Артем Бобриков,
инженер-проектировщик по информационной безопасности компании "Инфосистемы Джет"
30.11.2017

Беспроводные сети удобны, просты в использовании и зачастую дешевле традиционных при создании и эксплуатации. Они незаменимы во многих технологических процессах. Например, переносные сканеры штрих-кодов, применяемые на любом складе, или терминалы продавцов-консультантов в любом крупном магазине давно перешли на Wi-Fi. Многие организации применяют концепцию BYOD для своих сотрудников, разрешая (а иногда даже приветствуя) использование личных портативных устройств на рабочем месте. Остается лишь один "маленький" недостаток - сложность обеспечения информационной безопасности таких сетей. Давайте поразмышляем над тем, почему Wi-Fi-сети подвержены определенным видам атак, а также попробуем ответить на извечные вопросы "кто виноват" и "что делать".

Основным отличием беспроводных сетей является среда передачи информации. В отличие от традиционных, "проводных" сетей, передаваемая по Wi-Fi информация буквально "витает в воздухе". Не составляет труда получить копию информационного обмена, даже если вы не являетесь адресатом сообщений. Также просто выдать себя за легитимного адресата или ресурс. А главное, что для этого даже не обязательно находиться на территории организации-цели, ведь радиоволны прекрасно проникают сквозь стены. Кстати, если ваш офис расположен на последнем этаже небоскреба "Бурдж-Халифа" и злоумышленник не может подняться к вам сам, это еще не значит, что вы в безопасности. Направленная антенна позволяет подключаться к беспроводным сетям и выполнять все описанные выше действия с расстояния более чем в 1 км. И стоимость такой антенны несколько ниже, чем билет на смотровую площадку упомянутого небоскреба. 

Существует огромное количество различных методов воздействия на беспроводные сети и оконечные устройства, подключенные к этим сетям. Рассмотрим пять наиболее распространенные из них.

Сниффинг. Злоумышленник, следуя древней китайской мудрости, сидит на берегу широкой реки беспроводного трафика и ждет, пока там проплывет нечто полезное. Многие протоколы (HTTP, FTP, SNMP, LDAP и т.п.) передают информацию в открытом виде, и в результате злоумышленник может получить учетные данные пользователей или другую ценную информацию.

Rogue AP. Злоумышленник размещает неавторизованные точки доступа в ЛВС-цепи и получает доступ к ней в обход средств обеспечения ИБ.

Evil-twin AP. Злоумышленник создает точку доступа, которая выглядит как легитимная, и размещает ее недалеко от настоящих точек. При подключении к такой точке, трафик клиента проксируется злоумышленником и реализуется атака.

Атаки на слабые настройки безопасности. Многие беспроводные сети до сих пор используют устаревшие технологии обеспечения безопасности, такие как WEP, WPA, WPA2-psk и WPS. Подбор пароля или проникновение в сеть с помощью известных эксплоитов для данных стандартов - лишь вопрос времени.

DoS. Злоумышленник может нарушить работу беспроводной сети, рассылая поддельные сообщения деаутентификации или используя устройства, работающие в том же диапазоне, что и Wi-Fi-сеть, и производящие интенсивные помехи.

Может возникнуть ощущение, что от атаки на Wi-Fi-сеть спасения нет и взлом вашей сети - вопрос времени, но это не так. Ответ на вопрос "что делать" существует. При системном подходе к обеспечению информационной безопасности Wi-Fi-сетей можно успешно противостоять как перечисленным атакам, так и тем, которые не были названы.

Во-первых, следует избегать использования небезопасных конфигураций. Не буду останавливаться на прописных истинах о необходимости использования актуальных версий ПО и установки появляющихся патчей, но скажу несколько слов о технологиях защиты Wi-Fi.

Для беспроводных сетей единственным приемлемым методом обеспечения безопасности на текущий момент является WPA2 Enterprise (часто также его называют WPA2-802.1x). Данный метод позволяет осуществлять аутентификацию пользователей с применением Radius-сервера. Каждый пользователь авторизуется либо по персональным учетным данным, либо по личному сертификату. Кроме того, рекомендуется делать авторизацию взаимной - сервер авторизации также должен подтвердить свою подлинность. При применении данного метода пользователь не сможет подключиться к фальшивой точке доступа (устройство пользователя знает, как должен выглядеть сертификат настоящего сервера авторизации и не станет связываться с фальшивым). 

Во-вторых, рекомендуется выбирать оборудование беспроводной сети, поддерживающее стандарт 802.11w. Данный стандарт обеспечивает защиту управляющего трафика между клиентом и точкой доступа. Благодаря применению данного стандарта оборудование будет игнорировать фальшивый управляющий трафик (в том числе сообщения деаутентификации, используемые для DoS-атак).

В-третьих, чтобы снизить эффективность атак перехвата трафика применяют средства шифрования. Протокол CCMP является обязательным для стандарта WPA2. Так что если в беспроводной сети используется этот стандарт, то и трафик зашифрован. CCMP основывается на алгоритме симметричного шифрования AES.

В-четвертых, кроме правильной настройки оборудования, рекомендуется применять специализированные средства обеспечения ИБ для беспроводных сетей. Одними из самых эффективных являются WIPS (wireless intrusion prevention system). Это система, осуществляющая поиск аномалий в беспроводной сети. Система обычно состоит из сенсоров (в некоторых системах ими являются сами точки доступа) и сервера управления и политик. Сенсоры размещаются на территории покрытия корпоративных беспроводных сетей, а сервер управления интегрируется с системой управления беспроводной сетью. 

Сервер управления получает информацию обо всех легитимных точках доступа, их параметрах настройки, транслируемых SSID, физических параметрах радиоэфира и многих других параметрах. Также он следит и за проводным сегментом сети. Кроме того, в сервер загружаются карты подконтрольных территорий, и на них размещаются подотчетные ему устройства. Когда произойдет событие, нарушающее политику безопасности, WIPS примет меры по его устранению. 

Примером такого события может являться то, что пользователь подключил в сеть ноутбук и раздает с него Wi-Fi. Еще один пример: появилась новая точка доступа, передающая корпоративный SSID, но не зарегистрированная на контроллере беспроводной сети, или появилась точка доступа, передающая SSID с именем, похожим на корпоративное (например, Corp-SSID и С0rp-SSID), или с другим широко применяемым именем. 

Также событием, нарушающим политику безопасности, может стать то, что клиент передает большое количество запросов на авторизацию, но не завершает ее, или, например, появился сильный источник помех в диапазоне частот, используемых Wi-Fi. Тревожным звонком может стать и то, что изменяются параметры легитимной точки доступа (например, вместо WPA2 точка переходит на WEP). 

В зависимости от настройки политики, WIPS примет меры по предотвращению угрозы (сенсоры WIPS обычно имеют несколько вариантов подавления и проводных, и беспроводных нарушителей) или, в случае работы в режиме мониторинга, только оповестит администратора.

Тут и наступает самая эффектная часть работы WIPS: администратор подключается к системе, переключается на карту местности и просит определить местоположение виновника инцидента. Проведя триангуляцию на основе параметров сигнала от различных компонентов сети, WIPS позволяет с высокой точностью обнаружить любого участника радиоэфира. Дальше все зависит от желаний администратора: можно просто заблокировать источник угрозы средствами WIPS, а можно и прогуляться до места дислокации источника и объяснить, что он был не прав. Таким образом, WIPS крайне полезен с точки зрения определения "кто виноват".

Ну и последнее по порядку, но не по важности мероприятие по обеспечению ИБ в целом и ИБ беспроводных сетей в частности - это работа с пользователем. К сожалению, мы не можем установить в каждого индивидуума особый чип, запрещающий совершать опрометчивые поступки. Поэтому единственной альтернативой остается повышение грамотности пользователей и объяснение ему правил "сетевой гигиены". Нужно объяснять пользователям, как их действия приводят к кражам личных данных и нанесению урона компании, что можно, а что нежелательно делать в публичных Wi-Fi-сетях, как не следует настраивать личные устройства. Все это помогает значительно снизить количество инцидентов, связанных с действиями пользователей.

Особо отмечу, что атаки на WI-FI-сети "интернациональны" - они осуществляемы в любой точке земного шара. Однако существуют и локальные проблемы, применимые исключительно в российских реалиях. С января 2016 года вступили в силу постановления правительства №758 от 31.07.14 и №801 от 12.08.14, которые требуют организации обязательной идентификации пользователей в публичных Wi-Fi-сетях. Поэтому, чтобы выполнить закон (и чтобы не платить штрафы), всем юридическим лицам требуется обеспечить идентификацию пользователей и безопасное хранение их личных данных.

В заключение хотел бы предостеречь: даже мелкая, на первый взгляд, недоработка может привести к серьезным последствиям и компрометации системы. Чувство ложной уверенности в защищенности намного опаснее осознания несовершенств ИБ. Только непредвзятый взгляд специалистов со стороны может представить объективную оценку действительного состояния средств и политик ИБ. Такую оценку можно получать, проводя периодические тесты на проникновение. Общаясь с коллегами-пентестерами, мне приходилось слышать много чудесных историй о том, что "ларчик просто открывался", и с завидной регулярностью в этих историях фигурируют беспроводные сети. Но лучше повеселиться над очередной байкой пентестера и принять своевременные меры, чем получить проблемы, когда то же самое сделает злоумышленник, не так ли?

Мнения авторов рубрики "Точка зрения" могут не совпадать с позицией редакции ComNews.ru, не влияют на выбор и освещение новостей в других частях газеты