5 ошибок безопасности WiFi, которых следует избегать

Безопасность беспроводной сети — это совсем другое животное, чем безопасность проводной сети. Поскольку Wi-Fi — это беспроводная технология, попытки вторжения намного проще, поскольку они возможны без физического доступа к сети или зданию. Таким образом, это одна из областей ИТ-безопасности, в которой вы не хотите совершать ошибок.

Вот пять распространенных ошибок безопасности WiFi, которых следует избегать при развертывании беспроводных сетей:

Использование предварительного общего ключа (PSK) WiFi Security

Персональный режим безопасности Wi-Fi Protected Access (WPA или WPA2) намного проще изначально настроить, чем корпоративный режим с аутентификацией 802.1X, для которого требуется сервер RADIUS или размещенная служба RADIUS. Однако корпоративный режим гораздо лучше подходит для бизнес-сетей. Он обеспечивает более высокий уровень безопасности в бизнес-среде и в долгосрочной перспективе требует меньше времени для управления по сравнению с усилиями, необходимыми для безопасного использования личного режима.

Когда вы используете персональный режим безопасности WPA или WPA2, вы устанавливаете парольную фразу, которая используется всеми пользователями для подключения к WiFi. Эта парольная фраза хранится на всех этих устройствах, поэтому, если одно из них будет утеряно или украдено или если сотрудник покинет организацию, вам потребуется изменить парольную фразу на точках доступа и на всех беспроводных устройствах, чтобы обеспечить безопасность сети.

Когда вы используете корпоративный режим безопасности WPA или WPA2, вы можете создать уникальные учетные данные для каждого пользователя. Это может быть сертификат безопасности или смарт-карта для максимальной безопасности или имя пользователя и пароль для упрощения развертывания. Хотя учетные данные для входа в систему также хранятся на беспроводных устройствах с этим режимом, учетные данные отдельного пользователя могут быть изменены или отозваны через сервер RADIUS, если устройство будет потеряно или украдено или если они покинут организацию. Вам не придется менять пароли на точках доступа или учетные данные для входа в систему для других пользователей.

Еще одна большая уязвимость личного режима заключается в том, что пользователи, подключенные к WiFi, могут прослушивать беспроводной трафик других пользователей, поскольку любой, у кого есть парольная фраза, может расшифровать весь трафик. Однако это не относится к корпоративному режиму. Шифрование разработано таким образом, что пользователи не могут расшифровать трафик других пользователей.

Вывод: помните, что если вы не решите использовать предпочтительный корпоративный режим, обязательно измените парольную фразу, когда сотрудник увольняется или если беспроводное устройство потеряно или украдено. Кроме того, персональный режим опасен для подслушивания, так что будьте осторожны! См. предыдущую мою статью для получения дополнительной информации о развертывании корпоративного режима.

Отсутствие отдельного беспроводного доступа для гостей

У большинства предприятий и организаций клиенты, подрядчики или другие гости со временем посещают их офисы. Даже если это случается нечасто, рассмотрите возможность настройки беспроводного доступа для гостей. Те, кто посещает офис, скорее всего, сочтут WiFi удобным или даже необходимым.

Если у вас не настроен гостевой доступ, кто-то может предоставить им доступ к основной или частной сети, что не является хорошей практикой безопасности. Кроме того, если гостевой доступ настроен, но не выполнен должным образом, они все равно могут получить доступ к частной сети.

Я предлагаю создать отдельный SSID для гостевого доступа и связать его с отдельной VLAN, которая не может получить доступ к основной или частной сети, но может иметь доступ к Интернету. Кроме того, рассмотрите возможность использования функций качества обслуживания (QoS), чтобы наложить ограничения пропускной способности на гостевую VLAN, чтобы они не занимали всю пропускную способность Интернета.

Кроме того, рассмотрите возможность включения персонального режима безопасности WiFi для этого отдельного SSID. Хотя в целом он менее безопасен, чем корпоративный режим, я думаю, что для гостевого доступа допустимо не допускать нахлебников поблизости, которые могут злоупотреблять доступом WiFi. Даже если кто-то взломает гостевой доступ, идея состоит в том, что частная сеть будет находиться в другой VLAN, которая в любом случае недоступна для них.

Вывод: будьте готовы к гостям в вашей сети, создав безопасный гостевой доступ, потому что, если вы этого не сделаете, пользователи, скорее всего, допустят их в частную сеть. Кроме того, не забудьте ограничить их пропускную способность.

Использование альтернативных или небезопасных методов обеспечения безопасности

При гуглении и поиске в Интернете я все еще натыкаюсь на множество руководств и статей, рекомендующих старые или сомнительные методы обеспечения безопасности для беспроводных сетей. Хотя некоторые из них могут помочь, и я понимаю, что высокая безопасность обеспечивается несколькими уровнями, я просто предлагаю сначала сосредоточиться на основном механизме безопасности (шифровании) и учесть все плюсы и минусы других методов.

Одна из самых больших альтернативных практик безопасности WiFi — не транслировать ваш SSID. Идея здесь состоит в том, чтобы скрыть имя сети, чтобы неавторизованные пользователи не могли подключиться, поскольку они должны знать SSID, чтобы попытаться, или скрыть тот факт, что беспроводная сеть вообще существует.

Имейте в виду, что некоторые новые операционные системы теперь отображают сети с неизвестными SSID. Хотя SSID не будет отображаться в собственном списке беспроводных сетей, анализаторы беспроводных сетей могут получить SSID из беспроводного трафика, такого как попытки ассоциации и проверки, которые по-прежнему включают имя сети, даже если широковещательная рассылка SSID отключена. Помимо того, что это не является надежной мерой безопасности, отсутствие широковещательной рассылки SSID также может оказать негативное влияние на безопасность сети из-за генерируемого дополнительного трафика.

Фильтрация MAC-адресов также является еще одним методом, часто упоминаемым при обсуждении безопасности беспроводной сети. Хотя это может помочь администраторам точно определить, какие устройства могут подключаться к сети, хакеру легко подделать MAC-адрес своего устройства, а управление фильтрацией может оказаться весьма неудобным. Отключение DHCP и/или ограничение диапазона IP-адресов, предлагаемых пользователям беспроводных сетей, — это еще один способ борьбы с беспроводными хакерами, но это также еще один способ, который можно легко обойти, усложнив работу сетевого администратора.

Вывод: помните, что перед развертыванием альтернативных мер безопасности убедитесь, что сеть хорошо защищена с помощью WPA2, предпочтительно в корпоративном режиме. Затем внимательно изучите другие дополнительные меры, чтобы убедиться, что они стоят затраченных усилий. Ознакомьтесь также с моей предыдущей статьей о мифах о безопасности Wi-Fi.

Не защищает ноутбуки и мобильные устройства в общедоступном Wi-Fi

Есть две основные уязвимости при использовании общедоступных точек доступа Wi-Fi. Во-первых, если пользователь подключает ноутбук с общими сетевыми ресурсами, файлы могут быть доступны другим пользователям точки доступа. Во-вторых, если поблизости есть перехватчик Wi-Fi, контролирующий эфир, он может перехватить пароли или взломать учетные записи для незашифрованных веб-сайтов и служб, к которым подключается пользователь.

В Windows есть функция классификации сети, в которой пользователь может выбрать общедоступный тип сети или ответить «нет» на вопрос о включении общего доступа к файлам и обнаружению, после чего любые общие сетевые ресурсы на ноутбуке отключаются при подключении к сети. Однако обычные пользователи могут не понимать всего этого, поэтому сделайте все возможное, чтобы просветить их.

Защита пользовательского WiFi-трафика при подключении к открытым точкам доступа требует больше усилий. Я бы сначала удостоверился, что все учетные записи компании или корпорации, которые может использовать пользователь, зашифрованы, например доступ к электронной почте. Хотя большинство систем веб-почты по умолчанию предоставляют доступ с шифрованием SSL, многие серверы POP3, IMAP и SMTP по-прежнему этого не делают при использовании почтового клиента, такого как Outlook.

Для дополнительной уверенности в том, что пользовательский трафик защищен в открытых сетях Wi-Fi, рассмотрите возможность настройки VPN-доступа на ноутбуках и мобильных устройствах, чтобы весь пользовательский трафик проходил через зашифрованный туннель и не подвергался воздействию ближайших перехватчиков. Если у вас нет корпоративного VPN-сервера или вы не хотите использовать его для этой цели, подумайте о подписке на стороннюю службу VPN. Некоторые провайдеры VPN предлагают клиентские программы, которые могут автоматически активировать VPN-соединение в незашифрованных сетях Wi-Fi.

Вывод: защита пользователей в открытых сетях Wi-Fi требует усилий с обеих сторон. В идеале вы должны использовать VPN-подключения, но также рассмотрите возможность удаления любых общих сетевых ресурсов, чтобы исключить вероятность того, что они будут доступны другим. Кроме того, убедитесь, что их электронная почта и другие службы, в которые они входят, всегда зашифрованы. Подробнее читайте в моей предыдущей статье о защите общедоступных WiFi-соединений.

Невысокая производительность Wi-Fi

Хотя это не кажется угрозой безопасности, в некоторых случаях низкая производительность Wi-Fi может быть опасной. Например, если ваша беспроводная сеть работает медленно или постоянно отключает пользователей, они могут найти другой сигнал Wi-Fi для подключения, например, гостевой доступ соседней компании, открытый домашний маршрутизатор или общедоступную точку доступа. Если это произойдет, то применяются те же риски безопасности, которые я только что объяснил для подключений к точкам доступа, поэтому любые сетевые ресурсы устройства и трафик пользователя будут скомпрометированы.

Вывод: убедитесь, что ваша сеть соответствует номиналу, и постарайтесь информировать пользователей о рисках подключения к другим сетям. Если вы считаете, что у пользователей все еще может возникнуть соблазн подключиться в другом месте, имейте в виду, что вы можете ограничить сети, к которым они подключаются на устройствах Windows.

Узнайте больше о поддержке вашей беспроводной сети и настройке WiFi в моих предыдущих статьях.