Несанкционированная точка доступа

Типичная ситуация, в которой может появиться несанкционированная точка доступа, — это любые места, где разные люди хотят подключить свои устройства к Wi-Fi. Такие точки могут размещаться в общественных зонах аэропортов, отелей, вокзалов и других людных местах, если целью является массовая атака с целью похищения информации у случайных пользователей. Также несанкционированные точки могут устанавливаться внутри компаний (особенно крупных), но в этом случае злоумышленник нацелен на захват конкретных данных организации или получение информации для подготовки целенаправленной кибератаки. В подобных атаках несанкционированной сети Wi-Fi часто присваивают вводящее в заблуждение имя, например «airportxxxFreeWiFi». Таким образом, многие пользователи подключаются к такой точке, особенно если её сигнал оказывается самым сильным среди доступных.

Существуют различные методы проведения атак типа «человек посередине» (MITM), например отравление ARP-кэша или DHCP spoofing. Контроль над точкой доступа — ещё один способ осуществления подобных атак. Несанкционированная точка становится обязательным промежуточным звеном между любым подключённым к ней клиентом и интернетом. Обычно злоумышленник не выбирает прямую жертву, а ожидает, пока к точке подключаются клиенты. Минимальный ущерб — чтение всего проходящего через неё трафика; помимо этого, с её помощью можно внедрять вредоносные программы, похищать пароли, перехватывать переписку. В таких случаях несанкционированную точку доступа называют «злой двойник»^[2].

Ничего не подозревающие пользователи, подключившиеся к «злому двойнику», перенаправляются на серверы, контролируемые злоумышленником. Просматриваемые страницы специально подделаны так, чтобы ввести пользователя в заблуждение и побудить ввести сведения в формы, как правило, требующие конфиденциальные данные — логины и пароли. После отправки информации злоумышленник уже получает доступ к персональным сведениям жертвы, которая зачастую замечает подмену только тогда, когда её данные уже были использованы для вредоносных целей^[3].

Хотя с технической точки зрения сотруднику несложно организовать soft access point или недорогой беспроводной маршрутизатор для облегчения доступа с мобильных устройств, такие точки часто настраиваются как «открытые» или с недостаточным уровнем безопасности, что делает возможным несанкционированный доступ посторонних лиц.

Если внешнему злоумышленнику удаётся установить точку доступа внутри организации, он получает возможность использовать различные анализаторы уязвимостей, а также выполнять атаки удалённо, не находясь в здании (например, атакуя из соседнего помещения или парковки).

Для обнаружения несанкционированных точек доступа можно определить их положение по мощности сигнала (RSSI). Однако злоумышленник может попытаться имитировать ожидаемые значения RSSI, разместив точку на таком же расстоянии от детектора, как и допустимая точка, или подделывая мощность сигнала. При этом в сети одновременно появляются как легитимная, так и несанкционированная точка, что приводит к перемешиванию обычного и подозрительного трафика. Эффективным способом выявления аномалий может быть временное отключение штатных точек доступа: в этом случае остаётся только нежелательный трафик, что упрощает выявление источника^[4].

Для предотвращения появления несанкционированных точек организации могут внедрять системы предотвращения вторжений в беспроводные сети (WIPS), которые анализируют радиочастотный спектр и выявляют неавторизованные точки доступа. Вблизи любой компании можно обнаружить множество беспроводных точек, включая зарегистрированные внутри корпоративной сети и сторонние внешние. Системы типа WIPS позволяют выявлять несанкционированные точки благодаря постоянному мониторингу всех точек доступа. Для идентификации таких устройств учитываются два условия:

1. нахождение точки в списке управляемых точек данного предприятия;
2. подключена ли эта точка к защищённой сети.

Первое проверяется сравнением MAC-адреса (также известного как BSSID) точки доступа со списком BSSID легитимных устройств. Однако автоматизированная проверка второго условия бывает затруднена по нескольким причинам: а) необходимо контролировать различные типы точек доступа (сетевой мост, NAT-маршрутизаторы, открытые/зашифрованные соединения, разные схемы связи между MAC-адресами для проводных и беспроводных соединений, soft AP), б) требуется быстрый отклик при анализе больших сетей, в) важно избегать ложных срабатываний.

Ложноположительный результат возникает, если система обнаружения квалифицирует точку как подключённую к защищённой сети, хотя на самом деле это не так. Частые ложные срабатывания приводят к напрасным расходам пропускной способности при их устранении и затрудняют автоматическую блокировку подозрительных устройств из-за риска лишиться работы соседних, но безвредных точек.

Ложноотрицательный результат возникает, когда система не может обнаружить действительно подключённую несанкционированную точку, что ведёт к опасным «дырам» в безопасности.

Несанкционированная точка первого типа («wired rogue») — это точка, физически подключённая к защищённой корпоративной сети. Если устройство не связано с корпоративной сетью, а только находится поблизости, то речь о внешней точке. Среди внешних точек особо опасными считаются такие, которые привлекают (или уже привлекли) легитимных клиентов предприятия. Их называют несанкционированными точками второго типа — как отмечено ранее, это «злой двойник».

Soft access point (soft AP) позволяет создать точку доступа на основе Wi-Fi-адаптера без отдельного физического роутера. Используя функцию виртуальный Wi-Fi в Windows 7 или технологию My WiFi от Intel, можно легко настроить soft AP прямо на компьютере под Windows 7 или Windows Vista. После активации обычную сеть, к которой подключён этот ПК, можно расшарить для других пользователей Wi-Fi, если они подключатся к созданной soft AP. Если сотрудник запускает такую сеть внутри офиса и делится корпоративным подключением, soft AP превращается в несанкционированную точку доступа^[5].