Уязвимости безопасности корпоративной (802.1X) безопасности Wi-Fi

Беспроводные сети, настроенные с корпоративным режимом безопасности Wi-Fi Protected Access (WPA или WPA2), по-прежнему уязвимы для атак. Это намного лучше, чем использование режима личного или предварительного общего ключа (PSK), но все же есть уязвимости.

Предприятие против личной безопасности

Персональный режим, технически называемый предварительным общим ключом (PSK) безопасности WPA/WPA2, настроить проще, чем корпоративный режим. Никакого дополнительного оборудования не требуется. Вы просто создаете парольную фразу (пароль) на своих беспроводных маршрутизаторах и/или точках доступа, а затем вводите ее на компьютерах и устройствах W-Fi для подключения.

Наличие единого глобального пароля для всех соединений Wi-Fi становится проблемой, когда компьютер теряется или украден. У вора будет сохраненный пароль, и он потенциально может вернуться к вам и подключиться к Wi-Fi, а затем получить доступ к вашим файлам и ресурсам. То же самое относится и к сотрудникам, увольняющимся из компании. Они сохранят пароль Wi-Fi на своих устройствах Wi-Fi или смогут легко получить его с компьютеров на месте перед отъездом.

Корпоративный режим безопасности WPA/WPA2 намного сложнее в настройке и требует покупки или настройки сервера аутентификации RADIUS. Этот сервер необходим для аутентификации 802.1X. Но он позволяет вам устанавливать уникальные имена пользователей и пароли для пользователей Wi-Fi. Таким образом, вы можете легко отозвать или изменить учетные данные для доступа в случае потери или кражи компьютера или ухода сотрудников из компании.

Полный взлом паролей пользователей

Режим предприятия по-прежнему подвержен атакам. Один из способов, которым хакер Wi-Fi может потенциально подключиться к вашей корпоративной защищенной беспроводной сети, — это взломать пароли пользователей с помощью атак методом перебора по словарю. Хотя это не так просто, как взлом WPA/WPA2 PSK, это все же возможно с помощью правильных инструментов. Им придется настроить фальшивую сеть, точку доступа, соответствующую SSID и настройкам безопасности реальной сети, в надежде заставить ничего не подозревающих пользователей реальной сети подключиться, чтобы получить их учетные данные для входа. Злоумышленник может дождаться подключения клиентов или попытаться принудительно подключиться, отправив пакеты деаутентификации и/или используя усилители и антенны для усиления ложного сигнала.

Злоумышленнику также придется настроить поддельный сервер RADIUS для захвата этих учетных данных пользователя. Они могли бы использовать популярный сервер FreeRADIUS с открытым исходным кодом с патчем FreeRadius-WPE. Этот патч изменяет некоторые настройки, чтобы сервер принимал и всегда отвечал успешной аутентификацией (независимо от пароля) для всех различных типов EAP, а затем регистрировал запросы аутентификации. В журналах злоумышленник обычно может увидеть имя пользователя, которое клиент использует для подключения к реальной сети. Они не увидят пароль пользователя, но у них будет запрос и ответ, которые они могут запустить через взломщик на основе словаря, чтобы раскрыть пароль.

Примечание:
Не все клиенты реальной сети будут подключаться к поддельной сети, даже если злоумышленник попытается заставить их это сделать. Как я расскажу позже, есть определенные настройки, которые администраторы могут (но обычно не делают) включить на клиенте, чтобы предотвратить его подключение к поддельным сетям, подобным этим.

Для взлома пароля злоумышленник может использовать утилиту командной строки, например asleap. От них просто требуется скопировать вызов и ответ, зарегистрированные FreeRADIUS, и вставить их в командную строку. В зависимости от сложности пароля пользователя и если он содержит слова или фразы из словаря злоумышленника, он может вернуться и отобразить пароль.

Теперь, имея имя пользователя и соответствующий пароль для защищенной корпоративной сети, злоумышленник может просто подключиться к сети Wi-Fi. И затем, поскольку эти учетные данные обычно используются для других ресурсов, злоумышленник, вероятно, будет иметь доступ на уровне пользователя к другим ресурсам внутри сети.

Мобильные устройства могут снизить безопасность

Распространение мобильных устройств с Wi-Fi может еще больше облегчить работу злоумышленников. Это связано с тем, что некоторые устройства не позволяют устанавливать все параметры аутентификации и проверки сервера. Это позволяет вашим сотрудникам легко подключаться к вашей сети, а также хакерам.

Например, устройства, которые не запрашивают тип EAP (например, PEAP или TTLS), будут автоматически пробовать все поддерживаемые типы EAP, пока не найдут тот, который поддерживается вашим сервером RADIUS. Таким образом, хакер, создающий поддельную сеть и сервер RADIUS (как упоминалось ранее), будет иметь больший успех в подключении к ним этого устройства Wi-Fi. Хуже того, большинство мобильных устройств Wi-Fi не позволяют вам устанавливать параметры проверки сервера, как это делает Windows (о чем мы поговорим позже). Пользователю может быть предложено принять новый сертификат безопасности при подключении к фальшивой сети, подобной этой, но он вряд ли поймет это и все равно подключится.

Защита вашей сети от уязвимостей

Вот несколько способов защитить корпоративную беспроводную сеть от взлома:

Используйте надежные пароли пользователей. Как уже упоминалось, пароли пользователей, используемые для входа в сеть, могут быть взломаны с помощью словаря. Поэтому убедитесь, что пользовательские пароли состоят из цифр и букв (строчных и прописных) без использования слов или фраз, которые вы можете найти в словаре. Хотя это нежелательно для большинства, также лучше использовать пароли длиной не менее 17 символов, чтобы предотвратить взлом.

Используйте надежные общие секреты. Общие секреты, указанные на сервере RADIUS и настроенные на каждой беспроводной точке доступа, также имеют уязвимости. Создавайте и используйте сложные общие секреты. Поскольку пользователям не обязательно знать или запоминать их, создавайте длинные общие секреты. Большинство серверов RADIUS и точек доступа поддерживают до 32 символов.

Создавайте уникальные общие секреты: убедитесь, что вы указали уникальный общий секрет для каждого беспроводного маршрутизатора и/или точки доступа, что поможет предотвратить их взлом хакерами. Можно установить один и тот же для всех, но использование разных для каждого усложняет их взлом.

Настройки безопасного клиента. Чтобы предотвратить подключение компьютеров и устройств Wi-Fi к поддельным корпоративным сетям, как мы обсуждали, установите все доступные параметры сервера на клиентах. Например, вот важные параметры, которые необходимо установить в Windows при настройке свойств EAP:

• Установите флажок «Проверить сертификат сервера» и выберите из списка доверенный корневой центр сертификации.
  
• Установите флажок «Подключиться к этим серверам» и введите доменное имя или IP-адрес сервера RADIUS.
  
• Установите флажок Не предлагать пользователю авторизовать новые серверы или доверенные центры сертификации.

Первые два могут быть установлены автоматически при первом подключении, но вам, вероятно, придется вручную включить последний или использовать групповую политику, чтобы передать изменения на компьютеры домена.

Резюме

Как вы уже поняли, для предприятий и организаций с несколькими пользователями Wi-Fi важно использовать корпоративный режим безопасности Wi-Fi, который позволяет вам добавлять/отменять/изменять учетные данные для входа пользователей Wi-Fi из центральный сервер аутентификации. Но имейте в виду, что все еще есть уязвимости в системе безопасности.

Не забудьте создать надежные общие секреты для каждого маршрутизатора или точки доступа и надежные пароли для пользователей. Всегда устанавливайте любые параметры проверки сервера на клиенте, чтобы пользователи не становились жертвами подхода с фальшивой сетью, который мы обсуждали. Кроме того, рассмотрите возможность внедрения системы обнаружения и защиты от вторжений (IDS/IPS), чтобы обнаруживать и предупреждать вас о мошеннических точках доступа и поддельных сетях поблизости.