自物联网设备问世以来,它们在企业中的使用持续爆炸式增长。虽然这些设备增加的功能越来越有价值,但它们带来的安全影响仍然是不变的。您组织中的设施和其他团队可以在大楼的任何地方安装传感器,并将任务自动化,跟踪库存并获得比以往任何时候都更好的信息。
它们是如何连接在一起的?通常情况下,这些设备只能通过a连接到Wi-Fipre-shared关键(相移键控)。IT管理员已经知道发放pks本身就是一个安全漏洞,特别是当他们不得不将pks交给任何想要安装传感器的供应商时。
我看到一个组织有15个ssid广播。15 !我们都曾与“只添加一个新的SSID”的恐惧作过斗争,但有时我们会迫于压力而违背最佳实践进行配置。通常,压力来自企业主,他们只是想完成他们的项目,并开始使用他们花费了所有时间和金钱部署的产品。
当我们不给他们一个新的SSID时,他们会要求现有的PSK。不幸的是,分发PSK给我们的客户端带来了一个漏洞,使通信能够被解密。要攻击此漏洞,只需攻击者捕获客户端身份验证期间的四次握手即可。虽然这是一个小规模的攻击,但它可以很容易地执行几个反认证数据包和捕获流Wireshark。
现在,我们真的让我们的商业伙伴很失望。我们不会给他们SSID,也不会给他们PSK。说实话,他们为什么要等我们?为什么我们不能给我们的商业伙伴他们所期望的无线体验呢?为什么我们不能让物联网设备在没有IT部门任何特殊帮助的情况下进入网络呢?
在来Aruba的多重预共享密钥(MPSK)解决方案。MPSK允许IT管理员维护一个集中的环境,其中所有物联网psk都位于现有的环境中ClearPass6.8 +部署。拥有注册新设备权限的用户可以简单地输入新设备的MAC地址,接收PSK,然后离开比赛。
由于我们正在利用ClearPass的强大功能,我们可以在注册过程中为设备分配一个标签,这个过程可以用来分配一个设备角色。例如,这将允许您的医疗泵具有正确的访问权限,同时允许同一SSID上的HVAC控制器不能与您的医疗系统进行任何通信。更接近终端设备本身的细分市场的进一步扩展有助于进一步减少你成为下一个的机会目标数据。
关于动态分割和ClearPass Device Insight的进一步解释,可以在联网后帮助保护你的物联网设备,请查看我的帖子分割和可见性简化了网络管理和安全。
相关内容
使用MPSK简化IoT身份验证
阅读我的其他博客
