547771
07.06.2017 компания Positive Technologies представила отчет «Атаки на корпоративный Wi-Fi», в котором приведен обзор наиболее распространенных угроз информационной безопасности, связанных с использованием беспроводной сети как части корпоративной инфраструктуры. Отчет основан на сведениях, полученных в ходе работ компании по анализу защищенности беспроводных сетей ряда организаций в 2016 году.
В качестве наиболее распространенных угроз информационной безопасности и сценариев компьютерных атак на корпоративные сети Wi-Fi выделяются:
- Доступность корпоративной сети за пределами контролируемой зоны. Злоумышленник может получить доступ к сети организации из соседнего здания или с парковки.
- Поддельная точка доступа. В настройках телефонов, планшетов и ноутбуков многих пользователей прописано автоматическое подключение к известной сети Wi-Fi. Создав поддельную точку доступа с названием, идентичным корпоративной сети Wi-Fi, в местах пребывания сотрудников компании (в ближайших кафе, магазинах), злоумышленник сможет перехватить значения пары вызов / ответ (Challenge / Response), используемые в запросах на аутентификацию. Полученные данные позволят ему незаметно получить хеш пароля сотрудника компании методом перебора и, как следствие, доступ к корпоративным ресурсам.
- Переход из гостевой сети в корпоративную. Злоумышленник, подключившись к гостевой сети, может получить доступ и к другим сегментам сетевой инфраструктуры, перехватывать трафик, учетные данные и другую чувствительную информацию.
- Создание несанкционированных точек доступа. Чтобы использовать сеть Интернет в личных целях, сотрудники компаний применяют личные устройства в качестве точек доступа, к которым подключают рабочие компьютеры. В случае успешной атаки на подобную беспроводную сеть злоумышленник сможет получить доступ к ресурсам локальной сети.
- Использование простых словарных паролей. Подбор простого пароля посредством специальных программных средств может занять у злоумышленника несколько секунд.
- Использование механизма WPS (Wi-Fi Protected Setup), упрощающего настройку подключения к беспроводной сети. В данном случае имя сети и тип шифрования задаются автоматически, а для подключения к точке доступа используется PIN-код, состоящий только из цифр. Подобрав PIN-код, злоумышленник сможет получить доступ к корпоративной сети.
- Небезопасная аутентификация с использованием фильтрации подключаемых устройств по MAC-адресам. Это решение в сочетании с созданием поддельной точки доступа может позволить злоумышленнику осуществить атаку типа «человек посередине» (Man in the middle, MITM), в результате которой перехватить сетевой трафик.
- Ограничение мощности сигнала в настройках маршрутизатора или размещение указанного устройства во внутренних помещениях, чтобы его сигнал не выходил за пределы контролируемой зоны.
- Применение безопасных методов аутентификации, например, протокола EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера. Данный протокол требует установки клиентских сертификатов на каждое беспроводное устройство. В случае атаки с использованием поддельной точки доступа проверка сертификата не будет успешной, и злоумышленник не получит аутентификационные данные.
- Применение режима изоляции пользователей точки доступа, запрет на использование гостевой сети сотрудниками компании, а также надежные механизмы шифрования (WPA2).
- Регулярное проведение мероприятий по обнаружению в контролируемой зоне несанкционированных точек доступа с их последующим отключением.
- Введение строгой парольной политики.
- Отключение в настройках точки доступа функции WPS.
- Повышение осведомленности сотрудников в области угроз информационной безопасности, проведение обучения с контролем его эффективности.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
