Новости

AirSnitch: почему «гостевая сеть» больше не защищает ваш бизнес

2026-04-22 13:55
Исследователи представили на симпозиуме NDSS 2026 новый тип атак под названием AirSnitch. Он показывает, что привычная «изоляция клиентов» в Wi-Fi-сетях — гораздо менее надежная защита, чем считалось ранее.

В чём суть угрозы?

AirSnitch — это не одна уязвимость, а целое семейство архитектурных дефектов точек доступа. Атакующий подключается к беспроводной сети (например, к гостевой) и получает возможность атаковать другие устройства, подключенные к той же точке доступа, — включая те, что работают в защищённой корпоративной подсети с WPA2/WPA3.

Ключевой вывод: сам по себе протокол шифрования (WPA2/WPA3) остаётся надёжным. AirSnitch не взламывает его, а обходит механизмы изоляции, используя особенности обработки групповых ключей и маршрутизации пакетов на точке доступа.

Что может сделать злоумышленник на практике?

Комбинируя различные варианты атаки, киберпреступник способен:

  • Перехватывать и модифицировать трафик между жертвой и точкой доступа (атака «человек посередине»).
  • Из гостевой сети проникать в закрытую корпоративную Wi-Fi-сеть, если они работают на одном оборудовании.
  • Атаковать RADIUS-серверы, перехватывая начальные пакеты аутентификации и подбирая общий ключ.
  • Направлять трафик из защищённой подсети в открытую гостевую сеть, где его может перехватить кто угодно.

Какие устройства уязвимы?

Исследователи проверили оборудование Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, ASUS, а также роутеры с прошивками DD-WRT и OpenWrt. Все протестированные устройства оказались уязвимы к некоторым вариантам AirSnitch. Особенно критичная ситуация — у D-Link DIR-3040 и LANCOM LX-6500, которые подвержены всем видам атак.

Что делать прямо сейчас?

Главный вывод экспертов: перестать полагаться на «изоляцию клиентов» как на меру безопасности. Это скорее элемент удобства, но не защита. Базовые рекомендации:

  • Внедряйте VLAN — каждому SSID свою VLAN с маркировкой пакетов 802.1Q на всём пути до межсетевого экрана.
  • Используйте динамическую инспекцию ARP, DHCP snooping и ограничения числа MAC-адресов на порт.
  • Включайте индивидуальные групповые ключи GTK для каждого клиента (если оборудование позволяет).
  • Пересмотрите настройки RADIUS и 802.1X — используйте современные наборы шифров и стойкие общие секреты.
  • Внедряйте защиту на верхних уровнях — TLS, HSTS, корпоративный VPN или принцип zero trust.

AirSnitch — не повод для паники, но серьёзный повод пересмотреть архитектуру корпоративной беспроводной сети. «Гостевая сеть» перестала быть безопасной по умолчанию.