Поделиться
В МТУСИ предложили аппаратно-программное решение для обнаружения и нейтрализации поддельных Wi-Fi сетей
С ростом количества используемых носимых устройств, имеющих доступ в интернет, увеличивается применение Wi-Fi точек доступа на предприятиях, домовладениях, в общественных местах. Хакеры часто выбирают маршрутизаторы Wi-Fi-сетей целью своих атак. Об этом CNews сообщили представители МТУСИ.
Получая контроль над беспроводным роутером они смогут осуществлять такие действия, как мониторинг сетевого трафика, перенаправление трафика, блокирование пользователей, а также использование этого роутера в качестве промежуточной точки для осуществления более глубокой атаки на используемую информационную сеть. Несмотря на колоссальную популярность технологии Wi-Fi коммуникаций, безопасность большинства пользователей, использующих ее, находится под постоянной угрозой. Остановить подобную атаку могут средства предотвращения вторжения беспроводного типа.
Над решением проблемы работает студент МТУСИ Ростислав Рыков под руководством доцента кафедры «Информационная безопасность» Александра Большакова. Разработан алгоритм ПО, способный обнаруживать поддельные точки доступа, не препятствующий работе легитимных пользователей, подключенных к защищаемой доверенной точке доступа и ликвидировать угрозу утечки данных атаки «злой двойник» путем отключения пользователей от поддельной точки доступа.
Проведены разработка и тестирование программно-аппаратного средства для обнаружения и нейтрализации поддельных Wi-Fi сетей. Получено свидетельство о государственной регистрации программ для ЭВМ данного средства № 2025660344 от 23 апреля 2025 г.
Разработанный программный модуль способен распознать поддельную точку доступа и нейтрализовать ее посредством проведения ее деаутентификации путем отправки кадров по выявленному мошенническому адресу. Применение предложенного метода защиты не влечет за собой неправомерный доступ к информации и поэтому правомерен. При этом работа защищаемой точки доступа не нарушается. В отличии от имеющихся на рынке решений, которые представляют из себя точку доступа с системой предотвращения вторжения, разработанная программа предполагает ее установку на автономные устройства, не требующие подключения к сети для своей работы.
Платформой для разработки был выбран одноплатный компьютер Raspberry Pi под управлением операционной системы Raspberry Pi OS. Его развертывание и конфигурация производятся через протокол SSH (Secure Shell— это сетевой протокол, который обеспечивает безопасное удаленное подключение и управление компьютерами через интернет, используя шифрование для защиты передаваемых данных и аутентификации пользователя). Для мониторинга радиоканала использована Wi-Fi сетевая карта, которая подключается через USB-порт.
При первоначальном запуске программа запрашивает данные о SSID (Service Set Identifier —название беспроводной сети Wi-Fi) и MAC (Media Access Control — уникальный аппаратный идентификатор Wi-Fi адаптера) доверенной точки доступа, чтобы средство защиты не начало атаку на те точки доступа, которые являются доверенными. После чего происходит перевод сетевой карты в режим мониторинга и запуск сниффера, сканирующего частотный канал и последовательно передающего все кадры в отдельную процедуру. Для организации сканирования радиоэфира на всех каналах, которые поддерживает технология Wi-Fi, параллельно снифферу запущена процедура, переключающая каналы в диапазоне от 0 до 15 каждую секунду.
При получении кадра от сниффера проверяется его тип и подтип. Если тип и подтип соответствует кадрам Beacon (Маяк), то программа сравнивает SSID и MAC в кадре с доверенными SSID и MAC, введенными в начале работы программы. В случае разных MAC адресов и одинаковых SSID точка доступа с этим MAC адресом признается поддельной. Разные MAC адреса обозначают разное оборудование, т.е. точка доступа с отличным от доверенного адресом это физически другая точка доступа, если эта точка доступа передает SSID, который соответствует защищаемой точке доступа, то можно считать ее поддельной.
При обнаружении поддельной точки программный модуль по адресу поддельной точки доступа формирует специальные кадры деаутентификации, которые через сетевую карту поступают к точке доступа злоумышленника и отключают ее. По прошествии 5 секунд атаки работа программы возобновляется, чтобы проверить присутствие поддельной точки доступа в эфире. Если она будет повторно найдена, снова будет запущена атака деаутентификации.
Для реализации алгоритма был выбран язык программирования Python. В качестве аппаратной платформы для разработки был выбран одноплатный компьютер Raspberry Pi, представляющий из себя полноценный компьютер собранный на одной печатной плате, в том числе процессор ARM11 и все необходимые порты ввода вывода.
Тестирование разработанного СЗИ показало хорошие результаты, Предложенное СЗИ заблокировало 92% кадров злоумышленника при его попытках реализовать ложные точки доступа, 8% пропущенных кадров пропущены во время остановленной атаки, когда сниффер проверяет присутствие поддельной точки доступа в эфире. Увеличив время деаутентификации ложной точки доступа, можно уменьшить количество пропущенных пакетов. Однако это может привести к ухудшению защиты при нескольких атакующих точках доступа.
Разработанная программа развернута на физическом оборудовании, применяемом для разработки встраиваемых систем и инструментов автоматизации. Предложенное средство защиты информации отличается от имеющихся своей автономностью и возможностью использования с любым сетевым оборудованием.
Поделиться
Короткая ссылка
