История одной атаки: вторжение через Wi-Fi и способы его нейтрализации
В последнее время нередки случаи, когда злоумышленники атакуют беспроводные сети организаций, отелей, кафе, домашних пользователей и затем либо крадут интересующую их информацию, либо проникают во внутреннюю сеть предприятия и остаются там незамеченными надолго, собирая информацию, перехватывая управление, подменяя документы и т.п. Один из таких примеров стал достоянием гласности на прошлой неделе. Согласно материалам расследования 13 апреля 2018 года в багажнике арендованной машины, расположенной рядом с интересующим злоумышленников зданием, разместился традиционный хакерский инструментарий – ноутбук, Wi-Fi USB-модуль и усилитель беспроводной антенны. Хотя надо признать, что во время подгтовки к различным мероприятиям (например, Cisco Connect) у сотрудников Cisco в багажнике находится схожий, а временами и более богатый арсенал, необходимый для организации выставочных стендов. А уж на “хакерских” конференциях, например, PHDays или грядущем OFFZONE) такой арсенал в порядке вещей.
Чего добивались злоумышленники, расположившиеся у здания интересующей их жертвы? Тут возможно несколько вариантов:
- подключение к беспроводной сети организации для дальнейшего проникновения в корпоративную сеть
- блокирование работы Wi-Fi-сети
- создание фальшивой точки доступа и перехват данных, передаваемых мобильными устройствами, которые к ней могли подключиться.
Надо сказать, что мы в Cisco тоже регулярно сталкиваемся с попытками атак на нашу беспроводную сеть, развернутую в нескольких сотнях офисов по всему миру. Обратите внимание, что на наложенной на карту здания схеме размещения беспроводных устройств, отображаются как посторонние беспроводные клиенты, которые пытаются подключиться к нашей сети, так и фальшивые точки доступа, которые пытаются перехватить соединения с нашими пользователями и контролировать их трафик.
И надо признать, что эта ситуация встречается повсеместно. По статистике 2012-го года:
- 49% домашних сетей незащищены и не используют шифрования. У публичных хотспотов это значение составляет 89%
- 80% домашних Wi-Fi-маршрутизаторов используют пароли по умолчанию
- 20% используют устаревший и уязвимый протокол WEP, который может быть взломан за считанные минуты
По состоянию на конец 2016-го года число незащищенных публичных хотспотов составляло около 22%, а 3% использовало протокол WEP. То есть четверть всех беспроводных сетей остаются абсолютно незащищенными. В отдельных странах показатели могут быть и того хуже. Например, в Индии 37% беспроводных сетей не используют шифрования вообще, а 49% применяют только WEP. По другой статистике 74% пользователей не знают, защищают ли используемые ими приложения передаваемые данные. Но даже при наличии шифрования все зависит от того, какое оно и как настроено. Интернет кишит инструкциями по перехвату и взлому зашифрованного трафика (например, для протокола SSL).
Но корпоративное применение Wi-Fi должно же подчиняться совсем другим правилам! Увы, это заблуждение. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений. При таких показателях Wi-Fi становится самым слабым звеном корпоративной системы кибербезопасности, которое и пытаются использовать злоумышленники и сотрудники спецслужб.
Подход Cisco заключается в создании надежной и защищенной архитектуры, которая в контексте кибербезопасности позволяет решить две основных задачи:
- мониторинг угроз и аномалий
- разграничение и контроль доступа.
Первая задача достигается за счет следующих механизмов беспроводных решений Cisco (контроллеров, точек доступа, программного обеспечения Mobility Services Engine, инфраструктуры Cisco Prime и т.п.):
- обнаружение и определение местоположения беспроводных устройств (точность зависит от радиопокрытия, но одна точка доступа может мониторить от 1500 до 3000 квадратных метров)
- обнаружение и подавление посторонних устройств (точек доступа и клиентов)
- обнаружение и блокирование DoS-атак, направленных на отказ в обслуживании
- обнаружение и отражение беспроводных атак, включая и аномалии
- захват сетевого трафика для дальнейшего расследования (форензики).
Контроль и разграничение доступа в свою очередь достигаются следующими механизмами:
- поддержка 802.1X
- аутентификация по протоколам EAP-FAST, PEAP-GTC, PEAP-MSCHAPv2, EAP-TLS, EAP-SIM
- шифрование AES-CCMP
- расширения шифрования TKIP
- функции ACL (для IPv4 и IPv6) и МСЭ
- защита DHCP и ARP
- блокирование соединений между клиентами в одной беспроводной сети
- защита фреймов управления.
Помимо защиты беспроводных сетей от атак на них и на подключенных к ним клиентов, мы считаем, что защита требуется и самим точкам доступа, а также их сопряжению с проводными сегментами, в которые, часто и стремятся злоумышленники, использующие Wi-Fi как точку отсчета. Поэтому дополнительно к описанным выше механизмам мы также настоятельно рекомендуем использовать следующее:
- контроль целостности конфигурации точки доступа, за счет сохранения эталонных конфигов для каждой точки в базе данных Cisco Prime Infrastructure и их регулярного сравнения с актуальными запущенными конфигами точек доступа.
- усиленная парольная и административная политика, защищающая сами точки доступа от несанкционированного доступа к их настройкам
- всесторонний контроль доступа за счет применения технологии Cisco TrustSec и системы управления политиками Cisco ISE,
- мониторинг угроз и аномалий в проводной сети с помощью Cisco Stealthwatch.
К счастью для истории, с которой началась эта заметка, хакеры не успели проникнуть внутрь организации и украсть интересующую их информацию. Однако другим организациям везет гораздо меньше. Поэтому необходимо уделять внимание не только защите периметра и оснащать его различными средствами защиты (NGFW, NGIPS и т.д.), но и всем векторам проникновения в организацию, включая и Wi-Fi. Но если при этом вы свою беспроводную сеть строите на базе оборудования Cisco, то можно сказать, что вам повезло, – у нас уже встроено множество защитных механизмов, которые остается только включить…
Tags:
