- •Кафедра судовой автоматики и измерений
- •Часть 1
- •Санкт-Петербург
- •Введение
- •1 Угрозы, атаки и уязвимости
- •1.1 Угрозы и атаки
- •1.2 Уязвимости
- •2 Каналы утечки информации
- •3 Политика безопасности
- •3.1 Основные понятия политики безопасности
- •3.2 Структура политики безопасности организации
- •3.2.1 Базовая политика безопасности
- •3.2.2 Специализированные политики безопасности
- •3.2.3 Процедуры безопасности
- •3.3 Разработка политики безопасности организации
- •3.3.1 Основные этапы обеспечения безопасности
- •3.3.2 Компоненты архитектуры безопасности
- •3.3.3 Роли и ответственности в безопасности сети
- •3.3.4 Аудит и оповещение
- •4. Компьютерные сети
- •4.1 Модели osi
- •4.2 Сетевые протоколы
- •4.2.1 Протокольный стек tcp/ip
- •4.2.2 Адресация в ip
- •4.3 Проводные сети
- •4.3.1 Базовые топологии
- •4.3.1.1 Топология «шина»
- •4.3.1.2 Топология «звезда»
- •4.3.1.3 Топология «кольцо»
- •4.3.1.4 Комбинированные топологии
- •4.4 Кабельная подсистема
- •4.4.1 Коаксиальный кабель
- •4.4.2 Витая пара
- •4.4.3 Оптоволоконный кабель
- •4.4.4 Защита информации в кабельных сетях
- •4.4.4.1 Механическая защита кабельной сети
- •4.4.4.2 Экранирование кабельных каналов
- •4.5 Беспроводные сети
- •4.5.1 Стандарты беспроводных сетей
- •4.5.2 Сравнение стандартов беспроводной передачи данных
- •4.5.3 Архитектура беспроводных сетей
- •4.5.4 Технологии беспроводных сетей
- •4.5.5 Защита информации в беспроводных сетях
- •5 Отказоустойчивые системы хранения данных: raid - массивы
- •6 Антивирусная защита информации
- •6.1 Классификация компьютерных вирусов
- •6.2 Жизненный цикл вирусов
- •6.3 Основные каналы распространения вирусов и других вредоносных программ
- •6.4 Методы построения антивирусной защиты
- •7 Роль стандартов информационной безопасности
- •7.1 Международные стандарты информационной безопасности
- •7.1.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
- •7.1.2 Германский стандарт bsi
- •7.1.3 Международный стандарт iso 15408 «Общие критерии безопасности информационных технологий»
- •7.1.4 Стандарты информационной безопасности в Интернете
- •7.2 Отечественные стандарты безопасности информационных технологий
- •Список использованных источников
4.5.4 Технологии беспроводных сетей
Беспроводные локальные сети чаще всего организуются на основе радиоволн УКВ-диапазона. Однако инфракрасные и СВЧ-технологии также поддерживают беспроводные сетевые соединения, позволяя пользователям совместно использовать файлы, данные и программы [28-31].
СВЧ-технология, обеспечивает более высокую скорость, чем общеупотребимые радиочастотные диапазоны, и позволяет проникать сквозь стены. Относительная громоздкость продуктов, необходимых для ее использования, и требование приобретения лицензии на использование диапазона, делают этот вариант менее привлекательным.
Инфракрасная технология, также характеризующаяся высокой скоростью, использует инфракрасные передатчики и поддерживает два типа устройств: "лучевые" и "рассеянные". Главный недостаток - высокая стоимости лазеров и их воздействия на здоровье пользователей. Основные преимущества и недостатки всех используемых технологий перечислены в таблице 4.7.
Таблица 4.7 - Сравнение технологий беспроводных сетей
Технология |
Преимущества |
Недостатки |
Радиочастоты УКВ |
Технология принята рынком. Может проходить сквозь стены. Охватывает большую территорию (радиус до 250 метров) Не требуется лицензия на использование частоты Компоненты, как правило, стоят дешевле. Безопасна |
Низкая частота приводит к невысокой скорости. Возможна интерференция с другими передатчиками, работающими на той же частоте |
Микроволновая |
Быстрее, чем радиотехнология. Может проходить сквозь стены. Интерференция обычно отсутствует из-за лицензирования частот |
Развертывание обходится дорого. Оборудование довольно громоздко. Лицензирование частот доставляет неудобства пользователям, желающим переместить локальную сеть за пределы той области, на которую получена лицензия |
Инфракрасная |
Допускает быструю и дальнюю передачу. Устройства на базе светодиодов могут соперничать по цене с УКВ-устройствами. |
В зависимости от характеристик светового луча возможна интерференция Лазерные инфракрасные передатчики, хотя и обеспечивают пропускную способность 100 Мбит/с и покрывает более трех километров, слишком дороги для использования в коммерческих локальных сетях внутри здания Не может проходить сквозь стены |
Все это выдвигает технологию, основанную на использовании общеупотребимых радиочастот, на ведущие позиции на рынке. Нет необходимости получать лицензии на использование радиопередатчика, да и развернуть ее обойдется намного дешевле.
4.5.5 Защита информации в беспроводных сетях
Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все, не только тот, кому они предназначены. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики – около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.
Изначально для защиты использовался лишь SSID (имя сети). Но SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря уже о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.
Поэтому встала нужда именно в шифровании данных. Первым таким стандартом стал WEP – Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). Сам же ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у производителей, поэтому, если в сети используется разнородное беспроводное оборудование и настройка WEP шифрования с использованием ключа-ASCII-фразы никак не удается, необходимо ввести вместо нее ключ в шестнадцатеричном представлении.
Реально шифрование данных происходят с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector (IV) – вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.
Используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким – при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает примерно 16 миллионов комбинаций – 16 миллионов различных векторов. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику достаточно набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.
Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвую в процессе шифрования.
Для увеличения безопасности беспроводных сетей был разработан протокол WPA (Wi-Fi Protected Access — защищенный доступ Wi-Fi). Протокол WPA был призван закрыть слабые места беспроводных сетей, где используется WEP. Спецификация требует, чтобы сетевые элементы были оснащены средствами динамической генерации ключей и использовали усовершенствованную схему шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol — протокол краткосрочной целостности ключей). Таким способом удалось повысить защищенность пакетов и обеспечить обратную совместимость с WEP, пусть даже за счет дополнительной нагрузки на сетевые каналы. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием Michael. В каждый кадр 802.11 здесь помещается специальный восьмибайтный код целостности сообщения, проверка которого позволяет отражать атаки с применением подложных пакетов.
Все устройства с поддержкой WPA производят обязательную аутентификацию 802.1х посредством протокола EAP (Extensible Authentication Protocol — расширенный протокол аутентификации). При этом применяется сервер RADIUS (Remote Authentication Dial-In User Service — служба дистанционной аутентификации пользователей по коммутируемым линиям) либо предварительно заданный общий ключ.
Аутентификация 802.1х основана на клиент-серверной архитектуре и использует три элемента: клиентский запросчик (client supplicant), аутентификатор и сервер аутентификации. Широкому применению этой технологии в корпоративных беспроводных ЛВС способствуют реализованная в ней модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.
Большинству организаций для использования WPA будет достаточно установить новые микропрограммы и клиенты, интегрировав их со своими системами аутентификации. Компаниям же малого и среднего бизнеса, которые обходятся без сервера аутентификации, придется предварительно инсталлировать общий ключ на каждом клиенте и точке доступа. WPA уже находит поддержку и в операционных системах.
Не так давно вышел новый стандарт 802.11i, направленный на повышение безопасности беспроводных сетей: он предполагает применение шифрования AES (Advanced Encryption Standard) с длиной ключа 128, 192 или 256 бит и применяется с устройствами стандартов 802.11b и 802.11g.
Стандарт 802.11i, предназначенный для обеспечения информационной безопасности БЛВС крупных предприятий и небольших офисов, задуман с целью усовершенствования защитных функций стандарта 802.11. Вместе с тем этот стандарт, предусматривающий шифрование данных и контроль их целостности, отличается повышенной сложностью реализации и может оказаться несовместимым с уже существующим беспроводным оборудованием.
В защитном стандарте 802.11i предусмотрена промежуточная спецификация на так называемую переходную защищенную сеть — Transitional Security Network (TSN), в которой допускается возможность одновременного использования решений RSN и устаревших систем WEP. Однако при этом беспроводная сеть будет защищена не столь хорошо.
Определенный по умолчанию в стандарте IEEE 802.11i механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Использующий его защитный протокол получил название Counter-Mode CBC MAC Protocol, или CCMP. На нижних уровнях модели OSI, где происходят шифрование и расшифровка передаваемых данных AES использует три временных ключа шифрования. AES (Advanced Encryption Standard — усовершенствованный стандарт шифрования) отличается от включенной в WEP реализации RC4 гораздо более стойким криптоалгоритмом, однако предъявляет повышенные требования к пропускной способности каналов связи, поэтому переход на новый стандарт потребует и модернизации сетевой аппаратуры. К тому же у AES отсутствует обратная совместимость с нынешним оборудованием WPA и WEP.
Чтобы корпоративные точки доступа работали в системе сетевой безопасности стандарта 802.11i, они должны поддерживать аутентификацию пользователей по протоколу RADIUS и иметь возможность быстро осуществлять повторную аутентификацию пользователей после разрыва соединения с сетью. Это особенно важно для нормального функционирования приложений, работающих в реальном масштабе времени (например, средств передачи речи по БЛВС).
Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей беспроводной сети. В противном случае стоит установить сервер WLAN RADIUS, который будет взаимодействовать с имеющимся сервером RADIUS в качестве сервера-посредника. Сервер WLAN RADIUS работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. В стандарте IEEE 802.11i применение каких-либо конкретных методов аутентификации EAP не оговаривается. Выбор метода аутентификации EAP определяется спецификой работы клиентских приложений и архитектурой сети.
Новый стандарт приобрел несколько относительно малоизвестных свойств. Одно из них - key-caching - незаметно для пользователя записывает информацию о нем, позволяя при выходе из зоны действия беспроводной сети и последующем возвращении в нее не вводить всю информацию о себе заново.
Второе нововведение - пре-аутентификация. Суть ее в следующем: из точки доступа, к которой в настоящее время подключен пользователь, пакет пре-аутентификации направляется в другую точку доступа, обеспечивая этому пользователю предварительную аутентификацию еще до его регистрации на новой точке и тем самым сокращая время авторизации при перемещении между точками доступа.
Чтобы ноутбуки и карманные ПК работали в системе сетевой безопасности стандарта 802.11i, они должны быть оснащены клиентскими программами, поддерживающими стандарт 802.1x. Фирма Cisco включила ее в свою утилиту Aironet Client Utility. Компания Microsoft предусмотрела наличие поддержки стандарта 802.1x в ОС Windows XP, Vista, Seven. К сожалению, эти клиентские программы, заранее включаемые в ОС и в другие средства, как правило, поддерживают не все методы аутентификации EAP, таблица 4.8
Таблица 4.8 - Стандарты шифрования данных.
Стандарт |
Средства обеспечения безопасности |
Достоинства |
Недостатки |
WEP |
Шифрование RC4, статичные ключи, аутентификация 802.1х – по делания пользователя |
Хоть какая-то защита; поддержка WEP в большинстве устройств 802.11 |
Слишком много брешей для использования в корпоративной среде; для защиты беспроводных ЛВС часто используют дополнительные средства наподобие виртуальных частных сетей |
WPA |
TKIP, динамичны лючи, Michael, обязательная аутентификация 802.1х (EAP и RADIUS либо предустановленный общий ключ) |
Обратная совместимость с WEP; возможность интеграции в существующие беспроводные сети потеем простого обновления микропрограмм. |
Временное решение проблемы на переходный период до утверждения более надежного стандарта 802.11i. |
802,11i |
Шифрование AES, CCMP, WRAP, управление ключами 802,11i, аутентификация 802.1х. |
Более стойкое, чем WEB шифрование; надежная схема управления ключами |
Необходимость нового оборудования и наборов микросхем; несовместимость со старым оборудование Wi-Fi |