Безпека в мережах Wi-Fi. Частина 1 - відкриті мережі. - Записки IT фахівця

Наша взаимовыгодная связь https://banwar.org/

Сьогодні Wi-Fi міцно зайняв своє місце в нашому житті, перетворившись з новою технологією в повсякденність. Зайшовши випити кави в кафе або присівши на лавочку в сквері багато хто починає шукати найближчу точку доступу, анітрохи не замислюючись про питання безпеки. Практика показала, що слабке уявлення про загрози в бездротових мережах мають не тільки користувачі, але і багато адміністраторів, піддаючи серйозним ризикам корпоративні системи.

Чому саме Wi-Fi? Чим дана технологія так приваблива для зловмисника? Щоб відповісти на це питання, згадаємо як працюють провідні мережі. Основу сучасних мереж складають комутатори (свічі, switch), які відправляють пакети тільки на порт одержувача виключаючи доступ до них інших хостів.

Щоб здійснити перехоплення чужого трафіку зловмисник повинен не тільки фізично підключитися до мережі, що само по собі проблематично, але і включитися в ланцюг передачі пакетів. Якщо навіть зловмисник підключиться в вільний порт комутатора, то перехопити або прослухати чужий трафік він не зможе. Щоб здійснити таку атаку потрібно мати фізичний доступ до мережного обладнання та адміністративні права, що робить її практично неможливою.

Ми свідомо не розглядаємо ситуації з впровадженням в периметр мережі різного роду шкідливого ПЗ, отримання несанкціонованого доступу до активного мережевого обладнання тощо, так як це виходить за рамки даної статті.

Бездротові мережі в силу особливостей середовища передачі не можуть забезпечити розмежування доступу до даних, пакети, що передаються клієнтом або точкою доступу можуть бути отримані будь-яким пристроєм в зоні дії мережі.

У нормальному режимі мережеве обладнання приймає призначені тільки йому пакети, проте існує спеціалізоване і легкодоступний ПО, яке дозволяє здійснювати перехоплення і аналіз всього мережевого трафіку.

Навіть якщо це ваша гостьова Wi-Fi і вона надійно ізольована від корпоративної мережі, все одно вона схильна до тим же загрозам, особливо якщо нею користуються ваші співробітники з персональних пристроїв, а якщо вони при цьому ще звертаються до корпоративних сервісів, то ризики зростають багаторазово.

Ми не будемо давати готових механізмів атак на відкриті мережі, скажемо тільки що доступність відповідного ПО і інструкцій роблять це завдання доступною навіть для нудьгуючих школярів.

Крім того, ми радимо також розглядати мережі з шифруванням WEP як відкриті, при наявності мережевої активності в мережі для її злому потрібно 5-10 хвилин, причому робиться це спеціалізованим ПО в автоматичному режимі і не вимагає від зловмисника ніяких спеціальних знань.

З WPA / WPA2 мережами ситуація набагато краще, при виборі надійного ключа і відмову від скомпрометованої технології TKIP (на користь AES) зламати такі мережі без застосування спецзасобів і глибоких знань практично неможливо. Знову-таки не будемо забувати про захищених мережах, ключ яких відомий зловмисникові, наприклад, мережа в ресторані, де ключ видається офіціантом разом із замовленням.

Існує ПО, наприклад, CommView for WiFi, яке дозволяє здійснювати перехоплення і розшифровку пакетів навіть у закритих мережах. Тому захищені мережі, ключ від яких відомий широкому колу осіб, слід також розглядати як відкриті, з усіма наслідками, що випливають з цього запобіжними засобами.

Основна загроза відкритих мереж - це перехоплення і аналіз вашого трафіку. Тому присівши в парку на лавку і виявивши відкриту мережу, не поспішайте підключатися до неї, а подумайте кому вона може належати.

Цілком може бути, що он той хлопчина в окулярах на сусідній лавочці і є зловмисник, за допомогою ноутбука і 3G модема підняв точку доступу, збираючи з проходить трафіку паролі, cookie та іншу "цікаву" інформацію.

Тому прийміть як аксіому, використовуючи відкриті мережі не авторизуйтесь ні на яких ресурсах, передають авторизовані дані у відкритому вигляді. Зловмиснику навіть не потрібен ваш пароль, який може бути переданий в зашифрованому вигляді, цілком достатньо перехопити cookie, після чого він без проблем авторизується під вашим обліковим записом.

Якщо вам все-таки треба авторизуватися, то переконаєтеся, що сайт підтримує SSL і сертифікат дійсно належить цьому сайту. При цьому уникайте підключення до ресурсів з самоподпісанного сертифікатом, справжність якого ви не можете перевірити. Про це ми ще поговоримо більш докладно.

Також уникайте, а найкраще ніколи не використовуйте відкриті мережі для доступу до фінансової інформації або здійснення платежів.

Інша небезпека підстерігає нас там, де приналежність точки доступу начебто відома. Зловмисник може використовувати ще одна властивість мереж Wi-Fi - при наявності в мережі декількох точок доступу, автоматично перемикатися на ту, у якій краще сигнал.

Схема атаки гранично проста, зловмисником створюється точка доступу з таким же SSID, як у існуючої мережі, після чого всі близько розташовані клієнти автоматично переключаться на точку зловмисника, навіть не підозрюючи, що їх трафік перехоплюється. В результаті посиденьки з планшетом в улюбленому кафе можуть закінчитися дуже невесело і добре ще якщо постраждає особиста інформація, а не будуть втрачені реквізити доступу до корпоративної мережі.

Тут в повний зріст постає проблема безпечного доступу до корпоративних ресурсів, навіть якщо у вашій організації не використовується Wi-Fi. Де гарантія, що співробітник сидячи в парку або кафе не вирішить перевірити корпоративну пошту?

Але навіть якщо ви переконалися, що точка доступу одна і належить тому, кому треба, не поспішайте радіти. Існує тип атаки ARP-spoofing, який здатний направити ваш трафік через пристрій зловмисника.

Нарешті зловмисник може просто збирати і аналізувати Wi-Fi трафік не втручаючись в роботу бездротової мережі, перевівши свій Wi-Fi адаптер в режим моніторингу.

Зрозуміло, що вплинути на можливість перехоплення пакетів в мережах Wi-Fi ми не можемо в силу особливостей середовища поширення. Відмова від використання Wi-Fi в організації також ніяк не убезпечить вашу інфраструктуру. До кожного співробітника сторожі не приставиш і використовувати корпоративні ресурси через відкриті мережі не заборониш.

Що робити? Повністю відмовитися від незашифрованих каналів доступу до даних. Використовуйте SSL де це можливо, там, де неможливо - VPN. Ще один момент пов'язаний з самоподпісанного сертифікатами. Використовувати їх можна виключно всередині периметра безпеки, а краще не використовувати взагалі. Якщо вас хвилює питання безпеки - придбайте нормальний сертифікат, що не привчайте співробітників ігнорувати попередження безпеки.

В іншому випадку ви можете стати жертвою атаки "людина посередині". Сенс її зводиться до того, що при з'єднанні з захищеним вузлом зловмисник самостійно отримує сертифікат від вузла, передаючи клієнту власний сертифікат.

Цілком зрозуміло, що браузер відреагує на таке втручання попередженням безпеки.

Однак якщо ви привчили своїх співробітників ігнорувати дане попередження, використовуючи самоподпісанний сертифікат, то вони, як то кажуть, не помітять різниці і благополучно проігнорують його і зараз.

Тому якщо ви все-таки використовуєте самоподпісанного сертифікати, то не полінуйтеся встановити на кожен пристрій кореневий сертифікат, щоб уникнути появу даного попередження, що допоможе уникнути появи звички його ігнорувати.

З цієї ж причини ми не рекомендуємо використовувати технологію ssl-bump, яка призначена для фільтрації SSL-трафіку на шлюзі. Прагнення фільтрувати трафік зрозуміло, але безпеку дорожче, крім того, в разі компрометації шлюзу ви своїми руками виконайте атаку "людина посередині" на свою організацію.

На завершення ми радимо всім адміністраторам, навіть не використовують Wi-Fi, відповідально підійти до даного питання і виключити можливість передачі незашифрованих авторизаційних даних за межами периметра мережі.