Защита данных, Кибербезопасность

Аудит безопасности WIFI сетей

Время прочтения: 4 мин.

В настоящее время наблюдается повсеместное использование беспроводных точек доступа. Кроме того, часто помимо точки доступа для сотрудников существует отдельно гостевой WiFi для клиентов. Данный факт, помимо повышения эффективности и удобства работы, улучшения качества клиентского сервиса и других положительных аспектов серьёзно повышает риски кибербезопасности, а также делает необходимым своевременное проведение аудита безопасности беспроводной сети. В отличие от проводных сетей сигнал от WiFi может распространяться на десятки метров, даже за пределы помещений организации, что делает затруднительным контроль за подключением к сети, а также предотвращение попыток атак на сеть со стороны злоумышленников.

Одним из основных векторов атак на беспроводные сети является попытка подбора пароля к точке доступа. Злоумышленник, предварительно настроив сетевую карту в режим мониторинга, имеет возможность перехватывать handshake (рукопожатие) — авторизацию легитимного клиента сети, который подключается, используя известный ему пароль. Перехватив handshake, атакующий может в офлайн режиме по словарям попытаться подобрать пароль. Время подбора пароля зависит в первую очередь от его сложности. Реализовать данный механизм атаки позволяет ПО, входящее в состав дистрибутива Kali Linux — airmon-ng, airodump-ng, aircrack-ng. При этом злоумышленник может не дожидаться какого-либо легитимного подключения, а деавторизовать клиента сети, используя ПО — aireplay-ng. В результате будет осуществлёно переподключение клиента, и злоумышленник значительно сократит время на проведение первой части атаки. Мерой противодействия является использование сложных паролей, которые обладают высокой устойчивостью к подбору методом брутфорса. Проверить устойчивость пароля ко взлому можно при помощи онлайн-сервисов (например, https://password.kaspersky.com). В случае подбора пароля злоумышленником ключ для подключения к сети надо будет поменять на всех устройствах. Более эффективной мерой защиты для корпоративного WiFi является использование механизма WPA2-Enterprise, при котором за авторизацию отвечает RADIUS-сервер. Индивидуальные ключи (сертификаты) генерируются для каждого клиента и при попытке авторизации роутер передаёт эти данные RADIUS-серверу.

 Другим распространённым вектором атак является подбор пароля к WPS (Wi-Fi Protected Setup). Данный механизм реализуется производителями для быстроты и удобства первоначальной настройки роутера пользователями. Для подключения к роутеру необходимо ввести 8-значный PIN, что создаёт риск его подбора. Данная процедура может быть осуществлена с помощью утилиты reaver, также входящей в состав Kali Linux. Проверить корпоративные точки доступа на предмет включенного WPS можно программой wash, которая входит в состав утилиты reaver. Для обеспечения защиты от данной атаки необходимо отключить WPS в настройках роутера.

 Для гостевых беспроводных точек часто используется механизм авторизации через sms-код, присылаемый на телефон клиента, который он вводит в форму на специальной странице авторизации. На данную страницу клиент попадает после подключения к точке доступа, при этом точка доступа является открытой и не защищена паролем. Страница авторизации, работающая по протоколу http, создаёт риск перехвата телефонного номера/уникального кода клиента злоумышленником. При этом атакующему достаточно находиться в зоне покрытия wifi и мониторить радиоэфир. Подключаться к точке доступа нет необходимости. После перехвата данной информации злоумышленник может авторизоваться под видом клиента организации и совершить от имени клиента противоправные действия, преследуемые законом. Защитой от данной атаки является использование защищённого протокола https на странице авторизации. Проверить протокол возможно в браузере, открыв данную страницу. Реализация атаки может быть осуществлена с помощью утилит airmon-ng, airodump-ng, wireshark.
Для исключения перехвата траффика внутри сети необходимо включение защиты от ARP-спуфинга на роутере. Злоумышленник, подключившись к точке доступа, использует данный вид атаки для перехвата трафика пользователей. При этом могут быть перехвачены как данные страницы авторизации клиентской сети, так и более конфиденциальная информация, особенно если речь идёт о корпоративной точке доступа для сотрудников. Злоумышленник может использовать для атаки утилиты arpspoof, wireshark. Проверить же наличие или отсутствие защиты возможно при помощи любого сетевого сканера (например, nmap). Для этого достаточно подключиться к выделенной для подключения клиентов сети и просканировать ее. В случае отсутствия защиты, в списке будут видны другие подключенные в данный момент устройства, каждое из которых будет иметь свой IP и MAC адреса.

 Дополнительными мерами повышения безопасности корпоративного WiFi является использование «скрытого» режима точки для сотрудников, а также ограничение MAC-адресов, с которых возможно подключение к беспроводной точке доступа. Данные меры дополнительно повышают уровень защищённости WiFi-сети.

 Кроме того, важно своевременно устанавливать обновления прошивки роутера, которые содержат в себе исправления критичных уязвимостей. Данный момент может быть проверен через доступ в интерфейс администратора точки доступа.

 Своевременный аудит настроек роутера позволяет минимизировать риски, связанные с использованием WiFi сетей в организации.

Советуем почитать