Защита беспроводных сетей

Для организации корпоративных WLAN (беспроводных локальных сетей) используется технология Wi-Fi и оборудование, которое соответствует стандарту IEEE 802.11.

В состав оборудования могут входить: роутеры, точки доступа, беспроводные мосты, коммутаторы, сетевые адаптеры. В качестве конечных устройств выступают рабочие станции, ноутбуки, мобильные телефоны, планшеты и другие схожие устройства.

Каждый из элементов беспроводной сети — потенциально опасный источник утечки данных, который может повлиять на работу всей локально-вычислительной сети. Поэтому оставлять сети «открытыми» — без шифрования — категорически нельзя.

В случае, если беспроводная сеть является открытой, то согласно требованиям ФЗ N-97 от 05.05 2014 г. «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» необходимо проводить обязательную аутентификацию пользователей.

Виды угроз для беспроводных сетей

Возможные виды угроз:

• Подслушивание. Организуется 2 способами: перехват радиосигнала (анонимное подслушивание) и при помощи MITM-атаки («человек посередине»).
• DDoS-атаки. При их организации сигналы точек доступа и клиентских терминалов просто глушатся.
• Подмена MAC-адресов клиентских устройств. Злоумышленники подменяют MAC-адрес своего устройства, выдавая его за уже зарегистрированное в сети, и получают к ней доступ.
• Ложные точки доступа (атака Evil Twin). Организуются с целью сбора аутентификационных данных с устройств для подключения к конкретной сети.

Все беспроводные сети рано или поздно подключаются к проводным сетям. И место этого подключения может стать слабым звеном. Часто это происходит из-за неправильной сегментации VLAN.

Методы защиты беспроводных сетей

Для обеспечения защиты беспроводных сетей используется несколько методов:

Фильтрация по MAC-адресам. Такой вариант возможен, если пользовательские устройства защищены от перехвата MAC. Реализовать это сложно. Как вариант — запрет на использование личных устройств в корпоративных локально-вычислительных сетях — рабочие устройства можно использовать только для работы.

Использование технологии WPA2-PSK — не самый эффективный, но распространённый метод. На каждом беспроводном устройстве задаётся ключ PSK, на основе которого осуществляется доступ.

Повысить уровень защищённости Wi-Fi можно при помощи технологий безопасной аутентификации. Это может быть:

• Аутентификация при помощи внешнего сервера.
• Использование двухфакторной (2FA) аутентификации.

Безопасность беспроводных ЛВС во многом зависит от правильных настроек сети и грамотного управления политиками. В частности, рассчитывать на высокий уровень защищённости можно при использовании таких мер, как:

• Отключение WPS.
• Использование сложных паролей и их ежеквартальная смена. Сложным считается пароль от 10 символов, состоящий из букв и специальных символов.
• Скрытый SSID.

Средства защиты данных в беспроводных сетях

Усилить защиту можно при помощи программных, аппаратных и аппаратно-программных средств.

WIPS-системы — корпоративные системы обнаружения вторжения по Wi-Fi. Обнаруживают ложные точки доступа, выявляют признаки атак, MITM и другие виды угроз. Режим WIPS поддерживается многими точками доступа от известных производителей. Они могут выпускаться в виде отдельных продуктов: Cisco Adaptive Wireless IPS, Zebra Technologies AirDefense, HP Mobility Security IDS/IPS.

Программно-аппаратное средство для защиты беспроводных сетей Fortinet. Включает в себя специальный фреймворк безопасности, беспроводные контроллеры, точки доступа, приложения для аналитики и средства управления аутентификацией.

Средство защиты беспроводных сетей Sophos Wireless. Обеспечивает гостевой контролируемый доступ через Wi-Fi и специальный портал с настраиваемыми условиями обслуживания и брендингом. Проверяет подлинность корпоративного уровня для обеспечения доступа к ресурсам. Классифицирует точки доступа в своей или соседней сети на доверенные и ненадёжные.