Исследование направлений повышения защищенности беспроволочных информационно-телекоммуникационных сетей

Построение глубокоэшелонированной обороны может быть успешным только в случае реализации авторизации пользователей после успешной аутентификации. Критично важно, что привилегии пользователя на сети варьируются не только на уровне его персональной идентификации, но и на таких более интеллектуальных факторах, как:

- идентификация устройства пользователя;

- текущий уровень безопасности этого устройства;

- местоположение пользователя;

- время суток;

- использовавшийся метод аутентификации.

Например, пользователь, проверяющий свой корпоративный ящик с домашнего компьютера в выходной, может получить доступ к почте только, если домашний компьютер имеет и использует подходящую версию межсетевого экрана и антивируса с последним обновлением базы данных. В случае несоответствия пользователь может быть перенаправлен на страницу для скачивания такого ПО, чтобы получить доступ в сеть в соответствии с политикой безопасности. Или использование определения местоположения пользователя позволяет применить такие правила, как ограничение его доступа к приложениям, содержащим конфиденциальные сведения, из небезопасных мест, например, корпоративного кафе.

На практике очень удобно, когда весь необходимый функционал аутентификации, идентификации, авторизации и т.п. собран в одном устройстве с удобным интерфейсом управления. На момент написания данной статьи наиболее продвинутое решение имеет компания Cisco Systems - это Cisco ISE/Identity Services Engine [30].

4.2.2 Использование VLAN-ов для разделения трафика и введения сегментирования

VLAN-ы (Virtual Local Area Network) по своей природе - это немаршрутизируемые сегменты трафика. В большинстве современных зданий приходится обеспечивать довольно большие объемы маршрутизации IP-трафика, чтобы связать отдельные сегменты сети, построенные на VLAN-ах. В кампусах роутингом приходится заниматься еще больше. В итоге с большим количеством VLAN-ов часто можно наблюдать возникновение проблем с управляемостью такой системой. И сложности могут только нарастать при добавлении сети WLAN (Wireless Local Area Network) в инфраструктуру. Для упрощения можно использовать методы поддержания мобильности между разными SSID, а также стремиться сохранить текущую схему IP-адресации. Важно, чтобы выбранное решение WLAN обеспечивало работу с множеством различных VLAN вокруг(позади) одного SSID. Это дает возможность реализовывать различные политики безопасности внутри инфраструктуры основываясь на результатах авторизации пользователя не нагружая пользователя, при этом, сложными правилами. Например чтобы получить доступ к сервисам в зоне-Х надо использовать SSID-X и метод аутентифкации Х, а к сервисам в зоне-Y, надо искать SSID-Y и аутентификацию Y. Все политики могут быть реализованы прозрачно и просто для пользователя. В настоящее время это уже довольно обычный функционал в современных централизованных решениях вендоров высокого уровня. На рисунке 4.2. показан пример использования VLAN.

Рисунок 4.2 - Использование VLAN

Стратегии Безопасных VLAN-ов. Ключ к успешному безопасному использованию VLAN-ов это динамическое их назначение. Динамическое назначение является критическим требованием для создания управляемых сетей. Статическое назначение будет вызывать долгосрочные проблемы с поддержкой и препятствовать возможностям мобильности конечных пользователей. Путем введения процедуры аутентификации в любой точек доступа в сеть безопасная ИТ-инфраструктура может поддерживать быстрые изменения и перемещения сотрудников поодиночке или целыми отделами с минимальными затратами.

Существует множество путей для динамического назначения VLAN-ов, например:

- основываясь на аутентификационной информации 802.1х;

- основываясь на информации из веб-аутентификации;

- в соответствии с SSID, выбранным пользователем в беспроводной сети;

- основываясь на выявлении какого-либо другого аттрибута, как, например, МАС-адрес устройства, тип устройства, статус текущего состояния безопасности устройства, местоположение пользователя и т.п..

Введение динамического назначения VLAN-ов требует наличия механизма предоставления авторизационной информации во время аутентификации. В некоторых случаях это может поддерживаться в ручном режиме или используя дополнительные возможности, как, например, списки пользователей с информацией об их возможностях. В случае использования нескольких SSID на сети пользователь запрашивает разрешения на доступ в определенную сеть (или сегмент сети) и затем проходит аутентификацию. При использовании аутентификации 802.1х у пользователя нет возможности запросить доступ в определенный VLAN, что означает, что такая информация (о VLAN-е куда пользователь должен быть направлен) должна быть сохранена на сервере, который выполняет 802.1х аутентификацию пользователей (например какой-либо RADIUS-сервер с соответствующим функционалом ). Также, как мы говорили ранее, информация по VLAN-у может быть модифицирована в ходе присоединения к сети WLAN на основании другой информации, например местоположения пользователя и т.п..

4.2.3 Межсетевые экраны на уровне портов

Использование VLAN-ов может быть достаточно для грубой классификации пользователей сети. Но для реальной защиты ценных ресурсов к каждому пользователю должны применяться многосторонние политики управляемые сетевой инфраструктурой. Многие сетевые инженеры пришли к такому же заключению и начали использовать периметральные межсетевые экраны также и внутри сети для того чтобы применять политики безопасности не только в месте выхода в Интернет. Но существует много проблем использования межсетевых экранов внутри сети для исполнения политик безопасности, например:

1 Не проходят пакеты с аутентификационной информацией. Когда межсетевой экран, расположенный глубоко внутри сети, должен принимать решение о доступе, то возникает проблема того, что решение должно приниматься на крайне ненадежной информации (прежде всего на базе IP-адреса откуда пришел запрос) или надо будет ввести еще одну точку остановки для того, чтобы выполнить аутентификацию на этом межсетевом экране. Существует много пропраитарных (собственное ноу-хау вендоров) решений для обходы этих проблем, но типичный подход это использование VPN-ов с аутентифкацией и шифрованием. Это далеко не самый простой, гибкий и удобный способ.

2 Межсетевых экранов внутри сети всегда не хватает, т.к. часто мы имеем большие объемы трафика перетекающие от одной точки на границе сети к другой и пропускать все это через экраны внутри очень дорого. Контроль должен быть привязан к точке входа в сеть, это крайне важно. В настоящее время доступны технологии, такие как 802.1х (помните Стратегию 1) и мощные межсетевые экраны с высокой плотностью портов, что переводит цель применения политик безопасности на уровне портов в экономически обоснованную плоскость.

Существуют две основные проблемы реализации тонкого контроля доступа:

- управление процессом

- экономика:

Хотя уже сейчас есть производители коммутаторов LAN, которые производят недорогие свичи с поддержкой 802.1х на портах, например Cisco Systems.

Стратегии применения тонкого контроля доступа. Любая политика безопасности должна начинаться с определения политики. Хотя технологии решают много проблем, но сложность определения политики никогда не менялась и должна быть проработана в первую очередь. Если политика безопасности для внутренней части сети не может быть определена и согласована нет оснований для движения дальше. Политика безопасности должна основываться:

- на ролях и ресурсах,

- определять кто имеет право доступа и к каким ресурсам,

- как может пользователь получать доступ к ресурсам (чтение, запись, выкладывать туда что-то, получать отттуда что-то и т.п.)

- время суток, когда и к каким ресурсам пользователю разрешен доступ,

- местоположение пользователя.

Хороший рабочий подход состоит в том, чтобы формировать политику безопасности на уровне портов с использованием беспроводной сети доступа. Т.к. безопасность беспроводной сети основывается на идентификации пользователя и, при этом, пользователи не ассоциируются более с физическими портами. Современные решения для беспроводных сетей интегрируют функционал исполнения политик безопасности напрямую внутрь системы WLAN.

Это позволяет говорить о том, что использование технологии Wi-Fi, как основного безопасного, удобного и надежного доступа, логичнее и целесообразнее, чем проводного.

4.2.4 Использование шифрование на всей сети

Неприкосновенность данных, передаваемых по корпоративным сетям, становится серьезной проблемой. Учитивая что сама сеть несет закрытые данные существует очень серьезная необходимость защиты этих данных от случайного или намеренного перехвата и раскрытия. Это очевидная проблема и для WLAN, практически все сетевые инженеры, принимающие решение о развертывании беспроводного решения, предпочитают использование мощного шифрования. Шифрование трафика может быть применено на любом уровне модели OSI/ISO. Для многоцелевых решений имеет смысл вводить шифрование ниже по уровням, чтобы покрыть все возможные приложения на сети. Чем ниже включается шифрование, тем больше трафика будет шифроваться и тем меньше вероятность того, что возникнет проблема перехвата, прослушивания и дискредитации информации. Хотя и здесь надо подходить к вопросу разумно, т.к. при совсем низких вариантах применения шифрования данные передаются фактически в открытом виде от приложения до ближайшего линка, на котором выполняется шифрование и здесь уже вероятность дискредитации растет. Возможный подход связан и с шифрованием на уровне приложений, тогда трафик будет зашифрован на всем пути коммуникаций между клиентом и сервером приложения. Но это означает, что и клиент и сервер должны поддерживать шифрование, что может быть очень тяжелой и дорогой задачей.

Сложности при введении в сеть механизмов обеспечения секретности. Когда анализируется формирование механизмов обеспечения секретности в сети с точки зрения обеспечения глубокоэшелонированной обороны, обычное направление мысли это введение шифрования внутрь всей сети. Стандарт IEEE 802.11i это очень хорошая помощь при разработке обеспечения секретности для WLAN. В то же время для проводных сегментов альтернативы не настолько прозрачны. К сожалению 802.11i не применим для проводной сети.

Стратегии при введении в сеть механизмов обеспечения секретности. Для беспроводных сетей введение обеспечения секретности передачи информации довольно простая задача. IEEE 802.11i это стандарт для обеспечения безопасности сети WLAN. Он точно описывает как обеспечивать секретность и целостность данных на сети WLAN с использованием специальных алгоритмов шифрования трафика и методов аутентифкации, основанных на 802.1х (см. Стратегию 1). При возникновении задачи обеспечения безопасности и шифрования на беспроводной сети начинать надо с решений, построенных на стандарте 802.11i и обладающих высокой интероперабельностью с другими беспроводными элементами.

4.2.5 Определение опасности целостности сети Wi-Fi

Существуют три основных вопроса безопасности:

- контроль доступа,

- обеспечение секретности (шифрование),

- обеспечение целостности.

Последний, как правило, вызвает наименьший интерес, т.к. определение опасностей на сети может быть очень сложным делом. Некоторые опасности могут быть легко выявлены и решены, в то время как другие очень сложны в детектировании и противодействии. Во многих компаниях ИТ-службы фокусируются на подходах противодействия опасностям на принципах «строим межсетевые экраны», но опасности могут прийти откуда угодно: черви и вирусы, гости компании с доступом в беспроводную сеть, неаккуратные сотрудники или сотрудники со злым умыслом внутри компании.

Обычно все начинается с использования IDS / Intrusion Detection System (системы обнаружения вторжений) и идентификации опасностей с ее помощью. IDS это очень ценный инструмент в арсенале аналитика сетевой безопасности, но многие корпорации обнаружили, что IDS часто не слишком удобна для прямого определения опасности и противодействия непосредственной угрозе. Часто IDS скорее работает как анализатор протоколов: это инструмент диагностики и идентификации проблем для аналитика больше чем Первая линия обороны против атак на целостность сети. Вендоры систем безопасности предлагают большой выбор продуктов для обеспечения безопасности от IPS или IDS (Intrusion Detection System) до межсетевых экранов уровня приложений и весьма специфичных инструментов, которые разрабатываются для борьбы с определенными типами опасностей, например сетевых червей. Даже более приземленные компоненты, такие, например, как сканнеры вирусов перемещаются на сетевые устройства, пытаясь отловить вирусы «на лету» во время передачи трафика по сети.

Наибольшая проблема в управлении безопасностью сети это определение адекватного баланса между риском и затратами. По продуктамм для безопасности довольно сложно определять показатели возврата инвестиций (ROI). Очевидно, что все надеятся получить защиту от полного выхода сети из строя, но добавляя инструменты проверки целостности в сеть очень сложно получить хорошую метрику того, насколько менее часто сеть становится недоступной или деградирует именно по проблемам безопасности. Наиболее часто возникающая проблема при развертывании продуктов обеспечений целостности сети (например IPS) это высокий уровень распределенности большинства сетей. Если в силу дизайна сети нет возможности видеть трафик, то нет возможности определять опасности и аномальное поведение(например в коммутируемой сети трафик не виден на всех портах свичей и для обхода необходимы специальные действия - например конфигурация зеркалирования типа SPAN и т.п.). Когда анализируются зоны развертывания инструментов целостности порой возникают проблемы с оценкой опасности риска как такового. Успешная интеграция таких инструментов требует понимания, о каких опасностях идет речь и что необходимо делать, чтобы их выявить. Пока риск в общем не ясно как измерять, то можно просто составить список опасностей, начальную стратегию решения проблем и т.д.. Это позволит начать движение к определению верной стратегии по гарантированию целостности сети.

Стратегии обеспечения целостности сети (Integrity).

Наиболее успешные стратегии будут определять зоны наивысшего риска и сначала концентрироваться именно на них. Это половина пути в верном направлении. Вторая половина фокусируется на решении таких задач как борьба с троянами, вирусами, вредоносным ПО и т.п.. Эти опасности могут вызвать не только деградацию сети и производительность, но и давать доступ к закрытой информации или вызывать полный отказ в обслуживании. Риск инфицирования очень высок и риск для сети также высок в случае инфицирования. Поэтому в корпорациях уже нормальная практика иметь стратегии идентификации вирусов и противодействия им. Те кто пока не добавил модули определения вредоносного ПО или шпионских программ в антивирусные программы должны сделать это как можно скорее, т.к. риск слишком велик.

Большинство межсетевых экранов имеют ограниченные возможности IPS, например защита от атак типа DoS / Denial of Service (отказ в обслуживании). Хотя для реализации такого функционала требуется некоторое дополнительное конфигурирование такие устройства могут увеличить уровень защиты сети от атак на целостность без дополнительных затрат и с малым дополнением к операционным затратам. Хотя распределенные сети являются типовом подходом при проектировании возможно стоит задуматься о стратегии большей централизации, когда осознанно вызникает необходимость заниматься мониторингом целостности сети и идентифицировать соответствующие опасности. Например отправка всего трафика в основной Датацентр и использование для этого в центре небольшого количества свичей и маршрутизаторов даст возможность как обеспечения недорогого мониторинга сети, так и, когда возможно, развернуть системы типа IPS.

4.2.6 Обеспечения безопасности конечных устройств Wi-Fi в общую политику безопасности

Пользовательские устройства Wi-Fi здесь это широкий диапазон от корпоративных ноутбуков, полностью контролируемых ИТ-службой, до различных собственных устройств инфицированных всем чем угодно. Пользователь, который успешно прошел идентификацию, должен получать различные привилегии в зависимости от системы (устройство, операционная система, статус безопасности и т.п.), которая используется для доступа. ИТ-службы обычно имеют представление о данной проблеме безопасности конечных устройств и имеют такие инструменты, как антивирусное ПО, персональные межсетевые экраны на пользовательских устройствах, система управления обновления на новые релизы ПО (patch management). Следующий шаг это проверка: исполнение политик относительно безопасности конечного устройства путем изменения условий доступа в сеть основываясь на выявленном статусе безопасности конечной системы. Здесь используется одна простая идея - определять статус безопасности конечного устройства (posture) и применять эту информацию для контроля доступа.

Сложности в исполнении политик безопасности на конечных устройствах.

Существую следующие наиболее сложные проблемы исполнения политик безопасности основываясь на статусе безопасности конечных устройств(posture):

- основная проблема это большое колечество систем, используемых в корпоратиынх сетях. Соответственно загрузка и исполнение специального ПО на каждую систему для проведения анализа безопасности это упражнение с неоднозначным результатом, при котором стоит надеятся на смешанные результаты,

- еще одна проблема это гранулярность анализа. Например, если анализ конечной системы показал, что требуемый персональный межсетевой экран загружен в систему, но база данных сигнатур устарела - система отвечает требованиям политики безопасности или нет ? В то же время процедура определения уровня безопасности (posture) может реагировать по разному и учитывать, например, кто есть пользователь и какие ресрусы он может использовать. Соответствие статуса безопасности политике может быть сложно для определения без учета других факторов, например определенной бизнес-логики.

Стратегии в исполнении политик безопасности на конечных устройствах.

Для использования информации о статусе безопасности конечных систем внутри общих политик безопасности, учитывающих состояния, определение каждой политики должно включать уровень соответствия статуса безопасности конечного устройства. Хорошая практика состоит в уменьшении объема анализа безопасности конечной системы и сведение его к зоновым определениям, поддерживая количество зон насколько возможно малым - три или четыре зоны должно быть достаточно для большинства компаний. Вторая хорошая практическая идея состоит в том, что если пользователь пытается получить доступ в сеть, но статус безопасности его системы не отвечает политике простое блокирование этого пользователя далеко не всегда лучший выход. Вместо этого пользователь должен получить соединение и должен быть перенаправлен в карантинную зону сети, где он может скачать необходимое ПО (антивирус, межсетевой экран и т.п.) или провести обновление баз данных, чтобы выйти на допустимый уровень безопасности персональной системы. Затем уже этот пользователь может получить полный доступ к его корпоративным ресурсам.

ПЕРЕЧЕНЬ ССЫЛОК

1 Рошан П. Лиэри Д. Основы построения беспроводных локальных сетей стандарта 802.11 / Педжман Рошан, Джонатан Лиери; [пер. с английского, М - Издательский дом «Вильямс»] Москва, 2004 - 304 с. - ISBN 5-8459-0701-2 (рус.)

2. Гейер Джим. Беспроводные сети: Первый шаг. / Джим Гейер; [пер. с английского, М - Издательский дом «Вильямс»] Москва, 2005 - 192 с. - ISBN 5-8459-0852-3 (рус.)

3 Владимиров А.А. Wi-Fi: «боевые» приемы взлома и защиты беспроводных сетей / Андрей А. Владимиров, Константин В. Гавриленко, Андрей А. Михайловский; пер. с англ. АА. Слинкина. М.: НТ Пресс, 2005. -- 463с.

4 Гордейчик С. В. Дубровин В.В. Безопасность беспроводных сетей. - М. Горячая линия - Телеком, 2008, - 288 с.

5 Вишневский В., Ляхов А., Портной С., Шахнович И. Широкополосные беспроводные сети передачи информации. - М.:Эко-Трендз, 2005. - 592 с.

6 ITU-R Recommendation P.452// Prediction procedure for the evaluation of microwave interference between stations on the surface of the Earth at frequencies above about 0.7 GHz..

7 ITU-R Recommendation P.1410// Propagation data and prediction methods required for the design of terrestrial broadband millimetric radio access systems.

8 ETSI EN 301021 v1.4.1 (2001/03) Fixed Radio Systems// Point-to-multipoint equipment; Time division Multiple access (TDMA); Point-to-Multipoint digital radio systems bands in the range 3 GHz to 11 GHz.

9 Title 47, part 15, Cсылка интернет ресурса, использовалась 01/07/12 в 15:11 http://www.fcc.gov/Bureaus/Engineering_Technology/Documents/ cfr, Federal Communications Commission.

10 Falconer, D. and Ariyavisitakul, S. L., Frequency Domain Equalization for 2.11 GHz Fixed Broadband Wireless systems,. Tutorial, presented during Session #11 of IEEE 802.16 in Ottawa, Canada, Jan. 22, 2001.

11 Wolf, J. K., and Zehavi, E., P2 codes: Pragmatic trellis codes utilizing punctured convolutional codes,. IEEE Communications Magazine, February 1995, pp. 94.99.

12 U. K. Dept. of the Environment, Transport and the Regions, Digest of environmental Statistics, 15/3/2001,

13 IEEE 802.11a-2010: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: High Speed Physical Layer in the 5 GHz Band, http://standards.ieee.org/reading/ieee/ std/lanman, select 802.11a-2010.pdf

14 ITU-R Recommendation F.1399// Vocabulary of terms for wireless access

15 адрес интернет ресурса использованный 15/08/12 в 02:41 http://www.fcc.gov/Bureaus/Engineering_Technology/Documents/ cfr, Federal Communications Commission.

16 Erceg, V., et al., Channel models for fixed wireless access applications.

17 CEPT/ERC/REC 70-03 Relating to the use of short range devices (SRD)

18 Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого - СПб.: СПбГУ ИТМО, 2004. - 161 с.

19 Лапонина О.Р. Криптографические основы безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 320 c.: ил.

20 Журнал «Компьютерра» №2 (766) январь 2009 г.

21 Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.

22 Балдин В.К., Уткин В.Б. Информатика: Учеб. для вузов. - М.: Проект, 2003. - 304 с.

23 Бэнкс М. Информационная защита ПК (с CD-ROM). - Киев: "Век", 2001. - 272 с.

24 Лапонина О.Р. Криптографические основы безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 320 c.: ил.

25 Вихорев С. В., Кобцев Р. Ю. Как узнать - откуда напасть или откуда исходит угроза безопасности информации // Защита информации. Конфидент, № 2, 2002.

26 Вычислительные системы, сети и телекоммуникации: Учебник. - 2-е изд., перераб. и доп. / Под ред. А.П. Пятибратова. - М.: Финансы и статистика, 2003.

27 Галатенко В.А. Стандарты информационной безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил

28 Wireless LANs - - Security measures. I. Mouchtaris, Petros. II. Title TK5105. 59. A54 2007 005.8- -dc22

29 Рошан Педжман, Лиэри Джонатан. Основы постороения беспроводных локальных сетей стандарта 802.11. : Пер. с англ. - М.: Издательский дом «Вильямс», 2004. -304 с.

30 Максим М. Безопасность беспроводных сетей / Мерит Максим, Дэвид Полино; Пер. с англ. Семенова А.В. - М.: Компания АйТи; ДМК Пресс, 2004.- 288с.

31 адрес интернет ресурса использованный 21/10/11 в 14:25 http://ru.wikipedia.org/wiki/Wi-Fi

32 адрес интернет ресурса использованный 21/10/11 в 14:32 http://dic.academic.ru/dic.nsf/atom/515

33 адрес интернет ресурса использованный 21/10/12 в 14:40 http://citforum.univ.kiev.ua/security/articles/wireless_sec/

34 Cсылка интернет ресурса, использовалась 21/10/12 в 15:11 http://ru.wikipedia.org/wiki/IEEE_802.11а

35 Cсылка интернет ресурса, использовалась 21/10/12 в 15:27 http://ru.wikipedia.org/wiki/IEEE_802.11g

Размещено на Allbest.ru