Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

УКРЕПЛЯЕМ ОБОРОНУ

О преимуществах

и недостатках беспроводных систем

Интенсивное развитие беспроводных систем связи, наблюдающееся в последнее время, обусловлено целым рядом причин и в первую очередь преимуществами, которые предоставляют такие решения.

Среди них:

• невысокая стоимость внедрения;

• быстрота развертывания;

• мобильность пользователя;

• достаточно высокая скорость передачи данных.

Дополнительным стимулом для внедрения беспроводных технологий стало упрощение процедуры лицензирования для так называемых “открытых” частот в диапазоне 2,4 ГГц и наметившаяся тенденция к использованию для коммерческого употребления дополнительных диапазонов.

Однако то, что в подобных системах используется для передачи открытая среда распространения, которой являются радиоволны, вводит ряд ограничений. Одно из них – защита передаваемой информации. Как и в любой информационной системе, это сложная комплексная задача. И ее решение обычно включает аудит, разработку политики безопасности, организационные мероприятия и внедрение различных технических решений.

Все методы защиты условно можно разделить на организационные и технические.

Организационные методы включают в себя стратегическое и тактическое планирование мероприятий, направленных на обеспечение безопасности; планирование и проведение восстановительных или предупредительных работ; обучение персонала; отработку реакции на нарушение режима безопасности; физическую защиту помещений и радиотехнического оборудования.

Технические методы основаны на использовании встроенных аппаратных возможностей оборудования (перестройка по частоте, настройка по мощности, юстировка антенн и др.), заложенных в стандарте IEEE 802.11b, физических принципов распространения радиоволн и работы радиооборудования, применении внешних средств типа Firewall, AAA-сервера, протокола AEP, службы RADIUS и т. д.

Следует заметить, что только грамотное сочетание технических решений, квалификации проектирующей организации и внедрение определенного плана организационных мероприятий позволит максимально защитить сеть, поэтому для более или менее масштабных проектов сетей привлекается системный интегратор, имеющий соответствующий опыт работы.

От того, на какой стадии постановки задачи безопасности это будет сделано, зависит эффект, который будет достигнут.

По разные стороны баррикад

Чтобы проанализировать возможности проникновения в радиосеть, попробуем поставить себя на место потенциального злоумышленника.

Он имеет возможность осуществить:

• блокировку радиосети, уменьшить ее пропускную способность практически до нуля;

• прием и перехват информации, передаваемой по радиоканалу;

• несанкционированную работу в режиме приема-передачи на правах “обычного” абонента.

Рассмотрим более подробно эти виды атак и способы борьбы с ними.

Блокировка радиосети

Этот вид атаки наиболее легкий для злоумышленника. Вопрос же о цели, ради которой может носится скорее к разряду философских и к области психологии.

Важно определить, на что нацелено воздействие злоумышленника. В наиболее распространенных случаях – в радиосетях стандарта IEEE 802.11b чаще всего такой целью оказывается логический центр сети, хотя это

может быть и периферийное устройство.

В общем случае злоумышленник может использовать те же радиосредства, которые применяются в блокируемой сети, затем подобрать частоты и другие настройки по аналогии с этой сетью. Так, в открытом для широкого “безлицензионного” применения диапазоне 2,4 ГГц осуществить такую атаку несложно, и она не потребует особых затрат.

Для злоумышленника с экономической точки зрения проще всего “забить” или “заглушить” частоты, используемые в блокируемой радиосети, а также осуществить прием и ретрансляцию принятой информации с задержкой от нескольких миллисекунд до нескольких часов. В данном случае действия злоумышленника строятся на особенностях стандарта IEEE 802.11b (таких, как время ожидания занятия эфира, повтор сообщения переданного в условиях коллизий и т. п.). Как это ни парадоксально, эффект от таких действий может быть очень серьезным. К примеру, вторжению подверглась банковская сеть и злоумышленник повторяет “изначально верное” сообщение с запросом на перевод денег через полчаса еще раз, затем еще раз и еще... Представим, что произойдет, если банковская система отработает эти сообщения как “верные”.

Заметим, что данный метод атаки требует от злоумышленника определенной смелости, поскольку вынуждает его обнаруживать себя в радиоэфире.

Какие ответные действия может противопоставить этим атакам персонал защищаемой радиосети.

Противодействовать “глушению” можно только с помощью МВД и Госсвязьнадзора РФ. Хотя мониторингом радиоэфира занимаются еще органы ФАПСИ и МО, но воспользоваться их услугами может далеко не каждая организация.

Раз уж нельзя активно противодействовать “глушению”, то в качестве ответных мер владелец радиосети может предусмотреть проведение ряда организационно-технических мероприятий, которые могут быть осуществлены без особого труда. К таким мероприятиям следует отнести:

• постоянный мониторинг состояния радиоэфира в своей полосе частот, как минимум в месте размещения центра сети или базовой станции (каждой из них, если их несколько);

• периодический контроль “отклика” каждой периферийной станции – контролировать состояние радиоэфира по всем периферийным точкам нереально, а эта процедура может быть реализована достаточно просто.

Противодействие ретрансляции “своих же” сообщений, нацеленных на сбой системы синхронизации радиосети стандарта IEEE 802.11b (использование коллизий злоумышленником), возможно осуществить только с помощью МВД и Госсвязьнадзора.

Прием и перехват

информации

Природа радиоволн не позволяет обеспечить 100-процентную защиту от этого вида атаки. Тем не менее некоторые физические аспекты распространения радиоволн могут быть использованы дляавление работ связано с аппаратно-техническими средствами. Главное здесь – грамотно спроектировать и установить оборудование радиотракта, то есть тип и параметры антенны должны быть тесно увязаны с параметрами передатчика и требуемой зоной покрытия радиосети. Нет нужды использовать излишне мощные системы, а при возможности выбора между всенаправленной антенной и узко направленной надо отдать предпочтение последней.

Основная задача проекта радиосети – грамотный выбор технических средств. В таблице приведены параметры различных антенн, в том числе и ширина диаграммы направленности (ДН).

Информационная защита с помощью аппаратно-программных средств, таких, например, как Firewall, AAA-сервер, протокол AEP, служба RADIUS и т. д. – это второе направление работ.

Применение ряда мер позволяет менять идентификаторы сети и ключи шифрования как в плановом порядке, так и через случайные промежутки времени.

Если злоумышленник имеет возможность принимать зашифрованные данные из радиоканала, то следует предположить, что он может их декодировать, хотя это зависит от наличия у него мощных вычислительных средств, специального ПО и хакерской квалификации.

Практически все поставщики оборудования для радиосетей стандарта IEEE 802.11b предлагают как оборудование с WEP-ключом (Wired Equivalent Privacy) шифрования 40(64)-бит и 128 бит, так и с возможностью отключения WEP-ключа. Следует учитывать, что по имеющимся данным 40(64)-битный ключ может быть декодирован менее чем за час с использованием обычного персонального компьютера. Применение 128-битного ключа более предпочтительно, но и он тоже может быть вскрыт, только на это потребуется больше времени. Из сказанного следует, что необходимо предусмотреть организационно-технические меры по смене ключей. Периодичность и организация смены ключей зависит от специфики каждого конкретного случая.

Какого-либо универсального правила, касающегося смены ключей или выбора средств шифрования, не существует, но с помощью системного интегратора здесь можно достичь определенного оптимального соотношения стоимость/безопасность. Решающий фактор при выборе подхода – соотношение времени смены ключей и времени на его декодирование. Естественно, время смены ключей должно быть меньше, тем самым исключается целесообразность дешифровки ключей для их использования, например, при попытках проникновения в сеть.

Можно рекомендовать следующие основные меры по обеспечению информационной защиты:

• ведение учета и документирование всех использованных ранее и применяемых в настоящее время настроек основных параметров радиосети, в том числе и тестовых;

• использование в режиме тестирования только тестовых идентификаторов;

• обязательное проведение так называемого предварительного тестирования на столе;

• при подключении новых периферийных устройств, выполняемом при работающей сети, ввод всех необходимых предварительных установок должен осуществляться заранее, а процесс юстировки антенны следует мо, ни в коем случае нельзя отказываться от применения WEP-ключей в рабочем режиме.

Главная рекомендация, которую следует безукоризненно выполнять, заключается в том, что абсолютно все действия должны документироваться самым подробным образом. Не секрет, что ЧП и нарушения информационной безопасности могут произойти когда угодно, и только подробные записи в журнале учета помогут найти место прокола и исключить повторение подобных случаев в дальнейшем.

Стандарт IEEE 802.11b действует только на канальном уровне, следовательно, существует возможность закрытия информации на пакетном и прикладном уровнях, но в данной статье эти варианты не рассматриваются.

Несанкционированный вход

в сеть

Практически несанкционированный вход в сеть – это единственная опасность, с которой можно бороться сравнительно легко и стандартными для проводных сетей средствами.

Все, что ранее говорилось об использовании WEB-алгоритмов шифрации трафика, справедливо и здесь. Поэтому акцентируем внимание на “стандартной” возможности компьютерных и радиосетей – организации VLAN.

С одной стороны, виртуальная подсеть внутри радиосети – уже дополнительная защита от проникновения, но эта же подсеть может быть искусственно введенным порогом защиты для этого периферийного абонента.

В том случае если владелец радиосети готов вкладывать средства в дополнительное оборудование для информационной защиты, то уместно говорить об использовании аппаратуры контроля или мониторинга состояния эфира. Речь идет о таком оборудовании, которое нельзя отнести к разряду дешевых средств, а именно об анализаторе спектра. Кстати, он будет полезен при первичной настройке каждой периферийной станции.

Анализатор спектра позволяет в реальном масштабе времени отслеживать ситуацию с использованием эфира в диапазоне частот защищаемой радиосети и смежных полосах частот. Он позволяет определить усредненный уровень мощности сигнала от периферийных станций, а применение отдельной поворотной антенны дает возможность отследить направление радиосигнала, идущего от передатчика, работающего на частоте радиосети. Пример индикации анализатора спектра представлен на рисунке.

Учитывая, что злоумышленник не может знать о требуемых настройках параметров комплекта оборудования, нужных, для того чтобы по уровню сигнала в точке приема “сравняться” со всеми остальными станциями в радиосети, сигнал злоумышленника будет неизбежно отличаться по уровню в ту или иную сторону. Обычно речь идет о явном превышении!

Это превышение уровня сигнала хорошо видно на экране анализатора спектра. Так что несмотря на затраты, игра стоит свеч.

Еще раз о системных

интеграторах

Все, что описано выше, – это далеко не полный перечень проблем, связанных с обеспечением безопасности радиосетей и методами ее поддержания на должном уровне. Однако следует повторить, что только системный интегратор на этапе проектирования может предложить и оценить наиболее рациональный перечень оргчить информационную безопасность.

В этот перечень входят:

• предварительный аудит по безопасности;

• проведение предпроектных изысканий и проектных работ;

• помощь в разработке и реализации системы организационно-технических мероприятий;

• обучение сотрудников заказчика (руководителей и технического персонала).

На что следует обратить внимание при выборе системного интегратора?

Для начала нужно поинтересоваться, какие проекты в этой области уже были реализованы компанией и насколько высока квалификация специалистов, работающих в ней. Следует проверить, имеются ли у интегратора лицензии на право проведения строительно-монтажных работ, специальные лицензии, необходимые при решении комплексных задач по обеспечению безопасности объектов, на деятельность в области защиты информации (от Гостехкомиссии при Президенте РФ и/или МО РФ) и др.

Главная страница / Архитектура отрасли