Исследование направлений повышения защищенности беспроволочных информационно-телекоммуникационных сетей

2.3.3 Риск уязвимость сетей и устройств

Некоторые сетевые устройства могут быть более уязвимы, чем другие: неправильно сконфигурированы, используют слабые ключи шифрования или методы аутентификации с известными уязвимостями. Неудивительно, что в первую очередь злоумышленники атакуют именно их. Отчеты аналитиков утверждают, что более 70% успешных взломов беспроводных сетей произошло именно в результате неправильной конфигурации точек доступа или клиентского ПО.

Некорректно сконфигурированные точки доступа (ТД). Одна-единственная некорректно сконфигурированная ТД (в т. ч. чужак) может послужить причиной взлома корпоративной сети. Настройки по умолчанию большинства ТД не включают аутентификацию или шифрование либо используют статические ключи, записанные в руководстве и потому общеизвестные. В сочетании с невысокой ценой этих устройств данный фактор значительно осложняет задачу слежения за целостностью конфигурации беспроводной инфраструктуры и уровнем ее защиты.

Некорректно сконфигурированные беспроводные клиенты. Данная категория представляет угрозу еще большую, чем некорректно сконфигурированные ТД. Эти устройства буквально «приходят и уходят» с предприятия, часто они не конфигурируются специально с целью минимизации беспроводных рисков или довольствуются установками по умолчанию (которые не могут считаться безопасными). Такие устройства оказывают неоценимую помощь хакерам, обеспечивая удобную точку входа для сканирования сети и распространения в ней вредоносного ПО [6, 18].

Взлом шифрования. Злоумышленникам давно доступны специальные средства для взлома сетей, основывающихся на стандарте шифрования WEP. Эти инструменты широко представлены в Интернете, и их применение не требует особых навыков. Они используют уязвимости алгоритма WEP, пассивно собирая статистику трафика в беспроводной сети до тех пор, пока полученных данных не окажется достаточно для восстановления ключа шифрования. С использованием последнего поколения средств взлома WEP, применяющих специальные методы инъекции трафика, срок «до тех пор» колеблется от 15 мин до 15 с. Совсем недавно были обнаружены первые, пока еще незначительные, уязвимости в TKIP, позволяющие расшифровывать и отправлять в защищенную сеть небольшие пакеты.

2.3.4 Риск новые угрозы и атаки

Беспроводные технологии породили новые способы реализации старых угроз, а также некоторые новые, доселе невозможные в проводных сетях. Во всех случаях бороться с атакующим противником стало гораздо тяжелее, так как невозможно ни отследить его физическое местоположение, ни изолировать от сети.

Разведка. Большинство традиционных атак начинаются с разведки, в результате которой злоумышленником определяются дальнейшие пути их развития. Для беспроводной разведки используются как средства сканирования беспроводных сетей (NetStumbler, Wellenreiter, встроенный клиент JC), так и средства сбора и анализа пакетов, ведь многие управляющие пакеты WLAN не зашифрованы. При этом очень сложно отличить станцию, собирающую информацию, от обычной, пытающейся получить авторизованный доступ к сети или от попытки случайной ассоциации.

Когда пробуют защитить свои сети путем сокрытия ее названия в маячках (Beacon), рассылаемых точками доступа, и отключения ответа на широковещательный запрос ESSID (Broadcast ESSID). Общепризнанно, что методов, относящихся к классу Security through Obscurity, недостаточно, поскольку атакующий все равно видит беспроводную сеть на определенном радиоканале, и ему остается лишь ждать первого авторизованного подключения, так как в его процессе в эфире передается ESSID в незашифрованном виде. После этого данная мера безопасности просто теряет смысл. Некоторые особенности беспроводного клиента Windows XP SP2 (поправленные в SP3) еще более усугубляли ситуацию, ведь клиент постоянно рассылал имя такой скрытой сети в эфир, пытаясь подключиться к ней.

Имперсонализация (Identity Theft). Имперсонализация авторизованного пользователя - серьезная угроза любой сети, не только беспроводной. Однако в последнем случае определить подлинность пользователя сложнее. Конечно, существуют SSID, и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и то и другое несложно подделать.

Существует ложное убеждение, что имперсонализация пользователя возможна только в случае MAC-аутентификации или применения статических ключей, что схемы на основе 802.1x, такие как LEAP, являются абсолютно безопасными. К сожалению, это не так, и уже сейчас доступен инструментарий для взлома, к примеру LEAP. Другие схемы, скажем EAP-TLS или PEAP, более надежны, но они не гарантируют устойчивости к комплексной атаке, использующей несколько факторов одновременно.

Отказы в обслуживании (Denial of Service, DoS). Задачей атаки «Отказ в обслуживании» является либо нарушение показателей качества функционирования сетевых услуг, либо полная ликвидация возможности доступа к ним для авторизованных пользователей. Для этого, к примеру, сеть может быть завалена «мусорными» пакетами (с неправильной контрольной суммой и т. д.), отправленными с легитимного адреса. В случае беспроводной сети отследить источник такой атаки без специального инструментария просто нельзя. Кроме того, есть возможность организовать DoS на физическом уровне, запустив достаточно мощный генератор помех в нужном частотном диапазоне.

Пример DoS атаки показан на рисунке 2.5

Рисунок 2.5 - Пример DoS атаки

Специализированные инструменты атакующего. Инструментарий атак на беспроводные сети широко доступен в Интернете и постоянно пополняется новыми средствами. Основными типами инструментов атакующего являются:

- средства разведки - сканирования сетей и определения их параметров, сбора и анализа трафика (Kismet, NetStumbler, AirMagnet, Ethereal, Wireshark со специальным модулем, THC-RUT);

- инструменты взлома шифрования (AirCrack, WEPWedgie, WEPCrack, WepAttack, AirSnort);

- инструменты взлома механизмов аутентификации для их обхода или получения параметров учетной записи доступа пользователя (ASLEAP, THC-LEAPCracker);

- инструменты организации отказов в обслуживании (WLANjack, hunter_killer);

- сканеры уязвимостей (Nessus, xSpider);

- инструменты манипулирования беспроводными соединениями (HotSpotter, SoftAP, AirSnarf);

- традиционный инструментарий (SMAC, IRPAS, Ettercap, Cain & Abel, DSNIFF, IKEcrack).

Это список может быть расширен.

2.3.5 Риск утески информации из проводной сети

Практически все беспроводные сети в какой-то момент соединяются с проводными. Соответственно, любая беспроводная ТД может быть использована как плацдарм для атаки. Но это еще не все: некоторые ошибки в их конфигурации в сочетании с ошибками конфигурации проводной сети могут открывать пути для утечек информации. Наиболее распространенный пример - ТД, работающие в режиме моста (Layer 2 Bridge), подключенные в плоскую сеть (или сеть с нарушениями сегментации VLAN) и передающие в эфир широковещательные пакеты из проводного сегмента, запросы ARP, DHCP, фреймы STP и т. п. Некоторые из этих данных могут быть полезными для организаций атак Man-in-The-Middle, различных Poisoning и DoS, да и просто разведки.

Другой распространенный сценарий основывается на особенностях реализации протоколов 802.11. В случае, когда на одной ТД настроены сразу несколько ESSID, широковещательный трафик будет распространяться сразу во все ESSID. В результате, если на одной точке настроены защищенная сеть и публичная зона доступа, злоумышленник, подключенный к последней, может, например, нарушить работу протоколов DHCP или ARP в защищенной сети. Это можно исправить, включив режим Multi-BSSID, он же Virtual AP, который поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer), но об этом нужно знать.

2.3.6 Риск особенности функционирования беспроводных сетей

Некоторые особенности функционирования беспроводных сетей порождают дополнительные проблемы, способные влиять в целом на их доступность, производительность, безопасность и стоимость эксплуатации. Для грамотного решения этих проблем требуются специальный инструментарий поддержки и эксплуатации, специальные механизмы администрирования и мониторинга, не реализованные в традиционном инструментарии управления беспроводными сетями.

Активность в нерабочее время. К беспроводным сетям можно подключиться в любом месте в зоне их покрытия и в любое время. Из-за этого многие организации ограничивают доступность беспроводных сетей в своих офисах исключительно рабочими часами (вплоть до физического отключения ТД). В свете сказанного естественно предположить, что всякая беспроводная активность в сети в нерабочее время должна считаться подозрительной и подлежать расследованию.

Скорости. ТД, разрешающие подключения на низких скоростях, имеют бoльшую зону покрытия. Таким образом, они предоставляют дополнительную возможность удаленного взлома. Если в офисной сети, где все работают на скоростях 24/36/54 Мб/с, вдруг появляется соединение на 1 или 2 Мб/с, это может быть сигналом, что кто-то пытается пробиться в сеть с улицы.

Помехи. Качество работы беспроводной сети зависит от многих факторов. Наиболее ярким примером являются помехи, значительно снижающие пропускную способность и количество поддерживаемых клиентов, вплоть до полной невозможности использования сети. Источником помех может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и ТД. С другой стороны, злоумышленники могут использовать помехи для организации DoS-атаки на сеть.

Помимо помех, существуют другие аспекты, антенна дающая сбой точки доступа может создавать проблемы, как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.

Выводи к разделу 2

В данной главе проведен анализ основных методов и приемов нарушения безопасности беспроводных сетей.

Приведены общее проблемы нарушения безопасности, основные методы атак на беспроводную сеть, также приведены шесть основных беспроводных рисков.

Можно сделать вывод, что безопасность беспроводной сети включает в себя два аспекта:

- защита от несанкционированного доступа;

- шифрование передаваемой информации.

3. АНАЛИЗ СРЕДСТВ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ В БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ

Проведем анализ средств и методов защиты информации в беспроводных информационно-телекоммуникационных системах.

3.1 Классификация мер обеспечения безопасности

По способам осуществления все меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные) [21, 23].

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения компьютерных сетей в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают [13]:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании сетей и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам сетей (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала;

- организацию охраны и надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Физические меры защиты основаны на применении разного рода механических, электромеханических или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам сетей и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратные) меры защиты основаны на использовании различных электронных устройств, входящих в состав сети и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Программные методы защиты предназначаются для непосредственной защиты информации по трем направлениям:

- защита аппаратуры;

- защита программного обеспечения;

- защита данных и управляющих команд.

Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой. Как показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Все программы защиты, осуществляющие управление доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными.

Доступ может быть определен как:

- общий (безусловно предоставляемый каждому пользователю);

- отказ (безусловный отказ, например разрешение на удаление порции информации);

- зависимый от события (управляемый событием);

- зависимый от содержания данных;

- зависимый от состояния (динамического состояния компьютерной системы);

- частотно-зависимый (например, доступ разрешен пользователю только один или определенное число раз);

- по имени или другим признаком пользователя;

- зависимый от полномочий;

- по разрешению (например, по паролю);

- по процедуре.

Также к эффективным мерам противодействия попыткам несанкционированного доступа относятся средства регистрации. Для этих целей наиболее перспективными являются новые операционные системы специального назначения, широко применяемые в зарубежных странах и получившие название мониторинга (автоматического наблюдения за возможной компьютерной угрозой).

Мониторинг осуществляется самой операционной системой, причем в ее обязанности входит контроль за процессами ввода-вывода, обработки и уничтожения машинной информации. Операционная система фиксирует время несанкционированного доступа и программных средств, к которым был осуществлен доступ. Кроме этого, она производит немедленное оповещение службы компьютерной безопасности о посягательстве на безопасность компьютерной системы с одновременной выдачей на печать необходимых данных.

Задачи обеспечения безопасности [31]:

- защита информации в каналах связи и базах данных криптографическими методами;

- подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);

- обнаружение нарушений целостности объектов данных;

- обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;

- обеспечение защиты программных продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;

- защита от несанкционированных действий по каналу связи от лиц, не допущенных к средствам шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;

- организационно-технические мероприятия, направленные на обеспечение сохранности конфиденциальных данных.

беспроводный сеть риск атака

3.2 Физическая защита информации в беспроводных сетях

К мерам физической защиты информации и непосредственно самого сетевого оборудования относятся:

- защита от огня;

- защита от электромагнитного излучения;

- защита от вандализма;

- защита от воровства и кражи;

- защита от взрыва;

- защита от несанкционированного доступа в помещение.

Чтобы обеспечить физическую безопасность нужно выполнять ряд действий.

В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. В этом помещении следует установить кондиционер и хорошую систему вентиляции. Там же можно поместить мини-АТС и другие жизненно важные технические системы.

Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.

Другая характерная ошибка связана с резервным копированием. О его необходимости знают все, так же как и о том, что на случай возгорания нужно иметь огнетушитель. А вот о том, что резервные копии нельзя хранить в одном помещении с сервером, почему-то забывают [14]. В результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.

Часто, даже защитив серверы, забывают, что в защите нуждаются и беспроводная система сети. Не стоит упускать из вида возможность подключения к ним извне для перехвата информации или создания помех, например, посредством различных наводок.

Помимо Интернета, компьютеры включены еще в одну сеть - обычную электрическую. Именно с ней связана другая группа проблем, относящихся к физической безопасности сети. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе существуют какие-то проблемы с электропитанием.

3.3 Аппаратные средства защиты информации в беспроводных сетях

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств сетей и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств компьютерных сетей [25].

К основным аппаратным средствам защиты информации относятся:

- устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

- устройства для шифрования информации;

- устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

- устройства уничтожения информации на магнитных носителях;

- устройства сигнализации о попытках несанкционированных действий пользователей КС и др.

Аппаратные средства привлекают все большее внимание специалистов не только потому, что их легче защитить от повреждений и других случайных или злоумышленных воздействий, но еще и потому, что аппаратная реализация функций выше по быстродействию, чем программная, а стоимость их неуклонно снижается.

На рынке аппаратных средств защиты появляются все новые устройства. Ниже приводится в качестве примера описание электронного замка.

Электронный замок «Соболь». «Соболь», разработанный и поставляемый ЗАО НИП «Информзащита», обеспечивает выполнение следующих функций защиты:

- идентификация и аутентификация пользователей;

- контроль целостности файлов и физических секторов жесткого диска;

- блокировка загрузки ОС с дискеты и CD-ROM;

- блокировка входа в систему зарегистрированного пользователя при превышении им заданного количества неудачных попыток входа;

- регистрация событий, имеющих отношение к безопасности системы.

Идентификация пользователей производится по индивидуальному ключу в виде «таблетки» Touch Memory, имеющей память до 64 Кбайт, а аутентификация - по паролю длиной до 16 символов.

Контроль целостности предназначен для того, чтобы убедиться, что программы и файлы пользователя и особенно системные файлы ОС не были модифицированы злоумышленником или введенной им программной закладкой. Для этого в первую очередь в работу вступает разборщик файловой системы ОС: расчет эталонных значений и их контроль при загрузке реализован в «Соболе» на аппаратном уровне. Построение же списка контроля целостности объектов выполняется с помощью утилиты ОС, что в принципе дает возможность программе-перехватчику модифицировать этот список, а ведь хорошо известно, что общий уровень безопасности системы определяется уровнем защищенности самого слабого звена.

3.4 Программные средства защиты информации в беспроводной сети

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения беспроводной сети исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

- программы идентификации и аутентификации пользователей беспроводной сети;

- программы разграничения доступа пользователей к ресурсам беспроводной сети;

- программы шифрования информации;

- программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Надо понимать, что под идентификацией, применительно к обеспечению информационной безопасности беспроводных сетей, понимают однозначное распознавание уникального имени субъекта компьютерной сети. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта)[6].

Также к программным средствам защиты информации относятся:

- программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);

- программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;

- программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);

- программы тестового контроля защищенности беспроводной сети.

К преимуществам программных средств защиты информации относятся:

- простота тиражирования;

- гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных сетей);

- простота применения - одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни каких новых (по сравнению с другими программами) навыков;

- практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.

К недостаткам программных средств защиты информации относятся:

- снижение эффективности сети за счет потребления ее ресурсов, требуемых для функционирования программ защиты;

- более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);

- возможность злоумышленного изменения программных средств защиты в процессе эксплуатации беспроводной сети.

3.4.1 Безопасность на уровне операционной системы

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы [27].

Новое поколение операционных систем от Microsoft Windows ХР, 7, существенно повысили надежность работы, став многопользовательскими системами позволяющими защитить файлы пользователей на жестком диске. Стоит однако отметить, что защита скорее от самих пользователей, т.к. загрузившись с другой операционной системы (той же MS DOS) можно легко стирать и редактировать файлы системы. В качестве достоинств отметим работающие режимы защищенного режима процессоров Intel, которые позволили защитить как данные, так и код процесса от других программ. Защита операционных систем именно с этого поколения стала использовать т.н. service pack, массовые обновления ОС, загружаемые непосредственно с сайта производителя.

Операционная система UNIX первоначально разрабатывалась под многопользовательские, сетевые режимы работы, а значит сразу имела интегрированные средства информационной безопасности. Система строилась по принципу open source, и имела множество разработчиков и подвидов: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. В процессе эволюции каждая из систем учитывала новые сетевые угрозы и устраняла уже известные, в результате мир получил очень надежные системы, ядро который работает безукоризненно. А случающиеся сбои относятся к системным и прикладным утилитам, уязвимости которых и являются причиной проблем.

Основные компоненты безопасности операционных систем:

- локальный администратор безопасности - несет ответственность за несанкционированный доступ, проверяет полномочия пользователя на вход в систему, поддерживает:

а) аудит - проверка правильности выполнения действий пользователя;

б) диспетчер учетных записей - поддержка БД пользователей их действий и взаимодействия с системой;

в) монитор безопасности - проверяет имеет ли пользователь достаточные права доступа на объект;

г) журнал аудита - содержит информацию о входах пользователей, фиксирует работы с файлами, папками;

д) пакет проверки подлинности - анализирует системные файлы, на предмет того, что они не заменены. MSV10 - пакет по умолчанию.

- Windows XP дополнена:

а) можно назначать пароли для архивных копий;

б) средства защиты от замены файлов;

в) система разграничения путем ввода пароля и создания учета записей пользователя. Архивацию может проводить пользователь, у которого есть такие права;

г) NTFS: контроль доступа к файлам и папкам;

д) в XP, Vista и Seven - более полное и глубокое дифференцирование прав доступа пользователя;

е) EFS - обеспечивает шифрование и дешифрование информации (файлы и папки) для ограничения доступа к данным.

3.4.2 Криптографические методы защиты

Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.

Криптография занимается поиском и исследованием математических методов преобразования информации[18].

Современная криптография включает в себя четыре крупных раздела:

- симметричные криптосистемы;

- криптосистемы с открытым ключом;

- системы электронной подписи;

- управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

3.4.3 Шифрование дисков

Зашифрованный диск - это файл-контейнер, внутри которого могут находиться любые другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру - тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».

На сегодняшний день наиболее распространенные программы для создания зашифрованных дисков - DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.

Общие черты программ:[9]

- все изменения информации в файле-контейнере происходят сначала в оперативной памяти, т.е. жесткий диск всегда остается зашифрованным. Даже в случае зависания компьютера секретные данные так и остаются зашифрованными;

- программы могут блокировать скрытый логический диск по истечении определенного промежутка времени;

- все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл. Очень эффективный метод скрытия информации, хранящейся в своп-файле - это вообще отключить его, при этом не забыв нарастить оперативную память компьютера;

- физика жесткого диска такова, что даже если поверх одних данных записать другие, то предыдущая запись полностью не сотрется. С помощью современных средств магнитной микроскопии (Magnetic Force Microscopy - MFM) их все равно можно восстановить. С помощью этих программ можно надежно удалять файлы с жесткого диска, не оставляя никаких следов их существования;

- все три программы сохраняют конфиденциальные данные в надежно зашифрованном виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой прикладной программы;

- они защищают зашифрованные файлы-контейнеры от случайного удаления;

- отлично справляются с троянскими приложениями и вирусами.

3.4.4 Способы идентификации пользователя

Прежде чем получить доступ к ВС, пользователь должен идентифицировать себя, а механизмы защиты сети затем подтверждают подлинность пользователя, т. е. проверяют, является ли пользователь действительно тем, за кого он себя выдает. В соответствии с логической моделью механизма защиты ВС размещены на рабочей ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным способом. Поэтому процедуры идентификации, подтверждения подлинности и наделения полномочиями выполняются в начале сеанса на местной рабочей ЭВМ.

В дальнейшем, когда устанавливаются различные сетевые протоколы и до получения доступа к сетевым ресурсам, процедуры идентификации, подтверждения подлинности и наделения полномочиями могут быть активизированы вновь на некоторых удаленных рабочих ЭВМ с целью размещения требуемых ресурсов или сетевых услуг.

Когда пользователь начинает работу в вычислительной системе, используя терминал, система запрашивает его имя и идентификационный номер. В соответствии с ответами пользователя вычислительная система производит его идентификацию. В сети более естественно для объектов, устанавливающих взаимную связь, идентифицировать друг друга.

Пароли - это лишь один из способов подтверждения подлинности. Существуют другие способы.

Предопределенная информация, находящаяся в распоряжении пользователя: пароль, личный идентификационный номер, соглашение об использовании специальных закодированных фраз.

Элементы аппаратного обеспечения, находящиеся в распоряжении пользователя: ключи, магнитные карточки, микросхемы и т.п..

Характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства.

Характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать манипуляторы и т.д.

Привычки: использование специфических компьютерных заготовок.

Навыки и знания пользователя, обусловленные образованием, культурой, обучением, предысторией, воспитанием, привычками и т.п.

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычислительной системы. Если процедура установления подлинности является односторонней, такую процедуру называют процедурой одностороннего подтверждения подлинности объекта[10].

3.4.5 Специализированные программные средства защиты информации

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

Firewalls - брандмауэры (дословно firewall -- огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой. На рисунке 3.1 показан пример расположения сетевого экрана в сети.

Рисунок 3.1 - Пример расположение сетевого экрана в сети

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов [packet-filtering firewall] - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня [stateful inspecthion firewall] - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества (рис. 3.2). Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем. Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

Рисунок 3.2 - Экран как средство разграничения доступа

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис. 3.3).



Рисунок 3.3 - Обработка данных от имени адресата и возврат результата отправителю

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

3.4.6 Архитектурные аспекты безопасности

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная операционная система - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника. Последней - если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.

Межсетевой экран - идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, межсетевой экран способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (рис. 3.4). Первичная фильтрация осуществляется граничным маршрутизатором, за которым располагается так называемая демилитаризованная зона и основной МЭ, защищающий внутреннюю часть корпоративной сети.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

Вообще говоря, и внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников.

Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Рисунок 3.4 - Двухкомпонентное экранирование с демилитаризованной зоной.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным межсетевой экран являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.

При развертывании межсетевых экранов следует соблюдать рассмотренные нами ранее принципы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об эшелонированности обороны, а также о невозможности перехода в небезопасное состояние. Кроме того, следует принимать во внимание не только внешние, но и внутренние угрозы.

Выводы к разделу 3

В данной главе проведен анализ средств защиты информации в беспроводных информационно-телекоммуникационных системах

Можно сделать вывод что, к основным техническим средствам защиты относятся:

- адаптеры;

- точки доступа;

- мосты;

- маршрутизаторы;

- антенны.

В тоже время к основным механизмам защиты информации относятся:

- шифрование;

- аутентификация;

- межсетевой экран.

4. СТРАТЕГИЯ РАЗВИТИЯ И СОВЕРШЕНСТВОВАНИЯ ПОСТРОЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

Единственный верный подход с беспроводными решениями, так же как и с проволочными, это строить глубоко эшелонированную оборону сети. Уже давно известно, что защита любой инфраструктуры одними лишь методами создания охраняемого периметра неэффективна, поскольку чаще всего наиболее опасные атаки вызваны факторами внутри сети, например:

- собственные сотрудники;

- внедрены вредоносные программы (вирусы, трояны, черви, программы введены в сеть через зараженные веб-сайты);

- одноранговые коммуникации в канале связи;

- гости компании, получившие доступ к сети.

Построение системы безопасности сети Wi-Fi должно учитывать и все эти факторы, чтобы максимально приблизиться к похожим уровням безопасности проводной и беспроводной сегментов сети [28].

4.1 Основные компоненты для построения системы безопасности беспроводной сети

При построении системы безопасности беспроводной сети нужно использовать основные компоненты:

- контроль доступа;

- аутентификация пользователей;

- шифрование трафика;

- система предотвращения вторжений в беспроводную сеть;

- система обнаружения чужих устройств и возможности их активного подавления;

- мониторинг искажения сигналов и DoS-атак;

- мониторинг уязвимостей в беспроводной сети и возможности аудита уязвимостей;

- функции повышения уровня безопасности инфраструктуры беспроводной сети, например, аутентификация устройств (Х.509 и т.п.), защита данных управления - MFP / Management Frame Protection.

4.2 Основные задачи при построении глубокоэшелонированной защиты

При построении многоуровневой (глубокоэшелонированной) обороны беспроводной сети, нужно обеспечить три основных задачи:

- обеспечение контроля доступа - знание того, кто находится в сети (аутентификация), какие ресурсы пользователь может использовать, применение политик контроля доступа для трафика этих пользователей.

- целостность и надежность - обеспечение того, что сама сеть доступна как ресурс критичный для бизнеса и что возникающие опасности разного рода могут быть идентифицированы и найдены и применены пути их обхода.

- обеспечение секретности - обеспечение того, что трафик на сети не доступен для неавторизованных пользователей.

Компания Аруба, один из ведущих разработчиков решений для WLAN в мире, предложила шесть стратегий для архитекторов проектов, которые обозначают подходы к повышению общего уровня безопасности беспроводной сети и построения глубокоэшелонированной обороны:

Стратегия 1: Аутентификация и авторизация всех пользователей сети.

Стратегия 2: Конфигурировать VLAN-ы для разделения трафика (например гости/сотрудники, высокий уровень доступа/низкий уровень доступа и т.п.) и введения первичного, грубого сегментирования.

Стратегия 3: Использовать межсетевые экраны на уровне портов для формирования более тонкого уровня безопасности.

Стратегия 4: Использовать шифрование на всей сети для обеспечения секретности.

Стратегия 5: Определять опасности целостности сети и применять методы решения этих проблем.

Стратегия 6: Включить обеспечение безопасности конечных устройств в общую политику безопасности.

4.2.1 Аутентификация и авторизация всех пользователей сети Wi-Fi

Стартовой точкой создания любой инфраструктуры с глубокоэшелонированной обороной является аутентификация. Аутентификация должна применяться на самой ранней начальной точке входа любого пользователя или устройства в сеть на уровне порта еще до получения IP-адреса. После положительного прохождения аутентификации должна быть пройдена авторизация, которая дает возможность понять, кто этот аутентифицированный пользователь, что он может делать в сети, куда он может получать доступ. На рисунке 4.1 показан принцип аутентификации.

Рисунок 4.1 - Принцип аутентификации

Стандарт предлагает использовать гибкое решение - 802.1х, которое поддерживает большое количество протоколов аутентификации от цифровых сертификатов до методов с логином/паролем. Также 802.1х поддерживается большим количеством платформ --от КПК и смартфонов до настольных компьютеров и серверов. Модуль 802.1х встроен в последние версии Windows и MacOS, а также во многие операционные системы для смартфонов.

Подробнее о IEEE 802.1x. 802.1x - это система, стандартизованная IEEE и адаптированная рабочей группой 802.11i для формирования контроля доступа c основой на создании портов.

Некоторые детали:

- процесс ассоциации 802.11 создает виртуальный порт для каждого клиента WLAN на ТД;

- ТД блокирует все фреймы данных, которые не соответствуют трафику 802.11х;

- 802.1х-фреймы переносят (туннелируют) пакеты аутентификации EAP, которые перенаправляются Точкой Доступа (или контроллером WLAN в централизованной архитектуре) к серверу ААА;

- если аутентификация на базе EAP прошла успешно, ААА-сервер отправляет к ТД сообщение успешного завершения (EAP success), затем уже ТД разрешает трафику данных от клиента WLAN пройти через виртуальный порт;

- еще до открытия виртуального порта устанавливается шифрование канала обмена данными между клиентом WLAN и ТД, чтобы гарантировать, что никакой другой клиент WLAN не сможет получить доступ к этому установленному виртальному порту для данного клиента, который проходит аутентификацию.

Рекомендации по использованию протокола EAP.

Используйте методы 802.1х EAP, которые включают в себя создание шифрованных туннелей. Например это:

- EAP-PEAP,

- EAP-TLS,

- EAP-TTLS.

Не используйте протоколы типа EAP, которые не поддерживают туннелирование, например EAP-MD5 или LEAP.

Рекомендации по использованию суппликантов 802.1х

Надо быть аккуратными при использовании суппликантов 802.1х. Многие суппликанты предоставляют опции:

- для проверки серверных сертификатов;

- для настройки доверия только определенным серверам аутентифкации;

- для настройки доверия только сертификатам определенных авторизованных центров сертификации (CA/Certificate Authorities);

- для разрешения конечному пользователю добавлять новые доверенные сервера или СА.

Для достижения наивысшего уровня безопасности всегда используйте наиболее жесткие ограничения. Серверный сертификат всегда должен проверяться на стороне клиента. Клиент должен доверять только ограниченному набору СА. Для большей безопасности лучше, если это будет СА внутри корпоративной сети под максимальной защитой, нежели внешний публичный СА. Конечному пользователю не надо разрешать (надо запрещать) добавление новых доверенных серверов аутентификации или СА.