Ефективна безпека корпоративних мереж Wi-Fi – це більше, ніж просто налаштування найновішого шифрування або впровадження автентифікації 802.1X. Це, безумовно, важливо, але є ще багато вразливостей, які слід враховувати.
Щоб краще захистити мережі, які ви проєктуєте або адмініструєте, важливо розуміти ці потенційні вразливості Wi-Fi, зазначено в матеріалі Network World.
Підслуховування бездротового трафіку
Оскільки сигнали Wi-Fi передаються через радіохвилі, зловмисники можуть пасивно прослуховувати бездротовий зв’язок між пристроями та точками доступу (AP), навіть поза фізичними бар’єрами об’єкта.
У незахищених мережах зловмисники можуть отримати конфіденційну інформацію. Наприклад, облікові дані для входу, історію вебперегляду чи інші конфіденційні дані.
Основною вразливістю протоколу безпеки WPA/WPA2-Personal, зокрема в бізнес-мережах, є те, що користувач із парольною фразою Wi-Fi може стежити за мережевим трафіком іншого користувача і здійснювати атаки.
Корпоративний режим WPA/WPA2 забезпечує захист від стеження між користувачами. Але для розгортання потрібен сервер RADIUS або хмарна служба, а для підключення – пристрій користувача або клієнта. Таким чином, багато корпоративних середовищ все ще транслюють сигнали з простішим захистом WPA/WPA2-Personal.
Завдяки WPA3, який був представлений Wi-Fi Alliance у 2018 році, прослуховування не буде проблемою для тих мереж і пристроїв, які підтримують цей новий метод безпеки.
Шифрування за допомогою WPA3 (як у персональному, так і в корпоративному режимах) більш індивідуальне. Користувачі мережі WPA3 не можуть розшифрувати трафік від інших користувачів мережі, навіть якщо користувач має пароль Wi-Fi та успішно підключився.
Метод автентифікації Pre-Shared Key (PSK), який використовувався у попередніх версіях WPA, було замінено на одночасну автентифікацію рівних (SAE) у WPA3. Це означає, що мережі WPA3-Personal із простими парольними фразами набагато важче зламати хакерам за допомогою зовнішніх спроб зламу грубою силою на основі словника, ніж це було з WPA/WPA2.
Атаки на відмову в обслуговуванні (DoS)
Як і дротові мережі, Wi-Fi чутливий до атак типу «Відмова в обслуговуванні» (DoS), які можуть перевантажити мережу Wi-Fi із надмірним обсягом трафіку. Це може призвести до того, що Wi-Fi стане повільним або недоступним, що порушить нормальну роботу мережі або навіть бізнес.
DoS-атака може бути запущена шляхом створення великої кількості запитів на з’єднання чи автентифікацію або введення в мережу інших фіктивних даних для зламу Wi-Fi.
Зловмисники можуть надіслати кадри деавтентифікації, щоб від’єднати пристрої від мережі Wi-Fi, порушивши при цьому з’єднання і змусивши клієнтські пристрої підключитися до шахрайських точок доступу (AP). Також вони можуть заповнити мережу фальшивими або зловмисними фреймами-маяками, викликаючи плутанину серед підключених пристроїв і водночас порушуючи роботу мережі.
Запобігання атакам Wi-Fi DoS передбачає впровадження заходів безпеки, таких як системи виявлення вторгнень (IDS), брандмауери та фільтрація трафіку. Регулярне оновлення мікропрограми, використання надійного шифрування та налаштування мережевого обладнання для обробки надмірного трафіку також можуть допомогти пом’якшити вплив атак DoS.
Крім того, моніторинг мережевого трафіку на наявність незвичних шаблонів та оперативне усунення будь-яких вразливостей можуть підвищити загальну безпеку Wi-Fi.
Авторизовані пристрої Wi-Fi
Wi-jacking відбувається, коли зловмисник отримує доступ до підключеного до Wi-Fi пристрою або заволодів ним. Зловмисники можуть отримати збережені паролі Wi-Fi або облікові дані мережевої автентифікації на комп’ютері чи пристрої.
Потім хакери також можуть інсталювати на пристрій зловмисне, шпигунське або інше програмне забезпечення, а також маніпулювати налаштуваннями пристрою, включаючи конфігурацію Wi-Fi, щоб змусити пристрій підключатися до несанкціонованих точок доступу.
Зменшення ймовірності Wi-jacking передбачає впровадження загальних заходів безпеки комп’ютера, таких як використання хорошого захисту від вірусів і брандмауера, забезпечення фізичної безпеки пристроїв, впровадження функцій захисту від крадіжок і навчання користувачів атакам соціальної інженерії.
Радіочастотні перешкоди
Радіочастотні перешкоди можуть спричинити перебої у роботі Wi-Fi. Вони можуть бути викликані поганим дизайном мережі, змінами будівлі або іншою електронікою, яка випромінює або просочується в радіочастотний простір. Перешкоди можуть призвести до зниження продуктивності, пропускної здатності та збільшення затримки.
Невдалий дизайн Wi-Fi або зміни в будівлі можуть спричинити проблеми з перешкодами, особливо через наявність перекриваючих каналів від найближчих точок доступу та інших сусідніх мереж Wi-Fi.
Інші бездротові пристрої, які спільно використовують смугу пропускання Wi-Fi, наприклад пристрої Bluetooth, бездротові телефони, бездротові камери та радіоняні, можуть створювати перешкоди. Навіть електроніка, яку ви не можете назвати бездротовою, може спричиняти радіочастотні перешкоди. Наприклад, мікрохвильові печі, люмінесцентні лампи та погано екрановані кабелі.
У діапазонах Wi-Fi завжди буде шум, який може впливати на мережу, але є способи пом’якшити вразливість Wi-Fi. Професійне радіочастотне обстеження на етапі проєктування може допомогти зменшити проблеми, а також обстеження об’єктів у майбутньому для проведення перевірок. Ви також можете використовувати будь-який моніторинг, наданий вашими точками доступу або контролерами Wi-Fi, щоб стежити за справністю діапазонів Wi-Fi.
Близнюки й погана KARMA
Несанкціонована точка доступу (AP) у мережі Wi-Fi – це неавторизована або нелегітимна бездротова точка доступу або маршрутизатор, встановлений у мережі без явної згоди або відома адміністратора мережі. Це можуть бути співробітники/відвідувачі, які підключають домашній маршрутизатор у надії збільшити радіус дії Wi-Fi, або зловмисники, які спеціально прагнуть використати вразливі місця. Це також можуть бути неправильно налаштовані точки доступу, зокрема, законна точка доступу, яка не захищена від несправності чи недогляд ІТ-персоналу.
Незалежно від того, як це сталося, шахрайська точка доступу може створити вразливі місця в безпеці, уможлививши несанкціонований доступ до мережі. Зловмисники можуть використати цей доступ для здійснення атак, таких як перехоплення даних, впровадження шкідливого вмісту або несанкціонований доступ до конфіденційної інформації.
Хакери можуть налаштувати шахрайські точки доступу, щоб імітувати законні мережі, обманом змушуючи користувачів підключатися до них. Цей експлойт, відомий як атаки близнюків, дозволяє їм перехоплювати та маніпулювати даними.
Зловмисники можуть пасивно чекати, поки користувачі підключаться, або прискорити процес, надсилаючи кадри деавтентифікації, щоб відключити користувачів від реальної мережі.
Атаки KARMA використовують типову поведінку більшості пристроїв Wi-Fi, де вони автоматично підключаються до мереж, до яких вони підключалися в минулому. Зловмисники можуть налаштувати фальшиві точки доступу із загальновживаними іменами мереж (SSID), спонукаючи пристрої до автоматичного підключення та потенційно піддаючи їх атакам.
Проведення професійних обстежень сайту до та після розгортання мережі, регулярне сканування на наявність неавторизованих точок доступу та використання систем виявлення вторгнень можуть допомогти виявити несанкціоновані точки доступу.
Крім того, впровадження надійних заходів безпеки, таких як шифрування WPA3, автентифікація 802.1X на основі сертифікатів і впровадження належного контролю доступу, також можуть зменшити ризик виникнення шахрайських точок доступу.
Виконайте власне тестування Wi-Fi
Один із найкращих способів дізнатися більше про мережеву безпеку і краще захистити мережі, якими ви керуєте, – це дослідити інструменти тестування на проникнення. Це може допомогти вам оцінити безпеку мережі Wi-Fi, щоб визначити вразливі та слабкі місця. Звичайно, ви повинні бути обережними, щоб не атакувати мережі, які ви не адмініструєте.
Несанкціонований доступ до мереж і пристроїв є незаконним і неетичним. Тестери проникнення повинні дотримуватися юридичних та етичних принципів і переконатися, що вони мають дозвіл оцінювати безпеку мереж Wi-Fi, які вони тестують.
Коли ви вивчаєте інструменти для тестування, дізнайтеся якомога більше про інструмент і те, що він робитиме, перш ніж увімкнути його, щоб несвідомо не перервати свою власну мережу або не атакувати сусідів.
Читайте також на ProIT: чи стане 2024 рік роком прориву Wi-Fi 7.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!