Cum să protejezi AP-urile și comutatoarele de atacurile cibernetice cu gestionarea cloud-ului

Protejați AP-urile și comutatoarele de atacurile cibernetice

În ultimii ani, rețelele au evoluat către management direct de la Cloud, unii administratori IT din companii nu mai implementează echipamente precum switch-uri sau AP-uri care sunt gestionate local, ci sunt gestionate direct din cloud-ul producătorului. Acest lucru are multe avantaje, cum ar fi o instalare ușoară și rapidă bazată pe numărul de serie, monitorizarea continuă din cloud fără a fi nevoie să configurăm singuri sistemele de monitorizare și accesul la configurație de oriunde. Astăzi, în acest articol, vă vom arăta cum vă puteți proteja rețeaua de atacuri dacă le gestionați din cloud.

Ce este gestionarea rețelei din cloud sau cloud?

Rețelele locale au evoluat de la managementul local, unde a trebuit să accesăm diferitele switch-uri la nivel local și unde am avut un software sau hardware WiFi controler pentru puncte de acces, la management centralizat din cloud. Într-un management centralizat în cloud sau cloud, putem gestiona întreaga rețea de la routerul principal la diferitele puncte de acces pe care le-am conectat la switch și toate acestea printr-un panou de control cu ​​care vom accesa prin web sau de asemenea, printr-o aplicație de pe smartphone-ul nostru.

Cu o gestionare a rețelei în cloud putem configura într-un mod global și automat toate comutatoarele și punctele de acces WiFi pe care le dorim, în acest fel, nu va trebui să mergem comutator cu comutator făcând aceleași configurații sau similare, acum putem aplicați-l simultan la toate comutatoarele, economisind multă muncă și mult timp administratorilor IT. La fel se întâmplă cu AP-urile, deși de mult timp avem controlere WiFi pentru a gestiona central diferite puncte de acces WiFi, acum este chiar mai ușor cu gestionarea în Cloud, deoarece putem avea mai multe AP-uri implementate de diferite „Site-uri” Și gestionați-le pe toate de la același panou de control.

Gestionarea rețelelor din cloud are multe aspecte pozitive, cum ar fi:

  • Implementarea zero-touch, vom putea înregistra AP-urile și comutatoarele înainte de a le conecta la rețeaua electrică, înregistrându-le numărul de serie în cloud pentru a le adăuga la inventar.
  • Monitorizare continuă și automată, cu alerte prin e-mail și notificări push.
  • Actualizări automate de firmware, la cerere sau într-un program specific.
  • Înregistrează toate modificările aduse configurației.
  • Administrare bazată pe roluri, pentru a delega configurații altor colegi IT.
  • Rapoarte de trafic WiFi cu fir și avansate, unde putem vedea în detaliu ce se întâmplă în rețea.
  • Acces de la distanță de oriunde, este necesar doar să accesați platforma prin web sau cu aplicația mobilă.
  • Administrarea mai multor site-uri cu același cont de utilizator.

Desigur, are și unele aspecte negative, cum ar fi întotdeauna în funcție de o conexiune la Internet pentru a face orice modificări, pentru monitorizarea continuă sau pentru a încărca înregistrările în timp real, în plus, vom depinde întotdeauna de producătorul soluției și , în unele cazuri, trebuie să plătim pentru utilizarea cloud-ului și nu numai că este suficient să cumpărăm echipamente hardware.

Acum, că știm principalele caracteristici ale gestionării rețelei dvs. în cloud, să vedem cum o putem proteja de atacurile cibernetice.

Recomandări de securitate pentru gestionarea în cloud a rețelei dvs.

Pentru a vă proteja în mod corespunzător rețeaua locală profesională cu un management Cloud, sunt urmate aceleași recomandări de securitate ca într-un management local , adică trebuie să segmentăm corect traficul de rețea utilizând VLAN-uri, va trebui să configurăm corect Arborele de extindere pentru a evita atacurile. La acest protocol, ar trebui să activăm și protecții precum DHCP Snooping și chiar măsuri de atenuare a atacurilor ARP Spoofing printre altele , desigur, controlul porturilor comutatoarelor cu Port-Securitate este ceva fundamental. Toate aceste măsuri de securitate sunt încă în vigoare într-un management cloud, deoarece toate aceste protocoale sunt încă prezente, singurul lucru care se schimbă este în fața administrării diferitelor echipe.

Cu managementul local, cel mai frecvent este să aveți un VLAN cu o subrețea special dedicată gestionării diferitele echipamente (router, switch-uri și puncte de acces WiFi), iar accesul la acest VLAN se poate face din rețeaua de administrare de la unul sau mai multe computere direct, folosind HTTPS pentru a avea confidențialitate și autenticitate punct la punct, un altul foarte interesant opțiunea este de a conectați prin VPN cu IPsec, OpenVPN sau WireGuard direct la un server care se află în această rețea de gestionare și „sări” la gestionarea diferitelor dispozitive direct de aici. Desigur, nu este important doar să izolează corect rețeaua de administrare de alta utilizatori, este de asemenea foarte important să utilizați acreditări de utilizator robuste, cu parole bune pentru a evita problemele.

Comunicarea diferitelor dispozitive, cum ar fi switch-uri și AP-uri, cu cloud-ul producătorului se face prin HTTPS , prin urmare, folosește conexiunile TLS v1.2 sau TLS v1.3, deci vom avea confidențialitate, autenticitate și integritatea datelor transmise, pentru a evita posibilele atacuri asupra comunicării dispozitivelor cu cloud-ul producătorului .

Pentru a accesa de la distanță administrarea locală a unei rețele, un atacator ar trebui să încalce firewall cu regulile corespunzătoare de atenuare a atacurilor și, de asemenea, cu IDS / IPS, totuși, cu managementul din cloud, singurul lucru pe care îl vor avea Ce să facă este să atace acest management în cloud, încercând să efectueze atacuri de forță brută sau dicționar asupra acreditări de acces. Delegăm securitatea sistemului producătorului însuși, care va depune toate eforturile pentru a preveni acest tip de atac, ca Google, Microsoft sau orice altă companie face, în acest fel, pentru a proteja corect securitatea rețelei locale gestionate. Din Cloud este esențial să vă protejați corect acreditările de acces:

  • Utilizați o parolă puternică pentru acces, urmând politicile de bază de creare a parolei.
  • Schimbați parola din când în când.
  • Activați autentificarea în doi factori pentru securitate suplimentară. Dacă parola noastră este scursă, aceștia nu vor putea accesa fără acest al doilea factor de autentificare.

Odată ce știm cum ne putem proteja contul de gestionare a cloud-ului, vă vom arăta principalele opțiuni disponibile în Nuclias Cloud, Aruba Instant On și, de asemenea, în EnGenius Cloud, cele trei soluții de gestionare a cloud-ului pe care le recomandăm cel mai mult în acest articol.

Setări de securitate în Nuclias Cloud

Nuclias Cloud este soluția de gestionare a rețelei cloud de la producătorul D-Link, primul lucru pe care trebuie să-l facem este să ne înregistrăm pe platformă prin web, apoi mergem la utilizatorul nostru făcând clic pe numele nostru. În secțiunea „Profilul meu” putem schimba parola pe care am setat-o ​​anterior, D-Link forțează parolele să fie mai mari de 8 caractere, prin urmare, este o măsură de securitate foarte bună. Maximul este de 64 de caractere, deci putem folosi generatorul de parole al principalelor browsere web pentru a crea o parolă puternică.

Nuclias Cloud acceptă autentificarea cu doi factori, în plus, vă permite să alegeți între autentificarea prin e-mail sau folosind Google Authenticator sau orice altă aplicație de autentificare cu coduri TOTP (Temporal One Time Password), în acest fel, putem proteja și mai mult D- cont. Link în cloud. Recomandarea noastră este să utilizăm Google Authenticator, deoarece generarea codurilor este ceva instantaneu și nu trebuie să așteptăm până când primim e-mail în căsuța noastră de e-mail.

Acestea sunt singurele opțiuni pentru protejarea contului utilizatorului, restul opțiunilor, cum ar fi atenuarea forței brute sau atacurile din dicționar, sunt delegate serviciului cloud și nu putem configura nimic. Nici nu putem configura contul astfel încât numai IP-urile din Spania să se poată conecta cu contul nostru, lucru care ar fi foarte recomandat pentru a atenua atacurile automate.

Protejarea accesului la contul dvs. Aruba Instant On

În cazul Aruba Instant On, în secțiunea „Administrarea contului” putem schimba parola cu ușurință, în acest caz, numărul minim de caractere este 10, în plus, este obligatoriu să includeți un număr, o literă mare și un simbol al celor indicate, pentru a crea o parolă foarte robustă și a o proteja împotriva posibilelor forțe brute sau atacuri de dicționar. În plus, ne va permite, de asemenea, să activăm autentificarea în doi factori, pentru aceasta, va trebui pur și simplu să facem clic pe „Configurare autentificare în doi factori”, să introducem parola și să urmăm pașii.

În acest caz, cu Aruba Instant On putem folosi doar o aplicație de autentificare, cum ar fi Google Authenticator, Latch sau Authy, printre altele, nu vom avea opțiunea celui de-al doilea factor de autentificare prin e-mail. Va trebui să scanăm codul QR cu aplicația sau să introducem codul manual.

După cum ați văzut, Aruba Instant On încorporează, de asemenea, măsurile de securitate de bază pentru a ne proteja contul în cloud, ceva absolut necesar pentru a proteja gestionarea rețelei noastre.

Configurați securitatea pe EnGenius Cloud

În cazul EnGenius Cloud, meniul din dreapta sus este locul în care putem afișa principalele opțiuni de securitate. Aici vom avea și posibilitatea de a configura o parolă puternică și de a activa autentificarea în doi pași. Producătorul nu ne spune, în acest caz, care este lungimea minimă sau maximă a parolei pe care o putem introduce, totuși, cel mai normal lucru este să o generăm direct cu Firefox or Chrome browserul web pentru a avea o parolă robustă.

Autentificarea în doi factori se bazează și pe TOTP, utilizând o aplicație de autentificare precum Google Authenticator sau alte instrumente similare. În acest fel, nu este necesar doar să introducem codul de acces, dar va trebui să introducem și codul generat dinamic de aplicația smartphone-ului nostru.

După cum ați văzut, EnGenius Cloud are, de asemenea, capacitatea de a configura autentificarea în doi pași, cu toate acestea, nu toate sistemele de gestionare a rețelei cloud o încorporează, cum ar fi TP-Link Omada.

TP-Link Omada

În cazul TP-Link Omada, avem doar posibilitatea de a seta o parolă pentru a accesa cloud-ul, nu are niciun sistem de autentificare în doi pași pentru a verifica corect identitatea utilizatorului, vom avea doar e-mailul de acces și parola pe care le-am configurat. Având în vedere că autentificarea în doi factori este prezentă în aproape orice serviciu de internet, este inexplicabil cum este posibil ca TP-Link să nu fi încorporat această funcționalitate foarte importantă și de bază în gestionarea cloud-ului său cu Omada Cloud.

După cum ați văzut, într-un mediu de gestionare a cloud-ului nu este foarte important să protejați rețeaua locală împotriva posibilelor atacuri, ci și managementul propriu al producătorului în cloud. Este foarte important să utilizați o parolă de acces puternică și să activați autentificarea în doi pași dacă o avem disponibilă. În zilele noastre, cel mai normal este să găsim o platformă în care să fie acceptată autentificarea în doi pași, în acest caz, am văzut că TP-Link Omada nu are această funcționalitate de securitate de bază.