Рекомендации по настройке WPA 2

WPA2 появился в 2004 году и является усовершенствованной версией WPA. Он обладает более высоким уровнем безопасности, а также проще настраивается по сравнению с предыдущими версиями. Однако у протокола WPA2 есть недостатки. Например, он уязвим перед атаками с переустановкой ключа (KRACK). Тем не менее на устройства могут быть установлены обновления безопасности, поэтому WPA2 считается более надежным, чем WEP и WPA. Основное отличие WPA2 от WPA — использование улучшенного стандарта шифрования Advanced Encryption Standard (AES) вместо TKIP (Temporal Key Integrity Protocol).

Существует несколько видов аутентификации, применяемых с протоколом WPA2. Ниже мы рассмотрим две связки: WPA2+PSK и WPA2+EAP.

Рекомендации по повышению безопасности беспроводных сетей на базе WPA2+PSK

PSK — это способ аутентификации, при использовании которого нужно задать только пароль (ключ) и потом использовать его для подключения к сети Wi-Fi. Используется один пароль для всех устройств, и он хранится на устройствах, где при необходимости его можно посмотреть или сменить.

Чтобы безопасно настроить беспроводную сеть, необходимо понять, какие хакерские атаки угрожают беспроводным сетям WPA2+PSK. Ниже мы рассмотрим некоторые виды атак, а также приведем рекомендации по безопасной настройке беспроводных сетей.

1) Атаки перехвата трафика (MITM)

Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и ресурсом, который используется в данный момент.

Рекомендации

• Включение в беспроводной сети шифрования данных методом AES

Для WPA2 рекомендуется выявить используемый метод шифрования. По умолчанию должен использоваться AES, но иногда для совместимости со старыми устройствами используется TKIP. Рекомендуется использовать AES (Advanced Encryption Standard) вместо более уязвимого TKIP.

• Реализация принципа наименьших привилегий

K ЛВС необходимо разрешить доступ только тем устройствам, которым он  необходим. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только к интернету. Данная сеть должна быть не гостевой, и доступ к ней должен быть только у сотрудников компании.

2) Атака деаутентификации клиента

Используемые ключи безопасности в ряде случаев имеют недостаточную длину или сложность и могут быть без труда подобраны нарушителем. Злоумышленник может перехватить значения handshake для атакуемой точки доступа и получить возможность локально (без подключения к сети) подбирать пароль по этому значению. Словарные или простые комбинации можно подобрать за несколько секунд.

Рекомендации

• Использование стойких к подбору паролей

Убедитесь, что пароль содержит не менее 12 символов, включая буквы, цифры и специальные символы. Не используйте простые слова или фразы, которые легко угадать.

• Регулярное изменение пароля

Меняйте пароль беспроводной сети регулярно (каждые 3 месяца) для уменьшения вероятности успешной атаки.

3) Атаки с использованием механизма WPS

Механизм WPS (Wi-Fi Protected Setup) предназначен для упрощения процесса настройки беспроводной сети c использованием специального PIN-кода, состоящего только из цифр. Нарушитель может подобрать PIN-код и подключиться к точке доступа.

Рекомендации

• Отключение функции WPS в настройках точки доступа

4) Атаки с поддельной точкой доступа (ч. 1)

Хакеры могут создавать поддельные точки доступа Wi-Fi, а пользователи зачастую используют небезопасную настройку «Автоматическое подключение к сети Wi-Fi». Вследствие этого устройства сотрудников, оказавшиеся в зоне ее покрытия, автоматически отправляют запросы на аутентификацию. Далее злоумышленник может успешно перехватить значения пары Challenge + Response, используемые в запросах на аутентификацию. Эти данные, в свою очередь, могут быть использованы для последующего получения хеша пароля методом перебора.

Рекомендации

• Ограничение доступности корпоративных беспроводных сетей

Рекомендуется ограничивать доступность корпоративных беспроводных сетей из-за пределов контролируемой зоны. Для этого необходимо снизить мощность сигнала в настройках маршрутизатора.

Другой вариант — перенести маршрутизаторы в другие внутренние помещения, чтобы их сигнал не выходил за пределы контролируемой зоны.

• Повышение осведомленности сотрудников в вопросах ИБ

Рекомендуется довести требования ИБ до всех категорий сотрудников. Для этого необходимо разработать программу повышения осведомленности сотрудников в вопросах ИБ, сделав акцент на практических аспектах обеспечения безопасности.

• Запрет на подключение к несанкционированным точкам доступа

Рекомендуется запретить пользователям подключать к ЛВС несанкционированные точки доступа. Также рекомендуется донести до пользователей необходимость отключить небезопасную настройку «Автоматическое подключение к сети Wi-Fi».

• Проведение регулярного контроля по выявлению несанкционированных  и поддельных точек доступа

Рекомендуется использовать функцию Rogue AP Detection в контроллерах беспроводной сети. Она позволяет выявлять чужие точки доступа, не подконтрольные сетевому администратору. Они могут использоваться для стороннего подключения к сети предприятия в обход основной системы защиты.

5) Атаки с поддельной точкой доступа (ч. 2)

Злоумышленник может провести KARMA-атаку на пользователей беспроводных сетей, создавая поддельные открытые точки доступа на все probe-запросы, которые рассылают пользовательские устройства. В случае успешной атаки, в том числе с использованием поддельной формы аутентификации с корпоративным оформлением, злоумышленник может получить учетные данные пользователей беспроводных сетей и другую значимую информацию.

Рекомендации

• Ограничение доступности корпоративных беспроводных сетей

Рекомендуется ограничивать доступность корпоративных беспроводных сетей из-за пределов контролируемой зоны. Для этого необходимо снизить мощность сигнала в настройках маршрутизатора.

Другой вариант — перенести маршрутизаторы в другие внутренние помещения, чтобы их сигнал не выходил за пределы контролируемой зоны.

• Повышение осведомленности сотрудников в вопросах ИБ

Рекомендуется довести требования ИБ до всех категорий сотрудников. Для этого необходимо разработать программу повышения осведомленности сотрудников в вопросах ИБ, сделав акцент на практических аспектах обеспечения безопасности.

• Использование безопасных методов аутентификации

Для предотвращения подобной ситуации рекомендуется использовать в корпоративной инфраструктуре безопасные методы аутентификации. Например, EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера. Данный протокол требует установки клиентских сертификатов на каждое беспроводное устройство. В случае атаки с использованием поддельной точки доступа проверка сертификата будет провалена и злоумышленник не получит аутентификационные данные.

• Запрет на подключение к несанкционированным точкам доступа

Рекомендуется запретить пользователям подключать к ЛВС несанкционированные точки доступа. Также рекомендуется донести до пользователей необходимость отключить небезопасную настройку «Автоматическое подключение к сети Wi-Fi».

• Проведение регулярного контроля по выявлению несанкционированных точек доступа

Рекомендуется проводить регулярное выявление несанкционированных точек доступа в контролируемой зоне с их последующим отключением.

Рекомендации по повышению безопасности беспроводных сетей на базе WPA2+EAP

EAP — расширяемый протокол аутентификации, не состоящий из какого-либо одного метода аутентификации. Вместо этого EAP определяет набор общих функций, используемых для аутентификации пользователей.

Чтобы безопасно настроить свою беспроводную сеть, необходимо понять, от чего нужно защищаться. Ниже мы рассмотрим некоторые виды атак, а также приведем рекомендации по безопасной настройке WPA2+EAP.

1) Атаки перехвата трафика (MITM)

Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и, к примеру, сайтом, который используется в данный момент.

Рекомендации

• Включение в беспроводной сети шифрования данных методом AES

Для WPA2 рекомендуется проверить, какой метод шифрования используется. По умолчанию это AES, но иногда для совместимости со старыми устройствами используется TKIP. Рекомендуется использовать AES (Advanced Encryption Standard) вместо более уязвимого TKIP (Temporal Key Integrity Protocol).

• Использование метода EAP-TLS с применением клиентского сертификата и проверкой сертификата сервера

При  реализации  Enterprise-сетей рекомендуется использовать метод аутентификации EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера.

• Использование режима client isolation

Режим для защиты устройства от атак с другого устройства в той же сети. Когда этот режим включен, устройство изолирует друг от друга всех подключенных к одной и той же беспроводной сети клиентов, что повышает безопасность сети.

• Реализация принципа наименьших привилегий

K ЛВС необходимо разрешить доступ только тем устройствам, которым он  необходим: корпоративным ноутбукам и передвижным рабочим местам. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только в интернет. Данная сеть должна быть не гостевой, и доступ к ней должен быть только у сотрудников компании.

2) Атаки на слабые протоколы EAP

Разные протоколы EAP могут иметь разные уровни безопасности. Некоторые старые или слабые протоколы могут быть уязвимыми к атакам.

Рекомендации

• Выбор безопасного протокола EAP

Не используйте устаревшие протоколы EAP с известными уязвимостями, например EAP-MD5 или EAP-LEAP. Вместо этого выбирайте более современный и безопасный протокол, например EAP-TLS (Transport Layer Security).

3) Атаки с использованием сертификатов

Если злоумышленник получит доступ к сертификатам, он может использовать их для подделки легитимного сервера аутентификации или клиента.

Рекомендации

• Использование сертификатов с ограниченными правами

Для доступа к вашей сети выдавайте сертификаты с ограниченными правами пользователям и устройствам.

• Регулярное обновление сертификатов

Регулярно и до истечения их срока действия обновляйте сертификаты и ключи.

4) Атаки с использованием механизма WPS

Механизм WPS (Wi-Fi Protected Setup) предназначен для упрощения процесса настройки беспроводной сети c использованием специального PIN-кода, состоящего только из цифр. Нарушитель может подобрать PIN-код и подключиться к точке доступа.

Рекомендации

• Отключение функции WPS в настройках точки доступа

5) Атаки с поддельной точкой доступа (ч. 1)

Хакеры могут создавать поддельные точки доступа Wi-Fi, а пользователи зачастую используют небезопасную настройку «Автоматическое подключение к сети Wi-Fi». Вследствие этого устройства сотрудников, оказавшиеся в зоне ее покрытия, автоматически отправляют запросы на аутентификацию. Далее злоумышленник может успешно перехватить значения пары Challenge + Response, используемые в запросах на аутентификацию. Эти данные, в свою очередь, могут быть использованы для последующего получения хеша пароля методом перебора.

Рекомендации

• Ограничение доступности корпоративных беспроводных сетей

Рекомендуется ограничивать доступность корпоративных беспроводных сетей из-за пределов контролируемой зоны. Для этого необходимо снизить мощность сигнала в настройках маршрутизатора.

Другой вариант — перенести маршрутизаторы в другие внутренние помещения, чтобы их сигнал не выходил за пределы контролируемой зоны.

• Повышение осведомленности сотрудников в вопросах ИБ

Рекомендуется довести требования ИБ до всех категорий сотрудников. Для этого необходимо разработать программу повышения осведомленности сотрудников в вопросах ИБ, сделав акцент на практических аспектах обеспечения безопасности.  

• Запрет на подключение к несанкционированным точкам доступа

Рекомендуется запретить пользователям подключать к ЛВС несанкционированные точки доступа. Также рекомендуется донести до пользователей необходимость отключить небезопасную настройку «Автоматическое подключение к сети Wi-Fi».

• Проведение регулярного контроля по выявлению несанкционированных  и поддельных точек доступа

Рекомендуется использовать функцию Rogue AP Detection в контроллерах беспроводной сети. Она позволяет выявлять чужие точки доступа, не подконтрольные сетевому администратору. Они могут использоваться для стороннего подключения к сети предприятия в обход основной системы защиты.

6) Атаки с поддельной точкой доступа (ч. 2)

Злоумышленник может провести KARMA-атаку на пользователей беспроводных сетей, создавая поддельные открытые точки доступа на все probe-запросы, которые рассылают пользовательские устройства. В случае успешной атаки, в том числе с использованием поддельной формы аутентификации с корпоративным оформлением, злоумышленник может получить учетные данные пользователей беспроводных сетей и другую значимую информацию.

Рекомендации

• Ограничение доступности корпоративных беспроводных сетей

Рекомендуется ограничивать доступность корпоративных беспроводных сетей из-за пределов контролируемой зоны. Для этого необходимо снизить мощность сигнала в настройках маршрутизатора.

Другой вариант — перенести маршрутизаторы в другие внутренние помещения, чтобы их сигнал не выходил за пределы контролируемой зоны.

• Повышение осведомленности сотрудников в вопросах ИБ

Рекомендуется довести требования ИБ до всех категорий сотрудников. Для этого необходимо разработать программу повышения осведомленности сотрудников в вопросах ИБ, сделав акцент на практических аспектах обеспечения безопасности.  

• Использование безопасных методов аутентификации

Для предотвращения подобной ситуации рекомендуется использовать в корпоративной инфраструктуре безопасные методы аутентификации. Например, EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера. Данный протокол требует установки клиентских сертификатов на каждое беспроводное устройство. В случае атаки с использованием поддельной точки доступа проверка сертификата будет провалена и злоумышленник не получит аутентификационные данные.

• Запрет на подключение к несанкционированным точкам доступа

Рекомендуется запретить пользователям подключать к ЛВС несанкционированные точки доступа. Также рекомендуется донести до пользователей необходимость отключить небезопасную настройку «Автоматическое подключение к сети Wi-Fi».

• Проведение регулярного контроля по выявлению несанкционированных точек доступа

Рекомендуется проводить регулярное выявление несанкционированных точек доступа в контролируемой зоне с их последующим отключением.