Почему Wi-Fi считается самым уязвимым элементом сети компании?

Wi-Fi — это зона повышенного риска, потому что подключиться к нему можно извне (например, из офиса или кафе около здания). Если точки доступа защищены устаревшими стандартами (WEP/WPA) или имеют простой пароль, злоумышленник может получить доступ к внутренней сети компании.

Какой стандарт защиты Wi-Fi следует использовать в современной компании?

На сегодняшний день оптимальным считается стандарт WPA3 (Personal/Enterprise). Если оборудование не поддерживает WPA3, минимально следует использовать WPA2. Устройства, которые не поддерживают даже WPA2, следует обновить или заменить.

Зачем нужна отдельная гостевая сеть Wi-Fi?

Гостевая сеть предназначена для посетителей, подрядчиков или клиентов. Она должна быть логически отделена от локальной сети компании — пользователи гостевой сети имеют только выход в интернет и не имеют доступа к внутренним ресурсам офиса, серверам или настройкам.

Когда можно обойтись без прокладки кабельной сети в пользу Wi-Fi?

Если монтаж кабельной сети невозможен (из-за планировки, аренды, стен или других ограничений), можно использовать Wi-Fi как основную сеть. Однако её нужно правильно спроектировать с учётом количества пользователей, материалов стен, диапазонов (2.4 ГГц vs 5/6 ГГц), источников помех и безопасности.

Что должен уметь роутер в малой компании?

Роутер должен выступать как шлюз в интернет с функцией firewall, выдавать IP-адреса (DHCP), разрешать имена (DNS) и обеспечивать VPN-доступ для филиалов или удалённых сотрудников. В небольшом офисе устройство уровня бюджетного Mikrotik hEX lite вполне справится с задачей современной защиты сети.

ИТ-безопасность простыми словами: безопасность сетей предприятия

Безопасность локальных сетей — огромная тема, но для малого бизнеса важнее всего базовые вещи: как защитить Wi-Fi, правильно настроить роутер и не допустить несанкционированного подключения извне.

Как устроена локальная сеть

Локальная сеть (LAN) в организации обычно состоит из:

кабельной сети внутри помещений;
точек доступа Wi-Fi;
и роутера (маршрутизатора), который обеспечивает выход в Интернет.

Итак, поехали:

Кабельная сеть.

Как правило, кабельная сеть находится внутри зданий и для того, чтобы подключиться к ней, нужно попасть во внутрь зданий и помещений. Это сильно усложняет задачу для злоумышленников. Поэтому рассматривать этот вариант проникновения в сеть более не будем.

WiFi

Это самый уязвимый узел локальной сети. Зачастую системные администраторы не уделяют этому серьезного внимания, используют устаревшие способы защиты соединений (WEP/WPA), настраивают очень простые пароли, не используют гостевые сети. Но обо всем по порядку.

1. Протоколы защиты соединения.

В настоящее всемя самым современным стандартом является WPA3(Personal/Enterprise). Это самый надежный и защищенный стандарт. Если ваша точка (или точки) доступа не поддерживают этот стандарт, они должны поддерживать хотя бы WPA2. Если в вашей точке нет и этого стандарта, просто выбросите её (или обновите, если это возможно). Вообще, программное обеспечение оборудования (так называемую прошивку) желательно регулярно обновлять (но делать это с осторожностью). Оборудование Mikrotik, например, позволяет обновить до последней версии прошивки, практически любое, даже давно купленное оборудование.

2. Пароль доступа к сети WiFi.

Идеальным вариантом авторизации является использование сервера Radius (WPA3/WPA2-Enterprise). Но, пожалуй для небольших организаций это избыточно, и можно обойтись просто паролем (WPA3/WPA2-Personal), но этот пароль должен быть достаточно длинный (например, 20 символов) и сложный (см. правила для паролей). Я знаю, что пользователям проще ввести пароль что-то типа «123456», но ничего страшного, если они немного помучаются и введут этот сложный пароль. В конце концов, это же не нужно делать каждый день.

3. Гостевая сеть.

Используется для подключения временных пользователей, не являющихся стотрудниками, например, посетителей магазина, автосалона, кафе и т.п. Отличие гостевой сети в том, что она логически отделена от локальной сети организации. Пользователи, подключенные к гостевой сети, имею выход в интернет, но не имеют доступ к локальной сети. Как правило, гостевая сеть настраивается на тех же точках доступа, что и для доступа в локальную сеть. Часто для доступа к гостевой сети пользователю требуется авотризация (например, через SMS), показывается реклама. Пример гостевой сети — WiFi в кафе, магазине или в аэропорту.

4. Организация сетей на основе WiFi.

В настоящее время стало очень популярно в качестве локальной сетив офисах использовать WiFi. Я не рекомендую этого делать, и там, где это возможно, использоваться проводную сеть. Такая сеть более надежная и зачастую быстрее, чем сеть на основе WiFi. Но если если монтаж проводной сети по какой-то причине невозможен, и нужно все строить на основе WiFi, то к развертыванию такой сети следует подходить грамотно, учитывать количество клиентов, нагрузку (объем трафика), планировку помещений, материал стен, наличие помех. Так, например, сигнал диапазона 2.4ГГц лучше проходит через стены, но на этом диапазоне очень много помех. На диапазонах 5 и 6 ГГц помех существенно меньше (чаще совсем нет), скорость выше, но и поглощение в стенах существенно больше.

Радиомосты.

Используются для соединения двух и более сегментов одной территориально-распределенной сети. Чаще всего это технология WiFi 5 или 6 ГГц, реже 2.4 ГГц. К защите радиомостов следует подходить очень ответственно, кроме шифрования радиоканала, очень желательно еще и шифрование самого сетевого трафика через промежуточные шлюзы.

Роутер.

Роутер (router) является обязательным элементом любой локальной сети, имеющей выход в интернет. На практике это устройство, совмещающее в себе функции фильтрации входящих из Интернета запросов (firewall) и маршрутизации запросов устройств из локальной сети в Интернет (router). Он, с одной стороны, обеспечивает выход в интернет для всех устройств, подключенных к локальной сети, и предотвращает проникновение в локальную сеть предприятия из сети Интернет. Он также часто является и шлюзом для безопасного подключения к локальной сети из Инернета (VPN). Для небольших сетей роутер может выполнять и другие функции: сервера DHCP (выдача IP-адресов устройствам в сети), сервера DNS (разрешение имен узлов) и т.п.

Коротко:

Wi-Fi: самое уязвимое звено

Чаще всего именно Wi-Fi становится точкой входа злоумышленников. Причины банальны:

устаревшие протоколы защиты (WEP или старый WPA);
простые пароли вроде 123456;
отсутствие гостевой сети;
редкие обновления прошивок точек доступа.

1️⃣ Протоколы защиты соединения

На сегодняшний день самым надёжным стандартом считается WPA3 (Personal / Enterprise). Если оборудование не поддерживает WPA3, допустим хотя бы WPA2 — но не ниже!

Если в вашей точке доступа нет поддержки даже WPA2 — обновите прошивку, а если невозможно — замените устройство.

Совет: регулярно обновляйте прошивку Wi-Fi оборудования (особенно Mikrotik, Ubiquiti, TP-Link). Это закрывает известные уязвимости.

2️⃣ Пароль доступа к сети

Для корпоративных сетей лучше всего использовать WPA3/WPA2-Enterprise с сервером Radius, где каждый пользователь имеет свой логин и пароль.

Если это слишком сложно для небольшой организации, используйте WPA3/WPA2-Personal с одним, но длинным и сложным паролем (20+ символов).

Пример: @CompanyNet!2024safe#WiFi — вводить долго, но безопасность стоит этих 10 секунд.

3️⃣ Гостевая сеть

Гостевая Wi-Fi сеть предназначена для посетителей — клиентов, подрядчиков, гостей. Главное правило:

гостевая сеть логически отделена от локальной сети компании;
гости имеют доступ только в Интернет;
доступ можно ограничить авторизацией через SMS, код или портал с рекламой.

Итог: гость в Wi-Fi не должен видеть ваши сервера, принтеры и NAS-устройства.

4️⃣ Полностью Wi-Fi-офисы

Мода на «офис без проводов» растёт, но стоит помнить:

проводная сеть надёжнее и стабильнее;
Wi-Fi-сеть требует тщательного проектирования: учёт количества клиентов, планировки, материалов стен и диапазонов частот;
2.4 ГГц — больше помех, но лучше проникает сквозь стены;
5 и 6 ГГц — выше скорость, меньше помех, но хуже проходимость.

Радиомосты: когда сеть «через воздух»

Радиомосты соединяют между собой удалённые здания одной компании по радиоканалу (обычно 5 или 6 ГГц). Это удобно, но требует серьёзной защиты:

использовать современное шифрование радиоканала (WPA3 или WPA2);
поверх радиоканала — включать VPN-туннель (шифрование сетевого трафика);
периодически менять ключи и проверять журналы подключений.

Рекомендация: радиомост = зашифрованный канал + VPN = двойная защита от перехвата.

Роутер — сердце и щит вашей сети

Роутер (router) — это устройство, которое соединяет вашу внутреннюю сеть с Интернетом и защищает её от внешних угроз.

Фильтрует входящие соединения (firewall).
Разрешает доменные имена (DNS-сервер).
Раздаёт IP-адреса устройствам (DHCP-сервер).
Может выполнять роль VPN-шлюза для безопасного доступа извне.

Совет: не оставляйте заводской логин / пароль на роутере и не забывайте обновлять прошивку.

Мини-чеклист по сетевой безопасности

Wi-Fi работает по протоколу WPA3 или хотя бы WPA2.
Пароль от Wi-Fi длинный (20+ символов) и сложный.
Есть гостевая сеть, отделённая от внутренней.
Прошивки роутеров и точек доступа регулярно обновляются.
Радиомосты защищены шифрованием и VPN-туннелем.
На роутере включён firewall, отключён удалённый доступ снаружи.

Хотите проверить, насколько защищена ваша сеть?

Проведём аудит безопасности вашей локальной сети и Wi-Fi, настроим защиту роутера, гостевую сеть и VPN-доступы под нужды вашего бизнеса.