Рейтинг@Mail.ru

ТОП-6 ошибок при проектировании беспроводной сети WiFi

ТОП-6 ошибок при проектировании беспроводной сети WiFi

В рамках данной статьи мы расскажем об элементарных ошибках при проектировании и эксплуатации беспроводных WiFi-сетей, которые, по оценке ведущих специалистов, наиболее часто встречаются в современных компаниях.

ТОП-6 ошибок при проектировании беспроводной сети WiFi

Эксперты по информационной безопасности отмечают, что основной причиной уязвимости корпоративных WiFi-сетей к атакам злоумышленников является не профессионализм хакеров, а элементарные ошибки при организации и эксплуатации этих WiFi-cетей. Представляем вашему вниманию ТОП-6 наиболее распространенных ошибок при проектировании и использовании беспроводной сети WiFi, выявленными при проведении анализа сетевой инфраструктуры компаний из различных сегментов деятельности.

Ошибка №1: Избыточное покрытие беспроводной сети

 Ошибка при проектировании беспроводной сети WiFi - Избыточное покрытие беспроводной сети

Одной из самых распространенных и потенциально опасных ошибок при проектировании, разворачивании и эксплуатации беспроводной сети WiFi является допущение выхода зоны действия корпоративной сети WiFi за пределы физически контролируемого компанией пространства. Основная угроза такой ошибки заключается в том, что это автоматически предоставляет потенциальным злоумышленникам расширенные возможности для осуществления различных атак на вашу беспроводную сеть.

Так, к примеру, любой человек, расположившийся в общественном холле, коридоре или на близлежащей парковке, где часто бывают ваши сотрудники и куда физически достает сигнал от одной из ваших точек доступа, получает практически неограниченное время для сбора и анализа передаваемой из этой зоны информации, подбора пароля безопасности и/или организации поддельной точки доступа. Причем для этого злоумышленнику вовсе не обязательно обладать продвинутыми хакерскими навыками или использовать дорогостоящее специфическое оборудование для взлома.

Чтобы ограничить зону действия точки доступа, вы можете использовать непосредственный функционал сетевого оборудования, который в ряде случаев может помочь вам снизить мощность сигнала, либо просто переместить маршрутизатор вглубь помещения.

Ошибка №2. Использование простых паролей

Использование простых паролей

Данная проблема уже успела набить оскомину, но тем не менее до сих пор остается актуальной для многих компаний, причем не только в области эксплуатации беспроводных сетей, но и для всех остальных направлений информационной безопасности. Примитивный словарный пароль, установленный для доступа в корпоративную сеть, который можно элементарно подобрать перебором по словарю, нивелирует любые усилия по обеспечению корпоративной безопасности вашего бизнеса.

Отметим также, что не менее ужасной идеей является использование названия вашей компании или отдела, как часть пароля. Сформировать под вашу конкретную компанию обновленный словарь, по которому злоумышленники могут осуществлять атаку методом «грубой силы», не составит труда даже человеку с базовыми навыками взлома и без какого-либо специализированного оборудования.

Меры предотвращения хорошо известны. Необходимо использовать криптостойкие ключи безопасности, которые обязательно включают в себя:

  • цифры;
  • специальные символы;
  • комбинацию из символов верхнего и нижнего регистров.

Пароль для доступа к корпоративной WiFi-сети должен состоять из не менее чем восьми символов, а, лучше, быть более длинным, так как многие современные атаки методом «грубой силы» ориентируются в первую очередь именно на пароли длиной 8 символов.

Ошибка №3: Использование стандарта WPS

Ошибки при проектировании беспроводной сети WiFi - Использование стандарта WPS

Эта уязвимость известна еще с конца 2011 года и одно время широко освещалась в ряде исследований различных специалистов по сетевой безопасности. Суть проблемы заключается в следующем: если на точке доступа активирована авторизация по WPS (WiFi Protected Setup, защищенная установка) с отправкой пин-кода (а для многих моделей роутеров эта опция включена по умолчанию), то подобрать этот восьмизначный пин-код (на самом деле семизначный, так как восьмая цифра — контрольная сумма первых семи) злоумышленнику не составит особого труда.

Серьезный недостаток протокола, который еще больше облегчает задачу хакерам, позволяет разделить подбор пин-кода на два этапа — сразу нужно подобрать первые четыре цифры, а затем три последующие, — проверяя на корректность каждую часть по отдельности. Максимальное количество комбинаций для проверки при таких раскладах — 11 000. Очевидно, что у опытного взломщика весь этот процесс займет от силы несколько часов. После успешного подбора этого пин-кода хакер получает доступ в вашу корпоративную сеть со всеми вытекающими из этого последствиями.

Максимум, что могут предложить на данный момент производители маршрутизаторов для решения этой проблемы, — это прошивка, которая вводит таймаут для механизма авторизация по WPS после нескольких неудачных попыток. Но это всего лишь позволит увеличить время, которое понадобится злоумышленнику на осуществления успешного подбора пин-кода, но не закроет дыру в вашей сетевой безопасности. Поэтому рекомендация может быть только одна — выключайте WPS и, даже если вы эту опцию не включали, обязательно убедитесь, что авторизация по WPS на всех ваших точках доступа действительно выключена.

Ошибка №4: Отсутствие четкого разграничения между гостевой и корпоративной сетями WiFi

Ошибки при проектировании беспроводной сети WiFi - Отсутствие четкого разграничения между гостевой и корпоративной сетями WiFi 

Сама по себе гостевая WiFi-сеть никакой опасности в себе не несет. Напротив, это удобное, а для части компаний даже обязательное решение. Неприятности начинаются, когда сотрудники начинают использовать гостевую сеть для своих нужд, а механизмы шифрования в этой беспроводной сети отсутствуют. Проблема усугубляется, если существует возможность получить доступ из гостевой сети к каким-либо внутренним ресурсам, например, принтерам, некоторому сетевому оборудованию или, даже, рабочим станциям. Только представьте себе, злоумышленникам ничего вообще не надо делать— просто подключаешься к беспроводной сети, и у тебя уже есть необходимый доступ к отправленным на печать документам, возможность перехватывать трафик, в том числе учетные данные к различным системам, сообщения в чатах и общение с использованием цифровой телефонии, а также возможность контролировать некоторые сетевые функции.

Чтобы избежать подобных проблем с безопасностью, для гостевой беспроводной сети стоит использовать надежные протоколы шифрования, настроить режим изоляции точки доступа, запретить сотрудникам использовать гостевую сеть, а также разработать действенные механизмы для гарантированного соблюдения этого правила.

Ошибка №5: Остерегайтесь поддельных точек доступа

Ошибки при проектировании беспроводной сети WiFi - Остерегайтесь поддельных точек доступа

Ряд факторов в совокупности могут значительно облегчить задачу злоумышленникам, которые выберут вашу беспроводную сеть в качестве цели для своей атаки. Так, использование некоторых недостаточно надежных методов аутентификации (например, часто встречается комбинация — протокол PEAP совместно с таким методом аутентификации, как EAP-MSCHAP), включение автоматического подключения к WiFi-сети и некорректная проверка сертификата точки доступа со стороны клиентского устройства, предоставляют хакерам благоприятные условия для разворачивания поддельной точки доступа.

При выполнении всех вышеперечисленных условий злоумышленник может перехватить пару запрос/отклик (Challenge/Response), то есть аутентификационные данные ваших сотрудников, которые используются для подключения к сети. Обладая достаточной вычислительной мощностью из хэша пароля можно получить учетную запись сотрудника, а через нее уже добраться до критически важных ресурсов компании. Собственно, наличие периодически посещаемого вашими сотрудниками места за пределами контролируемой зоны, а также достаточного времени для организации поддельной точки доступа и проведения атак, позволят хакерам проникнуть в вашу беспроводную сеть вплоть до получения контроля над всей вашей сетевой инфраструктурой.

Поэтому для организации корпоративной WiFi-сети рекомендуется использовать безопасные методы аутентификации, позволяющие использовать клиентские сертификаты. Не менее важным также будет осуществление постоянного мониторинга вашей WiFi-сети и прилегающей зоны.

Ошибка №6. Несанкционированные точки доступа

Ошибки при проектировании беспроводной сети WiFi - Несанкционированные точки доступа

Еще одним бичом многих организаций и компаний являются несанкционированные точки доступа, которые разворачивают сами же сотрудники компании на своих смартфонах, чтобы получить доступ к сети Интернет в личных целях. Эта проблема часто принимает массовый характер в компаниях, где доступ во Всемирную сеть ограничен либо и вовсе запрещен. В подавляющем большинстве случаев для защиты такой точки доступа используется слабый, легко подбираемый «словарный» пароль либо какая-либо защита и вовсе отсутствует.

На первый взгляд данная проблема проблемой не кажется: сотрудник всего лишь развернул точку доступа, чтобы воспользоваться Интернетом, что тут опасного? Но на деле все может плохо закончится для вашего бизнеса. Взлом злоумышленником такого импровизированного «окна в цифровой мир» может поставить под угрозу не только личную жизнь вашего сотрудника, но и всю информационную безопасность вашей компании. Так, например, к этой несанкционированной точке доступа может быть подключено оборудование с чувствительной информацией, доступ для которой во внешнюю сеть запрещен. Смартфон вашего сотрудника хакеры могут использовать как площадку для последующей атаки на ресурсы вашей внутренней локальной сети либо получить через него доступ к управлению корпоративным аккаунтом на одном из внешних ресурсов.

Поэтому по умолчанию у вас должен существовать запрет на использование несанкционированных точек доступа. Но, как показывается практика, просто запрет мало кого остановит. Поэтому чрезвычайно важно вовремя выявлять и отключать несанкционированные точки доступа.

 

Смотрите также:

Типовые решения Wi-Fi для разных отраслей

Большой офис, бизнес-центр, корпоративная сеть.

Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей
Стабильное функционирование голосовых (VoIP) и видео сервисов (поддержка QoS и реализация бесшовного роуминга)
Интеграция корпоративных политик безопасности

Беспроводная корпоративная сеть должна отвечать двум основным критериям: безопасность и стабильная работы. Профессиональное Wi-Fi оборудование должным образом обеспечивает работоспособность надёжной и производительной Wi-Fi сети, а максимального уровня защищённости сети позволит добиться параллельно развёрнутая система безопасности Fluke AirMagnet Enterprise.

Узнать больше

Cеть видеонаблюдения

Расширение покрытия Wi-Fi сети организации вне пределов зданий для организации видеонаблюдения по периметру территории.

Для оперативного развертывания системы видеонаблюдения на уличной территории выгоднее, как экономически, так и с точки зрения сроков реализации проекта, использовать беспроводное покрытие для обеспечение связи между камерами и сервером видеонаблюдения.

Узнать больше

Банки, госструктуры.

Максимальный уровень защиты WI-Fi сети организации
Надёжная и производительная Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей

До недавнего времени, развертывание полноценной Wi-Fi сети на объектах, требующих высокого уровня безопасности, было под запретом, так как считалось, что беспроводная среда будет слабым местом системы безопасности. Сейчас же, благодаря развитию технологий, можно построить надёжную и производительную Wi-Fi сеть, которая не будет уступать по степени защищённости сетевой кабельной инфраструктуре. Это возможно при использовании профессионального Wi-Fi оборудования совместно с системой безопасности Fluke AirMagnet Enterprise.

Узнать больше

Беспроводной мост

Объединение в одну сеть удалённых объектов с помощью беспроводного канала связи.

Часто возникают задачи по объединению нескольких корпусов компаний в единую сеть, подключению удалённых посёлков и объектов к общей сети провайдера или, например, выносе камеры видеонаблюдения на отдалённый пункт охраны. В этом может помочь оборудование для построения беспроводных мостов.

Узнать больше

Больницы, поликлиники.

Предоставление Wi-Fi доступа в интернет для клиентов
Обеспечение устойчивого соединения с персональными Wi-Fi устройствами сотрудников больницы
Мониторинг местоположения персонала / аппаратуры

К беспроводным сетям больниц и клиник предъявляются самые высокие требования. Такие параметры как надёжность, качество покрытия и отказоустойчивость выходят на первый план. На базе основной сети можно так же реализовать сервисы гостевого доступа и отслеживания местоположения сотрудников.

Узнать больше