СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Angara Security
1 декабря
#Статьи #ИБ

Обнаружение и блокирование «серых» точек доступа Wi-Fi в офисах и филиалах

Обнаружение и блокирование серых точек доступа Wi-Fi в офисах и филиалах

Изображение: recraft

Введение

Современные офисы и филиалы активно используют беспроводные сети для повышения мобильности сотрудников и обеспечения быстрого доступа к корпоративным ресурсам. Однако вместе с легальными точками доступа Wi-Fi в организации могут появляться так называемые серые точки. Это любые беспроводные устройства (роутеры, мосты, даже смартфоны в режиме модема), подключённые к корпоративной сети без ведома или разрешения ИТ-отдела.

Такие устройства могут быть установлены по незнанию (сотрудник принёс свой роутер для улучшения сигнала) или злонамеренно (злоумышленник получил физический доступ к сети). «Серые» точки доступа представляют собой прямую угрозу безопасности: они создают неконтролируемые точки входа в защищённый сетевой периметр, через которые хакеры могут получить доступ к конфиденциальным данным, обойти корпоративные файрволы и системы контроля доступа.

Почему важно обнаруживать и блокировать «серые» точки доступа?

Основные угрозы:

  • Несанкционированный доступ к сети (НСД). Самая очевидная угроза. Rogue APs создают неконтролируемый мост в защищённый сетевой периметр, позволяя подключиться к внутренней корпоративной сети, обойдя основные средства защиты (файрволы, системы контроля доступа).
  • Атаки типа «Человек посередине» (Man-in-the-Middle, MitM). Злоумышленник может создать точку доступа с именем (SSID), похожим на легитимную корпоративную сеть (так называемый «злой двойник», или Evil Twin), чтобы обманным путём заставить сотрудников подключиться к ней. После подключения весь трафик пользователя проходит через устройство злоумышленника, который может перехватывать, просматривать или даже изменять передаваемые данные (логины, пароли, банковские данные, конфиденциальные документы).
  • Кража конфиденциальных данных и учётных записей. Злоумышленники могут украсть учётные данные (логины, пароли) пользователей путём перехвата трафика или использования фишинговых страниц. Эти сведения открывают путь к более глубокому проникновению в корпоративные системы.
  • Распространение вредоносного ПО. Злоумышленник может использовать Rogue AP для внедрения вредоносного программного обеспечения, такого как вирусы, программы-вымогатели (ransomware), кейлоггеры или шпионское ПО, в устройства подключённых пользователей.
  • Отказ в обслуживании (DoS). Вредоносные точки доступа могут создавать помехи или генерировать чрезмерный трафик, нарушая нормальное функционирование легитимной беспроводной сети, что приводит к простоям и финансовым потерям.
  • Нарушение политик безопасности и нормативных требований: Наличие несанкционированных устройств в сети нарушает внутренние политики безопасности и может привести к несоблюдению отраслевых стандартов, что влечёт за собой штрафы и юридические последствия.

Таким образом, «серые» точки доступа создают значительные риски для целостности, конфиденциальности и доступности корпоративных данных и инфраструктуры.

Методы обнаружения «серых» точек доступа

Обнаружение «серых» точек доступа — первый и самый важный шаг в борьбе с ними. Используются следующие ключевые методы:

1. Системы обнаружения/предотвращения беспроводных вторжений (WIDS/WIPS)

WIDS и WIPS — профессиональные решения, предназначенные для постоянного мониторинга радиоэфира.

  • WIDS (Wireless Intrusion Detection System). Система пассивно сканирует все доступные беспроводные сети, сравнивает их параметры (SSID, MAC-адреса, каналы) с базой данных разрешённых точек доступа и оповещает администратора при обнаружении несоответствий.
  • WIPS (Wireless Intrusion Prevention System). Решение обладает всеми функциями WIDS, но может автоматически принимать меры по нейтрализации угрозы в реальном времени. Многие современные корпоративные решения (от Cisco, Aruba, Fortinet, Ubiquiti) имеют встроенный функционал WIPS.

Основное различие между WIDS и WIPS:

ХарактеристикаWIDS (Detection)WIPS (Prevention)
Основная функцияМониторинг и оповещениеМониторинг, оповещение и блокирование
РеагированиеРучное, после оповещенияАвтоматическое, в реальном времени
Влияние на сетьПассивное; низкий риск сбоевАктивное; потенциальный риск ложных срабатываний
Сложность внедренияНиже, в основном требует настройки мониторингаВыше, требует точной настройки правил предотвращения
СтоимостьКак правило, нижеКак правило, выше

2. Контроль и управление проводной сети (NAC)

Своевременному обнаружению «серых» точек доступа способствует реализация архитектуры нулевого доверия (Zero Trust). Применение технологии 802.1X для контроля доступа на уровне портов (Port-Based, Network Access Control, NAC) актуально как для беспроводных, так и для проводных подключений. Системы класса NAC автоматически проверяют каждое устройство, подключающееся к коммутатору, на соответствие политикам безопасности. Если устройство не распознано или не авторизовано, NAC может автоматически заблокировать порт коммутатора.

3. Система поведенческого анализа (устройства или пользователя)

Системы UEBA (User and Entity Behavior Analytics) строят базовую модель нормального поведения для каждого пользователя и устройства в сети, а затем ищут расхождения с нормой в сетевом трафике. Эти отклонения могут косвенно указывать на наличие «серой» точки доступа. Если устройство начинает скачивать необычно большой объём данных или обращается к ресурсам, к которым ранее не имел отношения, UEBA может пометить эту активность как аномальную, что, в свою очередь, может свидетельствовать о подключении к «серой» точке доступа.

Наибольшую ценность UEBA представляет при корреляции данных из разных источников (WIDS, NTA):

  • WIDS обнаружил неизвестный SSID в эфире, а UEBA показала, что в тот же момент на ближайшем проводном порту коммутатора появилась аномальная активность, связанная с конкретным пользователем.
  • NTA зафиксировал необычный поток трафика с определённого IP-адреса, а UEBA связала этот IP-адрес с пользователем, чьё поведение резко изменилось.

4. Периодическое ручное сканирование и физический аудит

Технические средства не всегда идеальны. Регулярные ручные проверки с помощью специализированного программного обеспечения, такого как Kismet или Ekahau, помогают «прочесать» физические зоны офиса. ИТ-специалисты с портативными анализаторами сигнала могут точно определить местоположение подозрительного устройства по силе сигнала.

Стратегии блокирования и нейтрализации

После обнаружения «серой» точки доступа необходимо предпринять действия по её нейтрализации.

Физическое отключение

Самый надёжный и окончательный метод. После определения точного физического местоположения точки доступа (например, в розетке за шкафом), она должна быть физически отключена от электропитания и/или сетевого кабеля.

Блокировка порта коммутатора

Если местоположение не установлено, но известно, к какому порту коммутатора подключена «серая» точка доступа (с помощью NAC или ручной проверки), этот порт немедленно блокируется удалённо через интерфейс управления коммутатором.

Автоматическое сдерживание (Containment)

Системы WIPS могут использовать методы подавления, отправляя специальные деаутентификационные фреймы на «серую» точку доступа или на устройства, пытающиеся к ней подключиться. Это нарушает связь и предотвращает несанкционированный доступ. Этот метод требует осторожности из-за законодательных ограничений в некоторых регионах и риска ложных срабатываний.

Организационные меры и политики безопасности

Технологии не работают в вакууме. Фундамент безопасности — это люди и правила:

  • Политика использования беспроводных сетей. Чёткий и понятный документ, запрещающий сотрудникам приносить и подключать любое неавторизованное беспроводное оборудование к корпоративной инфраструктуре.
  • Обучение сотрудников. Регулярные тренинги по кибербезопасности помогают сотрудникам понять, почему эти правила существуют и как их соблюдение защищает компанию.
  • Ограничение физического доступа. Размещение авторизованных точек доступа и сетевого оборудования в защищённых, закрытых помещениях, куда нет свободного доступа посторонним.
  • Регулярный пересмотр политик и аудит. Сфера технологий быстро меняется, и политики безопасности должны регулярно обновляться, а их выполнение — проверяться.

Вывод

Противодействие «серым» точкам доступа является перманентной задачей в рамках управления рисками ИБ. Эффективная защита требует комплексного подхода, включающего технологии мониторинга, автоматизированные системы реагирования и строгие политики ИБ. Совокупность применяемых мер защиты позволяет минимизировать угрозы и обеспечить целостность данных.

Автор: Сергей Стаканов, ведущий системный архитектор, Angara Security.

Angara Security
Автор: Angara Security
Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.
Комментарии: