Перейти к основному содержимому
Оценка безопасности корпоративных беспроводных сетей: полная методология
  1. Блог/

Оценка безопасности корпоративных беспроводных сетей: полная методология

Оглавление
Правовое уведомление: Все оценки безопасности беспроводных сетей должны проводиться исключительно в сетях и на инфраструктуре, для которых получено явное письменное разрешение. Несанкционированный мониторинг беспроводных сетей, инъекция пакетов и развёртывание мошеннических точек доступа являются незаконными в большинстве юрисдикций. В каждой фазе данной методологии предполагается наличие надлежащим образом оформленного договора на проведение работ, подписанного владельцем активов и охватывающего конкретное временное окно тестирования и авторизованный периметр. Только авторизованное тестирование.
TL;DR: Этот фреймворк на основе адаптеров ALFA подробно описывает шестиэтапную методологию корпоративной оценки безопасности беспроводных сетей: определение области, обнаружение rogue AP, аудит WPA2/WPA3, тестирование PMF, изоляция клиентов и оценка 802.1X.

Оценка безопасности корпоративной беспроводной сети — это не просто вопрос «можем ли мы взломать пароль». Комплексное тестирование исследует каждый уровень беспроводной архитектуры: надёжность протоколов аутентификации, целостность защиты управляющих фреймов, точность инвентаризации авторизованных точек доступа, эффективность клиентской изоляции в гостевых сегментах и устойчивость инфраструктуры 802.1X к атакам с использованием мошеннического RADIUS-сервера.

Данная методология охватывает полный жизненный цикл оценки, применяемый профессиональными командами тестирования на проникновение в корпоративных средах. Она структурирована как шесть последовательных фаз — определение области и подготовка к работам, пассивная разведка, обнаружение мошеннических точек доступа, анализ рукопожатий WPA2/WPA3, проверка PMF, тестирование клиентской изоляции и оценка EAP/RADIUS — с последующим шаблоном отчёта и справочником инструментов. Каждая фаза рассчитана на выполнение с адаптерами ALFA Network, обеспечивающими стабильность режима мониторинга, возможность инъекции пакетов и многодиапазонное покрытие, необходимые для тестирования беспроводных сетей корпоративного класса.

Независимо от того, являетесь ли вы CISO, заказывающим ежегодный аудит беспроводных сетей, внутренней red team, готовящей оценку, или внешней компанией по тестированию на проникновение, работающей с новым корпоративным клиентом, данная методология обеспечивает воспроизводимый и защищаемый подход.


Область работ и требования к подготовительному этапу
#

Качество любой оценки беспроводной сети определяется до захвата первого пакета. Плохо определённые области работ ведут к потере времени, создают правовые риски и формируют результаты, которые невозможно соотнести с конкретной инфраструктурой. Хорошо составленный документ об области работ устраняет неоднозначность и защищает как тестирующую команду, так и клиента.

Что должно быть в документе об области работ
#

Документ об области работ должен перечислять как минимум:

  • Все тестируемые SSID, включая корпоративные, гостевые, IoT-сети и все скрытые сети, известные сетевой команде
  • Используемые частотные диапазоны: 2,4 ГГц, 5 ГГц и 6 ГГц (Wi-Fi 6E) — каждый диапазон может иметь разные модели точек доступа, поведение драйверов и конфигурации безопасности
  • Физический периметр: план здания или кампуса с поэтажными схемами, указывающими известное расположение точек доступа, особенно актуально для многоарендных зданий, где в результатах сканирования могут появляться соседние SSID
  • Авторизованная инвентаризация точек доступа: список MAC-адресов (BSSID) каждой легитимной точки доступа, используемый в качестве базового уровня для обнаружения мошеннических точек доступа
  • Разрешительное письмо, подписанное CISO, CTO или уполномоченным владельцем активов, с явным указанием временного окна тестирования (дата и время начала и окончания), имён членов тестирующей команды и конкретных авторизованных действий (пассивное сканирование, активная инъекция, деаутентификация, имитация мошеннической точки доступа)

Что по умолчанию выходит за рамки
#

Если явно не включено в письменном виде, следующее всегда находится вне области работ:

  • Клиентские устройства: ноутбуки, мобильные телефоны и IoT-устройства, подключённые к беспроводной сети. Атаки на стороне клиента (сбор учётных данных через мошеннический RADIUS) могут выполняться только на выделенных тестовых устройствах, но никогда на производственном оборудовании пользователей
  • Пользователи гостевой сети: лица, подключающиеся к общедоступному гостевому SSID, не должны быть объектами тестирования безопасности
  • Соседние сети: SSID, принадлежащие соседним арендаторам в общем здании, даже если они видны при пассивном сканировании

Правовое напоминание
#

Всегда получайте письменное разрешение, в котором указаны точное временное окно тестирования (даты, время начала и окончания, часовой пояс), имена и MAC-адреса тестового оборудования, а также конкретные авторизованные методы. Устного согласия недостаточно. Храните подписанное разрешительное письмо вместе с материалами проекта и держите его доступным во время тестирования на случай контакта с правоохранительными органами.

Фаза 1: Пассивная разведка
#

Цели
#

Пассивная разведка устанавливает реальную картину беспроводной среды без передачи единого байта. Задачи:

  • Идентифицировать каждую точку доступа, вещающую в зоне охвата, включая те, которых нет в авторизованной инвентаризации
  • Зафиксировать SSID, BSSID, рабочий канал, уровень сигнала и параметры безопасности (тип шифрования, статус PMF)
  • Обнаружить скрытые SSID через probe-ответы
  • Выявить помехи на совпадающих и соседних каналах, которые могут повлиять на надёжность тестирования

В ходе пассивной разведки не выполняйте инъекцию, деаутентификацию и не передавайте данные. Эта фаза — исключительно прослушивание.

Инструменты
#

airodump-ng подходит для быстрых сканирований и захвата рукопожатий. Для непрерывного журналирования с расширенными метаданными предпочтительнее Kismet — он создаёт структурированные журналы, которые можно импортировать в инструменты отчётности, и сопоставляет probe-запросы с идентификаторами устройств с течением времени.

# Пассивное сканирование всех диапазонов — НЕ выполнять инъекцию или деаутентификацию во время разведки
sudo airodump-ng wlan0mon --band abg -w enterprise_recon

# Kismet для комплексного непрерывного журналирования
sudo kismet -c wlan0mon

Kismet одновременно записывает файлы базы данных SQLite .kismet и захваты .pcapng, обеспечивая постоянную запись на протяжении всего окна оценки.

Что фиксировать
#

Для каждой обнаруженной точки доступа записывайте:

ПолеПримечания
BSSIDMAC-адрес радиомодуля точки доступа
SSIDИмя сети (пусто, если скрытая)
EncryptionWPA2-PSK, WPA2-Enterprise, WPA3-SAE, WPA3-Enterprise, Open
ChannelОтмечать двухрадиоканальные точки доступа, работающие на 2,4 и 5 ГГц одновременно
Уровень сигнала (dBm)Полезен для физического определения местоположения
PMF StatusИзвлекается из RSN IE в beacon-фреймах: Required / Capable / Disabled
ПроизводительОпределяется по BSSID OUI — помогает выявлять несанкционированное потребительское оборудование

Рекомендации по адаптерам
#

  • AWUS036AXML — Трёхдиапазонный (2,4/5/6 ГГц), необходим для обнаружения точек доступа Wi-Fi 6E, работающих на каналах 6 ГГц. Незаменим в современных корпоративных средах, развёртывающих инфраструктуру Wi-Fi 6E
  • AWUS036ACH — Двухдиапазонный (2,4/5 ГГц), надёжный чипсет RTL8812AU, отличный выбор для сред, где 6 ГГц не используется и требуется максимальная совместимость с существующими инструментами

Фаза 2: Обнаружение мошеннических точек доступа
#

Мошенническая точка доступа — это любая точка доступа, работающая в вашей среде и отсутствующая в авторизованной инвентаризации. Операционно значимы две категории:

  1. Несанкционированная точка доступа, подключённая к внутренней сети — благонамеренный сотрудник подключает потребительский роутер, или злоумышленник, получив физический доступ, устанавливает скрытую точку доступа на Ethernet-порт. Такие точки доступа находятся в вашей внутренней сети и обходят все периметральные средства защиты.
  2. Evil twin AP — точка доступа, транслирующая SSID, похожий на легитимный (идентичный корпоративному или близко имитирующий его), которую эксплуатирует злоумышленник для захвата учётных данных или атак типа «человек посередине». Как правило, не подключена к вашей сети.

Метод обнаружения
#

Сравните список BSSID из пассивной разведки с авторизованной инвентаризацией точек доступа, предоставленной при определении области работ. Любой BSSID, транслирующий корпоративный SSID и отсутствующий в инвентаризации, является кандидатом на статус мошеннической точки доступа.

# Фильтрация вывода сканирования по корпоративному SSID для изоляции всех транслирующих его точек доступа
sudo airodump-ng wlan0mon | grep "CorporateSSID"

# Сравнение обнаруженных BSSID с авторизованным списком (пример с использованием diff)
# Сохранить столбец BSSID airodump в discovered.txt, авторизованный список — в authorized.txt
diff <(sort discovered.txt) <(sort authorized.txt)

Любой BSSID, присутствующий в discovered.txt, но отсутствующий в authorized.txt, является находкой.

Обнаружение на основе деаутентификации (если авторизовано)
#

Если деаутентификация явно входит в область работ, можно использовать поведение переподключения клиента для определения того, подключена ли мошенническая точка доступа к внутренней сети: деаутентифицируйте клиента от подозрительной точки доступа и наблюдайте, переассоциируется ли клиент к легитимной точке доступа с тем же SSID. Если клиент выполняет роуминг корректно, мошенническая точка доступа, вероятно, использует ту же серверную сеть. Если клиент не может переподключиться, мошенническая точка доступа, скорее всего, изолирована (сценарий evil twin).

Проверка WIDS
#

Если в организации развёрнута система обнаружения/предотвращения вторжений в беспроводные сети (WIDS/WIPS), эта фаза должна включать контролируемый тест для проверки того, обнаруживает ли WIDS тестовую мошенническую точку доступа в приемлемое временное окно. Разверните тестовую точку доступа с корпоративным SSID, используя MAC-адрес, не входящий в инвентаризацию, и измерьте задержку обнаружения. Окно обнаружения, превышающее 60 секунд, представляет собой значимый пробел в покрытии.


Фаза 3: Анализ рукопожатий WPA2/WPA3
#

WPA2: захват 4-стороннего рукопожатия
#

Захват 4-стороннего рукопожатия WPA2 позволяет в автономном режиме проверить, соответствует ли парольная фраза сети политике сложности паролей организации. Это не одобрение взлома парольных фраз как цели работ — скорее, это проверка соответствия: может ли захваченный хеш быть взломан в разумные сроки злоумышленником с использованием доступного оборудования?

# Нацеливание на конкретную точку доступа на канале 6 и запись захвата в файл
sudo airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake wlan0mon

# Конвертация захваченного .cap в формат hashcat для автономного аудита
hcxpcapngtool -o hash.hc22000 handshake-01.cap

Передайте полученный хеш .hc22000 в автономный аудитор паролей, используя утверждённый организацией словарь и набор правил. Если парольная фраза восстанавливается по распространённым спискам паролей (rockyou, варианты названия компании, клавиатурные паттерны), зафиксируйте как находку Medium или High в зависимости от уровня сетевого доступа SSID.

WPA3: SAE и режим перехода
#

WPA3 использует Simultaneous Authentication of Equals (SAE), который обеспечивает прямую секретность и устойчив к автономным атакам по словарю. Однако многие организации развёртывают WPA3 Transition Mode для сохранения совместимости с клиентами WPA2 — этот режим принимает аутентификацию как SAE, так и PSK. Проверьте, может ли злоумышленник принудить клиента WPA3 перейти на WPA2, предъявив beacon только с поддержкой WPA2 для того же SSID; успешное понижение версии является находкой High.

Подробнее о тестировании, специфичном для WPA3, см. в нашем руководстве по тестированию безопасности WPA3.


Фаза 4: Тестирование PMF (Protected Management Frames)
#

Почему PMF важен
#

802.11w Protected Management Frames (PMF) предотвращают атаки деаутентификации и разассоциации. Без PMF злоумышленник может отправить поддельные фреймы деаутентификации любому клиенту, принудительно разрывая соединение и обеспечивая захват рукопожатий, сбор учётных данных через мошенническую точку доступа или простой отказ в обслуживании. PMF обязателен в WPA3 и опционален (но настоятельно рекомендован) в WPA2.

Процедура тестирования
#

Выполните атаку деаутентификации против тестового клиента, ассоциированного с каждым тестируемым SSID. Результат показывает, применяется ли PMF:

# Попытка атаки деаутентификации против точки доступа
sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon

# Если подключённый тестовый клиент отключается: PMF НЕ применяется — фиксируемая находка
# Если тестовый клиент остаётся подключённым: PMF применяется — Pass

Всегда выполняйте этот тест на выделенном тестовом оборудовании, но никогда на производственных клиентах.

Отражение статуса PMF в отчёте
#

Документируйте каждый SSID с уровнем применения PMF:

SSIDEncryptionPMF StatusFinding
Corp-WiFiWPA2-EnterpriseCapable (not required)Medium
Corp-WiFi-6EWPA3-EnterpriseRequiredPass
CorpGuestWPA2-PSKDisabledHigh

PMF Disabled на любом SSID является как минимум находкой Medium. PMF Disabled на корпоративном SSID с доступом к внутренним ресурсам — High. Подробности методологии тестирования PMF см. в нашем руководстве по инъекции пакетов.


Фаза 5: Тестирование клиентской изоляции
#

Изоляция гостевой сети
#

Гостевые SSID должны обеспечивать клиентскую изоляцию — невозможность прямой связи между гостевыми клиентами. Без изоляции злоумышленник в гостевой сети может выполнять ARP-отравление, спуфинг LLMNR/NBT-NS или прямые атаки против других гостей.

Процедура тестирования:

  1. Подключите два выделенных тестовых устройства (не производственные устройства пользователей) к гостевому SSID
  2. С устройства A выполните ICMP ping до IP-адреса устройства B
  3. С устройства A выполните ARP-сканирование гостевой подсети

Гостевой SSID, не обеспечивающий клиентскую изоляцию (успешные ping-запросы между тестовыми устройствами), является находкой High.

Изоляция гостевой сети от внутренней
#

Проверьте, что гостевая сеть не может достичь диапазонов внутренней сети:

# С тестового устройства в гостевом SSID выполнить ARP-сканирование диапазона внутренней сети
sudo arp-scan -l --interface wlan0
# Нулевые ответы из внутреннего диапазона = Pass
# Любой ответ из внутреннего диапазона = Critical finding

Дополнительно попытайтесь выполнить DNS-разрешение внутренних имён хостов и прямые TCP-соединения с внутренними интерфейсами управления (SSH, HTTP-панели администратора). Любое успешное соединение из гостевого сегмента с внутренней инфраструктурой является находкой Critical.


Фаза 6: Оценка EAP/RADIUS (корпоративные SSID)
#

Аутентификация 802.1X и атака с мошенническим RADIUS
#

WPA2-Enterprise и WPA3-Enterprise используют EAP-аутентификацию 802.1X, при которой клиенты аутентифицируются на RADIUS-сервере. Критически важным средством защиты является проверка сертификата сервера: каждый клиент должен верифицировать сертификат RADIUS-сервера перед предоставлением учётных данных. Если клиенты не проверяют сертификат, злоумышленник может развернуть мошенническую точку доступа с мошенническим RADIUS-сервером и собирать хеши NTLMv2 или EAP-учётные данные.

Процедура тестирования
#

Разверните мошенническую точку доступа с помощью hostapd-wpe, настроенного с корпоративным SSID. Это создаёт точку доступа с поддержкой 802.1X, подкреплённую мошенническим RADIUS-сервером, который журналирует все попытки аутентификации:

# Установить hostapd-wpe
sudo apt install hostapd-wpe

# Настроить с корпоративным SSID и соответствующим каналом
# Отредактировать /etc/hostapd-wpe/hostapd-wpe.conf с данными целевого SSID/канала
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf

# Отслеживать захваченные хеши учётных данных в выводе

Находка Critical: Если какой-либо клиент (включая тестовые клиенты, ранее подключавшиеся к производственному 802.1X SSID) подключается к мошенническому RADIUS без отображения предупреждения о сертификате, или если пользователь принимает предупреждение о сертификате и учётные данные захватываются, это является находкой Critical. Это свидетельствует о том, что клиенты не применяют привязку сертификатов или надлежащую проверку цепочки доверия.

Рекомендация по устранению: Разверните привязку сертификатов через MDM (Mobile Device Management) — конфигурационные профили, указывающие точный сертификат RADIUS-сервера или выдающий CA. Проведите для конечных пользователей тренинг по осведомлённости об отклонении неожиданных запросов на подтверждение сертификатов.


Справочник инструментов оценки
#

Следующие инструменты охватывают полный рабочий процесс оценки корпоративных беспроводных сетей. Все совместимы с адаптерами ALFA Network в режиме мониторинга. Для настройки адаптера см. наше руководство по включению режима мониторинга в Kali Linux.

ИнструментНазначениеРекомендуемый адаптерКлючевая команда
airodump-ngПассивное сканирование, захват рукопожатийЛюбой ALFA (AWUS036AXML / AWUS036ACH)sudo airodump-ng wlan0mon --band abg
hcxdumptoolЗахват PMKID, пассивный захват рукопожатийAWUS036AXML (Wi-Fi 6E)sudo hcxdumptool -i wlan0mon -o out.pcapng
hcxpcapngtoolКонвертация захватов в формат hashcatN/A (постобработка)hcxpcapngtool -o hash.hc22000 cap.pcapng
KismetНепрерывное журналирование, корреляция SSID/клиентовAWUS036ACHsudo kismet -c wlan0mon
aireplay-ngТестирование PMF, инъекция деаутентификацииAWUS036ACHsudo aireplay-ng --deauth 10 -a BSSID wlan0mon
hostapd-wpeМошенническая точка доступа / мошеннический RADIUS для тестирования EAPAWUS036ACHsudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
WiresharkАнализ захватов на уровне пакетовЛюбой (через файл захвата)wireshark -r handshake-01.cap
arp-scanПроверка изоляции гостевой/внутренней сетиЛюбойsudo arp-scan -l --interface wlan0

Шаблон отчёта
#

Резюме для руководства
#

Резюме для руководства должно быть понятно CTO или CISO без опыта в безопасности беспроводных сетей. Оно должно включать:

  • Общий рейтинг риска: Critical / High / Medium / Low — на основе наивысшей подтверждённой уязвимости
  • Количество ключевых находок по уровню серьёзности
  • Заявление о несоответствии: ссылки на применимые стандарты (PCI-DSS 4.0 Requirement 11.2, ISO/IEC 27001 A.13.1, NIST 800-153) и соответствует ли оцениваемая беспроводная среда этим требованиям
  • Немедленные меры реагирования: находки, требующие устранения до следующего рабочего дня

Таблица находок
#

Все технические находки должны быть представлены в стандартизированной таблице, сопоставляющей каждую находку с уровнем серьёзности, затронутой инфраструктурой и конкретной рекомендацией по устранению:

IDSeverityНаходкаЗатронутые SSIDРекомендация
WL-01CriticalГостевой SSID не имеет клиентской изоляции; тестовые устройства общались напрямуюCorpGuestВключить AP client isolation в WLAN-контроллере; проверить повторным тестированием
WL-02CriticalКлиенты 802.1X подключаются к мошенническому RADIUS без предупреждения о сертификатеCorp-WiFiРазвернуть привязку сертификатов через MDM; настроить якорь доверия CA RADIUS-сервера
WL-03HighPMF отключён на корпоративном SSID; атака деаутентификации прошла успешноCorp-WiFiВключить PMF Required на всех SSID WPA2; обновить до WPA3 там, где позволяет оборудование
WL-04HighОбнаружена мошенническая точка доступа с корпоративным SSID и BSSID не из инвентаризацииCorp-WiFi-5GРасследовать физическую точку доступа; развернуть WIDS-оповещение для неизвестных BSSID
WL-05MediumПарольная фраза WPA2 восстанавливается из распространённого словаря менее чем за 4 часаCorp-IoTПрименить случайную парольную фразу из 16+ символов; ротация ежеквартально
WL-06LowПроизводитель/модель точки доступа идентифицируется по beacon OUI и probe-ответамAllРассмотреть обфускацию fingerprint точки доступа, если модель угроз это обоснует

Определения серьёзности для находок в беспроводных сетях
#

SeverityОпределениеПример
CriticalНепосредственный эксплуатируемый путь к захвату учётных данных или доступу к внутренней сетиSSID с открытой аутентификацией, отсутствие шифрования, прорыв гостевой сети во внутреннюю, успешная атака с мошенническим RADIUS 802.1X
HighСущественный сбой контроля, требующий оперативного устраненияWPA2 с PMF Disabled, подтверждённая мошенническая точка доступа в сети, успешная атака понижения версии WPA3
MediumПробел в контроле, увеличивающий риск, но требующий дополнительных условий для эксплуатацииСлабая политика парольных фраз, WPA3 Transition Mode без защиты от понижения версии
LowИнформационный пробел или пробел в глубокой защитеFingerprinting модели точки доступа, раскрытие информации SSID

常見問題

Какие этапы включает корпоративная оценка безопасности беспроводных сетей?

Полная оценка охватывает шесть последовательных этапов: пассивная разведка, обнаружение rogue AP, анализ рукопожатия WPA2/WPA3, проверка PMF, тестирование изоляции клиентов и оценка EAP/RADIUS.

Какие разрешения нужны для проведения оценки безопасности беспроводных сетей?

Необходимо получить письменное разрешение, подписанное CISO или владельцем активов, чётко определяющее окно тестирования, MAC-адреса устройств и авторизованные технические методы, устного согласия недостаточно.

Как обнаружить rogue AP?

Сравните список BSSID, полученный при пассивной разведке, с авторизованным списком AP. Любой BSSID, транслирующий корпоративный SSID, но не входящий в список, является кандидатом на rogue AP.

Почему важен PMF (Protected Management Frames)?

PMF предотвращает атаки deauth и disassociation, не позволяя злоумышленникам принудительно отключать клиентов для перехвата рукопожатия или DoS. В WPA3 PMF является обязательным требованием.

Какие риски у переходного режима WPA3?

Переходный режим WPA3 одновременно принимает аутентификацию SAE и PSK для совместимости. Злоумышленник может транслировать beacon только с WPA2, заставляя клиента понизить уровень безопасности.

Связанные ресурсы
#

Источники
#

  1. Официальная документация aircrack-ng
  2. Спецификация Wi-Fi Alliance WPA3
  3. Стандарт IEEE 802.11w Protected Management Frames
  4. NIST SP 800-153 Руководство по безопасности беспроводных сетей
  5. Инструмент обнаружения беспроводных сетей Kismet

Здесь пока нет статей.