Сегодня Wi-Fi прочно занял свое место в нашей жизни, превратившись из новой технологии в повседневность. Зайдя выпить кофе в кафе или присев на лавочку в сквере многие начинают искать ближайшую точку доступа, нисколько не задумываясь о вопросах безопасности. Практика показала, что слабое представление об угрозах в беспроводных сетях имеют не только пользователи, но и многие администраторы, подвергая серьезным рискам корпоративные системы.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Почему именно Wi-Fi? Чем данная технология так привлекательна для злоумышленника? Чтобы ответить на этот вопрос, вспомним как работают проводные сети. Основу современных сетей составляют коммутаторы (свичи, switch), которые отправляют пакеты только на порт получателя исключая доступ к ним других хостов.
Чтобы осуществить перехват чужого трафика злоумышленник должен не только физически подключиться к сети, что само по себе проблематично, но и включиться в цепь передачи пакетов. Если даже злоумышленник подключится в свободный порт коммутатора, то перехватить или прослушать чужой трафик он не сможет. Чтобы осуществить такую атаку нужно иметь физический доступ к сетевому оборудованию и административные права, что делает ее практически невозможной.
Примечание. Мы сознательно не рассматриваем ситуации с внедрением в периметр сети разного рода вредоносного ПО, получению несанкционированного доступа к активному сетевому оборудованию и т.п., так как это выходит за рамки данной статьи.
Беспроводные сети в силу особенностей среды передачи не могут обеспечить разграничения доступа к данным, пакеты, передаваемые клиентом или точкой доступа могут быть получены любым устройством в зоне действия сети.
В нормальном режиме сетевое оборудование принимает предназначенные только ему пакеты, однако существует специализированное и легкодоступное ПО, которое позволяет осуществлять перехват и анализ всего сетевого трафика.
Даже если это ваша гостевая Wi-Fi и она надежно изолирована от корпоративной сети, все равно она подвержена тем же угрозам, особенно если ею пользуются ваши сотрудники с персональных устройств, а если они при этом еще обращаются к корпоративным сервисам, то риски возрастают многократно.
Мы не будем давать готовых механизмов атак на открытые сети, скажем только что доступность соответствующего ПО и инструкций делают эту задачу доступной даже для скучающих школьников.
Кроме того, мы советуем также рассматривать сети с шифрованием WEP как открытые, при наличии сетевой активности в сети для ее взлома требуется 5-10 минут, причем делается это специализированным ПО в автоматическом режиме и не требует от злоумышленника никаких специальных знаний.
С WPA / WPA2 сетями ситуация обстоит намного лучше, при выборе надежного ключа и отказе от скомпрометированной технологии TKIP (в пользу AES) взломать такие сети без применения спецсредств и глубоких знаний практически невозможно. Опять-таки не будем забывать о защищенных сетях, ключ которых известен злоумышленнику, например, сеть в ресторане, где ключ выдается официантом вместе с заказом.
Существует ПО, например, CommView for WiFi, которое позволяет осуществлять перехват и расшифровку пакетов даже в закрытых сетях. Поэтому защищенные сети, ключ от которых известен широкому кругу лиц, следует также рассматривать как открытые, со всеми вытекающими из этого мерами предосторожности.
Основная угроза открытых сетей - это перехват и анализ вашего трафика. Поэтому присев в парке на скамейку и обнаружив открытую сеть, не спешите подключаться к ней, а подумайте кому она может принадлежать.
Вполне может быть, что вон тот паренек в очках на соседней лавочке и есть злоумышленник, при помощи ноутбука и 3G модема поднявший точку доступа, собирая из проходящего трафика пароли, cookie и прочую "интересную" информацию.
Поэтому примите как аксиому, используя открытые сети не авторизуйтесь ни на каких ресурсах, передающих авторизационные данные в открытом виде. Злоумышленнику даже не нужен ваш пароль, который может быть передан в зашифрованном виде, вполне достаточно перехватить cookie, после чего он без проблем авторизуется под вашей учетной записью.
Если вам все-таки надо авторизоваться, то убедитесь, что сайт поддерживает SSL и сертификат действительно принадлежит этому сайту. При этом избегайте подключения к ресурсам с самоподписанным сертификатом, подлинность которого вы не можете проверить. Об этом мы еще поговорим более подробно.
Также избегайте, а лучше всего никогда не используйте открытые сети для доступа к финансовой информации или совершения платежей.
Другая опасность подстерегает нас там, где принадлежность точки доступа вроде бы известна. Злоумышленник может использовать еще одно свойство сетей Wi-Fi - при наличии в сети нескольких точек доступа, автоматически переключаться на ту, у которой лучше сигнал.
Схема атаки предельно проста, злоумышленником создается точка доступа с таким же SSID, как у существующей сети, после чего все близко расположенные клиенты автоматически переключатся на точку злоумышленника, даже не подозревая, что их трафик перехватывается. В итоге посиделки с планшетом в любимом кафе могут закончиться очень невесело и хорошо еще если пострадает личная информация, а не будут утрачены реквизиты доступа к корпоративной сети.
Здесь в полный рост встает проблема безопасного доступа к корпоративным ресурсам, даже если в вашей организации не используется Wi-Fi. Где гарантия, что сотрудник сидя в парке или кафе не решит проверить корпоративную почту?
Но даже если вы убедились, что точка доступа одна и принадлежит тому, кому надо, не спешите радоваться. Существует тип атаки ARP-spoofing, который способен направить ваш трафик через устройство злоумышленника.
Наконец злоумышленник может просто собирать и анализировать Wi-Fi трафик не вмешиваясь в работу беспроводной сети, переведя свой Wi-Fi адаптер в режим мониторинга.
Понятно, что повлиять на возможность перехвата пакетов в сетях Wi-Fi мы не можем в силу особенностей среды распространения. Отказ от использования Wi-Fi в организации также никак не обезопасит вашу инфраструктуру. К каждому сотруднику сторожа не приставишь и использовать корпоративные ресурсы через открытые сети не запретишь.
Что делать? Полностью отказаться от незашифрованных каналов доступа к данным. Используйте SSL где это возможно, там, где невозможно - VPN. Еще один момент связан с самоподписанными сертификатами. Использовать их можно исключительно внутри периметра безопасности, а лучше не использовать вообще. Если вас волнует вопрос безопасности - приобретите нормальный сертификат, не приучайте сотрудников игнорировать предупреждения безопасности.
В противном случае вы можете стать жертвой атаки "человек посередине". Смысл ее сводится к тому, что при соединении с защищенным узлом злоумышленник самостоятельно получает сертификат от узла, передавая клиенту собственный сертификат.
Вполне понятно, что браузер отреагирует на такое вмешательство предупреждением безопасности.
Однако если вы приучили своих сотрудников игнорировать данное предупреждение, используя самоподписанный сертификат, то они, как говорится, не заметят разницы и благополучно проигнорируют его и сейчас.
Поэтому если вы все-таки используете самоподписанные сертификаты, то не поленитесь установить на каждое устройство корневой сертификат, чтобы избежать появление данного предупреждения, что поможет избежать появления привычки его игнорировать.
По этой же причине мы не рекомендуем использовать технологию ssl-bump, которая предназначена для фильтрации SSL-трафика на шлюзе. Стремление фильтровать трафик понятно, но безопасность дороже, кроме того, в случае компрометации шлюза вы своими руками выполните атаку "человек посередине" на свою организацию.
В завершение мы советуем всем администраторам, даже не использующим Wi-Fi, ответственно подойти к данному вопросу и исключить возможность передачи незашифрованных авторизационных данных за пределами периметра сети.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Последние комментарии