Защита данных в беспроводных сетях

Беспроводные сети — это часть ИТ-инфраструктуры, позволяющая передавать данные на большие и малые расстояния без использования проводов.

Беспроводные сети, в зависимости от масштаба, делятся на: WPAN, WLAN, WMAN.

Обеспечить защиту
Защита беспроводных сетей

Для организации корпоративных WLAN (беспроводных локальных сетей) используется технология Wi-Fi и оборудование, которое соответствует стандарту IEEE 802.11.

В состав оборудования могут входить: роутеры, точки доступа, беспроводные мосты, коммутаторы, сетевые адаптеры. В качестве конечных устройств выступают рабочие станции, ноутбуки, мобильные телефоны, планшеты и другие схожие устройства.

Каждый из элементов беспроводной сети — потенциально опасный источник утечки данных, который может повлиять на работу всей локально-вычислительной сети. Поэтому оставлять сети «открытыми» — без шифрования — категорически нельзя.

В случае, если беспроводная сеть является открытой, то согласно требованиям ФЗ N-97 от 05.05 2014 г. «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» необходимо проводить обязательную аутентификацию пользователей.

Виды угроз для беспроводных сетей

Возможные виды угроз:

  • «Подслушивание». Организуется 2 способами: перехват радиосигнала («анонимное подслушивание») и при помощи MITM-атаки («человек посередине»).
  • DDoS-атаки. При их организации сигналы точек доступа и клиентских терминалов просто «глушатся».
  • Подмена MAC-адресов клиентских устройств. Злоумышленники подменяют MAC-адрес своего устройства, выдавая его за уже зарегистрированное в сети, и получают к ней доступ.
  • Ложные точки доступа (технология Evil Twin). Организуются с целью сбора аутентификационных данных с устройств для подключения к конкретной сети.

Все беспроводные сети рано или поздно подключаются к проводным сетям. И место этого подключения может стать «слабым звеном». Часто это происходит из-за неправильной сегментации VLAN.

Методы защиты беспроводных сетей

Для обеспечения защиты беспроводных сетей используется несколько методов:

Фильтрация по MAC-адресам

Такой вариант возможен, если пользовательские устройства защищены от перехвата MAC. Реализовать это сложно. Как вариант — запрет на использование личных устройств в корпоративных локально-вычислительных сетях — рабочие устройства можно использовать только для работы.

Использование технологии WPA2-PSK — не самый эффективный, но, распространённый метод. На каждом беспроводном устройстве задаётся ключ PSK, на основе которого осуществляется доступ.

Повысить уровень защищённости Wi-FI можно при помощи технологий безопасной аутентификации. Это может быть:

  • Аутентификация при помощи внешнего сервера.
  • Использование двухфакторной (2FA) аутентификации.

Безопасность беспроводных ЛВС во многом зависит от правильных настроек сети и грамотного управления политиками. В частности, рассчитывать на высокий уровень защищённости можно при использовании таких мер, как:

  • Отключение WPS.
  • Использование сложных паролей и их ежеквартальная смена. Сложным считается пароль от 10 символов, состоящий из букв и специальных символов.
  • Скрытый SSID.

Средства защиты данных в беспроводных сетях

Усилить защиту можно при помощи программных, аппаратных и аппаратно-программных средств.

WIPS-системы — корпоративные системы обнаружения вторжения по Wi-Fi. Обнаруживают ложные точки доступа, выявляют признаки атак, MITM угрозы и другие виды угроз. Режим WIPS поддерживается многими точками доступа от известных производителей. Они могут выпускаться в виде отдельных продуктов:

Cisco Adaptive Wireless IPS, Zebra Technologies AirDefense, HP Mobility Security IDS/IPS.

Программно-аппаратное средство для защиты беспроводных сетей от Fortinet. Включает в себя специальный фреймворк безопасности, беспроводные контроллеры, точки доступа, приложения для аналитики и средства управления аутентификацией.

Средство защиты беспроводных сетей Sophos Wireless. Обеспечивает гостевой контролируемый доступ через Wi-Fi и специальный портал с настраиваемыми условиями обслуживания и брендингом. Проверяет подлинность корпоративного уровня для обеспечения доступа к ресурсам. Классифицирует точки доступа в своей или соседней сети на доверенные и ненадёжные.

Получить консультацию