Блог Cisco в России и СНГ
Share

История одной атаки: вторжение через Wi-Fi и способы его нейтрализации


October 8, 2018


В последнее время нередки случаи, когда злоумышленники атакуют беспроводные сети организаций, отелей, кафе, домашних пользователей и затем либо крадут интересующую их информацию, либо проникают во внутреннюю сеть предприятия и остаются там незамеченными надолго, собирая информацию, перехватывая управление, подменяя документы и т.п. Один из таких примеров стал достоянием гласности на прошлой неделе. Согласно материалам расследования 13 апреля 2018 года в багажнике арендованной машины, расположенной рядом с интересующим злоумышленников зданием, разместился традиционный хакерский инструментарий – ноутбук, Wi-Fi USB-модуль и усилитель беспроводной антенны. Хотя надо признать, что во время подгтовки к различным мероприятиям (например,  Cisco Connect) у сотрудников Cisco в багажнике находится схожий, а временами и более богатый арсенал, необходимый для организации выставочных стендов. А уж на “хакерских” конференциях, например, PHDays или грядущем OFFZONE) такой арсенал в порядке вещей.

Чего добивались злоумышленники, расположившиеся у здания интересующей их жертвы? Тут возможно несколько вариантов:

  • подключение к беспроводной сети организации для дальнейшего проникновения в корпоративную сеть
  • блокирование работы Wi-Fi-сети
  • создание фальшивой точки доступа и перехват данных, передаваемых мобильными устройствами, которые к ней могли подключиться.

Надо сказать, что мы в Cisco тоже регулярно сталкиваемся с попытками атак на нашу беспроводную сеть, развернутую в нескольких сотнях офисов по всему миру. Обратите внимание, что на наложенной на карту здания схеме размещения беспроводных устройств, отображаются как посторонние беспроводные клиенты, которые пытаются подключиться к нашей сети, так и фальшивые точки доступа, которые пытаются перехватить соединения с нашими пользователями и контролировать их трафик.

И надо признать, что эта ситуация встречается повсеместно. По статистике 2012-го года:

  • 49% домашних сетей незащищены и не используют шифрования. У публичных хотспотов это значение составляет 89%
  • 80% домашних Wi-Fi-маршрутизаторов используют пароли по умолчанию
  • 20% используют устаревший и уязвимый протокол WEP, который может быть взломан за считанные минуты

По состоянию на конец 2016-го года число незащищенных публичных хотспотов составляло около 22%, а 3% использовало протокол WEP. То есть четверть всех беспроводных сетей остаются абсолютно незащищенными. В отдельных странах показатели могут быть и того хуже. Например, в Индии 37% беспроводных сетей не используют шифрования вообще, а 49% применяют только WEP. По другой статистике 74% пользователей не знают, защищают ли используемые ими приложения передаваемые данные. Но даже при наличии шифрования все зависит от того, какое оно и как настроено. Интернет кишит инструкциями по перехвату и взлому зашифрованного трафика (например, для протокола SSL).

Но корпоративное применение Wi-Fi должно же подчиняться совсем другим правилам! Увы, это заблуждение. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений. При таких показателях Wi-Fi становится самым слабым звеном корпоративной системы кибербезопасности, которое и пытаются использовать злоумышленники и сотрудники спецслужб.

Подход Cisco заключается в создании надежной и защищенной архитектуры, которая в контексте кибербезопасности позволяет решить две основных задачи:

  • мониторинг угроз и аномалий
  • разграничение и контроль доступа.

Первая задача достигается за счет следующих механизмов беспроводных решений Cisco (контроллеров, точек доступа, программного обеспечения Mobility Services Engine, инфраструктуры Cisco Prime и т.п.):

  • обнаружение и определение местоположения беспроводных устройств (точность зависит от радиопокрытия, но одна точка доступа может мониторить от 1500 до 3000 квадратных метров)
  • обнаружение и подавление посторонних устройств (точек доступа и клиентов)
  • обнаружение и блокирование DoS-атак, направленных на отказ в обслуживании
  • обнаружение и отражение беспроводных атак, включая и аномалии
  • захват сетевого трафика для дальнейшего расследования (форензики).

 

Контроль и разграничение доступа в свою очередь достигаются следующими механизмами:

  • поддержка 802.1X
  • аутентификация по протоколам EAP-FAST, PEAP-GTC, PEAP-MSCHAPv2, EAP-TLS, EAP-SIM
  • шифрование AES-CCMP
  • расширения шифрования TKIP
  • функции ACL (для IPv4 и IPv6) и МСЭ
  • защита DHCP и ARP
  • блокирование соединений между клиентами в одной беспроводной сети
  • защита фреймов управления.

 

Помимо защиты беспроводных сетей от атак на них и на подключенных к ним клиентов, мы считаем, что защита требуется и самим точкам доступа, а также их сопряжению с проводными сегментами, в которые, часто и стремятся злоумышленники, использующие Wi-Fi как точку отсчета. Поэтому дополнительно к описанным выше механизмам мы также настоятельно рекомендуем использовать следующее:

  • контроль целостности конфигурации точки доступа, за счет сохранения эталонных конфигов для каждой точки в базе данных Cisco Prime Infrastructure и их регулярного сравнения с актуальными запущенными конфигами точек доступа.
  • усиленная парольная и административная политика, защищающая сами точки доступа от несанкционированного доступа к их настройкам
  • всесторонний контроль доступа за счет применения технологии Cisco TrustSec и системы управления политиками Cisco ISE,
  • мониторинг угроз и аномалий в проводной сети с помощью Cisco Stealthwatch.

К счастью для истории, с которой началась эта заметка, хакеры не успели проникнуть внутрь организации и украсть интересующую их информацию. Однако другим организациям везет гораздо меньше. Поэтому необходимо уделять внимание не только защите периметра и оснащать его различными средствами защиты (NGFW, NGIPS и т.д.), но и всем векторам проникновения в организацию, включая и Wi-Fi. Но если при этом вы свою беспроводную сеть строите на базе оборудования Cisco, то можно сказать, что вам повезло, – у нас уже встроено множество защитных механизмов, которые остается только включить…

Tags:
Оставить комментарий