На аудите производственной компании в прошлом году я нашёл evil twin, который проработал в переговорной зоне три недели. BSSID отличался от легитимной точки на один октет, SSID совпадал полностью, сигнал был на 8 dBm мощнее корпоративной AP. WIDS на контроллере был включён, но whitelist BSSID никто не настроил - классификация работала в дефолте. SOC не получил ни одного алерта. За три недели через подставную точку утекли учётные данные 14 сотрудников, включая главбуха. Разбор этого инцидента стал основой чеклиста, который я теперь прогоняю на каждом wireless-аудите.
Модель угроз: как атакующий ломает защиту беспроводной сети предприятия
Беспроводная сеть - единственный сегмент корпоративной инфраструктуры, где атакующему не нужен физический доступ к порту коммутатора. Хватит парковки, этажа выше или кафе через стену. По классификации MITRE ATT&CK, перехват через подставную точку доступа - Adversary in the Middle (T1557), один из основных векторов credential access.Цепочка атаки на корпоративную беспроводную сеть выглядит так:
- Разведка -
airodump-ngили Kismet: сбор SSID, BSSID, каналов, типов шифрования, количества клиентов. Атакующий понимает - PSK или 802.1X - и выбирает вектор. - Initial Access - разворачиваем evil twin с тем же SSID. При WPA2-PSK клиенты переподключаются автоматически. При 802.1X - hostapd-wpe перехватывает EAP-хэши.
- Credential Access - перехват NTLM-хэшей через PEAP/MSCHAPv2 на поддельном RADIUS, захват cookies через HTTP-downgrade, кража Kerberos-тикетов.
- Lateral Movement - из гостевой VLAN в корпоративный сегмент, если inter-VLAN routing не заблокирован на межсетевом экране.
Отдельный вектор - insider threat. Сотрудник подключает бытовой роутер за $30 в Ethernet-розетку, чтобы "сигнал был получше". Этот роутер создаёт неуправляемый мост между Wi-Fi и внутренней LAN, полностью обходя периметр. По данным кейса из ритейла (Purple.ai), WIPS после развёртывания обнаружил 23 неавторизованных AP в сети из 500 точек - 18 из них оказались бытовыми роутерами, которые притащил персонал. Двадцать три штуки. В одной сети.
WIDS WIPS системы обнаружения вторжений Wi-Fi: архитектура и проверка
WIDS фиксирует аномалии в радиоэфире и генерирует алерты. WIPS делает то же самое, но добавляет автоматическое подавление: deauthentication-фреймы к клиентам rogue AP или отключение порта коммутатора через SNMP. Разница между ними - как между сигнализацией и сигнализацией с автоматическим вызовом охраны.
Два режима работы сенсоров:
Dedicated sensor mode - AP работает исключительно на мониторинг всех каналов 2.4/5/6 ГГц непрерывно. Максимальная точность обнаружения, время реакции 30-90 секунд. Требует отдельного оборудования. Для сред с PCI DSS или обработкой ПДн - по сути обязателен.
Background scanning (time-slicing) - AP обслуживает клиентов и периодически переключается на сканирование. Дешевле, но создаёт слепые окна: rogue AP, активный между циклами, остаётся невидимым. Плюс задержки бьют по latency клиентского трафика. На практике - экономия, за которую потом платишь пропущенными инцидентами.
Классификация по уровню риска - та самая настройка, без которой WIDS превращается в генератор шума. Матрица на основе enterprise-подходов (Purple.ai, Cisco aWIPS):
| Условие | Классификация | Severity |
|---|---|---|
| BSSID не в whitelist + SSID совпадает с корпоративным + RSSI > -65 dBm | Evil Twin | Critical |
| BSSID не в whitelist + MAC найден в таблице коммутатора | Wired Rogue AP | Critical |
| BSSID не в whitelist + RSSI от -65 до -75 dBm | Подозрительная AP | High |
| BSSID не в whitelist + RSSI < -75 dBm | Соседская сеть | Low |
Вендорные реализации и их ограничения в контексте безопасности корпоративной Wi-Fi сети:
Cisco aWIPS (Catalyst 9800 + DNA Center) - CleanAir ASIC на точках 9120/9130 анализирует Layer 1 без влияния на data-радио. Корреляция RF-данных с проводной топологией - штука мощная. Ограничение: требует лицензии DNA Advantage и полного стека Cisco. Вендор-лок в чистом виде.
Aruba WIDS (AirWave/Central) - хорошая интеграция с ClearPass NAC, но дефолтные правила классификации слишком мягкие. Без тюнинга RSSI-порогов будете получать false positive на каждый смартфон в радиусе. Я на одном проекте потратил полдня только на калибровку порогов.
Meraki Air Marshal - простота облачного управления подкупает, но кастомизация скудная и API для SOC-интеграции документирован слабо. Для малого бизнеса - нормально, для enterprise с серьёзным SOC - не хватает гибкости.
Проверка эффективности WIDS: симуляция rogue AP
Проверять безопасность беспроводной сети предприятия нужно в радиоэфире, а не в документации вендора. По документам - всё работает. На практике - зависит от конфигурации.Требования к окружению: Kali Linux (или дистрибутив с
hostapd и aircrack-ng), Wi-Fi адаптер с поддержкой AP-режима (Alfa AWUS036ACH, TP-Link TL-WN722N v1), письменное разрешение владельца инфраструктуры (без него - ст. 272 УК РФ).
Код:
# hostapd.conf - evil twin для тестирования WIDS
interface=wlan0
ssid=Corp-WiFi
channel=6
hw_mode=g
wpa=2
wpa_passphrase=TestOnly12345
wpa_key_mgmt=WPA-PSKsudo hostapd hostapd.conf. Точка появляется в эфире. Засекаем время до алерта. Целевые KPI: обнаружение 100% rogue AP в пределах 10 минут, MTTD беспроводных аномалий - менее 15 минут. Если алерт не пришёл за 10 минут - конфигурация WIDS неработоспособна, baseline (DE.AE-01 по NIST CSF v2.0) не настроен.Ограничение: в режиме background scanning обнаружение может занять 20-30 минут и более - зависит от интервала между циклами. В dedicated sensor mode - 30-90 секунд. Разница на порядок.
802.1X аутентификация и hardening EAP-TLS: настройка без типичных ошибок
WPA2/WPA3-Enterprise с 802.1X - минимальный порог для корпоративной Wi-Fi сети. PSK в enterprise-среде - готовая уязвимость: один уволенный сотрудник, знающий пароль, компрометирует весь сегмент. Я видел компании, где PSK от корпоративного Wi-Fi не менялся три года. Три года и четыре волны увольнений.
| Критерий | PEAP/MSCHAPv2 | EAP-TLS |
|---|---|---|
| Аутентификация | Логин/пароль | Клиентский сертификат |
| Устойчивость к evil twin RADIUS | Низкая без certificate pinning | Высокая (взаимная аутентификация) |
| Сложность развёртывания | Низкая | Высокая (нужна PKI-инфраструктура) |
| Рекомендация | Переходный этап | Целевое состояние |
Критическая ошибка, которую я нахожу в 4 из 5 аудитов: RADIUS-сертификат не закреплён на клиентских устройствах. Без certificate pinning атакующий поднимает hostapd-wpe, представляется RADIUS-сервером, и клиенты послушно отдают MSCHAPv2-хэш. Расшифровка на GPU - часы, не дни. А потом - привет, Active Directory.
Hardening 802.1X - конкретные действия:
- Перейти на EAP-TLS с клиентскими сертификатами, распространять через MDM (Intune, Kaspersky Security Center, Jamf).
- Если EAP-TLS невозможен - включить strict certificate validation: в Wi-Fi-профиле клиента указать CA и серверное имя RADIUS. Без этого PEAP - бумажный замок.
- Включить 802.11w (Protected Management Frames) - обязателен в WPA3, опционален в WPA2. Защищает от deauth-атак, направляющих клиентов к evil twin.
- На FreeRADIUS/NPS включить аудит failed authentications и настроить forward в SIEM. Без этого вы слепы к брутфорсу.
- Ротация RADIUS shared secret - ежеквартально. Ротация клиентских сертификатов - ежегодно или при увольнении.
Сегментация беспроводной сети и обнаружение rogue AP точек доступа
Минимальная модель - три VLAN, три SSID:- Corporate (VLAN 10): 802.1X/EAP-TLS, полный доступ к внутренним ресурсам.
- Guest (VLAN 20): captive portal, только интернет. Inter-VLAN routing заблокирован.
- IoT (VLAN 30): камеры, принтеры, датчики. Доступ только к конкретным cloud-эндпоинтам по HTTPS.
nmap -sn 10.10.10.0/24 (адресация Corporate). Если хоть один хост отвечает - firewall между VLAN настроен криво. Я такое видел чаще, чем хотелось бы.802.1X на проводных портах коммутаторов - главная мера против wired rogue AP. Бытовой роутер, воткнутый в Ethernet-розетку, не пройдёт аутентификацию, порт останется в unauthorized-состоянии. Rogue AP никогда не получит IP-адрес и не станет мостом в LAN. Это напрямую реализует PR.AA-01 (управление аутентификацией) и ID.AM-01 (инвентаризация оборудования) из NIST CSF v2.0.
Мониторинг Wi-Fi инфраструктуры: detection-правила для SIEM
Безопасность корпоративной Wi-Fi сети не заканчивается на настройке - она начинается с непрерывного мониторинга. WIDS генерирует события, но без корреляции в SIEM они остаются в интерфейсе контроллера, куда никто не заглядывает. Знакомая картина?Логи для сбора:
- WIDS/WIPS контроллера: rogue AP detected, deauth flood, new SSID in proximity
- RADIUS: auth success/failure, EAP type, client MAC, username
- Коммутаторы: 802.1X port auth failures, MAC address table changes
- DNS/DHCP: запросы из IoT/Guest VLAN к внутренним ресурсам
YAML:
title: EAP Downgrade on Corporate SSID
logsource:
product: radius
service: authentication
detection:
selection:
eap_type|contains: ['EAP-MD5','EAP-GTC','LEAP']
ssid: 'Corp-*'
condition: selection
level: high
tags: [attack.credential_access, attack.t1557]Detection-правило 2 - Rogue AP по BSSID whitelist (pseudo-Sigma):
YAML:
title: Rogue AP - BSSID Not in Whitelist
logsource:
product: wids
service: rogue_detection
detection:
selection:
event_type: 'ap_detected'
ssid|contains: 'Corp'
filter:
bssid|startswith: 'AA:BB:CC'
condition: selection and not filter
level: critical
tags: [attack.initial_access, attack.t1557]Контрмеры по D3FEND для T1557: D3-PMAD (Protocol Metadata Anomaly Detection) и D3-NTSA (Network Traffic Signature Analysis). Обе реализуемы через SIEM - при условии, что wireless-логи туда вообще поступают.
Чеклист безопасности Wi-Fi: аудит корпоративной беспроводной сети
Чеклист приоритизирован по реальной эксплуатируемости. Каждый пункт - конкретное действие с проверкой.Компании, где я провожу аудит корпоративной беспроводной сети, закрывают первые три пункта и считают Wi-Fi защищённым. На практике пункты 4-8 - те самые, через которые проходят реальные атаки. WIDS без интеграции в SOC - сигнализация, которая звонит в пустую комнату. 802.1X без certificate pinning - замок, ключ от которого лежит рядом.
Мой прогноз на ближайшие два года: количество инцидентов через wireless-вектор в российских компаниях вырастет. Не из-за новых атак - hostapd-wpe и evil twin существуют десятилетие. Из-за того, что компании массово раскатывают Wi-Fi 6/6E, расширяют покрытие, подключают IoT-устройства, а SOC-процессы остаются заточенными под endpoint и периметр. Wireless - слепая зона, и атакующие это знают. Если в вашем SIEM нет правил корреляции wireless-событий - на codeby.net есть тред с готовыми Sigma-правилами для WIDS-сценариев и примерами настройки под конкретные SIEM-платформы.
Последнее редактирование модератором:
