Привет, Хабр! На связи команда PT Cyber Analytics. Мы подготовили для вас материал по устройству и безопасности современных беспроводных сетей. В его основе — результаты проведенных проектов и экспертиза наших исследователей.

Представьте, что вы вернулись в 1995 год. Там, где вместо гигабитных скоростей — dial-up, вместо Netflix — видеокассеты, а Wi-Fi — это магия, передающая данные со скоростью всего лишь 1–2 Мбит/с. Сейчас все иначе: беспроводные сети — от домашнего Wi-Fi до корпоративных инфраструктур, поддерживающих сотни устройств одновременно, — стали неотъемлемой частью нашей цифровой жизни.

В этой статье мы разберемся, как работают современные беспроводные сети, какие технологии скрываются за их скоростью и удобством, чтобы понять, как из привычного инструмента они могут превратиться в источник серьезных рисков.

Эволюция технологий Wi-Fi: сравниваем поколения и возможности

Современные беспроводные сети — это результат эволюции стандартов IEEE 802.11, где каждый новый релиз решает проблемы перегруженности канала и повышает пропускную способность.

В таблице ниже представлены актуальные поколения Wi-Fi со сравнением их параметров.

Конечно, Wi-Fi — привычная всем технология, которая у многих ассоциируется с просмотром сериалов, видеозвонками, удаленной работой или онлайн-учебой. Но мало кто углубляется в его постоянное совершенствование и эволюцию. Wi-Fi 7-го поколения — это уже не просто доступ в интернет. Это платформа, на основе которой связаны офисы, IoT-устройства и вся инфраструктура. Давайте рассмотрим, что стоит за аббревиатурами ключевых технологий, лежащих в основе Wi-Fi 7:

• MU-MIMO (multi-user, multiple-input, multiple-output) 16×16 — поддержка до 16 потоков передачи одновременно. Улучшает пропускную способность и снижает задержки в многопользовательских сетях.

• MLO (multi-link operation) — одновременное использование разных частотных диапазонов (например, 2,4, 5 и 6 ГГц). Повышает скорость и устойчивость соединения.

• 4096-QAM (quadrature amplitude modulation) — модуляция, передающая 12 бит на символ (вместо 10 бит в поколении Wi-Fi 6). Увеличивает скорость на 20%.

• Multi-RUs (multiple resource units) — гибкое распределение ресурсных единиц (RUs). Снижает задержки и повышает эффективность работы в загруженных сетях.

Седьмое поколение Wi-Fi имеет реальные выгоды: сеть намного быстрее шестого поколения, лучше работает в перегруженных сетях, обладает высокой пропускной способностью и минимизацией задержек. Можно сказать, что современные технологии Wi-Fi задают основу для построения стабильных высокоскоростных беспроводных сетей, а характеристики сети — это параметры, через которые эти инновации воплощаются в производительности.

Ключевые параметры Wi-Fi и то, как они влияют на атаки хакеров

Устройства Wi-Fi не только передают интернет по воздуху, но и расширяют границы возможного для хакеров. Параметры вроде мощности сигнала, направления луча и усиления антенны напрямую влияют на то, насколько удобно атаковать вашу сеть: чем дальше распространяется сигнал, чем он мощнее и более направленный, тем больше рисков. Характеристики оборудования вроде мощности передатчика и угла антенны напрямую влияют на зону доступности сети, а значит, и на поверхность атаки.

Мощность передатчика (Tx power, output power) — это уровень сигнала, который точка доступа излучает в эфир (в дБм). Влияет на помехи и дальность покрытия: чем выше мощность, тем больше радиус действия. Современные точки доступа обычно настраиваются на диапазон 15–23 дБм в зависимости от условий. Дистанция доступности беспроводной сети зависит от количества антенн, их мощности и коэффициента усиления, а также от частоты сигнала Wi-Fi (чем больше частота, тем меньше расстояние).

Контролируемая зона (КЗ) — это пространство, в пределах которого организация может обеспечивать физическую и радиочастотную защиту беспроводной сети. Мощность сигнала точки доступа напрямую влияет на границы КЗ: если сигнал выходит за ее пределы, он может быть получен за пределами охраняемой территории, что создает условия для атак извне.

Низкая мощность помогает ограничить распространение сигнала и снизить вероятность перехвата данных или проведения атак на точку доступа из-за пределов КЗ. Однако наличие КЗ не защищает клиентов беспроводной сети от атак, если их устройства физически находятся вне этой зоны — например, в соседнем помещении или на улице.

Усиление антенны (gain) характеризует способность направлять сигнал в определенном направлении (измеряется в дБи — изотропных децибелах). Всенаправленные антенны (3–5 дБи) обеспечивают равномерное покрытие, подходят для офисов. Направленные антенны (8–12 дБи) увеличивают дальность, но требуют точного нацеливания.

Для офисных работников все эти характеристики могут звучать более позитивно, как «улучшение покрытия», но для злоумышленника — как «направленный луч в мою сторону, откуда удобно атаковать». Особенно если точка доступа установлена у окна и антенна ориентирована наружу: в такой ситуации хакер может спокойно находиться в автомобиле на парковке рядом со зданием и перехватывать сигнал с помощью адаптера Wi-Fi. Усиленная антенна может буквально «вытянуть» сигнал наружу, расширяя поверхность атаки.

Угол антенны (beamwidth) — это угол, в пределах которого антенна излучает основной сигнал. Например, узкий луч (30–45°) подходит для длинных коридоров или точечного покрытия, а широкий луч (90–120°) обеспечивает равномерное покрытие в помещениях.

Узкий луч удобен для связи, но одновременно формирует предсказуемую зону покрытия, где злоумышленник может спрятаться и вести наблюдение. Широкий угол, наоборот, может дать сигнал туда, куда не нужно — например, в соседний офис или на улицу. Знание схемы антенны помогает хакерам выбирать выгодные точки атаки.

Данный параметр легко спутать с углом наклона антенны, который влияет на направление и распределение сигнала, позволяет оптимизировать покрытие в разных зонах и улучшить качество связи на конкретных этажах или в дальних комнатах.

Современный Wi-Fi впечатляет своими характеристиками — от высокой пропускной способности до продвинутых технологий MIMO. Параметры, которые кажутся чрезмерными для повседневных задач, больше напоминают возможности телепортации данных, чем просто передачу интернет-трафика. Такие скорости и устойчивость соединения открывают новые горизонты для цифровых сервисов и технологий реального времени — от видеоконференций до систем умного производства.

Тем не менее высокая производительность требует не только мощного оборудования, но и надежной защиты, ведь роутер с поддержкой Wi-Fi 7 без WPA3 — как Ferrari без тормозов: скорость есть, а безопасности нет.

Большинство устройств до сих пор используют протокол WPA2 — это механизм защиты Wi-Fi, основанный на паролях. Он надежен, особенно при использовании сложных комбинаций. Однако WPA3, более новый протокол, позволяет даже при простом пароле сохранять высокий уровень безопасности за счет современных криптографических механизмов и защиты от подбора.

Корпоративные и гостевые сети: в чем разница

Беспроводная сеть позволяет сотрудникам компаний мобильно пользоваться корпоративными ресурсами и уже давно стала важной частью ИТ-инфраструктуры. Wi-Fi устраняет необходимость прокладывать кабели, что упрощает расширение сети, подключение новых рабочих мест и использование различных устройств для доступа к локальной вычислительной сети (ЛВС) внутри офиса. Такая сеть и называется корпоративной — она предназначена для сотрудников компании, поэтому Wi-Fi должен иметь безопасный изолированный доступ к корпоративным ресурсам и приложениям (об этом мы расскажем чуть позже).

Гостевую сеть используют клиенты и посетители организации. Главное назначение гостевой сети — это предоставление клиентам доступа в интернет, при этом безопасно для внутренней сети и без угрозы данным сотрудников. Гостевые сети тоже уязвимы. Но ключевая проблема кроется в отсутствии правильного разграничения доступа между гостевой и корпоративной сетями: при наличии сетевой связанности между ними злоумышленник под видом посетителя может атаковать внутренние ресурсы или прослушивать важные сведения сотрудников.

Протоколы безопасности и методы аутентификации в беспроводных сетях

Хороший Wi-Fi в нашей парадигме — это не только про быструю скорость передачи данных, но и про безопасность. Последовательность действий злоумышленника при атаке на беспроводные сети в значительной мере зависит от того, как именно устройство клиента подключается к сети. А значит, все решает то, как именно происходит проверка «свой — чужой», то есть аутентификация.

Ниже расскажем, какие протоколы используются в беспроводных сетях сегодня, какие из них уже пора отпустить с миром (да, это ты, WEP) и на какие стоит делать ставку в 2025 году.

С развитием стандартов Wi-Fi наблюдается не только рост скорости и эффективности передачи данных, но и совершенствование требований к безопасности. Так, несмотря на то что Wi-Fi 6 сохраняет обратную совместимость с ранее применявшимися протоколами (WPA, WPA2), для работы в диапазоне 6 ГГц (Wi-Fi 6E) и в устройствах Wi-Fi 7 обязательным становится использование исключительно WPA3.

Архаичные протоколы, такие как WEP, WPA и даже WPA2, уже не отвечают современным требованиям, поскольку выявленные уязвимости позволяют проводить успешные атаки. Хотя один из них — WPA2 — все еще наиболее популярен. Сегодня на передовой защиты находятся протокол WPA3 и расширенные методы корпоративной аутентификации на базе стандарта IEEE 802.1X. В этом разделе рассмотрим, как протоколы WPA2 и WPA3 создают основу для безопасных беспроводных сетей.

Помимо протоколов на основе предварительно разделенного ключа (PSK), таких как WPA2‑PSK и WPA3‑SAE, в беспроводных сетях применяются централизованные методы аутентификации на базе IEEE 802.1X с использованием EAP‑механизмов. Далее мы подробно разберем WPA2 и WPA3 (режимы PSK, SAE), а затем перейдем к описанию 802.1X/EAP.

Протокол WPA2

Поговорим про протокол WPA2. Его особенность заключается в использовании стандарта симметричного шифрования — AES. Это неплохой вариант для обеспечения безопасности, но везде есть свои лазейки. В случае WPA2 возможны атаки внутри сети: хакер может перехватить передаваемые данные, получить доступ к беспроводной сети, а также атаковать устройства пользователей.

WPA2 — это протокол безопасности Wi-Fi, который на сегодняшний день все еще остается наиболее распространенным методом защиты беспроводных сетей. Он широко применяется в корпоративных сетях благодаря универсальной поддержке, высокой скорости и возможности надежного шифрования данных. Однако, несмотря на эти преимущества, реализация WPA2 имеет особенности, которые предоставляют возможности для атак.

Основу защиты в WPA2 составляет использование симметричного алгоритма шифрования AES и режима CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), который сочетает в себе два принципа защиты:

• Режим счетчика (CTR) обеспечивает уникальное шифрование каждого блока данных, используя значение Nonce (уникальное число) для предотвращения повторного применения одного и того же ключа.

• Механизм CBC-MAC (Cipher Block Chaining Message Authentication Code) позволяет проверить целостность зашифрованного сообщения, гарантируя, что данные не были изменены в процессе передачи.

Для установления защищенного соединения между клиентом и точкой доступа используется 4‑way handshake (четырехступенчатое рукопожатие). При подключении к сети клиент и точка доступа используют SSID сети и предварительно распределенный ключ (pre-shared key, PSK). Эти данные передаются через функцию PBKDF2, которая создает 256-битный мастер-ключ PMK (pairwise master key). PMK служит основой для всех последующих ключей и хранится на обоих устройствах до завершения сессии.

Ниже разберем 4 этапа рукопожатия поподробнее.

Этап 1. Точка доступа отправляет клиенту случайное число ANonce (authenticator nonce). Клиент теперь имеет нужные данные для вычисления временного сессионного ключа — PTK (pairwise transient key).

Этап 2. Клиент создает свое случайное число SNonce и вычисляет PTK, используя ANonce, SNonce, MAC-адреса устройств и мастер-ключ PMK, который получен из пароля сети через PBKDF2. Затем клиент отправляет SNonce точке доступа вместе с MIC (цифровая подпись, которая доказывает, что клиент знает правильный пароль и данные не были подделаны) и RSNIE (Robust Security Network Information Element), который содержит перечень поддерживаемых алгоритмов шифрования и аутентификации.

Этап 3. Точка доступа проверяет MIC клиента. Если все верно, она генерирует GTK (групповой временный ключ, group temporal key), используемый для расшифровки многоадресного и широковещательного трафика, и отправляет его клиенту вместе с ANonce и RSNIE. GTK шифруется частью PTK, чтобы защитить от перехвата. Точка доступа также добавляет свой MIC, подтверждая, что ключи согласованы.

Этап 4. Клиент проверяет MIC точки доступа, расшифровывает GTK и отправляет финальное подтверждение. Если на любом этапе проверки MIC или ключей возникает ошибка (например, из-за неверного пароля), соединение разрывается.

Несмотря на криптографическую прочность шифрования, обмен в рамках 4‑way handshake проходит открыто. Это позволяет злоумышленнику, перехватившему первые два сообщения, использовать их для офлайн-подбора пароля беспроводной сети. Система особенно уязвима, если используется слабый или предсказуемый PSK.

Протокол WPA3 SAE (Simultaneous Authentication of Equals)

WPA3 использует другой подход к обмену ключами в отличие от WPA2, где остро стоит проблема использования слабых паролей и небезопасного 4-ступенчатого рукопожатия. Предпочтение отдается протоколу SAE — «аутентификации равных», при которой повышается безопасность обмена: злоумышленник не может влезть в процесс аутентификации между точкой доступа и клиентом.

Протокол SAE основан на модифицированной версии алгоритма Диффи — Хеллмана с проверкой пароля. Но в отличие от классического алгоритма, где используются большие простые числа и генераторы для обмена открытыми значениями, SAE внедряет пароль в вычисления. Даже если злоумышленнику удастся перехватить данные, он не сможет восстановить пароль или вычислить сессионный ключ без знания секретного значения. Процесс обмена ключами реализован следующим образом.

Этап 1: SAE Commit — клиент и точка доступа договариваются о криптографической группе и обмениваются временными публичными элементами. Каждая сторона генерирует случайный секретный элемент (ephemeral secret), интегрируя пароль с хеш-функцией. Такой подход обеспечивает forward secrecy: даже если долгосрочный пароль скомпрометирован, предыдущие сессионные ключи остаются защищенными.

Forward secrecy — это свойство, при котором компрометация основного пароля не позволяет расшифровать трафик прошлых сессий. В контексте WPA3 это реализуется за счет того, что для каждого подключения создается уникальный сеансовый ключ, который не сохраняется и не зависит напрямую от основного пароля. Даже если пароль будет позже перехвачен или угадан, расшифровать уже записанный трафик не получится.

Для сравнения: в WPA2 при знании пароля можно расшифровать все ранее перехваченные сессии, так как ключи аутентификации генерируются напрямую из предшествующего пароля сети (PSK) и не меняются от сеанса к сеансу.

Этап 2: SAE Confirm — обе стороны отправляют друг другу подтверждающие сообщения с вычисленными MAC-кодами, что гарантирует целостность обмена и защищает от атак типа «человек посередине» (man in the middle), при которых злоумышленник перехватывает и потенциально изменяет трафик между клиентом и точкой доступа. В результате клиент и точка доступа независимо вычисляют общий секрет — PMK (pairwise master key).

Этап 3: Association Request/Response — клиент отправляет запрос на установление соединения, добавляя RSNIE (Robust Security Network Information Element), который содержит параметры безопасности (используемые механизмы шифрования и алгоритмы аутентификации). Точка доступа в ответном сообщении также передает RSNIE, подтверждая согласованные параметры шифрования.

Этап 4: EAPOL 4-Way Handshake — процесс, аналогичный 4-way handshake в WPA2. EAPOL (Extensible Authentication Protocol over LAN) — это протокол, используемый для передачи сообщений EAP в локальных сетях. Он работает между клиентом и точкой доступа, обеспечивая процесс аутентификации. EAPOL используется в сетях 802.1X для обмена аутентификационными сообщениями до момента подключения устройства к сети.

После завершения всех этапов обе стороны используют единые PTK и GTK для защищенной передачи данных. На рисунке ниже показан процесс аутентификации на основе ключей.

Вместо AES-CCMP, применяемого в протоколе WPA2, в WPA3 используется более современный AES-GCMP-256 (Galois/Counter Mode Protocol с 256-битным ключом). Это усовершенствованный режим шифрования, который работает быстрее и безопаснее, чем CCMP, благодаря следующим особенностям:

• Использует 256-битные ключи, что значительно усложняет взлом методом полного перебора (атака brute force).

• Эффективно реализует аутентификацию данных за счет умножения в конечном поле Галуа, что ускоряет процесс проверки целостности пакетов без дополнительной нагрузки на сеть.

• Минимизирует задержки при передаче данных, что делает его предпочтительным для работы с высокоскоростными соединениями и низколатентными сервисами (например, видеоконференциями).

Однако даже самый совершенный протокол аутентификации, такой как SAE, не гарантирует полной безопасности, если управляющие кадры Wi-Fi (например, для деаутентификации) остаются незащищенными. Именно здесь помогает технология PMF, которая важна для защиты от целого класса атак. Кстати, она обязательна в WPA3 и отключить ее нельзя.

Protected Management Frames (PMF) — это механизм, направленный на защиту управляющих кадров беспроводных сетей от подделки, перехвата и модификации злоумышленниками. Но ничего идеального не существует; PMF имеет ряд уязвимостей, позволяющих его обойти (об этом будет рассказано в следующем разделе статьи).

Ключевые принципы работы:

• Все управляющие кадры (для деаутентификации ассоциации, пробных ответов) шифруются с использованием ключей, сгенерированных в процессе аутентификации SAE (Dragonfly handshake).

• Каждый кадр содержит уникальный номер (PN, packet number). Если точка доступа или клиент получают кадр с номером, который уже был использован, он игнорируется.

• В отличие от WPA2, где PMF был опционален (стандарт 802.11w), в WPA3 защита управляющих кадров неотделима от процесса аутентификации. Ключи для PMF формируются на этапе SAE handshake, что исключает возможность отключения защиты.

Стандарт WPA3 включает два режима — Personal и Enterprise, которые, несмотря на использование единого протокола SAE для обмена ключами и обязательное применение PMF (Protected Management Frames), различаются по способу аутентификации и уровню криптографической защиты.

WPA3-Personal (WPA3-SAE) ориентирован на домашние и малые офисные сети, где упор делается на простоту настройки и удобство подключения. Здесь используется протокол SAE для парольной аутентификации, что устраняет возможность проведения офлайн-подбора пароля и обеспечивает надежную защиту данных.

WPA3-Enterprise (Suite B) предназначен для предназначен для критически важных сетей (как государственных, так и корпоративных), где требуются централизованное управление доступом и повышенная безопасность. В этом режиме аутентификация осуществляется с помощью методов протокола EAP (Extensible Authentication Protocol), что позволяет интегрировать сеть с централизованными серверами (например, RADIUS) для контроля доступа. Кроме того, Enterprise-режим предлагает расширенные криптографические схемы: стандартную 128-битную и опциональную 192-битную, что обеспечивает надежную защиту наиболее чувствительных данных.

Какие преимущества WPA3 перед WPA2

Ключевым отличием WPA3 от WPA2 является наличие SAE — это принципиально новый подход к аутентификации, который устраняет ключевые уязвимости протокола WPA2:

1. Защита от офлайн-атак. В WPA2 злоумышленник мог перехватить хеш пароля из рукопожатия и подобрать его офлайн-режиме — перебирая варианты методом грубой силы (brute force), не взаимодействуя с сетью. В SAE обмен commit-сообщениями основан на случайных значениях, генерируемых заново для каждой попытки аутентификации. Это исключает наличие фиксированного (статичного) элемента, который можно было бы перехватить и использовать для офлайн-подбора пароля.

2. Forward secrecy. Каждая сессия генерирует уникальный PMK. Даже если пароль будет скомпрометирован, предыдущие сеансы останутся защищенными, а нарушитель получит пароль только от данных, переданных после определенного момента.

Стандарт IEEE 802.1X

IEEE 802.1X — это стандарт контроля доступа к сети, который обеспечивает аутентификацию устройств и пользователей перед установлением соединения. Он предназначен для корпоративных сетей и предоставляет возможность индивидуальной аутентификации через сертификаты, логины или токены.

Ключевые компоненты IEEE 802.1X:

1. Supplicant (клиент) — устройство, которое запрашивает подключение к сети и инициирует процесс аутентификации.

2. Authenticator (аутентификатор) — сетевое оборудование (например, точка доступа или коммутатор), которое передает аутентификационные сообщения от клиента к серверу и обратно, обеспечивая контроль доступа на уровне порта.

3. Authentication server (сервер аутентификации) — обычно реализуется с помощью RADIUS-сервера, который проверяет учетные данные клиента, используя методы аутентификации на базе протокола EAP.

В рамках стандарта IEEE 802.1X ключевую роль в процессе аутентификации играет протокол EAP, который является универсальным фреймворком для обмена аутентификационными сообщениями. Он поддерживает множество методов, позволяющих адаптировать уровень защиты под конкретные требования сети, например:

1. EAP-PEAP-MSCHAPv2. Данный протокол используется для проверки подлинности, работающей на основе паролей. Пользователь должен ввести свои учетные данные для отправки на сервер аутентификации RADIUS, который проверяет учетные данные и дает доступ в сеть. Такой метод уязвим для кражи учетных данных (атака типа «человек посередине», MitM) и атак с передачей хеша (об этом расскажем подробнее в следующем разделе).

2. EAP-TLS (Transport Layer Security). Метод использует цифровые сертификаты для взаимной аутентификации клиента и сервера. В EAP-TLS важную роль играют сертификаты, выданные доверенным центром сертификации (certificate authority, CA). Клиент устанавливает связь с сервером через защищенный TLS-туннель, где обе стороны подтверждают свою подлинность посредством проверки сертификатов.

3. EAP-PEAP (Protected EAP) и EAP-TTLS (Tunneled TLS). Методы используют TLS для создания защищенного туннеля, однако аутентификация внутри туннеля происходит посредством традиционных механизмов, таких как проверка имени пользователя и пароля. Здесь сервер, идентифицировав себя с помощью сертификата, защищает обмен учетными данными, что позволяет использовать существующую инфраструктуру аутентификации без необходимости выдавать клиентские сертификаты.

Стоит отметить, что при установлении соединения через стандарт IEEE 802.1X протокол EAPOL используется для аутентификации устройства, а RADIUS — для централизованной проверки учетных данных.

RADIUS (Remote Authentication Dial-In User Service) — это протокол, который используется для передачи аутентификационных запросов от точки доступа к серверу аутентификации. RADIUS позволяет централизованно управлять доступом, проверяя учетные данные пользователей, используя EAP-методы, и необходим для сетевых аутентификаций и авторизаций, включая выдачу политики доступа.

Процесс аутентификации EAP-TTLS можно разделить на несколько этапов.

Этап 1: запрос на подключение — клиент отправляет аутентификатору (например, точке доступа) запрос на установление соединения. Аутентификатор переводит порт в неавторизованное состояние, блокируя весь трафик, кроме трафика EAPOL.

Этап 2: EAP-Request/Identity — аутентификатор отправляет клиенту запрос на идентификацию.

Этап 3: EAP-Response/Identity — клиент отвечает, передавая свои учетные данные.

Этап 4: перенаправление EAP-сообщений — аутентификатор пересылает данные на сервер аутентификации (RADIUS).

Этап 5: согласование аутентификации EAPOL/RADIUS — RADIUS-сервер выбирает метод аутентификации (например, EAP-TLS, PEAP, EAP-TTLS) и проводит проверку данных.

Этап 6: RADIUS-Accept — при успешной аутентификации сервер отправляет аутентификатору подтверждение, а также (если используется WPA3) передает ключи шифрования, такие как PMK.

Этап 7: EAPOL Success — аутентификатор разрешает доступ, переводит порт в авторизованное состояние, и клиент получает подтверждение успешного подключения.

Кроме того, стандарт IEEE 802.1X использует хранилище учетных данных. Обычно сервер аутентификации интегрируется с централизованными системами, например Active Directory или LDAP. Именно в этом хранилище находятся учетные записи пользователей, пароли, сертификаты и другая информация, необходимая для проверки подлинности в процессе аутентификации. В корпоративных сетях предпочтительнее использовать 802.1X с сервером RADIUS для обеспечения централизованного контроля доступа и возможности использования многофакторной аутентификации.

Наиболее надежным способом аутентификации является использование сертификатов. Цифровые сертификаты служат электронными механизмами аутентификации, которые подтверждают подлинность как пользователей, так и подключенных устройств. Вышеупомянутые сертификаты выдаются надежным центром сертификации (CA) и содержат открытый ключ субъекта, идентификационные данные и цифровую подпись CA. При инициировании подключения к беспроводной сети клиентское устройство предлагает свой цифровой сертификат серверу аутентификации для проверки своей идентичности.

В этом материале мы рассмотрели основные компоненты безопасности сетей Wi-Fi — самые современные методы аутентификации и последние протоколы безопасности. Реализация того или иного способа напрямую зависит от доступных ресурсов.

Например, аутентификация через ключи (PSK) является самой простой, но не обеспечивает высокого уровня безопасности. Аутентификация через сертификаты является более надежной, но требует наличия центра сертификации и поддержки шифрования данных. Аутентификация через доменные учетные записи является достаточно надежным методом, но требует установки и настройки Active Directory.

Если говорить о протоколах, конечно, золотым стандартом является WPA3. В остальных протоколах есть несовершенства, и из-за них возможны атаки, о них мы поговорим в следующем разделе.

В следующей части расскажем, как атакуют беспроводные сети, используя их слабые места. Мы дадим вам возможность заглянуть в наши отчеты по анализу защищенности и покажем актуальные виды атак, с помощью которых хакеры проникают внутрь сети через Wi-Fi.

Не переключайтесь ;)

Александра Прокопьева

Аналитик @Направление проектов по кибербезопасности, Positive Technologies

Александр Иванов

Аналитик @Направление проектов по кибербезопасности, Positive Technologies