🔒 Настройка WiFi на Pi и основы сетевой безопасности. Защищаем IoT от киберугроз

 1🛡️ ПРОТОКОЛЫ БЕЗОПАСНОСТИ WiFi:
 2
 3🚫 WEP (1997-2004) - ЗАПРЕЩЕН К ИСПОЛЬЗОВАНИЮ
 4   ↳ Шифрование: RC4 с 40/104-битным ключом
 5   ↳ Взлом: 1-5 минут при активном трафике
 6   ↳ Проблема: Слабая генерация ключей
 7   ↳ Status: 💀 МЕРТВ (но встречается в старых устройствах)
 8
 9🔶 WPA (2003-2006) - УСТАРЕЛ
10   ↳ Шифрование: TKIP (улучшенный RC4)
11   ↳ Взлом: 30-60 минут при наличии словаря
12   ↳ Проблема: Уязвимости в TKIP
13   ↳ Status: ⚠️ НЕ РЕКОМЕНДУЕТСЯ
14
15✅ WPA2 (2004-2018) - СТАНДАРТ
16   ↳ Шифрование: AES-CCMP (очень надежный)
17   ↳ Взлом: Годы при сильном пароле
18   ↳ Проблема: Уязвим к атакам на слабые пароли
19   ↳ Status: ✅ БЕЗОПАСЕН при правильной настройке
20
21🚀 WPA3 (2018-сейчас) - БУДУЩЕЕ
22   ↳ Шифрование: AES-256 + улучшенная аутентификация
23   ↳ Взлом: Теоретически невозможен
24   ↳ Фишки: Защита от атак на слабые пароли
25   ↳ Status: 🔥 ЛУЧШИЙ ВЫБОР (но не везде поддерживается)

 1🎯 ТИПЫ АТАК НА WiFi IoT:
 2
 31️⃣ PASSIVE RECONNAISSANCE (Пассивная разведка)
 4   ├── Сканирование сетей (SSID, каналы, безопасность)
 5   ├── Анализ трафика (кто подключен, что передает)
 6   ├── Fingerprinting устройств (определение типа IoT)
 7   └── 🔍 ЦЕЛЬ: Сбор информации о целях
 8
 92️⃣ ACTIVE ATTACKS (Активные атаки)
10   ├── Brute force атаки на пароли
11   ├── Dictionary attacks (словарные атаки)
12   ├── Evil Twin (поддельные точки доступа)
13   └── 🎯 ЦЕЛЬ: Получение доступа к сети
14
153️⃣ POST-ACCESS EXPLOITATION (После взлома)
16   ├── Сканирование IoT устройств в сети
17   ├── Эксплуатация дефолтных паролей
18   ├── Man-in-the-Middle атаки
19   └── 💀 ЦЕЛЬ: Контроль над устройствами
20
21🚨 СПЕЦИФИКА IoT:
22• Слабые пароли по умолчанию
23• Редкие обновления прошивки
24• Отсутствие шифрования на уровне приложений
25• Физический доступ к устройствам

 1🔧 RASPBERRY PI СЕТЕВЫЕ ВОЗМОЖНОСТИ:
 2
 3📡 ВСТРОЕННЫЕ ИНТЕРФЕЙСЫ:
 4├── WiFi адаптер (802.11n/ac)
 5├── Ethernet порт (100 Мбит/с или 1 Гбит/с)
 6├── Bluetooth 4.0+ 
 7└── GPIO для внешних модулей
 8
 9🛠️ СЕТЕВЫЕ РОЛИ Pi:
10├── 📱 WiFi клиент (подключение к роутеру)
11├── 🏠 Access Point (собственная сеть)
12├── 🌉 Bridge (мост между сетями)
13├── 🔄 Router (маршрутизатор)
14├── 📊 Network monitor (мониторинг трафика)
15└── 🛡️ Firewall (защита сети)
16
17⚙️ КОНФИГУРАЦИОННЫЕ ФАЙЛЫ:
18├── /etc/wpa_supplicant/wpa_supplicant.conf (WiFi клиент)
19├── /etc/dhcpcd.conf (настройки IP)
20├── /etc/hostapd/hostapd.conf (точка доступа)
21└── /etc/iptables.rules (правила firewall)
22
23🔒 БЕЗОПАСНОСТЬ Pi:
24├── Смена дефолтного пароля
25├── Отключение ненужных сервисов
26├── Настройка firewall
27├── Регулярные обновления
28└── SSH с ключами вместо паролей

 1# Сканирование доступных сетей
 2sudo iwlist wlan0 scan | grep ESSID
 3
 4# Редактирование конфигурации WiFi
 5sudo nano /etc/wpa_supplicant/wpa_supplicant.conf
 6
 7# Добавление сети:
 8network={
 9    ssid="ИмяСети"
10    psk="ПарольСети"
11    key_mgmt=WPA-PSK
12}
13
14# Перезапуск WiFi
15sudo wpa_cli -i wlan0 reconfigure
16sudo dhclient wlan0
17
18# Проверка подключения
19ping 8.8.8.8
20ip addr show wlan0

 1# Установка hostapd (если не установлен)
 2sudo apt update
 3sudo apt install hostapd dnsmasq
 4
 5# Конфигурация точки доступа
 6sudo nano /etc/hostapd/hostapd.conf
 7
 8# Содержимое файла:
 9interface=wlan0
10driver=nl80211
11ssid=IoT_Lab_[Номер_команды]
12hw_mode=g
13channel=7
14wmm_enabled=0
15macaddr_acl=0
16auth_algs=1
17ignore_broadcast_ssid=0
18wpa=2
19wpa_passphrase=Secure123!
20wpa_key_mgmt=WPA-PSK
21wpa_pairwise=TKIP
22rsn_pairwise=CCMP
23
24# Настройка DHCP
25sudo nano /etc/dnsmasq.conf
26# Добавить:
27interface=wlan0
28dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h
29
30# Запуск точки доступа
31sudo systemctl enable hostapd
32sudo systemctl start hostapd
33sudo systemctl start dnsmasq

 1🛡️ МИССИЯ: Создать максимально защищенную WiFi сеть
 2
 3ЗАДАНИЯ:
 41. НАСТРОЙКА УСИЛЕННОЙ БЕЗОПАСНОСТИ (5 мин):
 5   ├── WPA3 (если поддерживается) или WPA2
 6   ├── Сложный пароль (16+ символов)
 7   ├── Скрытый SSID (hidden network)
 8   └── MAC-адрес фильтрация
 9
102. ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ (10 мин):
11   ├── Настройка firewall (iptables)
12   ├── Отключение WPS
13   ├── Смена дефолтного IP диапазона
14   └── Логирование подключений
15
163. МОНИТОРИНГ И АЛЕРТЫ (5 мин):
17   ├── Настройка логов подключений
18   ├── Скрипт для детекции новых устройств
19   ├── Алерты при подозрительной активности
20   └── Регулярная смена паролей
21
22КОНФИГУРАЦИЯ:
23# Продвинутая настройка hostapd
24interface=wlan0
25ssid=SecureIoT_Team_Blue
26ignore_broadcast_ssid=1  # Скрытая сеть
27wpa=2
28wpa_passphrase=Sup3rS3cur3P@ssw0rd2025!
29wpa_key_mgmt=WPA-PSK
30wpa_pairwise=CCMP
31rsn_pairwise=CCMP
32macaddr_acl=1  # Белый список MAC
33accept_mac_file=/etc/hostapd/accept_mac
34
35# Firewall правила
36sudo iptables -A INPUT -p tcp --dport 22 -j DROP
37sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
38sudo iptables -A INPUT -s 192.168.4.0/24 -j ACCEPT
39sudo iptables -A INPUT -j DROP
40
41РЕЗУЛЬТАТ: Неприступная WiFi крепость + документация по настройке

 1🎯 МИССИЯ: Этично протестировать безопасность WiFi сетей
 2
 3⚠️ ВАЖНО: Тестируем ТОЛЬКО свои сети и сети других команд С ИХ РАЗРЕШЕНИЯ!
 4
 5ЗАДАНИЯ:
 61. PASSIVE RECONNAISSANCE (5 мин):
 7   ├── Сканирование WiFi сетей в радиусе
 8   ├── Анализ типов безопасности
 9   ├── Определение количества подключенных устройств
10   └── Fingerprinting точек доступа
11
122. ТЕСТИРОВАНИЕ СЛАБЫХ ПАРОЛЕЙ (10 мин):
13   ├── Создание собственной уязвимой сети
14   ├── Демонстрация атаки по словарю
15   ├── Тестирование дефолтных паролей
16   └── Измерение времени взлома
17
183. АНАЛИЗ ТРАФИКА (5 мин):
19   ├── Перехват незашифрованного трафика
20   ├── Анализ структуры WiFi кадров
21   ├── Поиск IoT устройств в сети
22   └── Детекция незащищенных протоколов
23
24ИНСТРУМЕНТЫ:
25# WiFi сканирование
26sudo iwlist wlan0 scan
27
28# Мониторинг mode (требует USB WiFi адаптер)
29sudo airmon-ng start wlan1
30sudo airodump-ng wlan1mon
31
32# Создание уязвимой сети для демо
33interface=wlan0
34ssid=INSECURE_DEMO_DO_NOT_USE
35wpa=2
36wpa_passphrase=12345678  # СЛАБЫЙ ПАРОЛЬ ДЛЯ ДЕМО!
37
38# Анализ сети
39nmap -sn 192.168.4.0/24  # Поиск устройств
40nmap -sV 192.168.4.1     # Сканирование портов
41
42РЕЗУЛЬТАТ: Отчет об уязвимостях + рекомендации по улучшению

 1🔍 МИССИЯ: Мониторинг и анализ сетевого трафика
 2
 3ЗАДАНИЯ:
 41. МОНИТОРИНГ WIFI АКТИВНОСТИ (5 мин):
 5   ├── Отслеживание подключений к точке доступа
 6   ├── Анализ паттернов трафика
 7   ├── Детекция аномальной активности
 8   └── Профилирование IoT устройств
 9
102. АНАЛИЗ ПРОТОКОЛОВ (10 мин):
11   ├── Захват WiFi кадров
12   ├── Анализ протоколов по уровням OSI
13   ├── Статистика использования каналов
14   └── Качество сигнала и интерференция
15
163. СОЗДАНИЕ ДАШБОРДА (5 мин):
17   ├── Real-time статистика подключений
18   ├── Графики использования пропускной способности
19   ├── Карта расположения устройств
20   └── Алерты безопасности
21
22ИНСТРУМЕНТЫ:
23# Мониторинг подключений
24tail -f /var/log/hostapd.log
25
26# Анализ трафика
27sudo tcpdump -i wlan0 -w capture.pcap
28wireshark capture.pcap  # Если установлен
29
30# Статистика интерфейса
31watch -n 1 'cat /proc/net/wireless'
32iwconfig wlan0
33
34# Скрипт мониторинга
35#!/bin/bash
36while true; do
37    echo "=== $(date) ==="
38    echo "Подключенные устройства:"
39    arp -a | grep wlan0
40    echo "Использование канала:"
41    iwlist wlan0 scan | grep -E "(ESSID|Channel|Quality)"
42    sleep 30
43done
44
45РЕЗУЛЬТАТ: Дашборд мониторинга + аналитический отчет

 1🚨 МИССИЯ: Быстрое обнаружение и устранение инцидентов безопасности
 2
 3ЗАДАНИЯ:
 41. СОЗДАНИЕ СИСТЕМЫ АЛЕРТОВ (5 мин):
 5   ├── Детекция неавторизованных подключений
 6   ├── Мониторинг подозрительного трафика
 7   ├── Алерты при попытках взлома
 8   └── Уведомления о падении сервисов
 9
102. ПЛАН РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ (10 мин):
11   ├── Процедура блокировки атакующего
12   ├── Изоляция скомпрометированных устройств
13   ├── Сохранение логов для анализа
14   └── Восстановление нормальной работы
15
163. АВТОМАТИЗАЦИЯ ЗАЩИТЫ (5 мин):
17   ├── Автоматическая блокировка при брут-форсе
18   ├── Quarantine для подозрительных устройств
19   ├── Автоматическое резервное копирование конфигураций
20   └── Self-healing network
21
22СКРИПТЫ ЗАЩИТЫ:
23#!/bin/bash
24# Детектор брут-форс атак
25LOG_FILE="/var/log/hostapd.log"
26THRESHOLD=5
27
28monitor_attacks() {
29    tail -f $LOG_FILE | while read line; do
30        if echo "$line" | grep -q "authentication failed"; then
31            MAC=$(echo "$line" | grep -o "[0-9a-f:]\{17\}")
32            COUNT=$(grep "$MAC" $LOG_FILE | grep "failed" | wc -l)
33            
34            if [ $COUNT -gt $THRESHOLD ]; then
35                echo "ALERT: Possible brute force from $MAC"
36                # Блокировка MAC адреса
37                iptables -A INPUT -m mac --mac-source $MAC -j DROP
38                echo "Blocked $MAC automatically"
39            fi
40        fi
41    done
42}
43
44# Автоматическое восстановление
45auto_heal() {
46    while true; do
47        # Проверка доступности точки доступа
48        if ! pgrep hostapd > /dev/null; then
49            echo "ALERT: hostapd down, restarting..."
50            systemctl restart hostapd
51        fi
52        
53        # Проверка DHCP сервера
54        if ! pgrep dnsmasq > /dev/null; then
55            echo "ALERT: DHCP down, restarting..."
56            systemctl restart dnsmasq
57        fi
58        
59        sleep 60
60    done
61}
62
63РЕЗУЛЬТАТ: Система автоматической защиты + процедуры реагирования

 1🛡️ ОТЧЕТ ПО БЕЗОПАСНОСТИ WiFi СЕТИ
 2
 3[КОМАНДА: _____] [РОЛЬ: _____]
 4====================================
 5
 6📊 ТЕХНИЧЕСКАЯ КОНФИГУРАЦИЯ:
 7┌─────────────────────────────────────────┐
 8│ Параметр          │ Значение           │
 9├─────────────────────────────────────────┤
10│ SSID              │ _______________    │
11│ Протокол          │ WPA2/WPA3          │
12│ Шифрование        │ AES-CCMP           │
13│ Канал             │ _______________    │
14│ Мощность          │ _____ dBm          │
15│ Подключенных      │ _____ устройств    │
16└─────────────────────────────────────────┘
17
18🔍 ПРОВЕДЕННЫЕ ТЕСТЫ:
19✓ [Тест 1]: _________________ (Результат: PASS/FAIL)
20✓ [Тест 2]: _________________ (Результат: PASS/FAIL)
21✓ [Тест 3]: _________________ (Результат: PASS/FAIL)
22
23🚨 НАЙДЕННЫЕ УЯЗВИМОСТИ:
24• КРИТИЧЕСКИЕ: _____ (требуют немедленного исправления)
25• ВЫСОКИЕ: _____ (исправить в течение недели)
26• СРЕДНИЕ: _____ (исправить в течение месяца)
27• НИЗКИЕ: _____ (рекомендации к улучшению)
28
29💡 РЕКОМЕНДАЦИИ:
301. ________________________________
312. ________________________________
323. ________________________________
33
34🛠️ ПЛАН ИСПРАВЛЕНИЯ:
35├── Этап 1 (немедленно): ______________
36├── Этап 2 (1 неделя): _______________
37└── Этап 3 (1 месяц): ________________
38
39💰 ЭКОНОМИЧЕСКАЯ ОЦЕНКА:
40• Стоимость текущих мер: $_____
41• Стоимость рекомендованных улучшений: $_____
42• Потенциальный ущерб от взлома: $_____
43• ROI от инвестиций в безопасность: _____%
44
45⭐ SECURITY SCORE: ___/10
46
47👥 КОМАНДА:                    📅 ДАТА:
48• _________________ (Security Engineer)
49• _________________ (Network Analyst)  
50• _________________ (Penetration Tester)

 1📰 КЕЙС 1: "Mirai Botnet" (2016)
 2Проблема: 600,000 IoT устройств с дефолтными паролями
 3Последствия: Крупнейшая DDoS атака в истории
 4Урок: Важность смены дефолтных паролей
 5
 6📰 КЕЙС 2: "Ring камеры" (2019)  
 7Проблема: Слабые пароли WiFi у пользователей
 8Последствия: Хакеры получили доступ к домашним камерам
 9Урок: Пользователи - слабое звено безопасности
10
11📰 КЕЙС 3: "KRACK атака" (2017)
12Проблема: Уязвимость в протоколе WPA2
13Последствия: Возможность перехвата трафика
14Урок: Даже стандарты безопасности имеют бреши
15
16📰 КЕЙС 4: "Умные лампочки LIFX" (2020)
17Проблема: Незашифрованная передача паролей WiFi
18Последствия: Компрометация домашних сетей
19Урок: IoT устройства требуют особого внимания к безопасности

1                СЛОЖНОСТЬ АТАКИ →
2                     ↑
3              ПОТЕНЦИАЛЬНЫЙ УЩЕРБ
4                     
5[Простая, малый ущерб] - Перехват телеметрии датчиков
6[Простая, большой ущерб] - Дефолтные пароли на критичных системах
7[Сложная, малый ущерб] - Взлом шифрования отдельных устройств
8[Сложная, большой ущерб] - Компрометация центральных серверов

 1ДОМ: Загородная резиденция, 500 м², 3 этажа + подвал
 2БЮДЖЕТ: $15,000 на системы безопасности
 3ТРЕБОВАНИЯ: Максимальная защита от хакеров
 4
 5ПЛАНИРУЕМЫЕ IoT СИСТЕМЫ:
 6🏠 УМНЫЙ ДОМ:
 7├── Освещение: 150 умных лампочек Philips Hue
 8├── Климат: 25 датчиков + 8 кондиционеров
 9├── Шторы/жалюзи: 30 электроприводов
10└── Музыка: 20 умных колонок по всему дому
11
12🔒 БЕЗОПАСНОСТЬ:
13├── Видеонаблюдение: 40 IP-камер (внутри + снаружи)
14├── Сигнализация: 50 датчиков движения/открытия
15├── Контроль доступа: 15 умных замков + домофон
16└── Периметр: 20 уличных датчиков
17
18🚗 ИНФРАСТРУКТУРА:
19├── Умный гараж: 3 ворота + зарядка Tesla
20├── Полив: 25 зон автоматического полива
21├── Бассейн: Система очистки + подогрев
22└── Генератор: Автоматический резерв питания
23
24📱 УПРАВЛЕНИЕ:
25├── Центральный сервер (NAS Synology)
26├── 5 точек доступа WiFi 6 по дому
27├── Проводная сеть (Ethernet) для критичных систем
28└── Мобильные приложения для управления
29
30ОСОБЫЕ ТРЕБОВАНИЯ:
31• Гости не должны иметь доступ к основным системам
32• Возможность удаленного управления из офиса (30 км)
33• Автономная работа при отключении интернета
34• Защита от профессиональных хакеров
35• Соответствие требованиям страховой компании

 1🛡️ ПРОЕКТ: "Кибербезопасность умного дома"
 2
 31. АНАЛИЗ УГРОЗ:
 4   ├── Threat modeling (модель угроз)
 5   ├── Attack vectors (векторы атак)
 6   ├── Risk assessment (оценка рисков)
 7   └── Compliance requirements (требования стандартов)
 8
 92. СЕТЕВАЯ АРХИТЕКТУРА:
10   ├── Схема сегментации сети (VLAN)
11   ├── Plan IP-адресации с изоляцией
12   ├── Firewall rules и ACL
13   └── Network monitoring points
14
153. WiFi БЕЗОПАСНОСТЬ:
16   ├── Конфигурация точек доступа
17   ├── Гостевые сети (изолированные)
18   ├── Enterprise authentication (802.1X)
19   └── Мониторинг беспроводной активности
20
214. IoT DEVICE SECURITY:
22   ├── Inventory всех устройств
23   ├── Vulnerability assessment
24   ├── Patch management strategy
25   └── Device isolation policies
26
275. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ:
28   ├── Защита сетевого оборудования
29   ├── Backup power для критичных систем
30   ├── Физический доступ к устройствам
31   └── Environmental monitoring
32
336. ОПЕРАЦИОННАЯ БЕЗОПАСНОСТЬ:
34   ├── Процедуры мониторинга 24/7
35   ├── Incident response plan
36   ├── Backup и recovery планы
37   └── Staff training requirements
38
397. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ:
40   ├── Детальная смета по компонентам
41   ├── OPEX (операционные расходы) на 5 лет
42   ├── Стоимость возможного ущерба от взлома
43   └── ROI и break-even analysis
44
458. 🆕 IMPLEMENTATION ROADMAP:
46   ├── Phase 1: Critical infrastructure (месяц 1-2)
47   ├── Phase 2: IoT devices integration (месяц 3-4)
48   ├── Phase 3: Advanced monitoring (месяц 5-6)
49   └── Phase 4: Continuous improvement (ongoing)

 1📚 СПРАВОЧНЫЕ МАТЕРИАЛЫ:
 2
 3🔧 LINUX COMMANDS CHEAT SHEET:
 4├── sudo iwlist wlan0 scan (сканирование WiFi)
 5├── sudo nano /etc/wpa_supplicant/wpa_supplicant.conf
 6├── sudo systemctl restart hostapd
 7├── ping -c 4 8.8.8.8 (тест connectivity)
 8├── ip addr show (показать IP адреса)
 9├── arp -a (показать ARP таблицу)
10└── sudo netstat -tuln (открытые порты)
11
12🛡️ SECURITY PROTOCOLS COMPARISON:
13├── WEP: Broken, 1-5 min to crack
14├── WPA: Deprecated, vulnerable to attacks
15├── WPA2: Secure with strong password
16└── WPA3: Latest, most secure
17
18📊 COMMON IoT VULNERABILITIES:
19├── Default passwords (admin/admin, root/root)
20├── Unencrypted communications
21├── Missing firmware updates
22├── Weak authentication
23└── Physical access vulnerabilities
24
25💰 SECURITY BUDGETING GUIDELINES:
26├── Enterprise WiFi AP: $200-500
27├── Managed switch 24-port: $300-800
28├── Firewall appliance: $500-2000
29├── Security monitoring tools: $100-500/month
30└── Professional security audit: $5000-20000

 1⚖️ ЭТИЧЕСКИЕ ПРИНЦИПЫ:
 2
 3✅ РАЗРЕШЕНО:
 4├── Тестирование собственных сетей
 5├── Тестирование учебных стендов
 6├── Тестирование с письменного разрешения владельца
 7├── Образовательные демонстрации в изолированной среде
 8└── Исследование публично доступной информации
 9
10🚫 ЗАПРЕЩЕНО:
11├── Взлом чужих WiFi сетей без разрешения
12├── Доступ к чужим данным
13├── Нарушение работы сетей
14├── Использование знаний для вреда
15└── Распространение вредоносного ПО
16
17📋 СОГЛАШЕНИЕ УЧАСТНИКА:
18"Я обязуюсь использовать полученные знания только в образовательных
19и этических целях. Понимаю ответственность за нарушение кибербезопасности."
20
21Подпись: _________________ Дата: _________

1Спринт #20 → Спринт #21 → Спринт #22
2Настроили WiFi → Создали веб-сервер на Pi → Подключили датчики к веб-интерфейсу
3Изучили безопасность сети → Безопасность веб-приложений → HTTPS для IoT данных
4Мониторинг трафика → Логирование веб-запросов → Аналитика IoT данных
5Firewall правила → Authentication/Authorization → Secure API endpoints