Talvez confies que o teu Wi-Fi é suficientemente seguro porque já estás consciente da segurança. Leste as notícias. Instituíste uma formação de segurança obrigatória. Adotaste vários processos e ferramentas para proteger a tua escola, incluindo software anti-malware e extensas medidas anti-phishing. Isso é tudo muito importante.
No entanto, a segurança da sua rede e dos dados a que esta dá acesso depende de saber como e por quem a sua rede é acedida — e de barrar quem não deveria estar nela. Algumas formas amplamente adotadas de tentar fazer isto estão longe de ser suficientemente boas.
A segurança do acesso Wi-Fi pode ser a grande falha na segurança da sua rede.
As PSKs ameaçam a segurança do seu Wi-Fi
Se você usa ou permite palavras-passe Wi-Fi partilhadas (também conhecidas como chaves pré-partilhadas ou PSKs) e faz rotações essas palavras-passe a cada trimestre ou semestre, a tua segurança de acesso Wi-Fi é fraca. Mesmo que a tua palavra-passe partilhada seja complexa, continua a ser pública. Pode ser transmitido a qualquer pessoa.
Uma palavra-passe de Wi-Fi partilhada também pode ficar na posse de pessoas que já não deveriam ter acesso à sua rede — incluindo aquelas que saem ressentidas. Em 2022, a Beyond Identity concluiu que a ameaça representada por ex-funcionários tinha aumentado 83%. Há uma boa razão: é demasiado fácil para as pessoas que saem de uma organização manterem o acesso a palavras-passe de Wi‑Fi partilhadas.
Palavras-passe comprometidas, fracas ou roubadas têm sido o principal meio pelo qual os criminosos conseguem violar redes — mais de 80%, segundo a Beyond Identity. As palavras-passe de Wi‑Fi partilhadas colocam a sua rede em risco.
Autenticação com endereços MAC é igualmente ruim ou pior.
Usar endereços MAC para autenticação pode parecer melhor do que usar palavras-passe partilhadas, porque os endereços baseados em MAC são exclusivos de cada dispositivo. Mas, de certa forma, os endereços MAC são ainda piores.
A U.S. Cybersecurity, um serviço que ajuda as empresas em todos os aspetos da segurança das suas redes, diz que o erro número um que as organizações cometem em relação aos endereços MAC é confiar neles para autenticação. Com um esquema de autenticação na sua rede baseado em endereços MAC, cada endereço MAC é enviado em texto simples pela rede, tornando a sua rede fácil de violar.
Com o endereço MAC em texto simples, é fácil para um hacker capturá-lo. Assim que tiverem o endereço MAC de um dispositivo, podem usar uma ferramenta facilmente disponível, como MAC Changer, para alterar o endereço MAC no seu próprio dispositivo, de modo a corresponder ao do dispositivo em que a sua rede confia. Disfarçado de utilizador autorizado, o criminoso que realiza este spoofing de MAC infiltra-se na sua rede e pode obter acesso a mais credenciais e aos servidores que alojam os dados mais sensíveis da sua instituição.
A autenticação baseada em endereço MAC não mantém o Wi-Fi seguro.
Com qualquer um dos métodos, há risco.
A autenticação Wi-Fi com PSKs e a autenticação com endereços MAC têm ambas falhas graves. Nenhum dos métodos de autenticação permite associar todos os dispositivos a um utilizador nem avaliar a postura de segurança de um dispositivo.
Se a sua organização usar PSKs ou endereços MAC para autenticar a respetiva rede Wi-Fi, os cibercriminosos podem atacá-la. Os ciberataques afetam todas as partes da comunidade ligada a uma empresa ou escola. Uma violação numa rede escolar afeta todos os envolvidos — alunos, professores, administradores, funcionários e pais.
O custo de um ciberataque é enorme. É provável que isso custe milhões de dólares à sua organização e comprometa a confiança de toda a comunidade que interage com ela.
O que devo fazer?
Deve deixar de usar palavras-passe partilhadas de Wi‑Fi ou endereços MAC como método de autenticação.
No mínimo, precisa de nomes de utilizador e palavras-passe de Wi-Fi seguros e exclusivos para cada utilizador individual que use a sua rede. Essas credenciais devem ser armazenadas de forma segura no seu sistema de gestão de identidades, como o Microsoft Azure AD (Entra ID). Isto elimina credenciais de Wi-Fi partilhadas e credenciais em texto simples.
Uma forma ainda mais segura de proteger uma rede é uma abordagem de autenticação sem palavra-passe — uma abordagem de confiança zero. Tira partido da PKI com o protocolo EAP-TLS para emitir certificados para cada dispositivo e utilizador individual. Nada é partilhado e não são necessárias palavras-passe. A validação é rápida, fácil e segura.
O RADIUS é a base
O protocolo RADIUS é uma norma do setor para controlo de acesso. Fornece a utilizadores e dispositivos acesso seguro e autenticado ao Wi‑Fi e às redes ligadas. A equipa de TI pode atribuir diferentes privilégios de acesso a diferentes funções. As pessoas só têm acesso à informação a que devem ter acesso.
O RADIUS é considerado um protocolo AAA porque fornece autenticação, autorização e contabilização para o acesso Wi-Fi. AAA significa que as credenciais são autenticadas e que apenas utilizadores válidos estão autorizados a usar a rede. Isso mantém o acesso à rede seguro. AAA também significa o registo preciso de quando cada utilizador e dispositivo acede à rede e a abandona.
É necessária uma contabilidade clara não só para as equipas de TI, mas também para cumprir as diretrizes estabelecidas pelos organismos reguladores aos quais as empresas e as instituições de ensino prestam contas. Um protocolo AAA aborda os três aspetos de proteger e acompanhar o acesso Wi‑Fi.
Foxpass Cloud RADIUS: uma solução simples e segura.
A Splashtop - nomeada Fornecedora de Segurança do Ano nos 2023 SDC IT Awards—tem uma forma comprovada, clara, simples e económica de proteger o acesso Wi-Fi: Foxpass cloud RADIUS. Foxpass Cloud RADIUS by Splashtop é uma solução RADIUS que pode proteger o acesso ao teu Wi-Fi sem criar encargos para as TI, o teu orçamento ou os teus utilizadores.
Foxpass Cloud RADIUS liga-se diretamente à sua infraestrutura de gestão de dispositivos móveis, como Intune ou Jamf, para uma configuração eficiente do certificado. Além disso, o Foxpass cloud RADIUS sincroniza-se facilmente com o Google, Okta e Microsoft Entra ID para permitir um fácil onboarding de utilizadores e um offboarding automático quando os utilizadores deixam a sua organização.
Foxpass Cloud RADIUS também é totalmente compatível como uma solução complementar ao Microsoft cloud PKI, que é adaptado explicitamente para proteger o acesso a redes Wi-Fi e VPNs e está disponível como parte do Microsoft Intune Suite.
Foxpass cloud O RADIUS é escalável e tolerante a falhas, com servidores que abrangem vários centros de dados e sem um único ponto de falha. Recebes registos de atividade claros e detalhados que te dão a contabilidade de que precisas para gerir o teu controlo de acesso à rede e cumprir as normas regulamentares. E porque o Foxpass Cloud RADIUS suporta vários SSIDs, podes manter as tuas diferentes redes, tais como as dos alunos e dos funcionários da escola, distintas e seguras.
Foxpass Cloud RADIUS protege o Wi-Fi de uma forma fácil para todos os seus utilizadores e para a TI, diminuindo em vez de aumentar a carga da TI. Com Foxpass Cloud RADIUS, podes proteger os teus dados e o teu pessoal do caos de uma forma simples e direta.
A Splashtop é líder em soluções remotas que simplificam o trabalho e a aprendizagem a partir de qualquer lugar do mundo. A Splashtop adquiriu a Foxpass em 2023 para adicionar a sua solução RADIUS bem-sucedida e fácil de utilizar, da qual milhares de utilizadores já dependem, às soluções de educação e empresariais que a Splashtop oferece.
Saiba mais sobre o Foxpass Cloud RADIUS ou inicie já uma avaliação gratuita!
Conteúdo Relacionado
Foxpass Cloud RADIUS e Microsoft Cloud PKI para autenticação Wi-Fi
Eduroam Melhorado: Foxpass como o teu servidor RADIUS global seguro
FreeRadius para Wi-Fi Seguro? Aqui está uma alternativa melhor
