Защита беспроводных сетей
Беспроводные сети — это часть ИТ-инфраструктуры, позволяющая передавать данные на большие и малые расстояния без использования проводов. В зависимости от масштаба делятся на: WPAN, WLAN, WMAN.
Для организации корпоративных WLAN (беспроводных локальных сетей) используется технология Wi-Fi и оборудование, которое соответствует стандарту IEEE 802.11.
В состав оборудования могут входить: роутеры, точки доступа, беспроводные мосты, коммутаторы, сетевые адаптеры. В качестве конечных устройств выступают рабочие станции, ноутбуки, мобильные телефоны, планшеты и другие схожие устройства.
Каждый из элементов беспроводной сети — потенциально опасный источник утечки данных, который может повлиять на работу всей локально-вычислительной сети. Поэтому оставлять сети «открытыми» — без шифрования — категорически нельзя.
В случае, если беспроводная сеть является открытой, то согласно требованиям ФЗ N-97 от 05.05 2014 г. «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» необходимо проводить обязательную аутентификацию пользователей.
Виды угроз для беспроводных сетей
Возможные виды угроз:
- Подслушивание. Организуется 2 способами: перехват радиосигнала (анонимное подслушивание) и при помощи MITM-атаки («человек посередине»).
- DDoS-атаки. При их организации сигналы точек доступа и клиентских терминалов просто глушатся.
- Подмена MAC-адресов клиентских устройств. Злоумышленники подменяют MAC-адрес своего устройства, выдавая его за уже зарегистрированное в сети, и получают к ней доступ.
- Ложные точки доступа (атака Evil Twin). Организуются с целью сбора аутентификационных данных с устройств для подключения к конкретной сети.
Все беспроводные сети рано или поздно подключаются к проводным сетям. И место этого подключения может стать слабым звеном. Часто это происходит из-за неправильной сегментации VLAN.
Методы защиты беспроводных сетей
Для обеспечения защиты беспроводных сетей используется несколько методов:
Фильтрация по MAC-адресам
Такой вариант возможен, если пользовательские устройства защищены от перехвата MAC. Реализовать это сложно. Как вариант — запрет на использование личных устройств в корпоративных локально-вычислительных сетях — рабочие устройства можно использовать только для работы.
Использование технологии WPA2-PSK — не самый эффективный, но распространённый метод. На каждом беспроводном устройстве задаётся ключ PSK, на основе которого осуществляется доступ.
Повысить уровень защищённости Wi-Fi можно при помощи технологий безопасной аутентификации. Это может быть:
- Аутентификация при помощи внешнего сервера.
- Использование двухфакторной (2FA) аутентификации.
Безопасность беспроводных ЛВС во многом зависит от правильных настроек сети и грамотного управления политиками. В частности, рассчитывать на высокий уровень защищённости можно при использовании таких мер, как:
- Отключение WPS.
- Использование сложных паролей и их ежеквартальная смена. Сложным считается пароль от 10 символов, состоящий из букв и специальных символов.
- Скрытый SSID.
Средства защиты данных в беспроводных сетях
Усилить защиту можно при помощи программных, аппаратных и аппаратно-программных средств.
WIPS-системы — корпоративные системы обнаружения вторжения по Wi-Fi. Обнаруживают ложные точки доступа, выявляют признаки атак, MITM и другие виды угроз. Режим WIPS поддерживается многими точками доступа от известных производителей. Они могут выпускаться в виде отдельных продуктов:
Cisco Adaptive Wireless IPS, Zebra Technologies AirDefense, HP Mobility Security IDS/IPS.
Программно-аппаратное средство для защиты беспроводных сетей Fortinet. Включает в себя специальный фреймворк безопасности, беспроводные контроллеры, точки доступа, приложения для аналитики и средства управления аутентификацией.
Средство защиты беспроводных сетей Sophos Wireless. Обеспечивает гостевой контролируемый доступ через Wi-Fi и специальный портал с настраиваемыми условиями обслуживания и брендингом. Проверяет подлинность корпоративного уровня для обеспечения доступа к ресурсам. Классифицирует точки доступа в своей или соседней сети на доверенные и ненадёжные.