Интеллектуальное блокирование как элемент информационной безопасности в беспроводных сетях
В настоящее время наблюдается бурное развитие сотовой связи и беспроводных сетей передачи информации. Развертывание сотовой связи началось в 1980-х гг., а беспроводных сетей несколько позже. Поначалу сотовая связь предназначалась, главным образом, для передачи речи, то есть заменяла обычную телефонию, сделав ее мобильной. Постепенно она перешла в цифровую форму с различными схемами доступа, основанными на разделении между станциями таких параметров, как пространство, время, частота и код. Сейчас наиболее распространены системы второго (2G) и третьего (3G) поколений, использующие временное (TDMA) и кодовое (CDMA) разделения. В частности, это стандарты второго поколения GSM и IS-95, а также ряд стандартов третьего поколения CDMA2000, WCDMA.
Системы подвижной связи третьего поколения (3G) называются UMTS (универсальной системой подвижной связи), они совместимы с сотовыми сетями второго поколения (2G) и работают совместно с действующей сетью GSM. Поскольку UMTS нацелена на предоставление мультимедийных услуг, в ней активно используются IP-протоколы, а также всевозможные цифровые технологии, нашедшие применение в Интернете. С точки зрения исключения доступа из закрываемой зоны по радиоканалу нас интересует физический уровень, на котором общаются базовая станция и абонент мобильной сети, поэтому в дальнейшем речь будем вести лишь о радио интерфейсе стандарта WCDMA (широкополосный доступ с кодовым разделением каналов).
В этой схеме доступа все передатчики передают сигналы на одной и той же частоте, в одно и то же время, но с разными кодами, используя шумоподобные сигналы (ШПС). При передаче посредством ШПС спектр исходного сообщения расширяется во много раз, поэтому данный метод еще называют методом расширения спектра сигнала посредством прямой последовательности (DSSS - Direct Sequence Spread Spectrum). Одним из преимуществ такого уплотнения является повышенная защищенность и скрытность передачи данных: без знания кода невозможно получить сигнал, а в ряде случаев и обнаружить его присутствие.
Развитие беспроводных сетей
В последнее время бурное развитие наблюдается и в сфере беспроводных сетей для фиксированного и мобильного беспроводного доступа. Среди множества стандартов и технологий можно выделить персональные беспроводные сети (например, IEEE 802.15.1 - Bluetooth), локальные беспроводные сети передачи данных (IEEE 802.11 - Wi-Fi) и региональные (IEEE 802.16 - WiMax). Следует иметь в виду, что в России реальная эксплуатация сетей 3G может начаться лишь к концу 2008 г., в то время как опережающими темпами развиваются конкурирующие мобильные технологии, основанные на беспроводном доступе. Это, прежде всего, VoIP через точки доступа Wi-Fi (или Skype) и WiMAX. Организация по стандартизации IEEE утвердила стандарт WiMAX для мобильных устройств еще в конце 2005 г. WiMAX является многообещающей технологией беспроводной связи следующего поколения, так как имеет высокую пропускную способность и большую область покрытия. Пиковая скорость, обеспечиваемая этой технологией, достигает 20 Мбит/с, а средняя - от 1 до 4 Мбит/с. Некоторые сторонники WiMax считают, что технология сможет в будущем вытеснить городские сети Wi-Fi. Пропускная способность сотовой сети по-прежнему сильно ограничена. Сегодняшние сети 3G, включая технологии EDGE в GSM и lxEV-DO в CDMA2000 ("Скайлинк" в России) позволяют реально достичь скорости передачи данных порядка лишь 400-700 кбит/с.
Очевидна тенденция сращивания двух направлений беспроводной передачи данных, включающих, с одной стороны, сотовую связь и беспроводные сети, с другой - наглядное представление, о чем дает приводимая на рисунке диаграмма (источник WiMAX Forum).
Надо отметить, что беспроводной доступ также использует шумоподобные сигналы. Так, например, в сетях Wi-Fi метод уплотнения основан на механизме мультиплексирования посредством ортогональных несущих (OFDM - Orthogonal Frequency Division Multiplexing). Его суть состоит в том, что весь доступный частотный диапазон разбивается на достаточно большое количество под-несущих. Одному каналу связи (приемнику и передатчику) назначают для передачи несколько таких несущих, выбранных из всего множества по некоторому закону. Передача ведется одновременно по всем поднесущим.
Механизмы обеспечения безопасности в беспроводной сети Wi-Fi
Рассмотрим механизмы обеспечения безопасности в беспроводных сетях на примере Wi-Fi. В ходе работы над стандартом IEEE 802.11 было принято решение включить набор служб обеспечения безопасности, которые могли бы усложнить задачу злоумышленника получить доступ к передаваемой информации. Для этого был предусмотрен набор алгоритмов под названием WEP, предназначенных для шифрования пакетов данных.
Однако допущенные разработчиками ошибки позволили разработать эффективные алгоритмы доступа к передаваемой информации. Так, усовершенствованная атака FMS (Fluhrer, Mantin, Shamir) позволяет получить ключи шифрования, перехватив трафик, передаваемый в сети в течение нескольких минут или часов в зависимости от интенсивности обмена информацией. Причем при увеличении длины ключа время взлома увеличивается линейно.
Для улучшения стойкости алгоритма шифрования разработчиками стандарта впоследствии было принято решение создать новую спецификацию WPA (Wi-Fi Protected Access - защита доступа к Wi-Fi). Выбранные для WPA элементы - это криптонабор TKIP (Temporal Key Integrity Protocol - протокол целостности временных ключей), методы аутентификации и управления ключами на базе стандарта IEEE 802.IX. Расширенный стандарт WPA2 включает также новую схему шифрования на основе алгоритма AES.
Атаки на схему WPA
В настоящее время известно несколько атак на схему WPA с помощью активных методов, например, использование фальшивой точки доступа. Для проведения атаки необходимо между двумя беспроводными узлами поместить устройство, формирующее фреймы 802.11, и вставлять специальные команды в трафик, которым они обмениваются между собой. Так, фальшивая точка доступа может выступать в роли фальшивого сервера аутентификации и предоставлять клиентам ложные ответы на запросы об аутентификации. Предварительно необходимо отключить клиента от существующей точки доступа. Для этого можно заглушить существующую точку более сильным сигналом или заблокировать канал избыточным трафиком.
Понятно, что помимо криптозащиты для закрытия каналов утечки через Wi-Fi можно лишить несанкционированный абонентский терминал или фальшивый Hot Spot возможности вступить в связь. Это можно сделать достаточно эффективно, используя интеллектуальное блокирование беспроводного доступа или системы сотовой связи, воздействуя на источник, находящийся внутри блокируемой зоны или пространства.
Вернемся к проблемам как безопасности компьютерных сетей, так и информационной безопасности объекта в целом. Очевидно, что при широком подходе к проблеме закрытие доступа с объекта во внешние сети, как и проникновение из этих сетей в информационную структуру объекта, является первоочередной задачей службы информационной безопасности. Закрытие радиоканалов шумовыми сигналами практически исключено, так как придется забивать пол-эфира. Да и эффективность таких действий неконтролируема и ничтожна.
"Радиосервис": подход и разработки
Компания "Радиосервис", имея богатый опыт в интеллектуальном блокировании сотовой связи внутри заданной зоны или пространства, продолжает работать в данном направлении. Уже созданы и выпускаются серийно интеллектуальные блокираторы сотовой связи 3G RS jammini SL для стандарта CDMA2000 и RS jammini UMTS для стандарта WCDMA. Завершена разработка и готовятся к серийному производству системы интеллектуального блокирования беспроводного доступа стандартов WiFi и WiMAX. Вся выпускаемая компанией аппаратура имеет встроенные коммуникационные контроллеры и может объединяться в единую сеть, например, CAN или LAN.
Поставленная выше задача обеспечения информационной безопасности должна решаться комплексно, то есть с учетом общего контроля эфирной обстановки в заданной зоне и с обязательным контролем общей эффективности системы на удаленном управляющем компьютере. Такой подход компания "Радиосервис" исповедует уже в течение нескольких лет, являясь эксклюзивным производителем встроенных и распределенных систем радиоконтроля и интеллектуального блокирования сотовой телефонии и беспроводного доступа.
Интеллектуальное блокирование
Еще раз отметим, что компания "Радиосервис" при разработке систем радиомониторинга и подавления нежелательных сигналов основывается на принципах интеллектуального блокирования. При этом интеллектуальность системы понимается в следующих смыслах:
обеспечивается полный контроль за выходом в эфир любых радиосредств, включая сотовые телефоны, причем диапазоны сотовой связи и беспроводного доступа контролируются панорамными приемниками;
сигнал блокирования является направленным, то есть блокирует только обнаруженный передатчик на его рабочей частоте, а в случае сотовой телефонии подавляет сигнал базы, адресованный именно тому абоненту, который предпринимает попытки установить связь;
блокирующий сигнал минимален по мощности, имеет импульсную структуру и безвреден для здоровья, так как его воздействие на человека гораздо слабее, чем воздействие непосредственно абонентского терминала;
эффективность блокирования находится под постоянным контролем на управляющем компьютере.
Многолетний опыт создания систем радиоконтроля, в том числе многоканальных, и разработки интеллектуальных блокираторов для различных стандартов связи и широкополосного доступа позволил инженерам компании успешно объединить радиомониторинг и подавление несанкционированных передач в единую задачу, решаемую распределенными и встроенными радиосистемами с единым управлением и связанными алгоритмами работы.
Исчерпывающую информацию о системах радиомониторинга и интеллектуального блокирования можно получить на сайте компании www.radioservice.ru или в ее офисе.
Опубликовано: Каталог "IT-SECURITY. Системы и средства защиты информации"-2008