Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность внутриофисных сетей Wi-Fi

Безопасность внутриофисных сетей Wi-Fi

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность внутриофисных сетей Wi-Fi

Методические рекомендации


Яков Совлук,
эксперт

Одной из основных областей применения стандарта IEEE 802.11 (сети Wi-Fi) являются внутриофисные (indoor) корпоративные беспроводные сети. Корпоративная ЛВС может быть целиком построена на базе технологии WLAN (Wireless LAN), другим вариантом является наличие беспроводного сегмента корпоративной сети (см. рисунок). Использование БЛВС (беспроводных ЛВС) в том или ином варианте в качестве корпоративных решений может быть обусловлено:

  • необходимостью мобильного подключения к ресурсам ЛВС отдельных категорий сотрудников, таких, как топ-менеджеры и IT-специалисты;
  • невозможностью применения традиционных проводных решений;
  • такими преимуществами беспроводных сетей перед проводными, как мобильность пользователей, отсутствие кабельной системы, высокая скорость развертывания и легкость расширения WLAN.

    • Характер обрабатываемой в корпоративных сетях информации требует обеспечения соответствующего уровня защищенности. Особенности технологии WLAN, связанные с передачей беспроводного трафика по радиоканалу, являются источником угроз информационной безопасности (ИБ), несвойственных проводным технологиям. Поэтому при реализации корпоративных БЛВС традиционные методы защиты, используемые в проводных сетях, должны дополняться мероприятиями по нейтрализации "беспроводных" угроз.

    Анализ существующих на сегодняшний день средств защиты БЛВС позволяет сделать следующие выводы:

    1. Использование WEP-шифрования для обеспечения конфиденциальности и целостности беспроводного трафика недопустимо в силу неустранимых уязвимостей в реализации данного протокола даже при использовании криптографических ключей длинной 128/192/256 бит вместо стандартных 64-битных.
    2. Фильтрация MAC-адресов и сокрытие SSID не являются препятствиями для квалифицированного злоумышленника и могут использоваться только в качестве дополнения к более серьезным средствам защиты.
    3. Надежность шифрования трафика и контроля целостности сообщений, реализуемых на базе стандарта WPA, на сегодняшний день является вполне достаточной.
    4. Наиболее мощную защиту беспроводного трафика при отсутствии заметных потерь в производительности обеспечивает стандарт 802.11i, в основе которого лежит новый стандарт шифрования AES. Поэтому проектирование новых БЛВС должно осуществляться на базе аппаратной части, поддерживающей стандарт 802.11i.

    Рассмотрим возможные угрозы ИБ внутриофисных корпоративных БЛВС и комплекс мероприятий по их нейтрализации.

    Угрозы ИБ внутриофисных корпоративных БЛВС

    Перечислим основные угрозы, которым подвержены внутри-офисные корпоративные БЛВС.

    1. Обнаружение и исследование БЛВС злоумышленником за пределами контролируемой зоны предприятия.
    2. Внедрение несанкционированного беспроводного трафика.
    3. Нарушение конфиденциальности информации путем перехвата беспроводного трафика.
    4. Хищение клиентских устройств или точек доступа с целью получения информации о настройках системы защиты БЛВС.
    5. Злоумышленные действия персонала:
      1. разглашение информации о настройках системы защиты БЛВС;
      2. хищение точек доступа и клиентских устройств;
      3. установка несанкционированных точек доступа и клиентских сетевых карт;
      4. несанкционированное изменение настроек средств защиты БЛВС.
    6. Несанкционированноеподключение к БЛВС.
    7. Нарушение доступности ресурсов БЛВС:
      1. DoS-атаки на физическом уровне;
      2. DoS-атаки на канальном уровне;
      3. помехи, создаваемые препятствиями и СВЧ-оборудованием в зоне покрытия сети.
    8. Непреднамеренные угрозы БЛВС:
      1. ошибки персонала;
      2. отказы беспроводного оборудования.

      Мероприятия по обеспечению ИБ БЛВС

      Обеспечение ИБ БЛВС, как и любой другой информационной системы (ИС), предполагает выполнение следующих требований: обеспечение ИБ на всех этапах жизненного цикла БЛВС; комплексный подход к обеспечению И Б на каждом этапе жизненного цикла БЛВС.

      Жизненный цикл ИС в общем случае начинается в момент принятия решения о ее создании и заканчивается в момент выведения ее из эксплуатации. Основные этапы жизненного цикла:

      1) предпроектный анализ;

      2) проектирование;

      3) реализация и внедрение;

      4) эксплуатация и сопровождение;

      5) выведение из эксплуатации.

      Комплексный подход к обеспечению ИБ БЛВС подразумевает наличие системы правовых, организационных и программно-технических мероприятий по защите информации. Рассмотрим особенности обеспечения ИБ БЛВС на каждом из вышеперечисленных этапов.

      1. Предпроектный анализ

      На данном этапе устанавливаются основные требования к БЛВС, определяются ее характеристики, функции и режимы работы.

      Важным моментом является выбор качественного и функционального беспроводного оборудования с учетом необходимости получения разрешений на использование данного оборудования и соответствующего частотного диапазона, а также регистрации БЛВС в порядке, установленном в РФ. Регистрация БЛВС и получение необходимых разрешений делают сеть "легитимной", что является необходимым элементом для обращения в суд в случае инцидентов ИБ и привлечения нарушителя к ответственности.

      Одним из решающих факторов при выборе оборудования БЛВС является поддержка шифрования и контрольного суммирования данных, передаваемых по сети, на базе стандарта безопасности 802.11 i. Немаловажным фактором при выборе беспроводного оборудования является наличие отметки "Wi-Fi Certified", являющейся гарантией совместимости и показателем надежности беспроводного оборудования.

      2. Этап проектирования

      На данном этапе определяется состав, структура и размещение БЛВС, формируется основа обеспечения ИБ БЛВС.

      2.1. Подготовка к развертыванию БЛВС

      При проектировании БЛВС должны учитываться следующие моменты:

      1. Влияние препятствий и СВЧ-устройств, работающих в частотном диапазоне, используемом данной спецификацией стандарта 802.11, на качество беспроводной связи.
      2. Расположение точек доступа и выносных антенн должно быть выбрано таким образом, чтобы зона покрытия БЛВС как можно меньше выходила за пределы контролируемой зоны предприятия. Этому фактору способствует выбор соответствующих уровней сигналов точек доступа, использование полунаправленных (секторных) антенн и установка параболических отражателей, препятствующих распространению сигнала в нежелательном направлении. В идеале БЛВС должна быть спроектирована таким образом, чтобы ее зона покрытия не выходила за пределы контролируемой зоны при условии обеспечения авторизованных беспроводных клиентов качественной связью.
      3. Точки доступа должны быть расположены и смонтированы таким образом, чтобы исключался несанкционированный доступ персонала и посетителей предприятия. Одним из вариантов данного решения является расположение точек доступа над подвесным потолком, что предполагает наличие выносных антенн.
      4. Установка резервных точек доступа на случай выхода из строя основных и с целью повышения устойчивости сети к DoS-атакам и атакам типа "человек посередине".

        5. Во второй части статьи в рамках описания этапа проектирования будут рассмотрены требования к разработке политики безопасности БЛВС, выбору систем аутентификации и обнаружения вторжений. Также будет дана характеристика оставшимся этапам жизненного цикла БЛВС.

    Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007

    Приобрести этот номер или подписаться

    Статьи про теме

    Контакты
     
    Подписка

    Мы в соцсетях

    Copyright © 2018-2022, ООО "ГРОТЕК"