Защита локальной сети – как обезопасить корпоративный Wi-Fi

Цепь не крепче ее самого слабого звена. Когда речь об ИБ, таким звеном нередко становится передача «по воздуху». Пока служба безопасности озабочена интернет-угрозами, непримечательный вардрайвер прогуливается у стен офиса — и вот уже данные из корпоративной сети в руках злоумышленников. Как стереотипы ведут к убыткам и почему каждой компании необходим взлом понарошку — читайте ниже.

Гарантировать защиту локальной сети на 100% вряд ли получится, поскольку методы хакеров совершенствуются одновременно с развитием компьютерных технологий. Но вполне реально максимально усложнить задачу кибератаки и обеспечить безопасность корпоративной сети.

Защита локальной сети – это процесс не одноразовый. Только регулярное проведение аудита безопасности беспроводных сетей поможет защитить коммерческую информацию и бизнес в целом. Рассмотрим в статье, как стереотипы ведут к убыткам, и почему каждому интернет-проекту необходим фиктивный взлом, имитирующий кибератаку?

3 фантастических способа обезопасить Wi-Fi и почему они не работают

Технологический прогресс не стоит на месте, кибератаки становятся всё более профессиональными, а поэтому защита локальной сети актуальна как никогда. Угрозу несанкционированного доступа к беспроводной сети недооценивают. Локальный радиус действия, увы, не означает ограниченные возможности для хакеров.

Это раньше вардрайверу приходилось подолгу «тереться» у офиса с ноутбуком – сейчас же ему нужны только смартфон и пара минут. Он может и вовсе не появиться у периметра, а взламывать корпоративный Wi-Fi издалека благодаря узконаправленной антенне.

Судя по нашему опыту, штатный эксперт по ИБ (часто он же системный администратор) не усложняет сотрудникам жизнь, разделяя доступ в интернет и к корпоративной сети. Вместо этого он принимает простейшие меры защиты локальной сети, которые ни по отдельности, ни в комплексе не способны остановить злоумышленников:

  1. Скрытый SSID. Как взломать то, чего не видно? Не так уж сложно. Во-первых, идентификатор скрыт только в штатном режиме работы сетевой карты. Если перевести её в режим мониторинга, SSID перестанет быть тайной. Во-вторых, он известен сотрудникам, а хакерские атаки редко обходятся без социальной инженерии.
  2. Сложный пароль. Злоумышленнику нет нужды брутфорсить его «не отходя от кассы», уповая на вычислительные мощности смартфона или ноутбука. Он быстро получит хеш пароля, а подберёт его уже на мощном «железе» и при помощи радужных таблиц. Но это не значит, что можно обойтись простым паролем и не менять его хотя бы раз в квартал.
  3. Только доверенные MAC-адреса. Мало того что эта функция идёт вразрез с концепцией BYOD (Bring Your Own Device) и в целом с распространением смартфонов и планшетов, так от неё ещё и мало толку. Если карта в режиме мониторинга, хакеру доступны MAC-адреса клиентов. Подменить свой – дело техники.

Всё это касается, прежде всего, WPA2-PSK, ведь именно эта технология лежит в основе беспроводных сетей многих крупных компаний. WPA2-Enterprise усложняет взлом корпоративной сети, поскольку использует авторизацию с дополнительным сервером, но и это не панацея.

Кто виноват в отсутствии защиты локальной сети и что делать?

Зачастую бизнес (если речь идёт не о банковском секторе) попросту не уделяет информационной безопасности достаточно внимания. По крайней мере до тех пор, пока несанкционированный доступ к конфиденциальным данным не оборачивается финансовыми и репутационными убытками. Выход один – действовать на опережение. Но не просто обзавестись штатными ИБ-экспертами, а проверить их компетентность в «боевых условиях».

Речь ведётся об аудите безопасности Wi-Fi. У этой процедуры мало общего со скучным финансовым или операционным аудитом. Она скорее напоминает остросюжетный фильм. Аудиторы узнают от заказчика адрес офиса и SSID сети. После этого их задача – взломать корпоративный Wi-Fi каждым из доступных способов. В чём отличие от хакерской атаки? Эксперты не нанесут вреда, а получив доступ к беспроводной сети одним способом, не остановятся, пока не найдут все до последнего.

У такого подхода полно достоинств. Но главное – то, что аудит безопасности локальной сети позволяет проверить на прочность не только технические аспекты корпоративного Wi-Fi, но и всю систему ИБ. Включая способность штатных экспертов по информационной безопасности оперативно реагировать на угрозы и готовность рядовых сотрудников противиться методам социальной инженерии.

Что день аудита безопасности вам готовит?

Эксперты по информационной безопасности – как фокусники: никогда не раскрывают всех своих секретов. Но некоторые уже давно стали достоянием общественности. Эти методики взлома доступны не только опытным хакерам, но и новичкам. Оттого каждая из них не становится менее эффективной:

  • Кибератака на WPS. Первым делом нужно отыскать маршрутизаторы, на которых включена эта функция. Справиться с задачей несложно, если перевести карту в режим мониторинга. Следующий шаг – кибератака. Например, Pixie Dust, к которой до сих пор уязвимо многое оборудование. Взлом может занять от 5 секунд до 30 часов, но PIN-код для авторизации в конце концов окажется в руках аудитора.
  • Перехват Handshake. При возобновлении подключения клиент передаёт точке доступа «рукопожатие», в котором содержится хеш пароля. Следовательно, взломщику достаточно перехватить трафик и разорвать авторизованную сессию. Затем наступает черед перебора по словарю или брутфорса.
  • Evil Twin. «Злым близнецом» станет сеть с таким же SSID и MAC-адресом маршрутизатора, которая будет запущена сразу же после того, как корпоративный Wi-Fi стараниями взломщика на время «ляжет». Сотрудники, скорее всего, не увидят в этом ничего подозрительного и таким образом сами сообщат аудиторам пароль.

Вместо заключения

Ломать – не строить, а получить доступ к корпоративной сети – ещё не значит успешно провести аудит безопасности Wi-Fi. Что толку от перечня уязвимостей, если заказчик понятия не имеет, как их устранить? Именно поэтому задача аудитора по информационной безопасности – предоставить пошаговую инструкцию, как превратить корпоративный Wi-Fi из воздушного замка в неприступную крепость.