Базовая защита сетей Ubiquiti airMAX и airFiber

Каналы связи на базе оборудования Ubiquiti airFiber и airMAX считаются безопасными: передаваемые данные шифруются с помощью AES-128, а большинство атак over-the-air на них не действуют, т.к. airFiber/airMAX-устройства не базируются на протолах Wi-Fi. Но даже при таких обнадеживающих факторах точки доступа и беспроводные клиенты Ubiquiti остаются сетевыми устройствами, и могут быть атакованы недоброжелателями. Так что держите мини-план по их защите.

1. Позаботьтесь о том, чтобы на устройствах всегда были установлены актуальные версии прошивок. Для автоматизации процесса обновлений устройств можно использовать Ubiquiti airControl. То же правило распространяется на пограничные маршрутизаторы и брандмауэры.

2. Всегда меняйте логины и пароли на устройствах на сложные и уникальные! Важно использовать пароли максимальной длины, использовать символы разных регистров, цифры, спецсиволы. Возможно, это звучит сложно, но с помощью вышеупомянутой Ubiquiti airControl можно контролировать тысячи устройств без необходимости помнить пароли от них!

3. Разрешайте доступ к airControl только с авторизованных IP-адресов.

4. Меняйте на устройствах порты SSH, HTTP(S). Это затруднит как ручные, так и (особенно) автоматические атаки на устройства.

5. Отключайте Telnet. Это незащищенный протокол, им нельзя пользоваться.

6. В passphrase сетей всегда используйте максимально сложные и длинные комбинации букв разных регистров, цифр и спецсимволов.

7. Используйте разные VLAN'ы для управления устройствами и для трафика.

8. По возможности используйте серые IP-адреса для устройств airMAX / airFiber. Если все-таки необходимо использовать белый адрес, то всегда используйте брандмауэр, блокируйте доступ к устройствам с неавторизованных IP-адресов / сетей, запрещайте ICMP-запросы и т. д.

9. Не забывайте отключать read-only аккаунты. А если они нужны, то используйте для них пароли максимальной сложности.

10. Всегда используйте механизмы контроля сети типа NAC.