Hacker News

AirSnitch: Wi-Fi torlarynda müşderiniň izolýasiýasyny aýyrmak we bozmak [pdf]

Teswirler

16 min read Via www.ndss-symposium.org

Mewayz Team

Editorial Team

Hacker News

IT toparlarynyň köpüsine üns bermeýän işiňizdäki Wi-Fi-daky gizlin gowşaklyk

Her gün irden müňlerçe kofe dükanlary, myhmanhana lobbileri, korporatiw ofisler we bölek pollar Wi-Fi marşrutizatorlaryna aýlanýar we gurmak wagtynda bellän "müşderi izolýasiýasy" gutusynyň öz işini edýändigini çaklaýar. Müşderiniň izolýasiýasy - şol bir simsiz ulgamdaky enjamlaryň biri-biri bilen gürleşmegine teoretiki taýdan päsgel berýän aýratynlyk - umumy ulgam howpsuzlygy üçin kümüş ok hökmünde köpden bäri satylýar. Emma “AirSnitch” çarçuwasynda göz öňünde tutulan usullar boýunça geçirilen gözlegler oňaýsyz bir hakykaty ýüze çykarýar: müşderileriň izolýasiýasy kärhanalaryň köpüsiniň pikir edişinden has gowşak we myhman toruňyza akýan maglumatlar IT syýasatyňyzyň çak edişinden has elýeterli bolup biler.

Müşderi maglumatlaryny, işgärleriň şahsyýetnamalaryny we amaly gurallary köp ýerlerde dolandyrýan telekeçiler üçin Wi-Fi izolýasiýasynyň hakyky çäklerine düşünmek diňe bir akademiki maşk däl. Networkeke-täk torda nädogry konfigurasiýa, CRM kontaktlaryňyzdan başlap, aýlyk integrasiýaňyza çenli hemme zady paş edip biljek döwürde halas bolmak ussatlygy. Bu makala, müşderiniň izolýasiýasynyň nähili işleýändigini, nädip şowsuz bolup biljekdigini we simsiz ilkinji dünýädäki amallaryny hakyky goramak üçin häzirki zaman kärhanalarynyň näme etmelidigini görkezýär.

Müşderiniň izolýasiýasy aslynda näme edýär - we näme etmeýär

Müşderi izolýasiýasy, käwagt AP izolýasiýasy ýa-da simsiz izolýasiýa diýilýär, her bir sarp ediji we kärhana giriş nokadynda diýen ýaly gurlan aýratynlyk. Işledilende, marşrutizatoryň şol bir set segmentindäki simsiz müşderileriň arasynda göni 2-nji gatlak (maglumat baglanyşyk gatlagy) aragatnaşygyny blokirlemegi tabşyrýar. Teoriýa boýunça, A enjamy we B enjamy ikisi hem myhmanyňyz Wi-Fi bilen birikdirilen bolsa, paketleri göni beýlekisine iberip bilmez. Bu, bir bozulan enjamyň skanerden ýa-da başga birine hüjüm etmeginiň öňüni almak üçin niýetlenendir.

Mesele, "izolýasiýa" diňe bir dar hüjüm wektoryny suratlandyrýar. Trafik henizem giriş nokadyndan, marşrutizatoryň we internete akýar. Broadaýlym we köp ugurly traffik, marşrutizator programma üpjünçiligine, sürüjiniň ýerine ýetirilişine we tor topologiýasyna baglylykda başgaça hereket edýär. Gözlegçiler, izolýasiýa aýratynlygynyň hiç haçan petiklenmedik görnüşde müşderileriň arasynda syzyp biljekdigini anykladylar. Iş ýüzünde izolýasiýa zalym güýçli göni baglanyşygyň öňüni alýar - ýöne enjamlary dogry gurallar we paket almak ýagdaýy bilen kesgitli synçy üçin görünmeýär.

Kärhana gurşawyndaky simsiz enjamlaşdyryşlary gözden geçirýän 2023-nji ýylda geçirilen gözleg, müşderileriň izolýasiýasy bilen giriş nokatlarynyň takmynan 67% -i goňşy müşderilere barmak yzlary operasiýa ulgamlaryna, enjam görnüşlerini kesgitlemäge we käbir ýagdaýlarda amaly gatlak işjeňligini kesgitlemäge mümkinçilik berýän ýeterlik köp sanly trafigi syzdyrdy. Bu teoretiki töwekgelçilik däl - bu her gün myhmanhananyň lobbilerinde we iş ýerlerinde oýnaýan statistik hakykat.

Izolýasiýa aýlaw usullarynyň iş ýüzünde nähili işleýändigi

“AirSnitch” ýaly çarçuwalarda öwrenilen usullar, izolýasiýa işledilen ýagdaýynda-da hüjümçileriň passiw gözegçilikden işjeň traffigi saklamaga geçýändigini görkezýär. Esasy düşünje aldawly ýönekeý: müşderi izolýasiýasy giriş nokady bilen amala aşyrylýar, emma giriş nokadynyň özi torda traffigi paýlap bilýän ýeke-täk gurama däl. ARP (Salgy çözgüdi protokoly) tablisalaryny manipulirlemek, ýasalan ýaýlym çarçuwalaryna sanjym etmek ýa-da deslapky şlýuzanyň marşrut logikasyny ulanmak bilen, zyýanly müşderi käwagt AP-ni düşmeli paketlerine ugrukdyryp biler.

Bir umumy usul, şlýuz derejesinde ARP zäherlenmesini öz içine alýar. Müşderiniň izolýasiýasy, adatça, 2-nji gatlakda deň-duşlaryň aragatnaşygynyň öňüni alýandygy sebäpli, şlýuz (marşrutizator) üçin niýetlenen traffige henizem rugsat berilýär. Derwezäniň IP adreslerini MAC salgylaryna nädip kartalaşdyrýandygyna täsir edip biljek hüjümçi, ugratmazdan ozal başga bir müşderi üçin niýetlenen traffigi alyp, özlerini ortada görkezip biler. Aýry-aýry müşderiler habarsyz galýarlar - paketleri adatça internete gidýän ýaly, ýöne ilki bilen duşmançylykly estafetadan geçýärler.

Başga bir wektor, hyzmatlary tapmak üçin enjamlar tarapyndan ulanylýan mDNS we SSDP protokollarynyň özüni alyp barşyny ulanýar. Akylly telewizorlar, printerler, IoT datçikleri we hatda iş planşetleri bu bildirişleri yzygiderli ýaýlyma berýärler. Müşderi izolýasiýasy gönüden-göni baglanyşyklary petiklän ýagdaýynda-da, bu ýaýlymlar goňşy müşderiler tarapyndan kabul edilip, tordaky her enjamyň - atlarynyň, öndürijileriniň, programma üpjünçiliginiň wersiýalarynyň we mahabat hyzmatlarynyň jikme-jik sanawyny döredip biler. Umumy iş gurşawynda nyşana alnan hüjümçi üçin bu gözleg maglumatlary bahasyna ýetip bolmaýar.

"Müşderiniň izolýasiýasy gapynyň gulpy, ýöne gözlegçiler penjiräniň açykdygyny birnäçe gezek görkezdiler. Doly howpsuzlyk çözgüdi hökmünde seredýän kärhanalar howply illýuziýa astynda işleýärler - hakyky ulgam howpsuzlygy bellik gutusynyň aýratynlyklaryny däl-de, gatlakly goraglary talap edýär."

Hakyky iş töwekgelçiligi: Aslynda näme bolýar

Tehniki gözlegçiler Wi-Fi izolýasiýasynyň gowşak taraplaryny ara alyp maslahatlaşanlarynda, söhbetdeşlik köplenç paket almak we çarçuwaly sanjymlar çäginde bolýar. Emma bir kärhana eýesi üçin netijeler has anyk. Myhmanlar we işgärler aýratyn SSID-lerde bolsa-da, şol bir fiziki giriş nokady infrastrukturasyny paýlaşýan butiki myhmanhanany gözden geçiriň. VLAN segmentasiýasy ýalňyş düzülen bolsa - bu satyjylaryň boýun alşyndan has ýygy bolýar - işgärler torundan gelýän traffigi dogry gurallar bilen myhmana görüp bolýar.

Şol ssenariýada howp abanýan näme? Mümkin bolan hemme zat: bron etmegiň ulgam şahsyýetnamalary, satuw nokady terminal aragatnaşyklary, HR portal sessiýa bellikleri, üpjün edijiniň hasap-faktura portallary. Bulut platformalarynda - CRM ulgamlarynda, aýlyk haklary gurallarynda, flot dolandyryş dolandyryş panellerinde öz işini açýan bir iş, esasanam, hüjümçiniň şol bir set segmentinde ýerleşen halatynda ele alyp boljak HTTP / S sessiýalarynda tassyklanýar.

Sanlar gaty agyr. IBM-iň maglumatlary bozmak baradaky hasabaty, düzgün bozmagyň ortaça bahasyny dünýä derejesinde 4,45 million dollardan gowrak goýýar, kiçi we orta kärhanalar kärhana guramalarynyň dikeldiş infrastrukturasynyň ýoklugy sebäpli deňeşdirilmedik täsire sezewar bolýarlar. Fiziki ýakynlykdan gelip çykýan torlaýyn çozuşlar - iş ýeriňizde, restoranyňyzda, bölek satuw meýdançasynda hüjümçi - soňundan doly ylalaşyga çykýan başlangyç giriş wektorlarynyň ep-esli bölegini tutýar.

Dogry set segmentasiýasy hakykatda nähili görünýär

Iş gurşawy üçin hakyky ulgam howpsuzlygy, müşderiniň izolýasiýasyny üýtgetmekden has ýokarydyr. Her ulgam zonasyna potensial duşmançylyk hökmünde garaýan gatlakly çemeleşmäni talap edýär. Iş ýüzünde nähili görünýär:

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →
  • VLAN arasyndaky berk marşrut düzgünleri bilen VLAN segmentasiýasy: Myhmanlaryň hereketi, işgärleriň hereketi, IoT enjamlary we satuw nokatlary, hersi birugsat zolakly aragatnaşygy aç-açan bloklaýan diwar gorag düzgünleri bilen aýratyn VLAN-larda ýaşamaly - diňe AP derejeli izolýasiýa bil baglamaly däl.
  • Şifrlenen programma sessiýalary hökmany esas hökmünde: Her bir iş programmasy, HSTS sözbaşylary we mümkin boldugyça şahadatnama berkidilmegi bilen HTTPS-i ýerine ýetirmeli. Gurallaryňyz şifrlenmedik birikmeleriň üstünden şahsyýetnamalary ýa-da sessiýa belliklerini iberýän bolsa, tor segmentasiýasynyň mukdary sizi doly goramaýar.
    • Ygtyýarnamanyň yzygiderli aýlanmagy we DIM-iň ýerine ýetirilişi: Trafik tutulsa-da, gysga möhletli sessiýa bellikleri we köp faktorly tanamaklyk, şahsyýet maglumatlarynyň bahasyny düýpgöter peseldýär.
    • Tor ygtyýaryna gözegçilik (NAC) syýasatlary: Ulgam ygtyýaryny bermezden ozal enjamlary tassyklaýan ulgamlar, näbelli enjamlaryň amaly ulgamyňyza ilki girmeginiň öňüni alýar.
    • Döwrebap simsiz howpsuzlyk bahalandyrmalary: Toruňyza garşy bu takyk hüjümleri simulirlemek üçin kanuny gurallary ulanýan giriş synagy, awtomatiki skanerleriň ýitiren ýalňyş konfigurasiýalaryny ýüze çykarar.

    Esasy ýörelge çuňňur goranmakdyr. Islendik bir gatlakdan aýlanyp bolýar - AirSnitch ýaly gözlegleriň görkezişi ýaly. Hüjümçileriň aňsatlyk bilen aýlanyp bilmeýän zady bäş gatlak bolup, hersi ýeňmek üçin başga bir tehnika talap edýär.

    Iş gurallaryňyzy birleşdirmek hüjüm hüjümiňizi azaldar

    Tor howpsuzlygynyň baha berilmedik bir ölçegi amaly böleklere bölmekdir. Toparyňyzyň ulanýan SaaS gurallary näçe tapawutly bolsa - dürli tanamak mehanizmleri, dürli sessiýa dolandyryş amallary we dürli howpsuzlyk pozisiýalary bilen - haýsydyr bir torda täsir ediş ýüzüňiz ulalýar. Ygtybarly Wi-Fi birikmesiniň üstünde dört aýry dolandyryş paneli barlaýan toparyň agzasy, bitewi platforma içinde işleýän toparyň agzasynyň şahsyýet maglumatlaryndan dört esse köp.

    Ine, Mewayz ýaly platformalar, aç-açan peýdalaryndan has görnükli howpsuzlyk artykmaçlygyny hödürleýär. Mewayz 207-den gowrak iş modulyny - CRM, hasap-faktura, aýlyk haklary, kadrlary dolandyrmak, flot yzarlamak, analitika, bron ulgamlary we başgalary bir tassyklanan sessiýa birleşdirýär. Işgärleriňiziň umumy iş ulgamyňyzdaky onlarça domen boýunça onlarça aýratyn login arkaly welosiped sürmeginiň ýerine, kärhana derejesindäki sessiýa howpsuzlygy bilen bir platforma tassyklaýarlar. Paýlanan ýerlerde dünýäde 138,000 ulanyjy dolandyrýan kärhanalar üçin bu konsolidasiýa diňe bir amatly däl - potensial gowşak simsiz infrastrukturanyň üstünde bolup geçýän şahsyýet alyş-çalyş sanyny ep-esli azaldar.

    Toparyňyzyň CRM, aýlyk haklary we müşderi bronlamak maglumatlary hemmesi bir howpsuzlyk perimetrinde ýaşasa, goramak üçin bir sany sessiýa belligi, anomal giriş üçin gözegçilik etmek üçin bir platforma we şol perimetri berkitmek üçin jogapkär bir satyjy howpsuzlyk topary bar. Böleklere bölünen gurallar bölekleýin jogapkärçiligi aňladýar - we erkin elýeterli gözleg gurallary bilen kesgitli bir hüjümçi tarapyndan Wi-Fi izolýasiýasyny geçip bilýän dünýäde jogapkärçilik meselesi gaty möhümdir.

    Tor ulanylyşynyň töwereginde howpsuzlyk-habarly medeniýet gurmak

    Tehnologiýa gözegçilikleri, diňe işleýän adamlar şol dolandyryşlaryň näme üçin bardygyna düşünenlerinde işleýär. Ulgam esasly zyýanly hüjümleriň köpüsi, goranyşyň tehniki taýdan şowsuzlygy sebäpli däl-de, eýsem bir işgäriň möhüm iş enjamyny açylmadyk myhman toruna birikdirendigi ýa-da dolandyryjynyň howpsuzlyk netijelerine düşünmän tor konfigurasiýasynyň üýtgemegini tassyklandygy sebäpli üstünlik gazandy.

    Hakyky howpsuzlyk düşünjesini döretmek, her ýyl berjaý ediliş okuwyndan çykmagy aňladýar. Bu anyk, ssenariýa esaslanýan görkezmeleri döretmegi aňladýar: hiç haçan VPN-den myhmanhanada Wi-Fi-da aýlyk haklary baradaky maglumatlary gaýtadan işlemeli däl; umumy ulgamdan girmezden ozal işewürlik programmalarynyň HTTPS ulanýandygyny barlaň; garaşylmadyk tor häsiýetini habar beriň - haýal birikmeler, şahadatnama duýduryşlary, adaty bolmadyk giriş teklipleri - derrew IT-e habar beriň.

    Şeýle hem, öz infrastrukturaňyz barada oňaýsyz soraglar bermek endigini ösdürmegi aňladýar. Giriş nokady programma üpjünçiligini soňky gezek haçan barladyňyz? Myhman we işgär ulgamlaryňyz VLAN derejesinde ýa-da diňe SSID derejesinde izolirlenýärmi? IT toparyňyz, marşrutizator ýazgylaryňyzda ARP zäherlenmesiniň nämedigini bilýärmi? Bu soraglar gyssagly bolýança ýadawlyk duýýar - howpsuzlykda bolsa gyssagly hemişe giç bolýar.

    Simsiz howpsuzlygyň geljegi: Her Hopda nol ynam

    Gözleg jemgyýetiniň Wi-Fi izolýasiýa şowsuzlygyny bölmek boýunça alyp barýan işleri uzak möhletli ugry görkezýär: kärhanalar öz tor gatlagyna ynanmaga mümkinçiligi ýok. Hiç bir ulgam segmentiniň, enjamyň we hiç bir ulanyjynyň fiziki ýa-da tor ýerleşişine garamazdan özbaşdak ygtybarlydygyny göz öňünde tutýan nol ynam modeli indi Fortune 500 howpsuzlyk toparlary üçin diňe bir pelsepe däl. Simsiz infrastrukturanyň üstünden duýgur maglumatlary dolandyrýan islendik iş üçin amaly zerurlyk.

    Has takygy, bu işewür enjamlar üçin elmydama işleýän VPN tunellerini durmuşa geçirmegi aňladýar, hatda bir hüjümçi ýerli set segmentine zyýan ýetirse-de, diňe şifrlenen traffige duş geler. Enjam derejesinde şübheli tor hereketini belläp biljek ahyrky nokady kesgitlemek we jogap (EDR) gurallaryny ýerleşdirmegi aňladýar. Howpsuzlygy oýlanyşyk däl-de, önüm aýratynlygy hökmünde hasaplaýan amaly platformalary saýlamagy aňladýar - DIM-ni ýerine ýetirýän, giriş hadysalaryny hasaba alýan we dolandyryjylara haýsy maglumatlara, nireden we haçan girýändigi barada maglumat berýän platformalary saýlamagy aňladýar.

    Işiňiziň aşagyndaky simsiz ulgam bitarap geçiriji däl. Bu işjeň hüjüm, “AirSnitch” gözleginde dokumentleşdirilen usullar ýaly möhüm maksat bolup durýar: izolýasiýa howpsuzlygy baradaky söhbetdeşligi teoretiki amaldan, satyjynyň marketing broşýurasyndan başlap, hyjuwly hüjümçiniň ofisiňizde, restoranyňyzda ýa-da iş ýeriňizde ýerine ýetirip biljek hakykatlaryna çenli mejbur edýär. Bu sapaklara çynlakaý çemeleşýän kärhanalar - dogry segmentlere maýa goýmak, birleşdirilen gurallar we ynamsyzlyk ýörelgeleri - indiki ýyl senagat hasabatlarynda öz bozulmalary hakda okamazlar.

    Freygy-ýygydan soralýan soraglar

    Wi-Fi torlarynda müşderi izolýasiýasy näme we näme üçin howpsuzlyk aýratynlygy hasaplanýar?

    Müşderi izolýasiýasy, şol bir simsiz ulgamdaky enjamlaryň biri-biri bilen göni aragatnaşyk saklamagynyň öňüni alýan Wi-Fi konfigurasiýasydyr. Adatça myhman ýa-da jemgyýetçilik ulgamlarynda bir birikdirilen enjamyň beýlekisine girmeginiň öňüni almak mümkin. Howpsuzlyk üçin esasy çäre hökmünde giňden kabul edilse-de, AirSnitch ýaly gözlegler bu goragyň gatlak-2 we gatlak-3 hüjüm usullary arkaly çözülip bilinjekdigini we enjamlaryň adatça dolandyryjylaryň pikir edişinden has açykdygyny görkezýär.

    “AirSnitch” müşderini izolýasiýa etmekde gowşaklyklary nädip ulanýar?

    AirSnitch, giriş nokatlarynyň müşderiniň izolýasiýasyny, esasanam ýaýlym traffigini hyýanatçylykly peýdalanmak, ARP-ni bozmak we derwezeden gytaklaýyn marşrutlaşdyrmak arkaly boşluklary döredýär. Deň-duşlar bilen gönüden-göni habarlaşmagyň ýerine, ulag izolýasiýa düzgünlerinden geçip, giriş nokadynyň üsti bilen ugrukdyrylýar. Bu usullar, sarp edijileriň we kärhana derejesindäki enjamlaryň geň galdyryjy giň toparyna garşy işleýär, dogry bölünen we ygtybarly hasaplanan ulgam operatorlaryndaky duýgur maglumatlary paş edýär.

    Müşderileriň izolýasiýa aýlaw hüjümlerinden haýsy kärhanalara has köp howp abanýar?

    Wi-Fi gurşawy bilen işleýän islendik iş - bölek dükanlar, myhmanhanalar, iş ýerleri, klinikalar ýa-da myhman torlary bilen korporatiw ofisler manyly täsir edýär. Şol bir ulgam infrastrukturasynyň üstünde birnäçe iş gurallaryny işleýän guramalar has gowşak goralýar. Mewayz ýaly platformalar (app.mewayz.com üsti bilen $ 19 / aýda 207 modully iş ulgamy), umumy ulgamlara gapdal hereketlerden goramak üçin duýgur iş amallaryny goramak üçin berk set segmentasiýasyny we VLAN izolýasiýasyny bermegi maslahat berýär.

    IT toparlary müşderiniň izolýasiýa aýlaw usullaryndan goramak üçin haýsy amaly çäreleri görüp bilerler?

    Netijeli goraglar, dogry VLAN segmentasiýasyny ýerleşdirmegi, dinamiki ARP barlagyny açmagy, enjam derejesinde izolýasiýany üpjün edýän kärhana derejesindäki giriş nokatlaryny ulanmagy we anomal ARP ýa-da ýaýlym traffigine gözegçilik etmegi öz içine alýar. Guramalar, şeýle hem, işewürlik ähmiýetli programmalaryň toruň ynam derejesine garamazdan şifrlenen, tassyklanan sessiýalary ýerine ýetirmegini üpjün etmeli. Tor konfigurasiýalaryny yzygiderli barlamak we AirSnitch ýaly gözlegler bilen dowam etmek IT toparlaryna hüjümçiler etmezden öň boşluklary kesgitlemäge kömek edýär.