Презентации / 6_7_ProfilingPosture_WirelessSecurityFull
.pdf
Известные атаки на беспроводные сети
§- эксплуатация ошибок в конфигурации оборудования, настроек по умолчанию, паролей по умолчанию (как паролей
к беспроводной сети так и паролей на управление оборудованием);
§- эксплуатация закладок в оборудовании
175
Известные методы защиты от атак на беспроводные сети
Угроза |
Атака |
Защита |
§- выполнение базовых принципов информационной безопасности (длинна пароля для клиентов (в режиме PSK) и для управления оборудованием, индивидуальные сертификаты / пароли для клиентов (в режиме Enterprise) и
т.д.);
§- применение режима Enterprise с сертификатами и запрет
доверия ко всем сертификатам.
§- применение протоколов (в том числе протоколов обеспечения информационной безопасности(ИБ)), для которых неизвестны упрощенные методы взлома. Отключение протоколов (в т.д. ИБ), в которых обнаружены уязвимости;
176
Известные методы защиты от атак на беспроводные сети
§- мониторинг среды передачи и своевременная реакция на проблему или атаку (Cisco Clean AIR или др.),
информирование персонала о возможном источнике проблемы, а также по-возможности подавление источника проблемы средствами сетевого оборудования;
177
Известные методы защиты от атак на беспроводные сети
§- применение системы обнаружения вторжений для беспроводных и проводных сетей;
§- изоляция трафика между всеми клиентами беспроводной сети/ разделение сетей;
178
Известные методы защиты от атак на беспроводные сети
§- использование процедур взаимной аутентификации клиент-сеть и сеть-клиент, использование сертификатов;
§- наличие логирования событий безопасности на беспроводном оборудовании, в том числе отражение
сообщений об ошибках авторизации и их обработка
системой мониторинга и персоналом компании;
179
Известные методы защиты от атак на беспроводные сети
§- применение контроллеров беспроводных сетей для систематизации настроек всех точек доступа, обеспечения роуминга клиентов и распределения нагрузки, выбора оптимальных параметров беспроводной сети, централизованного управления беспроводной сетью;
§- реализация механизма автоматического (адаптивного)
выбора основного и дополнительного канала в зависимости
от радио обстановки и помех, а также механизма защиты от постоянного перестроения (при децентрализованном построении беспроводной сети);
180
Известные методы защиты от атак на беспроводные сети
§- наличие механизмов QoS на беспроводном оборудовании, в том числе для услуг VoIP и других сервисов;
§- применение дополнительных элементов защиты, таких каких VPN туннели с взаимной аутентификацией корреспондента и сервера, применение HTTPS и других дополнительных механизмов защиты;
181
Известные методы защиты от атак на беспроводные сети
§- ограничение радио видимости беспроводной сети вне территории, на которой эксплуатируется беспроводная сеть (однако, нарушитель может использовать усилители и направленные антенны для доступа к сети);
§- скрытие имени сети SSID (малоэффективно, используется совместно с другими методами защиты);
- списки доступа MAC (малоэффективно, используется
§
совместно с другими методами защиты);
§VPN over WiFi
§Использование дополнительных механизмов повышения ИБ
– профилирование для пользователей, EAP Chaining и т.д.
182
Известные методы защиты от атак на беспроводные сети
§- применение внутрифирменных закрытых протоколов на беспроводной сети, для которых неизвестны общедоступные методы атаки и уязвимости,
§отсутствует в открытом доступе программное обеспечение для реализации атаки. Это позволит скрыть само
существование беспроводной сети от некоторых
нарушителей, а также позволит несколько усложнить действия нарушителя.
§Однако, уровень информационной безопасности во многом будет зависеть от корректности реализации протокола, а
также приведет компанию к зависимости от определенного производителя.
183
Условия для защиты
Источник: Безопасность в беспроводных сетях передачи данных https://www.youtube.com/watch?v=IlLOSdhl_Jg |
|
VolgaCTF 2016 в Самарском Университете: лекционная часть (14.09.2016). |
184 |