Безопасность беспроводных сетей

Проведение работ по оценке эффективности защиты беспроводной сети имеет следующие целевые мотивы и направления:

- Оценка уязвимости предприятия и определение активов, которые необходимо защитить;

- Определение способов снижения до приемлемого уровня рисков, связанных с незащищенными устройствами;

- Разработка плана снижения рисков, связанных с безопасностью;

- Наблюдение за эффективностью механизмов безопасности;

- Регулярное выполнение повторной оценки эффективности и требований безопасности.

В общем случае порядок проведения работ по оценке эффективности защиты беспроводной сети следующий:

1. Исследование действующих беспроводных сегментов:

- Определение расположения точек доступа;

- Определение текущей зоны радио-видимости;

- Анализ конфигурации точек доступа, беспроводных коммутаторов, серверов RADIUS и специализированных средств защиты;

- Анализ используемых схем и протоколов аутентификации, механизмов контроля доступа, криптографической защиты, принципов сегментации;

- Анализ организации сегмента управления и сопряжения беспроводного сегмента с проводной сетью.

2. Осуществление попыток анализа трафика, подключения к беспроводному сегменту:

- Осуществление попыток доступа во внутреннюю сеть Заказчика;

- Выявление несанкционированно подключенных точек доступа;

- Эмуляция точек доступа для проведения оценки защищенности беспроводных клиентов.

3. Проверка драйверов точек доступа и рабочих станций на наличие известных уязвимостей.

4. Тестирование работы системы обнаружения атак (WIDS), в том числе, на наличие известных уязвимостей.

5. Формирование экспертного заключения об уровне защищенности беспроводной сети.

Результатом работы будет являться отчет, содержащий:

1. Описание организации беспроводной сети;

2. Оценку существующих уязвимых мест и проблемных областей, включая результаты попыток несанкционированного доступа;

3. Рекомендации по повышению уровня защищенности беспроводной сети.

Логическим продолжением являются работы по проектированию и внедрению систем защиты.

Для обеспечения высокого уровня защиты от актуальных угроз, система управления информационной безопасностью должна включать в себя как технические, так организационные механизмы. Разнообразие вариантов нанесения ущерба владельцу ИС и повышение общего уровня потенциального злоумышленника требует использование всё более и более сложных средств защиты. В связи с этим интеграция различных продуктов по обеспечению безопасности защиты в единую управляемую систему является сложной инженерной задачей.

В ходе проведения работ по проектированию и внедрению систем обеспечения безопасности различных компонентов информационной системы проектирования максимально задействуются встроенные защитные механизмы операционной системы, систем управления базой данных и прикладных систем, что позволяет реализовать преимущества политики безопасности с минимальными затратами.

Выбор дополнительных средств защиты, предлагаемых заказчику, обосновывается на различных показателях. Но не в последнюю очередь он зависит от результатов, которые эти средства показали в ходе тестирования на проникновение.

В ходе проведения работ по оценке защиты беспроводной сети могут быть затронуты различные компоненты системы управления информационной безопасностью, такие как:

- Подсистема защиты периметра сетевой безопасности;

- Защита систем электронной почты, защиты от вирусов и спама;

- Обеспечение безопасности рабочих станций и мобильных клиентов;

- Безопасность беспроводных сетей;

- Защита Web-приложений;

- Системы обнаружения и предотвращения атак;

- Системы корреляции и анализа событий ИБ.

Неправильная настройка беспроводного оборудования, отсутствие средств контроля и разграничения доступа, отсутствие специализированных средств защиты и мониторинга, все это может привести к тому, что злоумышленник получит доступ к ресурсам корпоративной сети, аналогичный доступу собственника сети.

Данные факты позволяют говорить об актуальности вопросов, связанных с оценкой защищенности беспроводных сетей, оценкой возможностей злоумышленника осуществлять несанкционированные действия в беспроводном сегменте и получать доступ к остальным ресурсам сети. Таким образом, были определены основные целевые мотивы и направления проведения работ по оценке защищенности беспроводной сети. На их основе был сформулирован порядок проведения работ по оценке эффективности защиты беспроводной сети, результатом которого стали работы по проектированию и внедрению систем защиты. Они были описаны посредством компонентов системы управления информационной безопасностью, которые будут задействованы в ходе проведения работ по оценке защиты беспроводной сети могут.

Заключение

В настоящее время, беспроводные соединения получили широчайшее распространение, в основном, благодаря их способности работать с интернетом в любой точке дома или офиса. Однако если не принять мер к обеспечению информационной безопасности беспроводной сети, то злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение.

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т. к., компьютерные и телекоммуникационные технологии, в том числе и беспроводные сети, постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Перечисленных в работе мер достаточно, чтобы защитить домашнюю или малую офисную сеть, состоящую из одной точки доступа и нескольких клиентских машин от хакерских атак. Перечислим повторно, что надо сделать с сетью, чтобы повысить её защиту:

- Сменить логин и пароль для администрирования точки доступа;

- По возможности, настраивать точку доступа через проводное соединение и отключить возможность доступа к настройкам точки доступа через беспроводное соединение;

- Скрыть сеть от глаз - задать уникальный SSID сети и отключить трансляцию её SSID;

- Установите фильтрацию по MAC-адресам, если число подключаемых к сети пользователей ограничено;

- Вместо обычной аутентификации использовать метод WPA или WPA2;

- Обязательно использовать шифрование потока. Минимум - WEP, но лучше WPA-PSK, WPA TKIP или WPA EAS, WPA 2;

- Использовать длинные пароли. Минимум - 128 бит, но лучше 256 бит.

Так же не стоит забывать, что прочность цепи определяется прочностью самого слабого звена. Беспроводная сеть может быть полностью защищена от постороннего доступа, но проводная часть может, сервер и шлюз может быть не подготовлен к атаке злоумышленников. Сеть может быть полностью защищена, но хакер взломает почтовый ящик. Так же стоит иметь ввиду, что любая защита характеризуется временем вскрытия.

Что же касается дополнительных мер по обеспечению информационной безопасности беспроводной сети, то, прежде всего, если нет необходимости в обратном, нужно постараться снизить радиус действия беспроводной сети. Если все клиентские компьютеры подключаются к точке доступа, то на них надо запретить соединение по типу ad-hoc, чтобы к ним не могли подключаться злоумышленники, минуя все настройки секретности вашей точки доступа. Для этого достаточно выбрать тип сети - Infrastructure в настройках сетевых карт. Если точка доступа позволяет настраивать её по проводному подключению и отключить беспроводную настройку, надо обязательно сделать это. Настройка точки доступа через Wi-Fi должна быть отключена, чтобы злоумышленник не мог к ней подключиться даже зная пароль доступа.

Как уже говорилось, перед внедрением любой новой технологии в конкретной компании нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии - не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

При выборе защищенного беспроводного решения нужно принять во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

Неправильная настройка беспроводного оборудования, отсутствие средств контроля и разграничения доступа, отсутствие специализированных средств защиты и мониторинга, все это может привести к тому, что злоумышленник получит доступ к ресурсам корпоративной сети, аналогичный доступу собственника сети. Данные факты позволяют говорить об актуальности вопросов, связанных с оценкой защищенности беспроводных сетей, оценкой возможностей злоумышленника осуществлять несанкционированные действия в беспроводном сегменте и получать доступ к остальным ресурсам сети.

Библиографический список

1. Шпаковский Г.И. Параллельное программирование и аппаратура. - Минск, БГУ, 2012 г., 184 с.

2. Информатика и компьютерные технологии. Основные термины. Толковый словарь. Фридланд А.Я. и др. 3-е изд., испр. и доп. - М.: АСТ, Астрель, 2009. - 272 с.

3. Воройский Ф.С. Информатика. Энциклопедический словарь-справочник. М.: ФИЗМАТЛИТ, 2009. - 768 с.

4. Э. Таненбаум. Современные операционные системы. 3-е изд. - СПб.: Питер, 2010. - 1120 с.

5. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. Учебник. 3-е изд. - СПб.: Питер, 2010. - 958 с.

6. Э. Таненбаум Компьютерные сети. 4-е изд. - СПб.: Питер, 2012. - 992 с.

7. Э. Таненбаум. Архитектура компьютера. - СПб.: Питер, 2008. - 844 с.

8. Сычев Ю.Н. Основы информационной безопасности. М.: ЕАОИ, 2009. - 300 с.

9. Белов Е.Б., Лось В.П. и др. Основы информационной безопасности. М.: Горячая линя - Телеком, 2010. - 544 с.

10. Корнеев И.К., Ксандопуло Г.Н., Машурцев В.А. Информационные технологии. М.: ТК Велби, Проспект, 2012. - 224 с.

11. Избачков Ю.С., Петров В.Н. Информационные системы. 2-е изд. - СПб.: Питер, 2009. - 656 с.

12. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. 3-е изд., стер. - М.: Академия, 2008. - 336 с.

13. Милославская Н.Г. Проверка и оценка деятельности по управлению информационной безопасностью. - М. 2012. - 166 с.

14. Б.Н. Воронков. Криптографические методы защиты информации. Изд. Воронежский государственный университет, 2011.

15. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. - Владивосток: изд. Дальневост. Ун-та, 2010 - 216 с.

16. Вопросы передачи и защиты информации: Сборник статей / СПбГУАП. СПб., 2008. 226 с.: ил.

17. С.К. Варлатая, М.В. Шаханова. Программно-аппаратная защита информации: учеб. пособие - Владивосток: Изд-во ДВГТУ, 2009.

18. Актуальные проблемы безопасности информационных технологий: материалы I Международной научно-практической конференции (27 марта 2007, г. Красноярск) / под общей ред. О.Н. Жданова, В.В. Золотарева, Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2009. - 100 с.

19. Актуальные проблемы безопасности информационных технологий: материалы II Международной научно-практической конференции (9-12 сентября 2008, г. Красноярск) / под общей ред. О.Н. Жданова, В.В. Золотарева, Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2010. - 100 с.

20. Актуальные проблемы безопасности информационных технологий: материалы III Международной научно-практической конференции / под общей ред. О.Н. Жданова, В.В. Золотарева, Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2008. - 100 с.

21. Прохоров С.А., Федосеев А.А., Иващенко А.В. Автоматизация комплексного управления безопасностью предприятия / Самара: СНЦ РАН, 2008 - 55 с., ил.

22. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. // Открытые системы. - №6. - 2011.

23. Баутов А. Экономический взгляд на проблемы информационной безопасности. // Открытые системы. - №2. - 2012.

Приложение

Для понимания изложенных в работе сведений необходимо знать следующие термины: компьютерный программный интернет

AES. В стандарте AES (Advanced Encryption Standard), входящем в состав спецификации WPA2, используется симметричное блочное шифрование данных.

EAP. Extensible Authentication Protocol (EAP) - это стандарт 802.1X, позволяющий разработчикам передавать используемые при проверке подлинности данные между серверами RADIUS и точками беспроводного доступа. Протокол EAP имеет ряд вариантов, в число которых входят EAP MD5, EAP-TLS, EAP-TTLS, LEAP и PEAP.

EAP-TLS. Протокол EAP Transport Layer Security (EAP-TLS) был разработан корпорацией Майкрософт на основе стандарта 802.1X для использования цифровых сертификатов при проверке подлинности. В настоящее время он является отраслевым стандартом проверки подлинности для спецификации 802.11i.

IEEE 802.1X. Стандарт IEEE 802.1X определяет процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (RADIUS).

IEEE 802.11. Стандарт IEEE 802.11 регламентирует передачу данных в беспроводных сетях и включает несколько спецификаций: от 802.11g, которая позволяет передавать данные со скоростью более 20 Мбит/с в частотном диапазоне 2,4 ГГц, до 802.11i, которая определяет механизмы шифрования и проверки подлинности по протоколу WPA2.

IEEE 802.11i. Поправка IEEE 802.11i к стандарту 802.11 определяет методы обеспечения безопасности (WPA2), предусматривающие применение блочного шифра AES для защиты процессов проверки подлинности (EAP). Это устраняет некоторые существовавшие ранее недостатки стандартов.

MS-CHAP v2. Microsoft Challenge Handshake Authentication Protocol, версия 2 (MS-CHAP v2) - это основанный на использовании паролей протокол взаимной проверки подлинности по схеме «запрос-ответ» с шифрованием данных по алгоритмам MD4 и DES. Он используется вместе с протоколом PEAP для защиты сеансов беспроводной связи.

PEAP. Защищенный протокол расширенной проверки подлинности (Protected Extensible Authentication Protocol, PEAP) - это вариант протокола расширенной проверки подлинности (EAP), устраняющий проблемы безопасности, связанные с передачей незашифрованного текста по протоколу EAP. Для этого создается безопасный канал связи, который шифруется и защищается с использованием протокола TLS.

SSID. Идентификатор беспроводной сети (SSID) - это имя, назначаемое беспроводной сети и используемое клиентом для определения корректных параметров и учетных данных, необходимых для доступа к ней.

TKIP. Протокол TKIP (Temporal Key Integrity Protocol) входит в стандарт шифрования WPA для беспроводных сетей. Этот протокол представляет собой модернизированную версию стандарта WEP, которая устраняет обнаруженные в WEP недостатки за счет поддержки смешения ключей для каждого пакета.

WEP. Спецификация Wired Equivalent Privacy (WEP) входит в стандарт IEEE 802.11 и предусматривает 64-битное или 128-битное шифрование по алгоритму RC4. В 2001 году в стандарте WEP были обнаружены серьезные недостатки, связанные преимущественно с длиной вектора инициализации поточного шифра RC4 и делающие возможным пассивное декодирование ключа RC4.

WLAN. Беспроводная локальная сеть.

WPA. Для устранения найденных в стандарте WEP изъянов в 2003 году был представлен стандарт Wi-Fi Protected Access (WPA) - совместимая с другими версиями спецификация обеспечения безопасности в беспроводных сетях, являющаяся подмножеством стандарта IEEE 802.11. Данный стандарт включает механизмы проверки подлинности и использует для шифрования данных протокол TKIP.

WPA2. Стандарт WPA2 был принят в сентябре 2004 года организацией Wi-Fi Alliance и представляет собой сертифицированную совместимую версию полной спецификации IEEE 802.11i, принятой в июне 2004 года. Как и предшествующий ему стандарт, WPA2 поддерживает проверку подлинности по протоколу IEEE 802.1X/EAP или технологию предварительных ключей, но, в отличие от своего предшественника, содержит новый усовершенствованный механизм шифрования AES (Advanced Encryption Standard), основанный на использовании протокола Counter-Mode/CBC-MAC Protocol (CCMP).

Размещено на Allbest.ru