Что следует знать о безопасности корпоративных Wi-Fi сетей

Опубликовано Olga Geo Сен 8, 2016 | нет комментариев

В недалеком прошлом корпоративная сеть предприятия могла быть только проводной — и никаких вольностей с Wi-Fi. Любые попытки сотрудников “протащить” на территорию источники беспроводного интернета жестко пресекались. Но от прогресса уйти невозможно: всеобщая мобильность и постепенное, но неуклонное проникновение в офисы концепции BYOD, потребовали перехода на корпоративный Wi-Fi.

Однако, организация корпоративной сети с беспроводным подключением требует применения некоторых методов, способных предотвратить взлом вай фай.

Способы, позволяющие обеспечить безопасность Wi-Fi вытекают из уязвимостей, которые имеет этот вид соединения. Главной из них является крайняя доступность беспроводной сети для случайного или намеренного постороннего подключения. А это может повлечь за собой довольно неприятные последствия:

1. Отказ в обслуживании. Целенаправленное выведение сети из строя посредством атаки на Wi-Fi оборудование. Злоумышленник не пытается войти в сеть, а просто блокирует помехами частоты, на которых она работает. Что-то вроде » глушилок», которые во времена «железного занавеса» использовались для пресечения работы западных «голосов».
2. Уничтожение или модификация служебной информации. Может нарушить и даже полностью парализовать работу компании. Показателен инцидент с Hollywood Presbyterian Medical Center, когда в результате хакерской атаки в больнице перестали работать не только компьютеры, но и управляемое ими медицинской оборудование.
3. Атака “человек посередине”. Злоумышленник способен перехватывать любые транзакции, исходящие из скомпрометированной сети, им может даже осуществляться аутентификация в вай фай сети от имени сотрудников компании.
4. Пассивное наблюдение. Похитив ключи шифрования, преступники в состоянии беспрепятственно просматривать весь трафик. Пожалуй, данный вариант самый опасный именно из-за того, что слежка может длиться сколь угодно долго, при этом пострадавшие не будут об этом даже подозревать.

Можно ли организовать построение корпоративной сети так, чтобы была обеспечена надлежащая защита Wi-Fi соединения и при этом сохранились все преимущества такого вида передачи данных?

Специалисты по IT-безопасности рекомендуют предпринять следующие упреждающие шаги:

1. Изменение настроек по умолчанию. Когда корпоративная сеть передачи данных на основе Wi-Fi только формируется, лучше сразу поменять некоторые настройки. Прежде всего, это пароль администратора роутера. Дело в том, что пароли по умолчанию для разных марок и моделей маршрутизаторов легко найти в интернете. Также замене подлежат уникальное имя сети (SSID) и пароль для входа в нее. Нежелательно выбирать такой SSID, по которому можно определить название и сферу деятельности компании. Следует помнить, что любое осмысленное слово может быть обнаружено хакерами путем подбора. Только длинная и абстрактная комбинация не поддается расшифровке.
2. Настроить мощность сигнала. Если радиус действия Wi-Fi слишком сильно выходит за периметр компании, то его лучше уменьшить. Этой элементарной мерой часто пренебрегают, но она способна отсечь некоторую часть посторонних подключений.
3. Своевременное обновление. Обновлять нужно не только ОС и приложения на компьютере, а и прошивку роутера. Это не только повышает его производительность, но и лечит уязвимости в защите.
4. Гостевая сеть. Во многих компаниях возникает ситуация, когда корпоративная сеть используется не только сотрудниками, но также клиентами и гостями офиса. В таком случае лучше создать отдельную локальную подсеть для таких пользователей. И, естественно, пароль к ней должен отличаться от основного.
5. Оптимальный протокол шифрования. Если общедоступные сети Wi-Fi могут позволить себе применять такой “аскетический” вариант криптозащиты как устаревший протокол WEP, то в корпоративном сегменте это недопустимо. WPA2 шифрование обеспечивает отдельный уникальный ключ безопасности Wi-Fi для каждого передаваемого пакета информации, который гораздо надежнее, чем статические ключи шифрования WEP.
6. Двойная аутентификация Wi-Fi. Обычно вход в закрытую беспроводную сеть происходит по “предъявлении” SSID и пароля. Но этого явно недостаточно для того, чтобы Wi-Fi защита соответствовала требованиям корпоративного сектора. Безопасность Wi-Fi сетей компании может усилить двухфакторная Wi-Fi аутентификация. Реализовать ее удобно с использованием протокола RADIUS. Протектимус предлагает подобную реализацию в виде плагина RProxy. При таком способе аутентификации пользователь отправляет запрос не самому ресурсу (в нашем случае — корпоративной сети), а на сервер-”посредник”, который проверяет полномочия обратившегося. В свою очередь, запрашиваемый ресурс (сайт, Wi-Fi сеть и т. д.) посылает RADIUS сообщение, содержащее разные параметры, закрепленные за данной учетной записью. Они могут включать не только имя пользователя и его пароль, но и, например, IP-адрес устройства, номер телефона, даные о местоположении. Если они совпадают с теми, которые предоставлены пользователем — RADIUS выдает разрешение на соединение. Если нет — доступ блокируется.

С добавлением RADIUS Wi-Fi сеть компании станет не только безопаснее, но и функциональнее: помимо самого допуска к сети этот протокол осуществляет гибкую фильтрацию уровня доступа, который закреплен за той или иной учетной записью. Права и привилегии могут изменяться в зависимости от времени, места входа в систему и других заранее оговоренных (и тоже хранящихся в базе данных) условий.

Должная настройка беспроводной корпоративной сети, конечно, потребует определенных усилий на начальном этапе. Но зато поможет сэкономить много средств и сил в процессе ее эксплуатации.