Kuinka suojata tukiasemat ja kytkimet kyberhyökkäyksiltä pilvipalvelun avulla

Suojaa tukiasemat ja kytkimet kyberhyökkäyksiltä

Viime vuosina verkostot ovat kehittyneet kohti hallintaa suoraan pilviJotkut yritysten IT -järjestelmänvalvojat eivät enää käytä paikallisesti hallittavia laitteita, kuten kytkimiä tai tukiasemia, vaan niitä hallitaan suoraan valmistajan pilvestä. Tällä on monia etuja, kuten helppo ja nopea asennus sarjanumeron perusteella, jatkuva seuranta pilvestä ilman valvontajärjestelmien itse määrittämistä ja pääsy kokoonpanoon mistä tahansa. Tänään tässä artikkelissa näytämme sinulle, kuinka voit suojata verkkoasi hyökkäyksiltä, ​​jos hallitset niitä pilvestä.

Mikä on verkon hallinta pilvestä tai pilvestä?

Paikalliset verkot ovat kehittyneet paikallisesta hallinnasta, jossa meidän oli päästävä eri kytkimiin paikallisesti ja jossa meillä oli ohjelmisto tai laitteisto WiFi tukiasemien ohjain, keskitettyyn hallintaan pilvestä. Keskitetyssä hallinnassa pilvessä tai pilvessä voimme hallita koko verkkoa pääreitittimestä eri tukiasemiin, jotka olemme liittäneet kytkimeen, ja kaikki tämä ohjauspaneelin kautta, johon pääsemme verkon kautta, tai myös älypuhelimemme sovelluksen kautta.

Pilvessä olevan verkonhallinnan avulla voimme määrittää globaalilla ja automaattisella tavalla kaikki haluamamme kytkimet ja WiFi -tukiasemat, joten meidän ei tarvitse siirtyä kytkimestä toiseen tekemällä samoja tai samankaltaisia ​​kokoonpanoja, nyt voimme Käytä sitä kaikkiin kytkimiin samanaikaisesti, mikä säästää IT -järjestelmänvalvojilta paljon työtä ja myös paljon aikaa. Sama tapahtuu tukiasemien kanssa, vaikka meillä on jo pitkään ollut WiFi -ohjaimia hallita keskitetysti eri WiFi -tukiasemia, nyt pilvipalvelun hallinta on vieläkin helpompaa, koska meillä voi olla useita tukiasemia eri "sivustoilla" Ja hallitse niitä kaikkia samalla ohjauspaneelilla.

Verkkojen hallinnassa pilvestä on monia positiivisia puolia, kuten:

  • Zero-touch-käyttöönotto, voimme rekisteröidä tukiasemat ja kytkimet ennen niiden liittämistä sähköverkkoon ja rekisteröidä niiden sarjanumerot pilveen lisätäksesi ne luetteloon.
  • Jatkuva ja automaattinen valvonta, sähköpostihälytykset ja push -ilmoitukset.
  • Automaattiset laiteohjelmistopäivitykset tarpeen mukaan tai tietyn aikataulun mukaan.
  • Tallentaa kaikki kokoonpanoon tehdyt muutokset.
  • Roolipohjainen hallinto, kokoonpanojen siirtäminen muille IT-kollegoille.
  • Langallinen ja edistynyt WiFi -liikenneraportit, joissa voimme nähdä yksityiskohtaisesti, mitä verkossa tapahtuu.
  • Etäkäyttö mistä tahansa, vain alustalle on päästävä verkon tai mobiilisovelluksen kautta.
  • Useiden sivustojen hallinta samalla käyttäjätilillä.

Sillä on tietysti myös joitain kielteisiä näkökohtia, kuten aina riippuvuus Internet -yhteydestä muutosten tekemiseen, jatkuvaan seurantaan tai tietueiden lataamiseen reaaliajassa, lisäksi olemme aina riippuvaisia ​​ratkaisun valmistajasta ja Joissakin tapauksissa meidän on maksettava pilven käytöstä, eikä riitä pelkästään laitteistojen ostaminen.

Nyt kun tiedämme verkon pilvipalvelun pääpiirteet, katsotaanpa, kuinka voimme suojata sen kyberhyökkäyksiltä.

Turvallisuussuositukset verkon pilvipalveluille

Voit suojata ammattimaisen lähiverkkosi oikein pilvipalvelun avulla noudatetaan samoja turvallisuussuosituksia kuin paikallisessa johdossa , eli meidän on segmentoitava verkkoliikenne oikein VLAN-verkkoja käyttäen, meidän on määritettävä Spanning-Tree oikein, jotta vältetään hyökkäykset. Tämän protokollan mukaan meidän on myös otettava käyttöön suojaukset, kuten DHCP-salaus ja jopa lieventävät toimenpiteet muun muassa ARP-huijaushyökkäyksille tietysti ohjata kytkimien portteja Port-turvallisuus on jotain perustavaa laatua. Kaikki nämä turvatoimenpiteet ovat edelleen voimassa pilvihallinnassa, koska kaikki nämä protokollat ​​ovat edelleen olemassa, ainoa asia, joka muuttuu, on eri ryhmien hallinto.

Paikallisessa hallinnossa yleisin on a VLAN ja aliverkko, joka on erityisesti tarkoitettu hallintaan eri laitteet (reititin, kytkimet ja WiFi-tukiasemat) ja pääsy tähän VLAN-verkkoon voidaan tehdä hallintaverkosta yhdeltä tai useammalta tietokoneelta suoraan, käyttämällä HTTPS-protokollaa luottamuksellisuuden ja aitouden takaamiseksi. vaihtoehto on yhdistä kautta VPN IPsec, OpenVPN tai WireGuard suoraan palvelimelle joka sijaitsee tässä hallintaverkossa, ja "siirry" eri laitteiden hallintaan suoraan täältä. Tietenkään se ei ole vain tärkeää eristää hallintoverkko oikein muista käyttäjille, on myös erittäin tärkeää käyttää vankkoja käyttäjätietoja ja hyviä salasanoja ongelmien välttämiseksi.

Eri laitteiden, kuten kytkinten ja tukiasemien, viestintä valmistajan pilven kanssa tapahtuu HTTPS: n kautta siksi se käyttää TLS v1.2- tai TLS v1.3 -yhteyksiä, joten meillä on luottamuksellisuus, aitous ja lähetettyjen tietojen eheys, jotta vältetään mahdolliset hyökkäykset laitteiden kommunikointiin valmistajan pilven kanssa .

Hyökkääjän tulee rikkoa sääntöjä, jotta he voivat käyttää etäyhteyttä verkon paikalliseen hallintaan palomuuri vastaavilla hyökkäysten lieventämissäännöillä ja myös heidän IDS / IPS -järjestelmällään, mutta pilvestä tulevan hallinnon avulla heillä ei ole muuta kuin hyökkää tätä hallintoa pilveen yrittäen tehdä raakaa voimaa tai sanakirjahyökkäyksiä kirjautumistiedot. Siirrämme järjestelmän turvallisuuden itse valmistajalle, joka tekee kaikkensa estääkseen tämän tyyppiset hyökkäykset, kuten Google, Microsoft tai mikä tahansa muu yritys suojaa tällä tavalla hallitun paikallisen verkon turvallisuutta oikein. Pilvestä on välttämätöntä suojata käyttöoikeustietosi oikein:

  • Käytä vahvaa salasanaa salasanan luomisessa.
  • Vaihda salasana aika ajoin.
  • Ota kaksivaiheinen todennus käyttöön turvallisuuden lisäämiseksi. Jos salasanamme vuotaa, he eivät pääse käsiksi ilman tätä toista todennustekijää.

Kun tiedämme, miten voimme suojata pilvipalvelutilimme, näytämme sinulle tärkeimmät vaihtoehdot, jotka ovat käytettävissä Nuclias Cloudissa, Aruba Instant Onissa ja myös EnGenius Cloudissa, jotka ovat kolme tässä artikkelissa suositeltua pilvipalveluratkaisua.

Suojausasetukset Nuclias Cloudissa

Nuclias Cloud on valmistajan D-Linkin pilviverkonhallintaratkaisu. Ensimmäinen asia, joka meidän on tehtävä, on rekisteröityä alustalle verkon kautta, sitten siirrymme käyttäjän luo napsauttamalla nimeämme. "Profiilini" -osiossa voimme muuttaa aiemmin asettamaamme salasanaa, D-Link pakottaa salasanat olemaan yli 8 merkkiä, joten se on erittäin hyvä turvatoimenpide. Enimmäispituus on 64 merkkiä, joten voimme luoda vahvan salasanan käyttämällä tärkeimpien selainten salasanageneraattoria.

Nuclias Cloud tukee kaksivaiheista todennusta, ja sen avulla voit valita sähköpostin tai Google Authenticatorin tai minkä tahansa muun TOTP (Temporal One Time Password) -koodilla varustetun todennussovelluksen välillä. Tällä tavalla voimme suojata edelleen D-tili. Linkki pilvessä. Suosittelemme käyttämään Google Authenticatoria, koska koodien luominen tapahtuu hetkessä, eikä meidän tarvitse odottaa, kunnes saamme email postilaatikossamme.

Nämä ovat ainoat vaihtoehdot käyttäjän tilin suojaamiseksi, muut vaihtoehdot, kuten raa'an voiman lieventäminen tai sanakirjahyökkäykset, siirretään pilvipalvelulle, emmekä voi määrittää mitään. Emme myöskään voi määrittää tiliä niin, että vain Espanjan IP -osoitteet voivat kirjautua tilillemme, mikä olisi erittäin suositeltavaa automaattisten hyökkäysten lieventämiseksi.

Suojaamme pääsyn Aruba Instant On -tilillesi

Jos kyseessä on Aruba Instant On, ”Tilinhallinta” -osiossa voimme myös vaihtaa salasanan helposti, tässä tapauksessa merkkien vähimmäismäärä on 10, lisäksi on pakko lisätä numero, iso kirjain ja symboli osoitetuista, jotta voidaan luoda erittäin vankka salasana ja suojata se mahdolliselta raa'alta voimalta tai sanakirjahyökkäyksiltä. Lisäksi sen avulla voimme myös aktivoida kaksivaiheisen todennuksen, tätä varten meidän on vain napsautettava ”Määritä kaksivaiheinen todennus”, syötettävä salasana ja noudatettava ohjeita.

Tässä tapauksessa Aruba Instant On -palvelun kanssa voimme käyttää vain autentikointisovellusta, kuten Google Authenticator, Latch tai Authy, emme voi valita toista todennustekijää sähköpostitse. Meidän on skannattava QR -koodi sovelluksella tai annettava koodi manuaalisesti.

Kuten olet nähnyt, Aruba Instant On sisältää myös perusturvatoimenpiteet tilimme suojaamiseksi pilvessä, mikä on täysin välttämätöntä verkon hallinnan suojaamiseksi.

Määritä suojaus EnGenius Cloudissa

EnGenius Cloudin tapauksessa oikeassa yläkulmassa on valikko, jossa voimme näyttää tärkeimmät suojausasetukset. Täällä meillä on myös mahdollisuus määrittää vahva salasana ja aktivoida kaksivaiheinen todennus. Valmistaja ei kerro meille tässä tapauksessa, mikä on salasanan vähimmäis- tai enimmäispituus, jonka voimme antaa, mutta kaikkein tavallisin asia on luoda salasana suoraan Firefox or kromi verkkoselaimella on vankka salasana.

Kaksivaiheinen todennus perustuu myös TOTP-protokollaan, jossa käytetään Google Authenticatorin kaltaista autentikointisovellusta tai muita vastaavia työkaluja. Tällä tavalla ei ole vain tarpeen syöttää pääsykoodia, vaan meidän on myös syötettävä älypuhelimemme sovelluksen dynaamisesti luoma koodi.

Kuten olet nähnyt, EnGenius Cloudilla on myös mahdollisuus määrittää kaksivaiheinen todennus, mutta kaikki pilviverkon hallintajärjestelmät, kuten TP-Link Omada, eivät sisällä sitä.

TP-Link Omada

TP-Link Omadan tapauksessa meillä on vain mahdollisuus asettaa salasana pilveen pääsemiseksi, sillä ei ole kaksivaiheista todennusjärjestelmää käyttäjän henkilöllisyyden oikeaksi tarkistamiseksi, meillä on vain pääsyposti ja salasana jonka olemme määrittäneet. Ottaen huomioon, että kaksivaiheinen todennus on läsnä lähes kaikissa Internet-palveluissa, on selittämätöntä, miten on mahdollista, että TP-Link ei ole sisällyttänyt tätä erittäin tärkeää ja perustoimintoa pilvihallintaan Omada Cloudin kanssa.

Kuten olet nähnyt, pilvihallintaympäristössä ei ole vain erittäin tärkeää suojata paikallista verkkoa mahdollisilta hyökkäyksiltä, ​​vaan myös valmistajan oma hallinta pilvessä. On erittäin tärkeää käyttää vahvaa salasanaa ja aktivoida kaksivaiheinen todennus, jos se on saatavilla. Nykyään tavallisinta on löytää alusta, jossa kaksivaiheista todennusta tuetaan, tässä tapauksessa olemme nähneet, että TP-Link Omada ei tarjoa tätä perusturvatoimintoa.