ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ БЕСПРОВОДНЫХ СЕТЕЙ

С повсеместным развертыванием сетей Wi-Fi в корпоративном секторе, их безопасность становится новой площадкой для хакеров и злоумышленников. В качестве дополнения к существующей проводной инфраструктуре, беспроводные сети Wi-Fi способствуют организациям достичь лучшего реагирования на запросы клиентов.

Недостатком является доступность корпоративных данных через беспроводные сети. Это означает, что злоумышленники и другие нежелательные гости могут легко получить доступ к таким сетям, если не используются соответствующие инструменты и меры для предотвращения иного. Как защититься и что для этого предпринять? Ответ лежит ниже.

IEEE 802.11 — угрозы и потребность в защите.

По проведенным исследованиям компании Positive Technologies в 2013 году 14-ти крупных российских и зарубежных компаний, 86 % систем которых оказались подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами (Active Directory, ERP-системами, системами электронной почты, управления сетевым оборудованием и другими). Практически все исследуемые системы в 2013 году оказались подвержены уязвимостям высокой степени риска, лишь 7 % не содержали критических уязвимостей. Более половины (57 %) систем, исследованных в 2013 году, содержали критические уязвимости, связанные с использованием устаревших версий прикладного программного обеспечения и операционных систем. Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца.

В результате анализа защищенности сетевого периметра в 91 % системах была выявлена возможность получения доступа к ресурсам ЛВС из внешних сетей. В большинстве случаев (82 %) для преодоления периметра злоумышленнику достаточно иметь средний или низкий уровень квалификации. В 9 % систем преодоление периметра требовало и вовсе тривиальных действий со стороны нарушителя.

Рисунок 1. «Статистика уровня доступа к системе»

Результаты проведенного исследования показали, что современные корпоративные сети стали более уязвимы к атакам со стороны внешних и внутренних злоумышленников, чем в предыдущие годы. Возможность получения доступа к критическим ресурсам большинства рассмотренных систем позволяет сделать вывод о необходимости усовершенствования используемых средств и мер обеспечения информационной безопасности, в частности в области парольной политики, защиты веб-приложений, обеспечения регулярных обновлений безопасности и защиты привилегированных учетных записей. Для своевременного выявления недостатков безопасности следует регулярно проводить анализ защищенности, в том числе в форме тестирования на проникновение.

Данные исследования актуальны и на сегодняшний день, так как ситуация меняется в этом направлении очень медленно.

Угрозы безопасности IEEE 802.11.

Поскольку радиосигналы имеют открытую природу, неограниченные стенами зданий, злоумышленникам особенно легко атаковать беспроводные сети. Ниже представлены наиболее распространенные угрозы безопасности беспроводной сети, однако, это не полный список возможных угроз.

Неавторизованные точки доступа (Rogue AP).

Наиболее распространенной, а также самой опасной угрозой является «чужая» точка доступа. Сотрудники организации могут самовольно приносить точки доступа и подключать их куда заблагорассудится. При этом маловероятно, что они уделят достаточно внимания их грамотной и безопасной конфигурации и согласуют свои действия с ИТ-отделом. Именно такие точки и создают наибольшую угрозу проводным и беспроводным сетям. Настройки по умолчанию такой точки доступа обычно не имеют никакой защиты, и таким образом, при подключении к корпоративной сети создают брешь для всех клиентов в радиусе действия.

Некорректно сконфигурированные точки доступа.

Для организаций с беспроводной локальной сетью, потенциальная угроза может возникнуть в их собственном оборудовании. Некорректно сконфигурированная точка может создать дыру в защите беспроводной сети. И это будет не замечено, если точка доступа не управляется централизованно. Сотрудники по-прежнему будут иметь возможность подключиться и не возникнет никаких проблем.

Некорректно сконфигурированные беспроводные клиенты.

Некорректно сконфигурированные устройства клиентов предоставляют еще большую угрозу. Такие устройства могут быть использованы хакером, который может произвести различные атаки, такие как сканирование портов, сниффинг, чтобы затем эксплуатировать уязвимости сети и распространения в ней вредоносного ПО.

Атаки отказ в обслуживании (DoS).

Опасностью для любой организации является атака отказ в обслуживании, которая может нанести ущерб большому количеству пользователей одновременно. Существуют различные атаки отказа в обслуживании в беспроводных сетях, однако, они, как правило, заполняют сеть «мусорными» пакетами так, чтобы отключить клиентов от точек доступа и остановить работоспособность сети. Отследить злоумышленника в таком случае без специальных инструментов невозможно. Также, есть возможность организовать DoS на физическом уровне, запустив мощный генератор помех в нужном частотном диапазоне.

Evil Twin / Honey Pot точка доступа.

Злоумышленники могут создать точку доступа, с именованием SSID как у точек доступа организации, и ждать, пока клиенты подключаться к ней. Такие точки доступа могут скомпрометировать страницу для входа клиентов и украсть аутентифицированные данные жертвы.

Обеспечение безопасности IEEE 802.11.

Назревает вопрос, возможно ли защититься от такого спектра угроз? Грамотно сконфигурированная сеть и различные технические средства смогут обеспечить должный уровень безопасности. Однако не следует опираться только на техническую сторону, нужно принять во внимание и человеческий фактор.

Ниже будут рассмотрены основные области, которые нужно учитывать при обеспечении безопасности корпоративных беспроводных сетей:

·     Создание беспроводной политики безопасности.

·     Обеспечение безопасности корпоративной беспроводной сети (WLAN.

·     Обеспечение безопасности корпоративных устройств от беспроводных угроз, когда они находятся за пределами сети.

·     Обучение сотрудников в отношении беспроводной политики безопасности.

В этой статье будут изложены лучшие практики во всех перечисленных областях защиты корпоративной сети организации. Это должно быть дополнено строгим контролем доступа и проводной политикой безопасности. В этой статье предполагается, что мощный брандмауэр, VPN, архитектура VLAN для нескольких групп пользователей и проводные системы IDS/IPS уже установлены. Все это вместе взятое может защитить сеть от несанкционированного использования, кражи и порчи конфиденциальной информации, которая может навредить репутации организации.

Создание беспроводной политики безопасности.

Использование политики безопасности в проводном доступе будет хорошей отправной точкой для формирования беспроводной политики, охватывающей санкционированный доступ и безопасность.

Как правило, документ политики безопасности включает в себя следующие разделы:

·     Цель.

·     Масштаб.

·     Политика.

·     Обязанности.

·     Исполнение.

·     Определения.

·     История изменений.

Основания этого документа должны быть тщательно проработаны. Большинство вопросов безопасности можно отнести к упущениям или ошибкам в реализации политики безопасности.

Обеспечение безопасности корпоративной WLAN.

Развертывание корпоративной WLAN за последние годы сильно развилось, эволюционируя от гостевого доступа в конференц-залах до полного покрытия всей организации. К сожалению, многие из этих решений все еще небезопасны, оставляя возможность злоумышленникам попытаться получить доступ к корпоративной среде. Ниже представлены лучшие практики для обеспечения безопасности корпоративной WLAN.

Изменение стандартного SSID.

Точки доступа поставляются со стандартным именем сети, которые транслируются клиентам, чтобы рекламировать наличие точки доступа. Это должно быть изменено сразу же после установки. При переименовании SSID точки доступа следует выбрать такое название, которое непосредственно не относится к вашей компании. Не выбирайте название компании, номер телефона или другую доступную информацию, которую можно найти в Интернете.

Использование надежного шифрования и аутентификации.

Настройки по умолчанию для большинства точек доступа не включают какой-либо формы безопасности. Это самая распространенная причина, по которой беспроводные локальные сети подвержены взлому или несанкционированному доступу. Так, для корпоративных сетей чаще всего используется IEEE 802.1x стандарт (WPA2-Enterprise). Аутентификация в таких сетях происходит по связке логин-пароль, которые для каждого клиента уникальны. Авторизацию осуществляет специальный RADIUS сервер. Сразу возникает вопрос выбора метода аутентификации. Наиболее распространенными являются EAP-FAST, EAP-TLS, EAP-TTLS, PEAP-MSCHAPv2. Не рекомендуется использовать протоколы типа EAP, которые не поддерживают туннелирование, например, EAP-MD5 или LEAP. Почти все вышеперечисленные методы требуют наличия сертификата сервера, выписанного удостоверяющим центром (CA). При этом сертификат CA должен присутствовать на устройстве клиента в доверенной группе. Проверка подлинности клиента осуществляется как по цифровой подписи, так и по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory). Шифрование осуществляется с помощью алгоритма AES-256, который на сегодняшний день является очень надежным. Так как EAP-канал «клиент-сервер» защищен шифрованным туннелем, взлом в этой точке невозможен. Однако угрозы приходят не со стороны взлома шифрования, а со стороны атак на клиентские устройства, которые являются уязвимым местом в любой сети.

Сегментация пользовательских групп с VLANs.

Различным пользователям может потребоваться доступ к беспроводной сети. Администраторам требуется доступ в порядке настройки систем. Сотрудникам бухгалтерии требуется доступ к дебиторской и кредиторской информации, как и другим финансовым отделам. Отделу маркетинга и продажам нужен доступ к показателям продаж. Точка доступа, поддерживающая виртуальные локальные сети (VLAN) позволяет каждому авторизованному пользователю получить доступ к тем ресурсам сети, к которым им это разрешено. Рекомендуется динамическое назначение VLAN для создания управляемых сетей, так как статическое назначение будет вызывать долгосрочные проблемы с поддержкой и препятствовать возможностям мобильности конечных пользователей.

Управление защищенным доступом.

Не следует забывать интерфейсы управления беспроводной локальной сети. Система WLAN должна поддерживать безопасные методы управления. Перенастройка точки доступа через порт управления — это один из способов, которым хакер может воспользоваться, чтобы получить доступ к корпоративной сети. Системы WLAN должны обеспечивать SNMPv3, SSH, и SSL интерфейсы. Кроме того, система в идеале должна быть сконфигурирована так, чтобы управление невозможно было проводить через радио-среду, а только через выделенный VLAN для изменения настроек точки доступа.

Физическая безопасность точек доступа.

Наконец, точки доступа должны быть защищены от прямого вмешательства или кражи. Если это возможно, следует размещать их над подвесным потолком, так чтобы видна была только антенна. Если это невозможно, и точки доступа физически доступны, управление через последовательный порт должно быть отключено и доступно только через безопасные методы доступа.

Мониторинг наружной части помещений.

Так как сигналы точек доступа выходят за пределы периметра большинства зданий, возможно подключение к сети лиц, находящихся, например, на парковке или на другой стороне улицы. Если используется видеонаблюдение, вы можете предупредить сотрудников службы безопасности о транспортных средствах или лиц, находящихся возле здания в течение длительных промежутков времени.

Развертывание автоматической системы предотвращения вторжений (WIPS).

Беспроводные IPS используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например, попытки использования уязвимостей ПО, попытки повешение привилегий, несанкционированный доступ к конфиденциальным данным, активность вредоносных программ. Как и проводные IPS, беспроводные IPS обнаруживают угрозы и автоматически предотвращают их. Также такие системы обнаруживают каждую категорию атаки с использованием подсистемы анализа, событий автоматической классификации и анализа протоколов.

Использование системы отслеживания «чужих» устройств.

Физическое устранение нежелательных устройств является последним этапом снятия беспроводной угрозы. Однако найти точное местоположение устройства не всегда легко. Обычно, с портативными анализаторами приходится ходить по всей площади покрытия, чтобы обнаружить «нежелательное» устройство. Тем не менее, современные WIPS обеспечивают точное отслеживание местоположения на конкретном этаже для быстрого устранения «нежелательных» устройств.

Выполнение регулярного проведения оценок уязвимостей.

Регулярные оценки уязвимости сети от беспроводных угроз должны выполняться, как внутренними, так и внешними аудиторами. Оценка уязвимостей может состоять из прохода по зоне покрытия с портативными анализаторами для выявления неизвестных беспроводных устройств или более сложных оценок, с использованием набором инструментов, которые настроены на все типы угроз. Также возможно использование специализированного ПО, направленного на автоматический поиск уязвимостей в сети организации. Оценка уязвимостей должна проводиться регулярно, чтобы гарантировать, что новые категории беспроводных угроз будут предупреждены.

Обеспечение безопасности корпоративных устройств за пределами предприятия.

Сегодня организация — это скорее всего несколько зданий, объединенных единой сетевой инфраструктурой. С распространением удаленных работников, мобильных устройств и повсеместного доступа в Интернет, ИТ-менеджер сталкивается с огромными проблемами в обеспечении безопасности, когда устройство находится за пределами относительной безопасности корпорации.

Думайте об устройстве как об автономной части корпоративной сети.

Ноутбук, в частности, нуждается в такой же защите, как и в корпоративной сети. Брандмауэр, VPN, и антивирус — все это помогает защитить от многих угроз при подключении устройства к Интернету.

Обеспечение аутентификации пользователей и шифрования данных.

Как и в корпоративной сети, аутентификация пользователей для контроля доступа и шифрование могут значительно усилить безопасность устройств. Аутентификация пользователей может проводиться с помощью паролей или смарт-карт. В свою очередь, шифрование должно быть прозрачным и не накладывать ограничения на какие-либо действия пользователя.

Обучение сотрудников в отношении беспроводной политики безопасности.

Большинство сотрудников, вероятно, не в курсе, что развертывание точки доступа «из коробки» ставит под угрозу безопасность корпоративной сети. Наиболее часто персонал подвержен также методам «социальной инженерии». Чтобы обезопасить сотрудников организации от возможных угроз, предоставляйте им возможности для обучения — проводите семинары, тренинги по обеспечению безопасности корпоративной сети, ознакомьте их с политикой безопасности.

Заключение.

Ни одно устройство, ни одна функция, ни один протокол не сможет защитить вашу беспроводную или проводную сеть. Это всегда требует многоуровневого подхода. Использование технических средств, таких как системы IDS/IPS, должного уровня шифрования и аутентификации, сегрегации сети и проведения регулярных проверок оценок уязвимостей обязательны для обеспечения безопасности сети. Так, при комплексной защите корпоративной сети предприятия необходимо включать во внимание не только технические средства, но и человеческий фактор. Обучение сотрудников в отношении политики безопасности сети является необходимым шагом. Ваша корпоративная сеть будет защищена, если создана политика безопасности, которая будет выполняться всеми пользователями сети. Таким образом, только комплексная защита сможет обеспечить безопасность сети в целом.

Список литературы:
1.    Безопасность сетей 802.11 — основные угрозы — [Электронный ресурс]. — Режим доступа. — URL: http://habrahabr.ru/post/151126/ (Дата обращения: 08.04.2015).
2.    Информационная безопасность в корпоративных сетях передачи данных // Электронный журнал 11.06.2014 — [Электронный ресурс]. — Режим доступа: URL: http://mirtelecoma.ru/magazine/elektronnaya-versiya/26/ (Дата обращения: 05.04.2015).
3.    Статистика уязвимостей корпоративных информационных систем // 2013 Positive Technologies — [Электронный ресурс]. — Режим доступа: URL: http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_2014_rus.pdf (дата обращения: 10.04.2015).
4.    Стратегия построения и обеспечения Безопасности сети стандарта Wi-Fi // Wi-Life.Team — [Электронный ресурс]. — Режим доступа: URL: http://www.wi-life.ru/texnologii/wi-fi/wi-fi-strategiya-bezopasnosti (Дата обращения: 09.04.2015).
5.    WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети — [Электронный ресурс]. — Режим доступа. — URL: http://habrahabr.ru/post/150179/ (Дата обращения: 08.04.2015).