Невидимая угроза за стенами офиса
Когда речь заходит о кибербезопасности, большинство ИТ-специалистов представляет себе многоуровневую защиту периметра, firewall и системы обнаружения вторжений. При этом беспроводные сети часто остаются ахиллесовой пятой инфраструктуры. Сложилось опасное заблуждение, что Wi-Fi - это просто «удобный интернет», а его защита сводится к сложному паролю и ограничению физического доступа. Реальность, как показывают тесты на проникновение, гораздо тревожнее: в 70% проектов экспертам Angara Security удается проложить путь извне прямо в сердце внутренней сети компании через её же беспроводные сегменты.
Проблема кроется в подходе. Меры защиты часто выбираются системными администраторами по инерции, на основе устаревших знаний или ошибочного предположения, что угроза всегда находится снаружи. На деле же угроза - это само радиоэфир, его невидимая и неконтролируемая природа, а также поведение подключенных к нему устройств.
Почему «стандартный» набор настроек уже не работает
Большинство корпоративных Wi-Fi-сетей сегодня настраиваются по шаблону, который считается достаточным.
Типичный чек-лист при настройке выглядит так:
WPA2/WPA3 Enterprise: использование учетных данных сотрудника для входа (логин/пароль) через RADIUS-сервер. Это действительно надежная мера, но лишь до определенного предела.
Скрытие SSID: администратор убирает имя сети из широковещательного эфира. Это создает иллюзию безопасности, так как имя сети легко обнаруживается другими методами.
Фильтрация по MAC-адресам: разрешение на подключение получают только устройства с «белыми» MAC-адресами. Этот метод легко обходится, так как злоумышленник может узнать MAC-адрес легитимного устройства с помощью разведки и установить его на свое оборудование.
Надежда на физическую защиту: самое опасное заблуждение — вера в то, что высокий этаж, закрытая территория бизнес-центра или КПП делают сеть недосягаемой. Радиосигнал не уважает границы, нарисованные на карте.
Этот «стандартный» набор создает у администраторов ложное чувство выполненного долга. Однако современные атаки нацелены не столько на взлом шифрования, сколько на обход этих барьеров и использование человеческого фактора.
Работа за пределами контролируемой зоны
Инженеры при развертывании Wi-Fi стремятся обеспечить стабильное покрытие без «мертвых зон». Это благородная цель имеет критический побочный эффект: сигнал неизбежно «проливается» за пределы охраняемого периметра.
Где находится хакер? Потенциальные точки атаки:
-
Парковка рядом с офисом, скамейка в сквере через дорогу.
-
Смежные этажи в бизнес-центре (особенно технические этажи и пожарные лестницы).
-
Кафе, рестораны и другие общественные пространства на первом этаже здания.
-
Соседнее здание, из окна которого виден ваш офис.
В такой ситуации злоумышленнику даже не нужно «проходить через КПП». Он может спокойно расположиться в «серой» зоне и проводить разведку.
Эскалация угрозы: атака с дальней дистанции
Что делать, если офис компании находится в изолированном здании? Здесь на помощь приходит профессиональное оборудование. Направленные антенны (панельные, параболические) с узкой фокусировкой луча позволяют ловить сигнал на расстоянии от нескольких сотен метров до нескольких километров. Это уже сценарий целевой атаки, где злоумышленник готов инвестировать в оборудование для доступа к конкретной организации.
Вывод: Защита Wi-Fi путем простого ограничения физического доступа - архаичная и неэффективная стратегия. Радиополе вашей сети гораздо шире, чем территория вашего офиса.
Атака изнутри - мобильные устройства как троянский конь
Самая недооцененная угроза исходит не от точек доступа, а от устройств, которые к ним подключаются - корпоративных и, что важнее, личных гаджетов сотрудников.
Почему клиенты - слабое звено:
-
Смартфоны, планшеты и ноутбуки ежедневно покидают контролируемый периметр.
-
На личных устройствах не установлены агенты безопасности, политики шифрования или средства защиты от вредоносных программ.
-
Эти устройства уже имеют легитимный доступ к корпоративной сети, система видит их как «свои».
По нашим данным, в 90% компаний смартфоны сотрудников подключены к корпоративному Wi-Fi.
Механика атаки: охота на Probe-запросы
Когда на смартфоне активирована опция «Подключаться автоматически», устройство с включённым WiFi, находясь вне офиса, постоянно отправляет в эфир так называемые Probe-запросы. По сути, оно «кричит» в радиоэфир: «Эй, сеть Corp_Secure_WiFi, ты здесь?!». Эти запросы содержат реальный SSID вашей корпоративной сети.
Злоумышленник, используя простой ноутбук с адаптером Wi-Fi и бесплатным ПО (например, Kismet или Airodump-ng), за несколько часов в людном месте рядом с офисом (кафе, метро, парковка) может собрать десятки таких запросов и составить список корпоративных SSID.
Финальный этап — подменная точка доступа (Evil Twin Attack)
Получив имя сети, атакующий разворачивает собственную точку доступа с идентичным SSID. Если расположиться правильно, устройства сотрудников, проходя мимо, будут автоматически подключаться к этой фальшивой сети. В худшем сценарии (например, при использовании устаревших методов аутентификации) устройство может даже передать свои учетные данные для подключения в открытом виде (как правило, это логин и пароль самого сотрудника). Эти данные - ключ от королевства: их можно использовать для доступа к корпоративной почте, VPN и другим критически важным сервисам.
Рис. Перехват пароля в открытом виде.
Угроза из слепой зоны — периферия и IoT как открытая дверь
Современный офис - это не только компьютеры и серверы. Это армия подключенных устройств, которые часто остаются без внимания ИТ-отдела.
«Темная материя» корпоративной сети:
-
Принтеры и МФУ
-
Камеры видеонаблюдения
-
Умные колонки и телевизоры
-
Системы «умного офиса» (датчики, контроллеры)
Многие из этих устройств по умолчанию создают собственные Wi-Fi сети. Это может быть либо точка доступа для прямой настройки (Wi-Fi Direct), либо режим постоянного поиска своей сети.
Критическая уязвимость: культура «подключил и забыл»
Пароли к этим служебным сетям почти всегда остаются установленными по умолчанию. Производители часто указывают их в открытом доступе — в руководствах пользователя, которые легко найти в интернете. Более того, устройство может быть одновременно подключено к внутренней сети по кабелю и транслировать свою уязвимую Wi-Fi-сеть.
Реальный кейс: Принтер как шлюз для атаки на домен
Во время одного из тестов на проникновение наши эксперты обнаружили в эфире сеть, которую создавал современный МФУ. В настройках по умолчанию был не только стандартный пароль на веб-интерфейс и Wi-Fi, но и, что критично, отсутствовал пароль для root-доступа по SSH. Получив через эту «дверь» доступ к принтеру, злоумышленник мог использовать его как плацдарм (proxy) для атаки на другие хосты во внутренней сети, вплоть до попытки компрометации контроллера домена. Обычный офисный принтер превратился в точку входа в сеть.
Руководство по эксплуатации принтера
Рис. Получение сетевой видимости через принтер к Domain controller
Стратегия защиты - от разовых мер к непрерывному процессу
Безопасность беспроводных сетей - это не разовый проект по настройке WPA Enterprise. Это непрерывный процесс мониторинга, аудита и адаптации.
Расширенный чек-лист для построения устойчивой защиты
1. Для основной инфраструктуры Wi-Fi:
Постепенный переход от WPA Enterprise с аутентификацией по логику и паролю к чистой схеме WPA Enterprise с аутентификацией по сертификатам компьютеров.
Включение стандарта 802.11w (Management Frame Protection) для блокировки принудительного отключения клиентов (атаки deauthentication).
Выделение Wi-Fi-клиентов в отдельные VLAN, строгое разделение корпоративной и гостевой сетей на уровне сетевого оборудования с применением правил ACL (Access Control Lists).
Внедрение NAC (Network Access Control): Использование систем контроля доступа для проверки соответствия подключаемых устройств политикам безопасности перед предоставлением доступа в сеть.
Регулярное сканирование радиоэфира на предмет несанкционированных точек доступа (Rogue AP) и соседних сетей, представляющих угрозу.
2. Для управления клиентскими устройствами:
Создание отдельной, строго изолированной PSK сети с выходом только в интернет для всех личных гаджетов (BYOD).
При смене параметров безопасности Wi-Fi необходимо проводить информированную кампанию среди сотрудников с требованием «забыть» старую сеть на их личных устройствах.
3. Для периферийных и IoT-устройств:
Регулярный обход офиса с ноутбуком или смартфоном для поиска и инвентаризации всех Wi-Fi-сетей, создаваемых периферийным оборудованием.
Немедленная смена всех паролей по умолчанию на сложные и уникальные для каждого устройства.
Если устройству не нужен Wi-Fi для работы, его беспроводной модуль должен быть физически или программно отключен. Если сеть нужна, она должна быть изолирована в отдельный, строго контролируемый сегмент.
Беспроводная сеть перестала быть просто удобным каналом для выхода в интернет. Она стала полноправным и критически важным сегментом ИТ-инфраструктуры, требующим такого же, если не большего, внимания к безопасности, как и проводная сеть. Осознание того, что угроза может исходить из кармана вашего сотрудника или корпуса офисного принтера, - это первый и самый важный шаг к построению защищенной сети. Безопасность Wi-Fi - это постоянная игра в кошки-мышки, и чтобы побеждать в ней, необходимо думать, как атакующий, предвосхищая его действия.
Роман Просветов, руководитель направления анализа защищенности Angara Security
19.12.2025
