WIDS/WIPS — это системы контроля и защиты беспроводных сетей Wi-Fi, предназначенные для обнаружения и предотвращения угроз, в том числе несанкционированных точек доступа (Rogue Access Point). Они постоянно анализируют радиодиапазон Wi-Fi, выявляют подозрительные устройства и помогают администраторам контролировать безопасность беспроводной инфраструктуры.
WIDS (Wireless Intrusion Detection System) — это система обнаружения вторжений в беспроводной сети. Ее основная задача заключается в мониторинге радиосреды и анализе всех устройств, работающих в зоне действия сети. Система собирает информацию о точках доступа и клиентах и сравнивает ее со списком разрешённых устройств.
Основные функции WIDS:
- мониторинг радиодиапазона Wi-Fi;
- обнаружение неизвестных точек доступа;
- выявление подозрительных клиентов;
- обнаружение атак на беспроводную сеть;
- оповещение администратора о потенциальных угрозах.
Система собирает и анализирует следующие параметры устройств:
- SSID (имя беспроводной сети);
- BSSID (MAC-адрес точки доступа);
- MAC-адреса клиентов;
- используемый канал;
- уровень сигнала (RSSI);
- тип шифрования и аутентификации.
Если обнаруживается новая или неизвестная точка доступа, система помечает её как потенциально опасную и отправляет уведомление администратору. При этом WIDS выполняет только функцию обнаружения и оповещения: она фиксирует угрозу, но не предпринимает активных действий для её блокировки.
WIPS (Wireless Intrusion Prevention System) работает по тому же принципу мониторинга, но дополнительно реализует механизмы предотвращения атак. Помимо обнаружения подозрительных устройств или атак на Wi-Fi, такая система может автоматически реагировать на угрозы и блокировать их.
Типичные действия WIPS при обнаружении угрозы:
- отправка deauthentication-кадров для разрыва соединения клиента с rogue-точкой;
- блокировка MAC-адреса устройства;
- изоляция устройства на уровне сети;
- автоматическое отключение порта коммутатора;
- запрет подключения клиентов к подозрительным точкам доступа.
Одной из ключевых задач WIDS/WIPS является обнаружение Rogue Access Point. Rogue AP — это несанкционированная точка доступа, подключённая к корпоративной сети без разрешения администратора.
Типичные сценарии появления Rogue AP:
- сотрудник подключает личный Wi-Fi-роутер к корпоративной сети;
- временно устанавливается точка доступа для обхода сетевых ограничений;
- злоумышленник размещает точку доступа рядом с офисом;
- создаётся фальшивая точка доступа для атаки Evil Twin.
Основные риски, связанные с Rogue AP:
- перехват сетевого трафика;
- проведение атак типа Man-in-the-Middle;
- обход политик безопасности сети;
- несанкционированный доступ во внутреннюю инфраструктуру.
Обнаружение Rogue AP обычно выполняется с помощью сенсоров — это могут быть корпоративные точки доступа или специальные датчики, которые сканируют радиодиапазон. Они собирают параметры обнаруженных сетей и передают их системе анализа.
Типичный процесс обнаружения выглядит следующим образом:
- Сенсоры сканируют радиодиапазон Wi-Fi.
- Обнаруженные устройства регистрируются системой.
- Параметры точек доступа сравниваются с базой разрешённых устройств.
- Неизвестные устройства классифицируются (Rogue, Neighbor, Suspected Rogue).
- Администратор получает уведомление или система автоматически блокирует угрозу.
Подобные механизмы обычно встроены в корпоративные Wi-Fi платформы крупных производителей сетевого оборудования, таких как Cisco, Aruba Networks, Fortinet и Ubiquiti.
В целом WIDS и WIPS можно рассматривать как аналог систем обнаружения и предотвращения вторжений в проводных сетях, но адаптированных для беспроводной среды:
- WIDS — обнаруживает угрозы и уведомляет администратора;
- WIPS — обнаруживает угрозы и автоматически предпринимает меры по их блокировке.