AirSnitch: дэмістыфікацыя і разрыў ізаляцыі кліентаў у сетках Wi-Fi [pdf]

Схаваная ўразлівасць у Wi-Fi вашага бізнесу, якую не заўважае большасць ІТ-каманд

Кожную раніцу тысячы кавярняў, вестыбюляў гатэляў, карпаратыўных офісаў і гандлёвых цэнтраў уключаюць свае маршрутызатары Wi-Fi і мяркуюць, што сцяжок "ізаляцыя кліента", які яны адзначылі падчас наладкі, робіць сваю працу. Ізаляцыя кліента — функцыя, якая тэарэтычна перашкаджае прыладам у адной бесправадной сетцы размаўляць адзін з адным — ужо даўно прадаецца як лепшая куля для бяспекі агульнай сеткі. Але даследаванне такіх метадаў, як тыя, якія вывучаюцца ў рамках AirSnitch, раскрывае нязручную праўду: ізаляцыя кліентаў значна слабейшая, чым мяркуе большасць кампаній, і даныя, якія праходзяць праз вашу гасцявую сетку, могуць быць значна больш даступнымі, чым мяркуе ваша ІТ-палітыка.

Для ўладальнікаў бізнесу, якія кіруюць данымі кліентаў, уліковымі дадзенымі супрацоўнікаў і аперацыйнымі інструментамі ў розных месцах, разуменне рэальных межаў ізаляцыі Wi-Fi - гэта не проста вучэбнае практыкаванне. Гэта навык выжывання ў эпоху, калі адна няправільная канфігурацыя сеткі можа раскрыць усё: ад вашых кантактаў CRM да інтэграцыі з заработнай платай. У гэтым артыкуле распавядаецца пра тое, як працуе ізаляцыя кліентаў, як яна можа выйсці з ладу і што сучасныя кампаніі павінны зрабіць, каб сапраўды абараніць сваю дзейнасць у свеце, дзе на першым месцы бесправадная сувязь.

Што насамрэч робіць ізаляцыя кліентаў — і чаго не робіць

Ізаляцыя кліента, якую часам называюць ізаляцыяй AP або ізаляцыяй бесправадной сеткі, з'яўляецца функцыяй, убудаванай практычна ў кожную спажывецкую і карпаратыўную кропку доступу. Калі ён уключаны, ён загадвае маршрутызатару блакіраваць прамую сувязь 2-га ўзроўню (канальны ўзровень) паміж бесправаднымі кліентамі ў адным сегменце сеткі. Тэарэтычна, калі прылада A і прылада B падключаны да вашай гасцявой сеткі Wi-Fi, ні адна не можа адпраўляць пакеты непасрэдна аднаму. Гэта прызначана для прадухілення сканіравання або атакі адной узламанай прылады на іншую.

Праблема ў тым, што "ізаляцыя" апісвае толькі адзін вузкі вектар атакі. Трафік па-ранейшаму праходзіць праз кропку доступу, праз маршрутызатар і выходзіць у Інтэрнэт. Вяшчальны і шматадрасны трафік паводзяць сябе па-рознаму ў залежнасці ад прашыўкі маршрутызатара, рэалізацыі драйвера і тапалогіі сеткі. Даследчыкі прадэманстравалі, што пэўныя адказы на запыты, фрэймы-маякі і шматадрасныя пакеты DNS (mDNS) могуць перацякаць паміж кліентамі такім чынам, што функцыя ізаляцыі ніколі не была распрацавана для блакавання. На практыцы ізаляцыя прадухіляе прамое злучэнне метадам грубай сілы, але яна не робіць прылады нябачнымі для рашучага назіральніка з правільнымі інструментамі і пазіцыяй захопу пакетаў.

Даследаванне 2023 г., якое вывучала разгортванне бесправадной сеткі ў карпаратыўных асяроддзях, паказала, што прыблізна 67% кропак доступу з уключанай ізаляцыяй кліента па-ранейшаму прапускаюць дастатковую колькасць трафіку шматадраснай перадачы, каб дазволіць суседнім кліентам мець адбіткі пальцаў у аперацыйных сістэмах, ідэнтыфікаваць тыпы прылад і ў некаторых выпадках рабіць высновы аб актыўнасці на ўзроўні прыкладанняў. Гэта не тэарэтычная рызыка — гэта статыстычная рэальнасць, якая кожны дзень праяўляецца ў холах гатэляў і каворкінгах.

Як метады абыходу ізаляцыі працуюць на практыцы

Метады, вывучаныя ў фрэймворках, такіх як AirSnitch, ілюструюць, як зламыснікі пераходзяць ад пасіўнага назірання да актыўнага перахопу трафіку, нават калі ізаляцыя ўключана. Асноўнае разуменне зманліва простае: ізаляцыя кліента забяспечваецца кропкай доступу, але сама кропка доступу - не адзіны аб'ект у сетцы, які можа рэтрансляваць трафік. Маніпулюючы табліцамі ARP (пратакола раздзялення адрасоў), устаўляючы створаныя шырокавяшчальныя кадры або выкарыстоўваючы логіку маршрутызацыі шлюза па змаўчанні, шкоднасны кліент можа часам падманам прымусіць AP перасылаць пакеты, якія ён павінен адкідаць.

Адзін распаўсюджаны метад уключае атручванне ARP на ўзроўні шлюза. Паколькі ізаляцыя кліента звычайна прадухіляе аднарангавую сувязь толькі на ўзроўні 2, трафік, накіраваны на шлюз (маршрутызатар), па-ранейшаму дазволены. Зламыснік, які можа ўплываць на тое, як шлюз адлюстроўвае IP-адрасы ў MAC-адрасы, можа эфектыўна пазіцыянаваць сябе як чалавека пасярэдзіне, прымаючы трафік, прызначаны для іншага кліента, перш чым перасылаць яго далей. Ізаляваныя кліенты застаюцца ў недасведчанасці — здаецца, што іх пакеты звычайна ідуць у Інтэрнэт, але спачатку яны праходзяць праз варожы рэтранслятар.

Іншы вектар выкарыстоўвае паводзіны пратаколаў mDNS і SSDP, якія выкарыстоўваюцца прыладамі для выяўлення паслуг. Смарт-тэлевізары, прынтэры, датчыкі IoT і нават бізнес-планшэты рэгулярна транслююць гэтыя аб'явы. Нават калі ізаляцыя кліента блакуе прамыя злучэнні, гэтыя трансляцыі ўсё роўна могуць быць атрыманы суседнімі кліентамі, ствараючы падрабязны спіс кожнай прылады ў сетцы — іх назвы, вытворцы, версіі праграмнага забеспячэння і рэкламуемыя паслугі. Для мэтанакіраванага зламысніка ў агульным бізнес-асяроддзі гэтыя даныя разведкі неацэнныя.

"Ізаляцыя кліента - гэта замок на ўваходных дзвярах, але даследчыкі неаднаразова паказвалі, што акно адкрытае. Прадпрыемствы, якія разглядаюць гэта як поўнае рашэнне бяспекі, працуюць у небяспечнай ілюзіі - сапраўдная сеткавая бяспека патрабуе шматслойнай абароны, а не функцый сцяжкоў."

Рэальная дзелавая рызыка: што насамрэч пастаўлена на карту

Калі тэхнічныя даследчыкі абмяркоўваюць уразлівасці ізаляцыі Wi-Fi, размова часта застаецца ў сферы захопу пакетаў і ўвядзення кадраў. Але для ўладальніка бізнесу наступствы значна больш канкрэтныя. Разгледзім буцік-гатэль, дзе госці і персанал выкарыстоўваюць адну і тую ж фізічную інфраструктуру пункту доступу, нават калі яны карыстаюцца рознымі SSID. Калі сегментацыя VLAN настроена няправільна — што здараецца часцей, чым прызнаюць пастаўшчыкі — трафік з сеткі супрацоўнікаў можа стаць бачным для госця з дапамогай правільных інструментаў.

Што пагражае ў такім выпадку? Патэнцыйна ўсё: уліковыя даныя сістэмы браніравання, сувязь з тэрміналамі ў гандлёвым пункце, жэтоны сеанса партала HR, парталы рахункаў-фактур пастаўшчыкоў. Кампаніі, якія працуюць на воблачных платформах — сістэмах CRM, інструментах налічэння заработнай платы, панэлі кіравання аўтапаркам — падвяргаюцца асабліваму ўздзеянню, таму што кожны з гэтых сэрвісаў аўтэнтыфікуецца праз сеансы HTTP/S, якія можна захапіць, калі зламыснік размясціўся ў тым жа сегменце сеткі.

Лічбы цвярозыя. У справаздачы IBM Cost of a Breach Report сярэдні кошт узлому складае больш за 4,45 мільёна долараў ЗША, прычым малыя і сярэднія прадпрыемствы сутыкаюцца з непрапарцыйна вялікімі наступствамі, таму што ім не хапае інфраструктуры аднаўлення карпаратыўных арганізацый. Сеткавыя ўварванні, якія адбываюцца з фізічнай блізкасці - зламыснік у вашай сумеснай рабоце, вашым рэстаране, вашай гандлёвай зале - складаюць значны працэнт першапачатковых вектараў доступу, якія пазней перарастаюць да поўнага ўзлому.

Як насамрэч выглядае правільная сегментацыя сеткі

Сапраўдная сеткавая бяспека для бізнес-асяроддзя выходзіць далёка за рамкі адключэння ізаляцыі кліента. Гэта патрабуе шматслойнага падыходу, які разглядае кожную зону сеткі як патэнцыйна варожую. Вось як гэта выглядае на практыцы:

• Сегментацыя VLAN са строгімі правіламі маршрутызацыі паміж VLAN: гасцявы трафік, трафік персаналу, прылады IoT і сістэмы гандлёвых кропак павінны размяшчацца ў асобных сетках VLAN з правіламі брандмаўэра, якія відавочна блакіруюць несанкцыянаваную міжзонавую сувязь, а не проста спадзявацца на ізаляцыю на ўзроўні AP.
• Зашыфраваныя сеансы прыкладанняў як абавязковы базавы ўзровень: кожнае бізнес-прыкладанне павінна выконваць HTTPS з загалоўкамі HSTS і замацаваннем сертыфікатаў, дзе гэта магчыма. Калі вашы інструменты адпраўляюць уліковыя даныя або токены сеансу праз незашыфраваныя злучэнні, ніякая сегментацыя сеткі цалкам не абараняе вас.
• Сістэмы бесправаднога выяўлення ўварванняў (WIDS): кропкі доступу карпаратыўнага класа ад такіх пастаўшчыкоў, як Cisco Meraki, Aruba або Ubiquiti, прапануюць убудаваныя WIDS, якія ў рэжыме рэальнага часу пазначаюць фальшывыя AP, атакі deauth і спробы падробкі ARP.
• Рэгулярная ратацыя ўліковых даных і выкананне MFA: Нават калі трафік перахоплены, кароткачасовыя токены сеансу і шматфактарная аўтэнтыфікацыя рэзка зніжаюць значэнне перахопленых уліковых даных.
• Палітыкі кантролю доступу да сеткі (NAC): сістэмы, якія правяраюць сапраўднасць прылад перад прадастаўленнем доступу да сеткі, у першую чаргу прадухіляюць далучэнне невядомага абсталявання да вашай працоўнай сеткі.
• Перыядычныя ацэнкі бяспекі бесправадной сеткі: Тэстар пранікнення, які выкарыстоўвае законныя інструменты для мадэлявання гэтых дакладных атак на вашу сетку, выявіць няправільныя канфігурацыі, якія аўтаматычныя сканеры прапускаюць.

Асноўны прынцып - глыбокая абарона. Любы асобны пласт можна абыйсці — вось што дэманструе такое даследаванне, як AirSnitch. Тое, што зламыснікі не могуць лёгка абыйсці, гэта пяць узроўняў, кожны з якіх патрабуе розных метадаў для перамогі.

Кансалідацыя бізнес-інструментаў памяншае паверхню атакі

Адным з недаацэненых аспектаў бяспекі сеткі з'яўляецца аперацыйная фрагментацыя. Чым больш разрозненых інструментаў SaaS выкарыстоўвае ваша каманда — з рознымі механізмамі аўтэнтыфікацыі, рознымі рэалізацыямі кіравання сесіямі і рознымі рэжымамі бяспекі — тым большай становіцца ваша паверхня ўздзеяння ў той ці іншай сетцы. Член каманды, які правярае чатыры асобныя панэлі кіравання праз узламанае злучэнне Wi-Fi, мае ў чатыры разы большую колькасць уліковых даных, чым член каманды, які працуе ў рамках адной уніфікаванай платформы.

Менавіта тут такія платформы, як Mewayz, прапануюць адчувальныя перавагі ў бяспецы, акрамя іх відавочных аперацыйных пераваг. Mewayz аб'ядноўвае больш за 207 бізнес-модуляў — CRM, выстаўленне рахункаў, разлік заработнай платы, кіраванне персаналам, адсочванне аўтапарка, аналітыку, сістэмы браніравання і многае іншае — у адзін сеанс з аўтэнтыфікацыяй. Замест таго, каб вашы супрацоўнікі выконвалі дзясяткі асобных уваходаў у дзясятак асобных даменаў у вашай агульнай бізнес-сетцы, яны аднаразова аўтэнтыфікуюцца на адзінай платформе з бяспекай сеансаў карпаратыўнага ўзроўню. Для прадпрыемстваў, якія кіруюць 138 000 карыстальнікаў па ўсім свеце ў размеркаваных месцах, гэтая кансалідацыя не проста зручная — яна істотна памяншае колькасць абменаў уліковымі дадзенымі, якія адбываюцца праз патэнцыйна ўразлівую бесправадную інфраструктуру.

Калі даныя CRM, заработнай платы і браніравання кліентаў вашай каманды знаходзяцца ў межах аднаго ахоўнага периметра, у вас ёсць адзін набор токенаў сеансу для абароны, адна платформа для маніторынгу анамальнага доступу і адна каманда па бяспецы пастаўшчыка, адказная за захаванне абароненасці гэтага перыметра. Фрагментаваныя інструменты азначаюць фрагментаваную падсправаздачнасць — і ў свеце, дзе ізаляцыю Wi-Fi можа абысці рашучы зламыснік з дапамогай бясплатна даступных інструментаў даследавання, падсправаздачнасць мае велізарнае значэнне.

Стварэнне культуры захавання бяспекі вакол выкарыстання сеткі

Элементы кіравання працуюць толькі тады, калі людзі, якія імі карыстаюцца, разумеюць, навошта гэтыя элементы кіравання існуюць. Многія з найбольш шкодных сеткавых нападаў заканчваюцца поспехам не таму, што абарона адмовілася з тэхнічнага пункту гледжання, а таму, што супрацоўнік падключыў важную бізнес-прыладу да неправеранай гасцявой сеткі, або таму, што кіраўнік ухваліў змяненне канфігурацыі сеткі, не разумеючы яго наступстваў для бяспекі.

Стварэнне сапраўднай дасведчанасці аб бяспецы азначае выхад за рамкі штогадовага навучання адпаведнасці. Гэта азначае стварэнне канкрэтных рэкамендацый, заснаваных на сцэнары: ніколі не апрацоўваць дадзеныя аб заработнай плаце праз Wi-Fi гасцініцы без VPN; заўсёды правярайце, што бізнес-праграмы выкарыстоўваюць HTTPS перад уваходам з агульнай сеткі; Неадкладна паведамляйце ІТ аб любых нечаканых паводзінах сеткі — павольных злучэннях, папярэджаннях аб сертыфікатах, незвычайных запытах на ўваход — неадкладна.

Гэта таксама азначае выхаванне звычкі задаваць нязручныя пытанні аб уласнай інфраструктуры. Калі вы апошні раз правяралі прашыўку кропкі доступу? Вашы гасцявыя і персанальныя сеткі сапраўды ізаляваны на ўзроўні VLAN або толькі на ўзроўні SSID? Ці ведае ваша ІТ-каманда, як выглядае атручванне ARP у журналах маршрутызатара? Гэтыя пытанні здаюцца стомнымі да моманту, калі яны становяцца тэрміновымі - а ў сферы бяспекі тэрмінова заўсёды занадта позна.

Будучыня бесправадной бяспекі: нулявы давер пры кожным пераходзе

Пастаянная праца даследчай супольнасці па разборы збояў ізаляцыі Wi-Fi паказвае на выразны доўгатэрміновы кірунак: кампаніі не могуць дазволіць сабе давяраць свайму сеткаваму ўзроўню. Мадэль бяспекі з нулявым даверам, якая прадугледжвае, што ні адзін сегмент сеткі, ніводная прылада і ні адзін карыстальнік не заслугоўваюць даверу па сваёй сутнасці, незалежна ад іх фізічнага або сеткавага месцазнаходжання, больш не з'яўляецца проста філасофіяй для каманд бяспекі Fortune 500. Гэта практычная неабходнасць для любой кампаніі, якая апрацоўвае канфідэнцыяльныя даныя праз бесправадную інфраструктуру.

Канкрэтна, гэта азначае ўкараненне пастаянна ўключаных VPN-тунэляў для бізнес-прылад, каб нават калі зламыснік узламаў сегмент лакальнай сеткі, ён сутыкнуўся толькі з зашыфраваным трафікам. Гэта азначае разгортванне інструментаў выяўлення канчатковых кропак і рэагавання (EDR), якія могуць пазначаць падазроныя паводзіны сеткі на ўзроўні прылады. А гэта азначае выбар аперацыйных платформ, якія разглядаюць бяспеку як функцыю прадукту, а не як задуманае — платформы, якія забяспечваюць выкананне MFA, запісваюць падзеі доступу і забяспечваюць адміністратарам бачнасць таго, хто, адкуль і калі атрымлівае доступ да якіх даных.

Бесправадная сетка пад вашай кампаніяй не з'яўляецца нейтральным каналам. Гэта актыўная паверхня для атакі, і такія метады, як задакументаваныя ў даследаванні AirSnitch, служаць жыццёва важнай мэты: яны пераводзяць размову аб бяспецы ізаляцыі ад тэарэтычнай да аператыўнай, ад маркетынгавай брашуры пастаўшчыка да рэальнасці таго, што матываваны зламыснік можа на самой справе дасягнуць у вашым офісе, рэстаране або каворкінгу. Прадпрыемствы, якія сур'ёзна ставяцца да гэтых урокаў - інвестуюць у правільную сегментацыю, кансалідаваныя інструменты і прынцыпы нулявога даверу - гэта тыя, хто не будзе чытаць пра ўласныя парушэнні ў галіновых справаздачах наступнага года.

Часта задаюць пытанні

Што такое ізаляцыя кліента ў сетках Wi-Fi і чаму яна лічыцца функцыяй бяспекі?

Ізаляцыя кліента - гэта канфігурацыя Wi-Fi, якая не дазваляе прыладам у адной бесправадной сетцы напрамую звязвацца адна з адной. Гэта звычайна ўключана ў гасцявых або агульнадаступных сетках, каб спыніць доступ адной падлучанай прылады да другой. Нягледзячы на тое, што такія даследаванні, як AirSnitch, шырока разглядаюцца як базавая мера бяспекі, такія даследаванні, як AirSnitch, дэманструюць, што гэтую абарону можна абыйсці з дапамогай метадаў атакі ўзроўню 2 і 3, у выніку чаго прылады становяцца больш уразлівымі, чым гэта звычайна мяркуюць адміністратары.

Як AirSnitch выкарыстоўвае слабыя месцы ў рэалізацыях ізаляцыі кліентаў?

AirSnitch выкарыстоўвае прабелы ў тым, як пункты доступу забяспечваюць ізаляцыю кліента, у прыватнасці, злоўжываючы шырокавяшчальным трафікам, падробкай ARP і ўскоснай маршрутызацыяй праз шлюз. Замест аднарангавай сувязі наўпрост, трафік накіроўваецца праз саму кропку доступу, абыходзячы правілы ізаляцыі. Гэтыя метады працуюць супраць дзіўна шырокага дыяпазону спажывецкага і карпаратыўнага абсталявання, раскрываючы канфідэнцыяльныя даныя ў сетках, якія аператары лічылі належным чынам сегментаванымі і абароненымі.

Якія віды прадпрыемстваў падвяргаюцца найбольшай рызыцы нападаў у абыход ізаляцыі кліентаў?

Любы бізнес, які працуе ў агульным асяроддзі Wi-Fi - рознічныя крамы, гасцініцы, каворкінгі, клінікі або карпаратыўныя офісы з гасцявымі сеткамі - сутыкаецца са значным уздзеяннем. Асабліва ўразлівыя арганізацыі, якія выкарыстоўваюць некалькі бізнес-інструментаў у адной сеткавай інфраструктуры. Такія платформы, як Mewayz (207-модульная бізнес-АС па цане 19 долараў ЗША ў месяц праз app.mewayz.com), рэкамендуюць выконваць строгую сегментацыю сеткі і ізаляцыю VLAN, каб абараніць адчувальныя бізнес-аперацыі ад нападаў бакавога перамяшчэння ў агульных сетках.

Якія практычныя крокі ІТ-каманды могуць зрабіць для абароны ад метадаў абыходу ізаляцыі кліента?

Эфектыўная абарона ўключае ў сябе разгортванне правільнай сегментацыі VLAN, уключэнне дынамічнай праверкі ARP, выкарыстанне кропак доступу карпаратыўнага ўзроўню, якія забяспечваюць ізаляцыю на апаратным узроўні, і маніторынг анамальнага ARP або шырокавяшчальнага трафіку. Арганізацыі таксама павінны гарантаваць, што важныя для бізнесу прыкладанні забяспечваюць выкананне зашыфраваных сеансаў з аўтэнтыфікацыяй незалежна ад узроўню даверу сеткі. Рэгулярны аўдыт сеткавых канфігурацый і адсочванне такіх даследаванняў, як AirSnitch, дапамагаюць ІТ-групам выяўляць прабелы раней, чым гэта зробяць зламыснікі.