Если ваша компания использует отдельные SSID для сотрудников и гостей на одних и тех же точках доступа, эта статья для вас. Уязвимости AirSnitch позволяют атакующему из гостевой сети атаковать корпоративные устройства. Вот пошаговый план, как это предотвратить.
Шаг 1. Проверьте, уязвимо ли ваше оборудование
Авторы исследования выпустили open-source утилиту AirSnitch для тестирования. Проверьте свои точки доступа и роутеры. Особое внимание — устройствам D-Link, LANCOM, а также оборудованию с прошивками DD-WRT и OpenWrt.
Шаг 2. Перестаньте доверять «изоляции клиентов»
Эта функция никогда не была стандартизирована. У разных производителей она работает по-разному, и, как показал AirSnitch, её можно обойти. Считайте изоляцию лишь дополнительным уровнем, но не основной защитой.
Шаг 3. Внедрите жёсткую сегментацию через VLAN
Это самый надёжный способ защиты на уровне сети.
Шаг 4. Усильте настройки коммутаторов и маршрутизаторов
Включите технологии, которые помогают бороться с подделкой MAC- и IP-адресов:
Шаг 5. Настройте RADIUS и 802.1X по максимуму
Если вы используете корпоративную аутентификацию 802.1X:
Шаг 6. Настройте мониторинг аномалий в SIEM
Отслеживайте события, которые могут указывать на попытку атаки AirSnitch:
Шаг 7. Используйте защиту верхних уровней как «последнюю линию»
Даже если злоумышленник перехватит трафик, он не сможет его прочитать, если:
Помните: провести атаку AirSnitch технически сложно (нужен компьютер с двумя Wi-Fi-адаптерами и настройками в Linux). Но для целевого взлома или подготовленного злоумышленника это вполне реальная угроза. Лучше подготовиться заранее.
Шаг 1. Проверьте, уязвимо ли ваше оборудование
Авторы исследования выпустили open-source утилиту AirSnitch для тестирования. Проверьте свои точки доступа и роутеры. Особое внимание — устройствам D-Link, LANCOM, а также оборудованию с прошивками DD-WRT и OpenWrt.
Шаг 2. Перестаньте доверять «изоляции клиентов»
Эта функция никогда не была стандартизирована. У разных производителей она работает по-разному, и, как показал AirSnitch, её можно обойти. Считайте изоляцию лишь дополнительным уровнем, но не основной защитой.
Шаг 3. Внедрите жёсткую сегментацию через VLAN
Это самый надёжный способ защиты на уровне сети.
- Каждому SSID назначьте отдельную VLAN.
- Настройте маркировку пакетов 802.1Q на всём пути от точки доступа до маршрутизатора или межсетевого экрана.
- На маршрутизаторе пропишите строгие правила доступа между VLAN.
Шаг 4. Усильте настройки коммутаторов и маршрутизаторов
Включите технологии, которые помогают бороться с подделкой MAC- и IP-адресов:
- Dynamic ARP Inspection (DAI)
- DHCP Snooping
- Ограничение количества MAC-адресов на один порт
Шаг 5. Настройте RADIUS и 802.1X по максимуму
Если вы используете корпоративную аутентификацию 802.1X:
- Используйте современные наборы шифров (например, AES-CCMP).
- Установите сложный и длинный общий секрет RADIUS.
- Регулярно его меняйте.
Шаг 6. Настройте мониторинг аномалий в SIEM
Отслеживайте события, которые могут указывать на попытку атаки AirSnitch:
- Одинаковые MAC-адреса, появляющиеся в разных SSID (признак «кражи портов»).
- Внезапные всплески ARP-запросов.
- Быстрые смены клиентом BSSID или VLAN.
Шаг 7. Используйте защиту верхних уровней как «последнюю линию»
Даже если злоумышленник перехватит трафик, он не сможет его прочитать, если:
- Все бизнес-приложения используют TLS и HSTS.
- Подключение к Wi-Fi требует дополнительного корпоративного VPN.
- В компании внедрён принцип zero trust (ни один узел в сети не считается доверенным по умолчанию).
Помните: провести атаку AirSnitch технически сложно (нужен компьютер с двумя Wi-Fi-адаптерами и настройками в Linux). Но для целевого взлома или подготовленного злоумышленника это вполне реальная угроза. Лучше подготовиться заранее.