Рекомендации по защите:
WiFi

1. Взлом пароля с целью получения доступа во внутреннюю сеть компании или доступа к сети Интернет — простая атака, во время которой осуществляется подбор пароля (как правило, brute-force на сохраненный hand-shake). В зависимости от цели злоумышленника, атака может привести к самым разным последствиям.
2. Evil Twin (создание фальшивой точки доступа) — более сложная и изощрённая атака, направленная на получение доступа к всему входящему/исходящему трафику жертв. Из-за повсеместного использования шифрования и сложности реализации атаки подобного типа встречаются несколько реже, но все же вполне реальны и представляют существенную угрозу.
3. Создание нелегитимной открытой сети — атака схожа с предыдущей, но требует от пользователей самостоятельно подключиться к фальшивой сети. Из-за малой эффективности также встречается сравнительно редко.

1. Из всех стандартных протоколов шифрования для беспроводных сетей только WPA2 обеспечивает сравнительно высокий уровень безопасности. Все прочие протоколы, такие как WEP и WPA, имеют известные уязвимости; их взлом не представляет сложности даже для злоумышленников с невысокой квалификацией.
2. Внедрите аутентификацию через RADIUS-сервер и настройте WPA2 Enterprise. В сочетании с грамотной парольной политикой это позволит значительно усложнить атаки подбора пароля. Парольная политика должна включать ограничения по сроку жизни пароля до 90 дней, длине пароля от 8 знаков, требования к наличию прописных и строчных букв алфавита, а также цифр и спецсимволов.
3. Хорошей практикой является создание гостевых сетей. Естественно, доступ к корпоративным ресурсам в гостевой сети должен быть ограничен.
4. Крайне не рекомендуется использовать технологии WPS (QSS). Они уязвимы и всегда являются приоритетной целью для атаки.
5. По возможности настройте функции обнаружения незарегистрированных точек доступа на сетевом оборудовании. При выявлении новой точки доступа администратору ИБ должно поступать уведомление.
6. Тщательно планируйте расположение WiFi точек доступа. Для этого воспользуйтесь специальным ПО, способным смоделировать помещения с перекрытиями, а также визуализировать распространение сигнала в зависимости от расположения передатчика. Это поможет избежать как мёртвых зон, так и ситуаций, когда корпоративная WiFi-сеть доступна в ближайшем кафе, что предоставляет возможность злоумышленнику исследовать вашу сеть с большим комфортом за чашечкой капучино.
7. Обучите сотрудников. Не пренебрегайте данной мерой. Объясните, к каким WiFi-сетям можно подключить их рабочий ноутбук, а к каким — их мобильный телефон. Попросите их уведомлять отдел ИБ о появлении неизвестных ранее WiFi-сетей.

Чтобы пресечь неавторизованную активность необходимо:

1. Заблокировать возможность подключения для устройства с MAC-адресом атакующего — это даст возможность выиграть немного времени, но не защитит полноценно, так как сетевые устройства умеют подменять MAC-адреса.
2. Необходимо в кратчайшие сроки сменить ставший известным злоумышленнику пароль для доступа к WiFi-сети. Если в организации используется WPA2 PSK, смена пароля приведет к отключению всех подключенных через WiFi устройств. Поэтому рекомендуется заранее произвести миграцию на WPA2 Enterprise.
3. Необходимо попытаться установить, каким образом пароль стал известен злоумышленнику.

1. Выясните MAC-адрес устройства.
2. Используя ноутбук и специализированное ПО, установите точное местоположение устройства.
3. В зависимости от того, что будет обнаружено, предпримите соответствующие меры.