В 2011 г. компания LETA начала проект по выпуску обзоров, посвященных различным видам угроз для информационной безопасности. В третьем по счету обзоре, который вышел в ноябре, рассматриваются риски, связанные с использованием беспроводных сетей.
Беспроводные сети широко используются в бизнесе, а значит, по ним передаются потоки конфиденциальной информации. Для ее защиты в беспроводных сетях меньше возможностей, чем в проводных. Что же в состоянии сделать злоумышленник, используя корпоративную беспроводную сеть, и как его остановить? Ответу на эти вопросы посвящен обзор рисков Wi-Fi, опубликованный в середине ноября компанией LETA.
Все риски разбиты на четыре группы, названные «Легальность сетей», «Выход сетей за контролируемую зону», «Безопасность самих точек доступа» и «Безопасность клиентских устройств беспроводных сетей».
Легальность сетей
Риски, относящиеся к легальности сетей, возникают, когда пользователь организует в офисе несанкционированную беспроводную сеть. При некоторой сноровке (и отсутствии ограничений на использование USB-портов) можно подключить к рабочему ПК адаптер Wi-Fi и превратить этот адаптер в точку доступа, через которую несложно подключить к корпоративной сети личный ноутбук или смартфон, где не настроены корпоративные ограничения на пользование сетью. Дальше пользователь делает с помощью личного устройства то, что стандартные настройки не дают делать на рабочем ПК, — например, скачивает фильмы или болтает по Skype. Пусть даже действуя без злого умысла, он все-таки нарушает режим безопасности, чем могут, в свою очередь, воспользоваться настоящие злоумышленники. Кроме того, из-за его развлечений повышаются расходы компании на связь (большинство корпоративных тарифов учитывают объем трафика), и возникает дополнительная серьезная нагрузка на канал доступа в Интернет, пропускная способность которого делится на всех пользователей.
Вывод — нельзя смотреть сквозь пальцы на нелегальные сети Wi-Fi, и во внутренних регламентах безопасности еще нет соответствующего запрета, его необходимо туда внести. Наверное, стоит применить и технические меры. Впрочем, обзор LETA ограничивается общей формулировкой — «подобный канал должен быть пресечен».
Выход сетей за контролируемую зону
Для передачи данных по беспроводной сети используются, как известно, радиоволны, которые могут быть приняты любым устройством, находящимся достаточно близко от передающей станции. Нет возможности ни физически ограничить доступ, ни проследить всех получателей переданной информации.
В большинстве точек доступа используются всенаправленные антенны, для которых дальность распространения сигнала составляет около 150 м (на открытом пространстве). Таким образом, не исключено, что злоумышленник, просто подойдя к зданию офиса, сумеет получить доступ к передаваемой информации. Конечно, данные зашифрованы, но криптографическую защиту можно попытаться вскрыть; если же злоумышленнику удастся расшифровать пароль кого-либо из пользователей в момент подключения к сети Wi-Fi, он сможет обойтись без расшифровки самих данных, и более того — активно запросить информацию, которая его интересует.
Чтобы минимизировать эту опасность, необходимо ограничить зону распространения сигнала Wi-Fi, например уменьшив мощность передатчика на точке доступа. Технически это возможно практически для всех современных устройств. Правда, зона внутреннего покрытия тоже уменьшится, так что в здании могут появиться недоступные зоны. В обзоре LETA дается рекомендация провести обследование территории компании, составить карту распространения сигнала и исходя из нее принять решение о том, как изменить мощность передатчиков и размещение точек доступа. Внутри здания для обследования целесообразно использовать обычное клиентское устройство с модулем Wi-Fi, снаружи — специальное «шпионское» оборудование с передатчиком повышенной мощности и узконаправленной антенной (получить его несложно, а значит, оно вполне может оказаться у злоумышленника).
Безопасность самих точек доступа
Точка доступа — устройство с собственной достаточно сложной и, как следствие, уязвимой операционной системой. Некоторые «дыры» хорошо известны, но заведомо найдутся и такие, которые еще не выявлены. Поэтому необходимо, во-первых, проверять точки доступа на наличие известных уязвимостей (и если таковые обнаружатся, устранять их), а во-вторых, следить за безопасностью текущих настроек: изменены ли логины и пароли, установленные по умолчанию; отключены ли все небезопасные способы управления точкой доступа; используются ли надежные способы аутентификации; настроена ли подробная запись действий, происходящих на точке доступа, записываются ли эти действия на централизованный сервер сбора событий.
Безопасность клиентских устройств беспроводных сетей
Клиентские устройства, которые подключаются к беспроводной сети организации, с точки зрения прав доступа подразделяются на корпоративные и гостевые. Это могут быть смартфоны, ноутбуки, планшеты и т. д.
Злоумышленника интересуют, конечно, в первую очередь корпоративные устройства, которые хранят аутентификационную информацию для доступа в привилегированную беспроводную сеть. Значит, их нужно правильно настроить — ограничить возможности присоединения к другим сетям, включить проверку достоверности корпоративной точки доступа. На планшетах и компьютерах должны работать средства антивирусной и сетевой безопасности, у установленных на них операционных систем и приложений следует настроить автоматическое обновление.
В обзоре рассматривается следующий сценарий атаки: злоумышленник формирует и от лица корпоративной точки доступа посылает клиенту беспроводной сети подложный сервисный пакет, который заставляет клиента отключиться от корпоративной сети. Обычно клиентское оборудование настроено так, что через небольшой промежуток времени оно пытается снова подключиться к корпоративной сети. Здесь у злоумышленника есть два варианта. Первый заключается в том, чтобы «забить» полосу оригинальной точки доступа своим более мощным сигналом; тогда клиент попытается подключиться к поддельной точке доступа и передаст ей свою аутентификационную информацию, а злоумышленник, воспользовавшись этими данными, получит доступ в корпоративную сеть. Во втором варианте злоумышленник передает в эфир корпоративной беспроводной сети подложные пакеты, не давая клиенту подключиться к корпоративной сети, и через некоторое время устройство начинает автоматический поиск других доступных сетей, к которым оно подключалось ранее. Злоумышленник создает одновременно несколько беспроводных сетей, имитирующих бесплатные открытые сети ресторанов, гостиниц, общественных мест, и когда клиент подключается к одной из них, предпринимает атаку. Цель — та же, что и в первом варианте: получить аутентификационную информацию для входа в корпоративную сеть.
Телефоны Wi-Fi представляют специфическую опасность, связанную с тем, что они зачастую не поддерживают надежные протоколы шифрования или не умеют проводить двустороннюю аутентификацию при подключении к сети. Таким образом, если злоумышленник, подделав беспроводные пакеты, выдаст свое устройство за телефон, он сможет подключиться к корпоративной сети по упрощенной схеме. Рекомендаций две. Первая — провести аудит используемых телефонов и выяснить, безопасно ли их подключение, а если нет, то можно ли изменить настройки на безопасные. Вторая — использовать для телефонов изолированную беспроводную сеть, в которой установлен только сервер телефонии. Тогда злоумышленник, даже войдя в беспроводную сеть, ничего этим не добьется.
При определенных обстоятельствах злоумышленник может избрать своей целью и гостевые устройства беспроводной сети, то есть устройства, принадлежащие посетителям или лично сотрудникам компании. Действительно, там вполне может содержаться конфиденциальная информация. Злоумышленник, беспрепятственно подключившись к одной из точек доступа, получит прямой сетевой доступ ко всем беспроводным клиентам, подключенным к той же точке. Затем он проведет поиск уязвимостей и в случае успеха с большой вероятностью доберется до конфиденциальной информации. Для защиты от таких атак необходимо, с одной стороны, правильно настроить точки доступа, с другой — обеспечить соблюдение политик безопасности на гостевых клиентах. Как минимум там должны быть установлены и активны последние версии межсетевых экранов и антивирусов. А поскольку эти устройства не принадлежат компании и системные администраторы не могут контролировать их настройки, нужна система контроля сетевого доступа — Network Access Control (NAC). Назначение такой системы — проверять соответствие правил безопасности на подключаемых устройствах заданному минимальному уровню.
До истинной мобильности еще очень далеко
Александр Дудников,
ИТ-директор Московской пивоваренной компанииСотрудники Московской пивоваренной компании широко пользуются беспроводной связью для доступа в Интернет и к корпоративным ресурсам. Можно заметить, что массовое использование беспроводной связи меняет структуру сетевого трафика: у нас возросла нагрузка на оборудование, обеспечивающее передачу данных из MPLS-сети в корпоративную сеть, и на оборудование, которое обеспечивает VPN-соединения. Увеличился и объем входящего трафика из сети Интернет.
Не все корпоративные сервисы в достаточной мере защищены. Порой производители ПО забывают о безопасности, и в результате протоколы, используемые конкретным сервисом, оставляют возможность получить доступ к ПК, на котором работает данный сервис, а с ПК — далее к корпоративной сети. В таких случаях приходится ограничивать доступ к сервису, предоставляя его только через VPN-соединения или MPLS-сеть.
В нашей инфраструктуре поддерживаются как сети Wi-Fi, которые мы создали сами, так и сеть GSM/GPRS: на территории предприятия есть вышка сотовой связи, установленная оператором, и несколько внутренних ретрансляторов, обеспечивающих устойчивую связь по всему предприятию, в том числе и внутри помещений. Таким образом, на территории Московской пивоваренной компании беспроводные коммуникации быстрые и качественные. Но стоит выйти за территорию, как связь резко ухудшается, причем проблемы с качеством наблюдаются не только в Подмосковье, но даже в центре Москвы. Зачастую нашим сотрудникам трудно найти место для синхронизации мобильного устройства, и даже если сеть найдена, скорость передачи данных обычно невысока. Все это вызывает, мягко говоря, недоумение на фоне постоянных обещаний о расширении сетей и улучшении покрытия, которые щедро раздают ведущие операторы связи. Казалось бы, операторы обязаны обеспечивать качественную связь по соглашению об уровне обслуживания — SLA. Но так не получается. У нас заключен с оператором беспроводной связи договор оказания услуг, и к этому договору прилагается SLA, однако оператор не выдерживает оговоренных условий, и нам приходится с этим мириться, поскольку на нашем практически монопольном рынке услуг беспроводной связи ничего лучшего не найти.
Что касается операторских тарифов, то все они представляются вполне разумными, за исключением одного — услуг передачи данных в международном роуминге: такое ощущение, что за пределами России Интернет становится «золотым». Более 50% наших ежемесячных расходов — это сервисы, предоставленные в международном роуминге, причем на голос приходится лишь 15—20%, остальное — передача данных.
Если говорить о перспективных технологиях, то мы пока не рассматриваем возможность использования 4G, так как на рынке практически нет мобильных устройств, которые бы отвечали нашим требованиям и поддерживали эту технологию. С сетью 3G мы с удовольствием работаем там, где она доступна, но, к сожалению, чаще всего приходится ограничиваться 2G. Идеально было бы получить устройства клиентского доступа с заранее сконфигурированными возможностями и поддержкой, особенно если бы оператор добавил к ним облачные сервисы и шлюзы доступа к корпоративным ресурсам. Вообще нам жизненно необходим облачный сервис, и мы в любом случае с радостью вывели бы часть своих решений на ресурсы операторов связи.