Рейтинг@Mail.ru

Уязвимость протокола WPA2. Как защитить Wi-Fi от взлома?

Уязвимость протокола WPA2. Как защитить Wi-Fi от взлома?

 

 

Сообщение о взломе протокола шифрования WPA2 беспроводных сетей Wi-Fi стало главной новостью ИТ в конце октября. Насколько серьезна эта проблема и как предотвратить серьезные нарушения кибербезопасности, связанные с обнаруженной уязвимостью WPA2?

 

В чём заключается уязвимость протокола WPA?

Эксперт по кибербезопасности из бельгийского Лёвенского католического университета Мэти Ванхоф (Mathy Vanhoef) вместе с группой специалистов в понедельник 16 октября опубликовал подробную информацию об эксплойте KRACK. Этот эксплойт использует критические уязвимости протокола WPA2 и позволяет прослушивать трафик, проходящий через сеть Wi-Fi. Таким образом, с помощью эксплойта злоумышленники могут перехватить конфиденциальные данные, включая пароли к аккаунтам, идентификационную информацию, личные файлы и т. д.

Основным направлением атаки с помощью KRACK является четырехэлементный хендшейк WPA2, то есть момент обмена данными между точкой доступа (AP) и клиентским устройством. Такой хендшейк используется повсеместно, в том числе и в корпоративных сетях, а значит, уязвимы многие сети, даже использующие только алгоритм шифрования AES, сертифицированный как национальный стандарт в США.

Сам по себе взлом представляет собой классическую атаку «человек посередине» и осуществляет реинсталляцию ключа шифрования. Все устройства, подключенные к одной сети, становятся уязвимыми и могут быть инфицированы вредоносным ПО.

Подготовленная атака с помощью KRACK осуществляется в течение считанных минут
Подготовленная атака с помощью KRACK осуществляется в течение считанных минут

К сожалению, KRACK является универсальным и позволяет взломать мобильные и стационарные устройства на любых операционных системах, а также устройства IoT. Последнее является наибольшей проблемой, так как многие устройства интернета вещей не получат обновления и останутся уязвимыми.

Разумеется, взлом WPA2 был вопросом времени. Около 16 лет назад был взломан протокол WEP. Теперь появилась атака KRACK, которая использует уязвимости WPA2 и опасна для всех сетей Wi-Fi.


Уязвимости протокола WPA2, которые использует KRACK
Уязвимости протокола WPA2, которые использует KRACK

В настоящее время производители аппаратного и программного обеспечения анализируют свои решения на предмет уязвимости к KRACK, публикуют списки и готовят патчи. Взлом WPA2 наделал много шума и является серьезной проблемой из-за масштаба сетей Wi-Fi. Однако методы защиты от атаки все же существуют.

Защита от KRACK: умные решения и простые правила

Хорошая новость в том, что для взлома с помощью KRACK злоумышленнику необходимо находиться в зоне действия Wi-Fi сети. Таким образом, первой линией защиты является ограничение зоны действия Wi-Fi пределами офиса, жилища и т. д.

Также необходимым является анализ уязвимости сети с помощью профессионального программно-аппаратного комплекса, такого как NETSCOUT AirMagnet Enterprise для обеспечения безопасности и мониторинга сетей Wi-Fi (Wireless IDS/IPS).

NETSCOUT AirMagnet Enterprise дает возможность быстро обнаружить и заблокировать подозрительную активность
NETSCOUT AirMagnet Enterprise дает возможность быстро обнаружить и заблокировать подозрительную активность

Это решение является надежной корпоративной система защиты, которая  интегрируются в любую Wi-Fi сеть независимо от производителя оборудования. AirMagnet Enterprise позволяет анализировать беспроводной трафик  всех стандартов 802.11a/b/g/n/ac и по всем каналам, обнаруживать источники помех и подозрительные клиентские устройства, которые могут быть инструментами злоумышленника.

Как упоминалось ранее, для перехвата четырехэлементного хендшейка WPA2 можно использовать различные утилиты, большинство из них доступны в дистрибутиве Kali Linux, а также Reaver и CommView, не говоря уже о портативных устройствах типа Pineapple и др. Собственно после захвата пакетов далее применяется тот самый CRACK. AirMagnet Enterprise в свою очередь способен обнаружить и классифицировать работу этих утилит и своевременно оповестить об этом администраторов сети или ответственных за информационную безопасность, благо в данном продукте есть большой список определяемых угроз, а обновление этого списки происходит автоматически по мере выхода новых сигнатур безопасности. Синхронизация с сервером обновлений производителя данного решения - ежедневная.

Список идентифицируемых угроз в AirMagnet Enterprise
Список идентифицируемых угроз в AirMagnet Enterprise

При появлении нового вида атаки KRACK, лаборатория NETSCOUT тут же приступила к определению сигнатуры работы данного метода взлома и в ближайшее время новый вид угрозы будет добавлен в список уже известных. Для оперативного поиска несанкционированных подключений (клиентов или точке доступа) также можно применять портативный анализатор сетей Wi-Fi NETSCOUT AirCheck G2. C его помощью можно найти источники помех, несанкционированные клиентские устройства, в том числе непосредственно на месте, например в зоне погрузки или гостевом помещении.

NETSCOUT AirCheck G2 - портативный анализатор Wi-Fi сетей
NETSCOUT AirCheck G2 - портативный анализатор Wi-Fi сетей

NETSCOUT AirCheck G2 — это «полевой инструмент» специалиста по информационной безопасности, позволяющий находить неисправности и уязвимости беспроводных сетей.

Физическая защита и обновление

В настоящее время производители оборудования и операционных систем выпускают патчи, которые защищают от атаки с помощью KRACK. Однако уязвимость WPA2 — очевидный долгосрочный фактор. Необходимо учитывать уязвимость любых беспроводных сетей, к которым легко получить физический доступ, в отличие от проводных. Поэтому помимо обновления софта, необходимо минимизировать выход покрытия Wi-Fi за пределы контролируемой зоны и обеспечивать непрерывный мониторинг угроз.

 

 

 

Смотрите также:

 

Типовые решения Wi-Fi для разных отраслей

Большой офис, бизнес-центр, корпоративная сеть.

Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей
Стабильное функционирование голосовых (VoIP) и видео сервисов (поддержка QoS и реализация бесшовного роуминга)
Интеграция корпоративных политик безопасности

Беспроводная корпоративная сеть должна отвечать двум основным критериям: безопасность и стабильная работы. Профессиональное Wi-Fi оборудование должным образом обеспечивает работоспособность надёжной и производительной Wi-Fi сети, а максимального уровня защищённости сети позволит добиться параллельно развёрнутая система безопасности Fluke AirMagnet Enterprise.

Узнать больше

Cеть видеонаблюдения

Расширение покрытия Wi-Fi сети организации вне пределов зданий для организации видеонаблюдения по периметру территории.

Для оперативного развертывания системы видеонаблюдения на уличной территории выгоднее, как экономически, так и с точки зрения сроков реализации проекта, использовать беспроводное покрытие для обеспечение связи между камерами и сервером видеонаблюдения.

Узнать больше

Банки, госструктуры.

Максимальный уровень защиты WI-Fi сети организации
Надёжная и производительная Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей

До недавнего времени, развертывание полноценной Wi-Fi сети на объектах, требующих высокого уровня безопасности, было под запретом, так как считалось, что беспроводная среда будет слабым местом системы безопасности. Сейчас же, благодаря развитию технологий, можно построить надёжную и производительную Wi-Fi сеть, которая не будет уступать по степени защищённости сетевой кабельной инфраструктуре. Это возможно при использовании профессионального Wi-Fi оборудования совместно с системой безопасности Fluke AirMagnet Enterprise.

Узнать больше

Беспроводной мост

Объединение в одну сеть удалённых объектов с помощью беспроводного канала связи.

Часто возникают задачи по объединению нескольких корпусов компаний в единую сеть, подключению удалённых посёлков и объектов к общей сети провайдера или, например, выносе камеры видеонаблюдения на отдалённый пункт охраны. В этом может помочь оборудование для построения беспроводных мостов.

Узнать больше

Больницы, поликлиники.

Предоставление Wi-Fi доступа в интернет для клиентов
Обеспечение устойчивого соединения с персональными Wi-Fi устройствами сотрудников больницы
Мониторинг местоположения персонала / аппаратуры

К беспроводным сетям больниц и клиник предъявляются самые высокие требования. Такие параметры как надёжность, качество покрытия и отказоустойчивость выходят на первый план. На базе основной сети можно так же реализовать сервисы гостевого доступа и отслеживания местоположения сотрудников.

Узнать больше