Сложно представить повседневную жизнь без прогноза погоды, приятной музыки или просмотра кино по вечерам. Эти двери в мир возможностей и комфорта открывают домашние беспроводные сети. Однако, за привычным удобством скрывается крайне деликатный вопрос – личная безопасность и сохранение конфиденциальности передаваемых данных.
Чтобы убедиться в популярности беспроводных технологий, достаточно активировать режим поиска активных сетевых подключений даже не в общественном месте, а в собственной квартире – результат не заставит себя долго ждать: в радиусе действия окажутся более 10 точек доступа или устройств, оборудованных модулем беспроводной связи (принтеры), а также не стоит забывать и про пользующиеся популярностью «умные» экземпляры бытовой техники. Именно поэтому, получив доступ к частной беспроводной сети потенциальный злоумышленник имеет все шансы ощутимо подпортить жизнь ее владельцу – от беспорядочного и небезопасного использования умных устройств до неправомерного доступа к личным данным и фотографиям. Всего этого можно избежать, позаботившись о безопасной конфигурации маршрутизирующих устройств.
Итак, приступаем: от элементарных мер к эшелонированной защите.
Стандарт WPS – враг №1
Первым делом имеет смысл отключить на роутере стандарт (протокол) WPS и одноименную функцию, позволяющую осуществлять подключение к частной сети при помощи нажатия кнопки (или непосредственно ввода PIN). Реализация протокола несовершенна с точки зрения безопасности – злоумышленник имеет возможность использования методов грубой силы в отношении PIN, состоящего из 8 цифр. Для этого потребуется всего 107 комбинаций, что эквивалентно времени суток для полного перебора.
Скрываем SSID
Зачастую можно встретить рекомендацию экспертов по сокрытию SSID параметра сети, другими словами, имени частной сети – ее не получится обнаружить в перечне точек доступа при поиске активных сетевых подключений, а для соединения необходимо будет ввести не только пароль, но и имя сети (точки доступа). Конечно, от злоумышленника со специальным адаптером в режиме мониторинга и инъекции пакетов (например, ALFA NETWORK) это не поможет спрятать сеть, тем не менее, воспользоваться данной опцией в качестве дополнительного эшелона защиты от преобладающего числа пользователей будет не лишним.
«Белый» список устройств
В том числе специалистами нередко отмечается использование фильтрации по MAC-адресам – некого аналога «белого списка», иными словами, перечня разрешенных к подключению устройств. Сетевая карта каждого устройства имеет свой собственный «физический» адрес – уникальную комбинацию MAC. Именно она выступит в роли идентификатора устройств и позволит ограничить доступ к сети строго определенному перечню клиентов. Казалось бы, все так просто. Но наверняка все слышали об атаках, направленных на подмену IP- или MAC-адреса устройства (IP/MAC – Spoofing) – как и в случае выше, злоумышленник при помощи ALFA (или иного аналогичного устройства) имеет возможность воспроизвести типовую атаку и обойти ограничение на основе MAC – идентификатора клиентского устройства, хоть это и займет у него некоторое время.
Следим за прошивкой
Программное обеспечение любого сетевого устройства является одной из основных составляющих его безопасности. Беспроводные точки доступа не исключение – прошивка роутера, как и любых других сетевых устройств может содержать критические уязвимости или архитектурные недостатки. Регулярное обновление программного обеспечения точки доступа позволит своевременно их исправить, а иногда даже обзавестись новым функционалом. Более поздние модели устройств поддерживают автоматическую процедуру обновления, в случае отсутствия этой функции, необходимо периодически проверять официальный сайт производителя на наличие свежих обновлений.
Консоль администратора
По умолчанию устройство имеет стандартное расположение консоли администратора: 192.168.0.1 или 192.168.1.1. Еще одна мера, которую следует принять во внимание в целях защиты и усложнения отслеживания частной сети злоумышленниками – смена адреса на любой предпочитаемый (посредством применения типовой конфигурации Сеть > LAN).
Пароли по умолчанию
Для доступа в консоль администратора необходимы учетные данные привилегированного пользователя, указанные на точке доступа (по умолчанию). Большинство сетевых устройств имеют базовый набор admin:admin, admin:none или admin:password. Одна из фатальных ошибок технических специалистов – использование слабых или дефолтных паролей. Рекомендуется учиться на чужих оплошностях, соответственно, требуется изменить учетные данные по умолчанию на иные, с соблюдением базовых требований к сложности пароля. Важно помнить – пароль вида «P@ssw0rd» хоть и удовлетворяет требованиям, но является словарным и легко угадывается.
Битва за точку доступа – надежные ключи доступа
Наконец, самое главное и интересное – установка предварительного ключа (он же PSK) или пароля для подключения к точке доступа, а также выбор предпочитаемого стандарта безопасности, отвечающего за надежность шифрования. Как и в случае с учетными данными – необходимо тщательно подойти к вопросу выбора подходящего пароля (ключа) для сети – от этого зависит сложность «взлома» пароля злоумышленником. Пример хорошего пароля: s9oLBqL9i*Gx. А для генерации всегда можно воспользоваться простыми популярными сервисами: LastPass, Online Password Generator, Randstuff.
При использовании распространенного стандарта безопасности WPA2 нарушитель с помощью устройства ALFA имеет возможность перехватить информацию на этапе «рукопожатий» (установления соединения) между клиентом и точкой доступа, что позволит в дальнейшем воспроизвести атаку с использованием методов грубой силы (bruteforce) в отношении полученного хэша ключевой фразы (пароля) сети. Именно поэтому от надежности выбранного ключа зависит сложность выполнения атаки с использованием методов грубой силы – подбор пароля длиной 8 символов, включающего цифры и специальные символы (при условии, что он не является простым или словарным) может занять у злоумышленника примерно до 85 лет. Для проверки стойкости выбранного пароля может быть использован сервис 2ip.
Идем в ногу со временем
Также немаловажным будет отметить, что в 2018 году был представлен новый стандарт безопасности беспроводных сетей – WPA3. Основными его преимуществами являются безопасные «рукопожатия» при подключении клиентов по протоколу SAE даже в случае ненадежного пароля, что усложняет типовую атаку методами грубой силы, а также использование шифрования с длиной ключа в 192 бита. Соответственно, рекомендуется по возможности использовать именно этот стандарт безопасности.
Построение эшелонированной системы защиты в совокупности с объективным контролем безопасности – залог успеха любой информационной системы и домашние беспроводные сети не исключение. Столкнувшись поочередно с рядом элементарных функций безопасности, злоумышленник с высокой долей вероятности предпочел бы сменить фокус на менее защищенную точку доступа, следуя принципу низковисящего фрукта.
Автор: Никита Котиков, эксперт по наступательной безопасности CICADA8 Центра инноваций МТС Future Crew.
Оригинал публикации на сайте CISOCLUB: "Основы безопасности Wi-Fi: как обезопасить домашний интернет".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
