Ne mettez pas vos sales pattes sur mon MiFi – pourquoi les politiques de lutte contre les attaques malveillantes sont importantes | NETSCOUT

Ne mettez pas vos sales pattes sur mon MiFi – pourquoi les politiques de lutte contre les attaques malveillantes sont importantes

Récemment, la FCC a annoncé qu'elle avait condamné l'établissement Marriott à verser une amende de 600 000 $ pour avoir « intentionnellement manipulé et désactivé des réseaux Wi-Fi » à l'hôtel Gaylord Opryland à Nashville, dans le Tennessee. La décision de la FCC découle de la plainte d'un invité en mars 2013 qui affirmait que son point d'accès mobile ne parvenait pas à maintenir une connexion dans la salle de bal du centre des congrès. Plus précisément :

« Le plaignant a allégué que l'établissement Gaylord Opryland brouillait le point d'accès mobile afin de ne pas laisser les utilisateurs s'en servir au sein de l'espace de la convention ». Marriott a admis qu'un ou plusieurs de ses employés s'est servi de fonctions de confinement d'un système de surveillance Wi-Fi au sein de l'établissement Gaylord Opryland afin d'empêcher les consommateurs de se connecter à Internet par le biais de leurs propres réseaux Wi-Fi personnels. Le Bureau a étudié cette question pour évaluer la conformité du Marriott avec la Section 333 de la Loi. »

« Au cours de son enquête, le Bureau a découvert qu'un ou plusieurs employés du Marriott avaient utilisé les capacités de confinement décrites au paragraphe 5 d'une manière que le Bureau juge contraire à ce qui est énoncé à la section 333 et viendrait constituer une infraction. Plus précisément, ces employés avaient utilisé cette fonctionnalité pour empêcher aux utilisateurs de se connecter à Internet par le biais de leurs propres réseaux Wi-Fi personnels alors que ces utilisateurs ne posaient pas une menace pour la sécurité du réseau du Gaylord Opryland ou de ses clients. »

En rendant sa décision, la FCC a observé :

« L'utilisation croissante des technologies qui bloquent illégalement les consommateurs et les empêchent de créer leurs propres points d'accès réseaux Wi-Fi via leurs appareils personnels sans justification empêche les consommateurs de profiter des services qu'ils ont payé et fait obstacle à la commodité et à l'innovation associées à un accès Internet Wi-Fi. »

Est-ce que cette décision est une bonne ou mauvaise nouvelle ?
Cette décision est rassurante pour les consommateurs (comme moi) qui voyagent régulièrement et se servent d'un point d'accès mobile – sur smartphone ou de type « MiFi. » Il y a plusieurs raisons valides à l'utilisation d'un point d'accès mobile, y compris des arguments de coût, de sécurité, de performance et de prévisibilité. Lorsque je suis confronté à un point d'accès public sans aucune garantie en matière de sécurité, je préfère largement « apporter mon propre point d'accès » en utilisant le haut débit mobile de mon smartphone.

Mais cette décision soulève également de réelles inquiétudes parmi les professionnels de WLAN de l'entreprise qui font usage des capacités de détection et de prévention d'appareils malveillants pour protéger l'espace aérien de leur entreprise. Bien que je ne sois pas juriste, ma lecture de la présente décision de la FCC me dit qu'il n'y a aucune raison de paniquer, sous réserve que votre organisation utilise des politiques et outils de prévention et de détection des appareils malveillants bien conçus, précis et très ciblés.

Pour commencer, notez l'expression « d'une manière que le Bureau juge contraire à ce qui est énoncé à la section 333 et viendrait constituer une infraction » : il s'agit du brouillage, une méthode radicale au confinement du réseau sans fil. Bien que le jugement stipule également que la méthode de confinement sans fil utilisée par Marriott était la désauthentification de trames, cette formulation suggère que le confinement a été utilisé de manière trop large, interférant avec toute utilisation de points d'accès personnels.

Plus important encore, notez la phrase « lorsque ces utilisateurs ne posent pas de menace pour la sécurité du réseau [de l'hôtel] ou de ses clients. » Cela implique que les actions du Marriott auraient été jugées acceptables par la FCC si leur but était en effet la prévention des menaces. Il semble que la FCC accepte que les opérateurs WLAN aient le droit de défendre leurs propres réseaux (ou utilisateurs) d'attaques ; ce que les opérateurs ne peuvent pas faire, c'est arbitrairement empêcher les consommateurs d'utiliser des dispositifs approuvés par la FCC pour créer leurs propres réseaux locaux sans fil.

Ces phrases me portent à croire que les politiques et les instruments sont bien conçus, précis et très ciblés et sont le moyen pour éviter de contrevenir à cette décision de la FCC.

Gérer vos méthodes
Après avoir utilisé une variété de capacités de gestion et de confinement des périphériques malveillants basées sur WIPS et de points d'accès intégrés, je sais qu'il existe de réelles différences en matière de précision de la classification des périphériques malveillants, et le niveau de détails qui peut être atteint grâce à la politique. La détection d'appareils malveillants basée sur une classification grossière : « vous êtes soit de notre côté soit contre nous » fait perdre beaucoup de temps en venant déclencher de fausses alarmes. Si celle-ci est configurée pour bloquer tous les appareils malveillants présumés sans fil, ce type d'approche mécontentera également vos voisins proches et vos visiteurs.

More sophisticated rogue management tools – including NETSCOUT AirMagnet Enterprise -- can apply automated tracing and other meaningful criteria to quickly and reliably differentiate between unknown APs and “true rogues.” Par exemple, est-ce que le point d'accès inconnu est physiquement connecté à un port de commutateur à l'intérieur de votre réseau ? Le point d'accès inconnu est situé dans une zone restreinte de votre établissement, interdite aux consommateurs ? Quel genre de dispositif le point d'accès inconnu est-il ; est-ce qu'il émet des attaques sur le trafic ? Avoir conscience de la situation et des capacités de réponse avec précision à ces problèmes peut diminuer ces fausses alertes, et vous aider à vous concentrer sur les appareils malveillants à haut risque.

En fin de compte, cette décision de la FCC traite du confinement de ces périphériques malveillants, pas de leur détection. Un outil qui offre un choix binaire, soit désauthentifier ou ignorer, ne laisse pas de place pour les erreurs de confinement. Un WIPS comme AirMagnet Enterprise offre une plus grande flexibilité, prenant en charge des actions guidées par les politiques qui couvrent : la journalisation, les courriels, le texte et les pages à la capture détaillée de trafic, le blocage du port du commutateur filaire et le blocage sans fil. Ces politiques permettent la hiérarchisation et une réponse basée sur le type de menace, vous permettant d'utiliser le confinement sans fil de manière très sélective, lorsque cela est vraiment justifié.

Enfin, le règlement de la FCC exige que Marriott documente leur conformité en rapportant les détails de toutes ses futures actions de confinement de réseau sans fil. Non seulement cela signifie que le confinement peut toujours être utilisé lorsque cela est justifié ; cela souligne l'importance de la journalisation, de la création de rapports et de la tenue d'audits. Le confinement d'appareils malveillants n'est pas une pratique qu'il se doit de « configurer puis de laisser agir seul ». Pour plus de sécurité, les opérateurs WLAN doivent surveiller et affiner leurs propres politiques en matière d'appareils malveillants pour assurer un bon fonctionnement.

 

Ressources WLAN associées

 
 
Powered By OneLink