Кибербезопасность. WiFi атаки
Мощной и важной областью компьютерной безопасности является WIFI. Устройства и системы больше не требуется соединять между собой физическими кабелями, вместо этого они могут быть доступны любому в радиусе действия сигнала. WIFI позволяет многим новым устройствам подключаться к сети.
WIFI Основы
WIFI, как известно большинству людей, происходит от протокола IEEE 802.11. Существуют и другие протоколы, которые также используют радио для передачи сигналов, например:
- Bluetooth для связи с устройствами, которые мы носим с собой, обычно со смартфонами, наушниками и т.д.;
- NFC ("Near Field Communications" - "Связь ближнего поля"), реализованный в бейджах доступа и кредитных картах для беспроводной передачи данных;
- RFID ("Radio Frequency Identification" - "Радиочастотная идентификация"), используется для карт доступа и других устройств, например автомобиля, который может передавать свой идентификатор по беспроводной сети в систему платных дорог;
- ZigBee и Z-Wave, используемые для автоматизации предприятий и дома.
Беспроводная связь обычно осуществляется через AP ("Access Point" - "Точку доступа"), беспроводную базовую станцию, которая действует как коммутатор и маршрутизатор между клиентами, которые хотят общаться. Одноранговая связь также возможна, но менее типична.
Имя беспроводной сети известно как SSID ("Service Set Identifier" - "Идентификатор набора услуг");
Поскольку сигналы Wi-Fi достигают всех, кто находится поблизости, злоумышленники могут легко использовать антенну для "прослушивания" сообщений любого, кто передает. "Прослушивание" означает просто прослушивание пакетов, которые может видеть сетевой интерфейс.
Wi-Fi иногда позволяет пользователям получить доступ к внутренним приложениям, что увеличивает вероятность атаки. Кроме того, устройства WIFI имеют интерфейсы управления и прошивки, которые могут содержать уязвимости, которые иногда не всегда исправляются так же своевременно, как другие активы на предприятии.
WIFI Безопасность
WIFI имеет опции
- Нет безопасности
- Список доступа на основе MAC-адресов
- PSK ("Pre-Shared Key" - "Общий ключ")
- Корпоративная аутентификация
Многие атаки WIFI полагаются на сетевые карты с двумя основными функциями, а именно:
- Режим мониторинга: заставляет сетевую карту пересылать пакеты, предназначенные для всех MAC-адресов, операционной системе, а не только её собственные.
- Внедрение пакетов: сетевая карта поддерживает создание пакетов с исходным MAC-адресом, отличным от её собственного.
Открытые сети Wi-Fi
Открытая сеть WIFI - это сеть без пароля. Связь между точкой доступа и клиентами не шифруется, и каждый должен полагаться на свои собственные источники шифрования для защиты своего трафика. Такие сети очень удобны и доступны для пользователей, но создают угрозу безопасности.
Злоумышленник в таких сетях может легко увидеть, что делают все остальные, просто перехватывая пакеты. Такие пакеты могут содержать конфиденциальные данные или просто сведения о том, что пользователи делают в сети.
Скрытый SSID
AP часто могут отключить широковещательную передачу имени беспроводной сети. Для этого клиенты должны продемонстрировать знание SSID для подключения к сети. Не рекомендуется включать скрытый SSID, потому что имя сети отображается каждый раз, когда клиент подключается. Кроме того, теперь клиентам необходимо запрашивать и транслировать информацию о сети, к которой они хотят присоединиться, везде, где бы они ни находились. Затем злоумышленник может перехватить WIFI-трафик клиентов и потенциально узнать больше информации о том, кем являются клиенты и где они ранее присоединялись к сетям.
Фильтрация MAC-адресов
Некоторые точки доступа поддерживают управление доступом на основе MAC-адресов. Точка доступа может создать список разрешенных MAC-адресов, которым разрешено подключаться и взаимодействовать в сети.
Этот подход небезопасен. Злоумышленник может обнюхивать и наблюдать за другими системами, уже взаимодействующими в сети. Затем запишите их MAC-адреса и обновите собственный MAC-адрес злоумышленников, чтобы он был уже разрешен. Это эффективно обходит требование фильтрации MAC-адресов.
PSK ("Pre-Shared Key" - "Общий ключ")
PSK просто означает, что сеть настроена с паролем. Защита PSK обычно реализуется через протокол WPA ("WIFI Protected Access" - "Защищенный доступ WIFI"). Для аутентификации также можно использовать более старые протоколы, например WEP ("Wired Equivalent Privacy" - "Конфиденциальность, эквивалентная проводной сети"), но долгое время считалось устаревшим, поскольку он очень небезопасен и его легко взломать.
WPA существует в различных формах, причем WPA3 является последним стандартом с 2021 года. WPA также не полностью безопасен от злоумышленников, но предлагает гораздо большую защиту, чем WEP. Чтобы взломать сеть с включенным WPA, злоумышленник должен попытаться взломать пароль с помощью взломщика паролей. Это считается дорогостоящим с точки зрения времени процессом, если пароль достаточно надежный.
Если злоумышленник может наблюдать (прослушивать) любого, кто проходит аутентификацию в сети, у него достаточно средств для взлома паролей. Такие инструменты, как aircrack-ng (https://www.aircrack-ng.org/), поддерживают взлом паролей WIFI.
Enterprise Authentication - Корпоративная аутентификация
Корпоративные точки доступа также могут поддерживать аутентификацию клиентов на основе сертификатов, для чего требуется PKI ("Public Key Infrastructure" - "Инфраструктура открытых ключей") или корпоративные учетные данные, путем интеграции с централизованной службой аутентификации.
В этом есть некоторые преимущества, особенно концепция управления ключами. В сети PSK неотъемлемая проблема заключается в том, как пароли распределяются, меняются и отзываются.
Хотя Enterprise Authentication обеспечивает лучшее управление безопасностью ключей, она также включает более сложную инфраструктуру и предлагает другие возможности для злоумышленников.
Поддельные точки доступа WIFI
Злоумышленники могут легко начать трансляцию сетей, выдавая себя за другие сети. Часто клиенты автоматически подключаются к сетям в пределах досягаемости, если они представятся с соответствующим SSID. Это позволяет злоумышленникам подключать клиентов к сети злоумышленников, позволяя им прослушивать и изменять трафик по желанию злоумышленника.