktivieren. Der Hersteller sagt uns in diesem Fall nicht, was die minimale oder maximale Länge des Passworts ist, das wir eingeben können, aber am normalsten ist es, eines direkt mit dem zu generieren Firefox or Chrome Webbrowser, um ein robustes Passwort zu haben.

Die Zwei-Faktor-Authentifizierung basiert ebenfalls auf TOTP und verwendet eine Authentifizierungs-App wie Google Authenticator oder andere ähnliche Tools. Auf diese Weise müssen wir nicht nur den Zugangscode eingeben, sondern auch den von der Anwendung unseres Smartphones dynamisch generierten Code.

Wie Sie gesehen haben, bietet EnGenius Cloud auch die Möglichkeit, eine zweistufige Authentifizierung zu konfigurieren, jedoch enthalten nicht alle Cloud-Netzwerkverwaltungssysteme diese, wie z. B. TP-Link Omada.

TP-Link Omada

Im Fall von TP-Link Omada haben wir nur die Möglichkeit, ein Passwort für den Zugriff auf die Cloud festzulegen, es gibt kein zweistufiges Authentifizierungssystem zur korrekten Überprüfung der Identität des Benutzers, wir haben nur die Zugangs-E-Mail und das Passwort die wir konfiguriert haben. In Anbetracht der Tatsache, dass die Zwei-Faktor-Authentifizierung in fast jedem Internetdienst vorhanden ist, ist es unerklärlich, wie es möglich ist, dass TP-Link diese sehr wichtige und grundlegende Funktionalität nicht in sein Cloud-Management mit Omada Cloud integriert hat.

Wie Sie gesehen haben, ist es in einer Cloud-Management-Umgebung nicht nur sehr wichtig, das lokale Netzwerk vor möglichen Angriffen zu schützen, sondern auch das herstellereigene Management in der Cloud. Es ist sehr wichtig, ein starkes Zugangspasswort zu verwenden und die zweistufige Authentifizierung zu aktivieren, falls uns diese zur Verfügung steht. Heutzutage ist es am normalsten, eine Plattform zu finden, auf der die zweistufige Authentifizierung unterstützt wird. In diesem Fall haben wir gesehen, dass TP-Link Omada nicht über diese grundlegende Sicherheitsfunktionalität verfügt.