Marshal de aire, reimaginado

Las listas blancas SSID, las listas negras y la funcionalidad de alerta llegan a Air Marshal.

Afuera con lo viejo

A principios de 2012, una nueva empresa que comenzó a hacer olas en la industria de las redes introdujo una nueva característica para su línea de puntos de acceso. Esta startup se llamaba Meraki, y la característica lanzada fue Air Marshal. En ese momento, la funcionalidad satisfacía los requisitos de seguridad de una red inalámbrica típica: contención automática de puntos de acceso no autorizados vistos en la LAN, contención de palabras clave de SSID, escaneo programado de Air Marshal y la capacidad de configurar puntos de acceso adicionales como sensores de Air Marshal para ronda- Protección las 24 horas.

Con la introducción del MR34 en 2013, Cisco Meraki presentó la radio de escaneo dedicada y esto tomó por asalto a la industria de Wi-Fi. Los administradores ya no tendrían que elegir entre rendimiento o seguridad. Con la radio de exploración dedicada, el MR ahora era capaz de atender a los clientes mientras escuchaba simultáneamente todo el espectro de RF, protegiendo a los clientes de AP malintencionados.

La vigilancia constante de las redes inalámbricas sigue siendo importante, pero las tendencias recientes en ciberseguridad y el crecimiento de Internet de las cosas (IoT) requieren una mayor flexibilidad a la hora de proteger las redes inalámbricas.

La lista negra

No, James Spader no prestará su mano para proteger su red inalámbrica. Pero, al igual que su personaje en el popular programa de televisión, Air Marshal trabajará para eliminar (o contener) todos los SSID que se encuentran en «la lista». Dejando de lado los programas de televisión, Air Marshal tradicionalmente simplificó la automatización de la contención de SSID falsos que se ven en la LAN, o contienen SSID que coinciden con una palabra clave.

Sin embargo, algunos entornos pueden tener una red compuesta por múltiples proveedores, o pueden ser parte de un espacio de trabajo de colaboración donde numerosas compañías pueden presentar sus propias WLAN, conectando a la misma infraestructura de red cableada. En este caso, la contención automática de pícaros vistos en LAN no funcionará, ya que los AP no Meraki dejarían de funcionar para sus clientes.

Pero los administradores ya no tienen que renunciar a sus capacidades de seguridad. Con el nuevo dashboard de listas negras de SSID de Air Marshal, los SSID falsos no se incluirán automáticamente, pero las reglas de seguridad se pueden configurar para que coincidan en una variedad de condiciones que permitan bloquear una red accesible con controles de seguridad finamente ajustados.

Las reglas de seguridad pueden coincidir en cuatro condiciones diferentes: coincidencias exactas, coincidencias de direcciones MAC, coincidencias de palabras clave y coincidencias con comodines. Las reglas definidas en el dashboard de la lista negra de SSID coincidirán con los SSID que se ven en LAN, así como con otros SSID que son «escuchados» por los AP Meraki pero que no se encuentran en la LAN. Cualquier coincidencia dará como resultado que los MR dentro de la vecindad del SSID corrupto u otro contengan activamente el SSID, haciendo que el SSID ofensivo sea inútil para los clientes que desean conectarse. Las coincidencias exactas coincidirán en el SSID visto (ya sea que el SSID se vea en la LAN o no), mientras que las reglas de palabras clave ignorarán los caracteres circundantes y coincidirán solo con la palabra clave especificada. Los BSSID (direcciones MAC utilizadas para identificar una red Wi-Fi) se pueden comparar si se necesita contener radios específicas (2.4 GHz o 5 GHz) que están transmitiendo.

La combinación de comodines proporciona la mayor flexibilidad. Los comodines se pueden usar para sustituir una cadena de caracteres con un solo * o un solo carácter con un solo?. Por ejemplo, una regla de comodín de lista negra SSID puede coincidir con el siguiente texto: «12345». Si el MR detecta un SSID que transmite «Guest-12345», ese SSID estará contenido. Si la regla está configurada para coincidir en ‘Guest-12? 45’ y el MR detecta una transmisión SSID ‘Guest-12345’ o ‘Guest-12Z45’, ese SSID también estará contenido.

Sin embargo, el simple hecho de contener el SSID no es suficiente. Los administradores a menudo quieren ser conscientes de los SSID corruptos que están siendo detectados y asegurados por sus puntos de acceso MR. Como tal, si el administrador ha configurado alertas de correo electrónico o syslog en su dashboard de Meraki, se mantendrá informado de sus reglas de seguridad en acción.

Buenas noticias, estás en la lista (blanca)

Aparentemente, cada dos días, una nueva compañía aparece en los medios como la última víctima de un ataque de ciberseguridad. Las redes inalámbricas a menudo se consideran el borde de la infraestructura de red, la primera línea de defensa en muchos casos. Como resultado, muchos administradores y equipos de seguridad quieren contener automáticamente SSID no autorizados que se ven en la LAN. Si bien esto otorga el más alto nivel de cumplimiento de la seguridad, pueden surgir problemas de interoperabilidad al tener en cuenta la frecuencia con la que los adaptadores de pantalla inalámbricos y los dispositivos IoT se conectan a la red.

En la empresa moderna, los cables HDMI se están reemplazando con adaptadores Wi-Fi Direct para que el uso compartido de pantalla y la transmisión de vídeo sean simples e intuitivos. En la mayoría de los casos, estos dispositivos Wi-Fi Direct (un adaptador y un dispositivo cliente, como una PC, impresora o control remoto) a menudo se comunican en su propia red inalámbrica recién creada. Suena bastante fácil … excepto por un pequeño problema. Este no es un SSID que se transmite por sus puntos de acceso de MR, y en muy poco tiempo, los marcos de autenticación se envían por el aire en un esfuerzo por proteger sus dispositivos del presunto intruso. Mientras el equipo de seguridad se regocija, el administrador de la red todavía está trabajando para encontrar una manera de incluir estos dispositivos en la lista blanca para que la seguridad se pueda mantener con la flexibilidad suficiente para las operaciones diarias de los empleados. Ingrese la tabla de la lista blanca SSID:

Las caras recién conocidas están aquí cuando se trata de la forma en que los SSID se pueden combinar para incluirlos en la lista blanca. Se pueden utilizar coincidencias exactas, palabras clave, MAC y comodines. Sin embargo, a diferencia del dashboard de la Lista negra de SSID, la tabla de la lista blanca no enviará alertas por correo electrónico ni mensajes de registro del sistema cuando coincidan los SSID.

Alerta, pero no toque

Puede haber casos en los que los administradores deseen recibir alertas cuando ciertos SSID se «vean» en la LAN o se «escuchen» en el aire, sin tomar ninguna acción específica de la lista negra o la lista blanca. Utilizando las mismas condiciones de coincidencia disponibles para las tablas Lista negra SSID y Lista blanca SSID, también se pueden configurar reglas de seguridad de alerta. Estas alertas se enviarán por correo electrónico y alertas de syslog, si están configuradas.

Con lo nuevo

La seguridad ha estado a la vanguardia de Meraki desde la introducción de Air Marshal en 2012. Con las últimas mejoras realizadas a Air Marshal, se pueden configurar nuevas reglas de seguridad para que coincidan en una variedad de condiciones, lo que permite a los administradores implementar políticas de seguridad granulares que son flexibles para el lugar de trabajo moderno Estas nuevas características de Air Marshal abarcan la rápida innovación hecha posible por el dashboard de instrumentos Meraki. Las nuevas mejoras de Air Marshal están disponibles de forma gratuita para los clientes existentes de MR como parte de una actualización perfecta del dashboard. Para la funcionalidad de la lista blanca SSID y de alertas SSID, la red MR debe configurarse con el firmware MR25.9 o superior. Visite nuestra documentación para obtener más información sobre la configuración de Air Marshal.