Базовая защита сетей Ubiquiti airMAX и airFiber
Каналы связи на базе оборудования Ubiquiti airFiber и airMAX считаются безопасными: передаваемые данные шифруются с помощью AES-128, а большинство атак over-the-air на них не действуют, т.к. airFiber/airMAX-устройства не базируются на протолах WiFi. Но даже при таких обнадеживающих факторах точки доступа и беспроводные клиенты Ubiquiti остаются сетевыми устройствами, и могут быть атакованы недоброжелателями. Так что держите мини-план по их защите.
- Позаботьтесь о том, чтобы на устройствах всегда были установлены актуальные версии прошивок. Для автоматизации процесса обновлений устройств можно использовать Ubiquiti airControl. То же правило распространяется на пограничные маршрутизаторы и брандмауэры.
- Всегда меняйте логины и пароли на устройствах на сложные и уникальные! Важно использовать пароли максимальной длины, использовать символы разных регистров, цифры, спецсиволы. Возможно, это звучит сложно, но с помощью вышеупомянутой Ubiquiti airControl можно контролировать тысячи устройств без необходимости помнить пароли от них!
- Разрешайте доступ к airControl только с авторизованных IP-адресов.
- Меняйте на устройствах порты SSH, HTTP(S). Это затруднит как ручные, так и (особенно) автоматические атаки на устройства.
- Отключайте Telnet. Это незащищенный протокол, им нельзя пользоваться.
- В passphrase сетей всегда используйте максимально сложные и длинные комбинации букв разных регистров, цифр и спецсимволов.
- Используйте разные VLAN'ы для управления устройствами и для трафика.
- По возможности используйте серые IP-адреса для устройств airMAX / airFiber. Если все-таки необходимо использовать белый адрес, то всегда используйте брандмауэр, блокируйте доступ к устройствам с неавторизованных IP-адресов / сетей, запрещайте ICMP-запросы и т. д.
- Не забывайте отключать read-only аккаунты. А если они нужны, то используйте для них пароли максимальной сложности.
- Всегда используйте механизмы контроля сети типа NAC.