Segmentación de usuarios y dispositivos Wi-Fi por SSID.
Los departamentos y dispositivos utilizan las WLAN de diferentes maneras. Por lo tanto, no todos los dispositivos pueden protegerse con la misma norma. Una forma de proteger los dispositivos qu pueden soportar, por ejemplo, WPA-Enterprise, de los que sólo pueden soportar WPA-Personal es segmentar lógicamente los dispositivos heredados en un SSID separado. Una vez segmentados, se pueden crear políticas de acceso en torno a los puntos finales menos seguros.
Wi-Fi para invitados
Configure un SSID Wi-Fi separado para los usuarios y dispositivos que sólo requieren acceso a Internet. Las políticas de acceso pueden bloquear estos dispositivos para que no se comuniquen con los usuarios o los dispositivos que utilizan la red corporativa, mientras que siguen entregando de forma segura el tráfico de Internet más allá del borde de la red.
La fuerza de la señal se filtra en áreas no seguras.
Los puntos de acceso instalados cerca de las paredes exteriores deben tener sus niveles de potencia cuidadosamente ajustados para reducir cualquier fuga en los espacios públicos o aparcamientos cercanos. Esto ayuda a proteger contra las interferencias inalámbricas externas y también reduce la posibilidad de que un usuario no autorizado pueda conectarse con éxito a la red.
Detección de falsas APs.
La mayoría de las plataformas WLAN de nivel empresarial incluyen herramientas que pueden supervisar las bandas de frecuencia inalámbricas 802.11 para identificar los puntos de acceso no autorizados, o aquellos que pueden suplantar los SSID corporativos.
Autenticación 802.1x frente a PSK.
Exigir, siempre que sea posible, la autenticación de usuarios y dispositivos mediante 802.1x en lugar de un PSK. Esto reduce la necesidad de cambiar manualmente los PSK varias veces al año. También evita que se compartan los PSK, lo que podría llevar a los chackers a utilizar el Wi-Fi para obtener un acceso no autorizado a la red corporativa.
Configuraciones de red de puertos de conmutación LAN.
Configure los puertos de conmutación que conectan los AP inalámbricos a la LAN corporativa teniendo en cuenta la seguridad.
Coloque las direcciones IP de gestión de los APs en una LAN virtual segmentada, permitiendo que sólo determinadas VLANs sean truncadas a los APs. Utilice técnicas de seguridad de puertos de control de acceso a medios estáticos o pegajosos para protegerse contra personas que desconecten un AP y conecten un dispositivo no autorizado a la LAN.
Aplicación de herramientas de seguridad externas.
Utilice otras herramientas externas para asegurar la WLAN. Algunos ejemplos son: el control de acceso a la red o las plataformas de gestión unificada de puntos finales para proporcionar controles de acceso granulares; las tecnologías VPN para proteger cuando los datos sensibles se transmiten a través de conexiones Wi-Fi inseguras; y las plataformas de detección y respuesta a la red respaldadas por la IA que pueden supervisar los flujos de tráfico y alertar al personal de TI sobre un comportamiento inusual.
