ТОП-6 ошибок при проектировании беспроводной сети WiFi

В рамках данной статьи мы расскажем об элементарных ошибках при проектировании и эксплуатации беспроводных WiFi-сетей, которые, по оценке ведущих специалистов, наиболее часто встречаются в современных компаниях.

Эксперты по информационной безопасности отмечают, что основной причиной уязвимости корпоративных WiFi-сетей к атакам злоумышленников является не профессионализм хакеров, а элементарные ошибки при организации и эксплуатации этих WiFi-cетей. Представляем вашему вниманию ТОП-6 наиболее распространенных ошибок при проектировании и использовании беспроводной сети WiFi, выявленными при проведении анализа сетевой инфраструктуры компаний из различных сегментов деятельности.

Ошибка №1: Избыточное покрытие беспроводной сети

Одной из самых распространенных и потенциально опасных ошибок при проектировании, разворачивании и эксплуатации беспроводной сети WiFi является допущение выхода зоны действия корпоративной сети WiFi за пределы физически контролируемого компанией пространства. Основная угроза такой ошибки заключается в том, что это автоматически предоставляет потенциальным злоумышленникам расширенные возможности для осуществления различных атак на вашу беспроводную сеть.

Так, к примеру, любой человек, расположившийся в общественном холле, коридоре или на близлежащей парковке, где часто бывают ваши сотрудники и куда физически достает сигнал от одной из ваших точек доступа, получает практически неограниченное время для сбора и анализа передаваемой из этой зоны информации, подбора пароля безопасности и/или организации поддельной точки доступа. Причем для этого злоумышленнику вовсе не обязательно обладать продвинутыми хакерскими навыками или использовать дорогостоящее специфическое оборудование для взлома.

Чтобы ограничить зону действия точки доступа, вы можете использовать непосредственный функционал сетевого оборудования, который в ряде случаев может помочь вам снизить мощность сигнала, либо просто переместить маршрутизатор вглубь помещения.

Ошибка №2. Использование простых паролей

Данная проблема уже успела набить оскомину, но тем не менее до сих пор остается актуальной для многих компаний, причем не только в области эксплуатации беспроводных сетей, но и для всех остальных направлений информационной безопасности. Примитивный словарный пароль, установленный для доступа в корпоративную сеть, который можно элементарно подобрать перебором по словарю, нивелирует любые усилия по обеспечению корпоративной безопасности вашего бизнеса.

Отметим также, что не менее ужасной идеей является использование названия вашей компании или отдела, как часть пароля. Сформировать под вашу конкретную компанию обновленный словарь, по которому злоумышленники могут осуществлять атаку методом «грубой силы», не составит труда даже человеку с базовыми навыками взлома и без какого-либо специализированного оборудования.

Меры предотвращения хорошо известны. Необходимо использовать криптостойкие ключи безопасности, которые обязательно включают в себя:

• цифры;
• специальные символы;
• комбинацию из символов верхнего и нижнего регистров.

Пароль для доступа к корпоративной WiFi-сети должен состоять из не менее чем восьми символов, а, лучше, быть более длинным, так как многие современные атаки методом «грубой силы» ориентируются в первую очередь именно на пароли длиной 8 символов.

Ошибка №3: Использование стандарта WPS

Эта уязвимость известна еще с конца 2011 года и одно время широко освещалась в ряде исследований различных специалистов по сетевой безопасности. Суть проблемы заключается в следующем: если на точке доступа активирована авторизация по WPS (WiFi Protected Setup, защищенная установка) с отправкой пин-кода (а для многих моделей роутеров эта опция включена по умолчанию), то подобрать этот восьмизначный пин-код (на самом деле семизначный, так как восьмая цифра — контрольная сумма первых семи) злоумышленнику не составит особого труда.

Серьезный недостаток протокола, который еще больше облегчает задачу хакерам, позволяет разделить подбор пин-кода на два этапа — сразу нужно подобрать первые четыре цифры, а затем три последующие, — проверяя на корректность каждую часть по отдельности. Максимальное количество комбинаций для проверки при таких раскладах — 11 000. Очевидно, что у опытного взломщика весь этот процесс займет от силы несколько часов. После успешного подбора этого пин-кода хакер получает доступ в вашу корпоративную сеть со всеми вытекающими из этого последствиями.

Максимум, что могут предложить на данный момент производители маршрутизаторов для решения этой проблемы, — это прошивка, которая вводит таймаут для механизма авторизация по WPS после нескольких неудачных попыток. Но это всего лишь позволит увеличить время, которое понадобится злоумышленнику на осуществления успешного подбора пин-кода, но не закроет дыру в вашей сетевой безопасности. Поэтому рекомендация может быть только одна — выключайте WPS и, даже если вы эту опцию не включали, обязательно убедитесь, что авторизация по WPS на всех ваших точках доступа действительно выключена.

Ошибка №4: Отсутствие четкого разграничения между гостевой и корпоративной сетями WiFi

Сама по себе гостевая WiFi-сеть никакой опасности в себе не несет. Напротив, это удобное, а для части компаний даже обязательное решение. Неприятности начинаются, когда сотрудники начинают использовать гостевую сеть для своих нужд, а механизмы шифрования в этой беспроводной сети отсутствуют. Проблема усугубляется, если существует возможность получить доступ из гостевой сети к каким-либо внутренним ресурсам, например, принтерам, некоторому сетевому оборудованию или, даже, рабочим станциям. Только представьте себе, злоумышленникам ничего вообще не надо делать— просто подключаешься к беспроводной сети, и у тебя уже есть необходимый доступ к отправленным на печать документам, возможность перехватывать трафик, в том числе учетные данные к различным системам, сообщения в чатах и общение с использованием цифровой телефонии, а также возможность контролировать некоторые сетевые функции.

Чтобы избежать подобных проблем с безопасностью, для гостевой беспроводной сети стоит использовать надежные протоколы шифрования, настроить режим изоляции точки доступа, запретить сотрудникам использовать гостевую сеть, а также разработать действенные механизмы для гарантированного соблюдения этого правила.

Ошибка №5: Остерегайтесь поддельных точек доступа

Ряд факторов в совокупности могут значительно облегчить задачу злоумышленникам, которые выберут вашу беспроводную сеть в качестве цели для своей атаки. Так, использование некоторых недостаточно надежных методов аутентификации (например, часто встречается комбинация — протокол PEAP совместно с таким методом аутентификации, как EAP-MSCHAP), включение автоматического подключения к WiFi-сети и некорректная проверка сертификата точки доступа со стороны клиентского устройства, предоставляют хакерам благоприятные условия для разворачивания поддельной точки доступа.

При выполнении всех вышеперечисленных условий злоумышленник может перехватить пару запрос/отклик (Challenge/Response), то есть аутентификационные данные ваших сотрудников, которые используются для подключения к сети. Обладая достаточной вычислительной мощностью из хэша пароля можно получить учетную запись сотрудника, а через нее уже добраться до критически важных ресурсов компании. Собственно, наличие периодически посещаемого вашими сотрудниками места за пределами контролируемой зоны, а также достаточного времени для организации поддельной точки доступа и проведения атак, позволят хакерам проникнуть в вашу беспроводную сеть вплоть до получения контроля над всей вашей сетевой инфраструктурой.

Поэтому для организации корпоративной WiFi-сети рекомендуется использовать безопасные методы аутентификации, позволяющие использовать клиентские сертификаты. Не менее важным также будет осуществление постоянного мониторинга вашей WiFi-сети и прилегающей зоны.

Ошибка №6. Несанкционированные точки доступа

Еще одним бичом многих организаций и компаний являются несанкционированные точки доступа, которые разворачивают сами же сотрудники компании на своих смартфонах, чтобы получить доступ к сети Интернет в личных целях. Эта проблема часто принимает массовый характер в компаниях, где доступ во Всемирную сеть ограничен либо и вовсе запрещен. В подавляющем большинстве случаев для защиты такой точки доступа используется слабый, легко подбираемый «словарный» пароль либо какая-либо защита и вовсе отсутствует.

На первый взгляд данная проблема проблемой не кажется: сотрудник всего лишь развернул точку доступа, чтобы воспользоваться Интернетом, что тут опасного? Но на деле все может плохо закончится для вашего бизнеса. Взлом злоумышленником такого импровизированного «окна в цифровой мир» может поставить под угрозу не только личную жизнь вашего сотрудника, но и всю информационную безопасность вашей компании. Так, например, к этой несанкционированной точке доступа может быть подключено оборудование с чувствительной информацией, доступ для которой во внешнюю сеть запрещен. Смартфон вашего сотрудника хакеры могут использовать как площадку для последующей атаки на ресурсы вашей внутренней локальной сети либо получить через него доступ к управлению корпоративным аккаунтом на одном из внешних ресурсов.

Поэтому по умолчанию у вас должен существовать запрет на использование несанкционированных точек доступа. Но, как показывается практика, просто запрет мало кого остановит. Поэтому чрезвычайно важно вовремя выявлять и отключать несанкционированные точки доступа.

Смотрите также:

• Мониторинг беспроводной сети
• Уязвимости Wi-Fi-сетей: типовые сценарии атак на корпоративные беспроводные сети
• Как защитить WiFi: 10 советов для безопасности беспроводной сети
• Проектирование, диагностика и мониторинг корпоративной WiFi-сети