Безопасность беспроводных соединений



 

Беспроводные сети представляют собой недорогой метод соединения информационных систем, просты в установке и работе.
Однако она ведет к возникновению серьезных вопросов безопасности в организациях, использующих данный тип соединений. Для предотвращения прослушивания сетей и обеспечения корректной аутентификации было разработано множество механизмов безопасности, однако, до сих пор в предлагаемых стандартах и в их реализациях остается целый ряд серьезных уязвимостей.


Современные беспроводные технологии

В беспроводных локальных сетях главным образом используется группа стандартов технологии 802.11x (a, b, g и т. д.). Эти стандарты позволяют соединять рабочие станции каналами, с пропускной способностью до 54 Мбит/с, с использованием беспроводной точки доступа, которая подключается к кабельной сети или напрямую к другой рабочей станции.


Стандартные архитектуры
Для эффективного использования беспроводных локальных сетей (WLAN) на предприятии необходимо обеспечить достаточную зону покрытия в областях, где сотрудники или посетители организации будут размещать свои компьютеры. В помещениях радиус действия обычной беспроводной системы стандарта 802.11x WLAN составляет, как правило, около 50 метров. Вне помещения радиус действия может достигать 500 метров. Следовательно, точки доступа (AP) должны размещаться так, чтобы обеспечивать область покрытия в соответствующих областях.
Реальный радиус действия определяется используемым оборудованием, а также формой и материалами, из которых сделаны окружающие физические объекты.


Безопасность передачи данных
Беспроводные сети используют воздух и пространство для передачи и приема информации (сигналы являются открытыми для любого лица, находящегося в зоне действия), что требует должной защиты конфиденциальности и целостности информации при ее передаче между рабочими станциями и точками доступа.

Стандарт 802.11x определяет протокол Wired Equivalent Privacy (WEP) для защиты информации при ее передаче через WLAN. WEP предусматривает обеспечение трех основных аспектов:

· аутентификация;

· конфиденциальность;

· целостность.


Аутентификация
Служба аутентификации WEP используется для аутентификации рабочих станций на точках доступа. Аутентифицированная рабочая станция тогда, когда она отправляет ответный пакет с MAC-адресом в процессе начального обмена данными с точкой доступа. В реальных условиях данная форма аутентификации не обеспечивает доказательства того, что к точке доступа подключается именно конкретная рабочая станция, а не какой-либо другой компьютер.
WEP также предусматривает возможность использования механизма криптографической аутентификации, который базируется на знании общего секрета, и обрабатывается алгоритмом RC4 для доказательства подлинности рабочей станции при доступе к AP. При обмене аутентификационными данными, используя систему вызов/ответ, рабочая станция сначала посылает запрос аутентификации на точку доступа, которая передает номер вызова, сгенерированный случайным образом.

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации VPN-соединений.

33. Информационная безопасность периметра сети. Брандмауэры, их функции и назначение. Защиты сетевых узлов. Персональные брандмауэры.

Защита информации при использовании сетевого взаимодействия является одним из базовых комплексов в современных информационных системах. Технологии защиты сетевого взаимодействия условно можно поделить на следующие типы:

  • межсетевой экран;
  • обнаружение и предотвращение вторжений;
  • криптографическая защита каналов связи.

1. МЕЖСЕТЕВОЙ ЭКРАН

Межсетевые экраны осуществляют защиту информационных систем на сетевом уровне путем контроля и фильтрацию проходящих через нее сетевых пакетов. Фильтрация и контроль сетевых пакетов осуществляется в соответствии с заданными на межсетевых экранах политиками безопасности. Защита сетевого взаимодействия осуществляется в рамках как внутреннего, так и внешнего информационного обмена сетевой инфраструктуры.

Межсетевой экран позволяет осуществлять блокировку потенциально опасной сетевой активности – попыток получения несанкционированного доступа к информационным ресурсам, попыток нарушения работоспособности итд. Таким образом, межсетевой экран обеспечивает защиту информационных ресурсов от внешних и внутренних сетевых атак.


Cегментация локальной сети

Межсетевой экран позволяет разделить локальную вычислительную сеть на несколько логических сегментов. Ограничения взаимодействия между сегментами ЛВС, вводимые при помощи межсетевого экрана, могут быть полными или частичными. При применении полных ограничений, правила фильтрации межсетевого экрана устанавливаются в виде, не подразумевающем прохождения сетевых пакетов между сегментами. При использовании частичных ограничений, правила фильтрации обеспечивают возможность прохождения только разрешенного типа сетевого взаимодействия. Применение данных механизмов позволяет обеспечить защиту каждого сегмента от угроз ИБ связанных с нелегитимной активностью узлов ЛВС других сегментов. Установка межсетевого экрана на периметре сети, позволяет применять политики безопасности на границе между локальной сетью и внешними ИТС (в том числе Интернет), что позволяет существенно снизить вероятность реализации угроз со стороны нарушителей из внешних ИТС.

2. ОБНАРУЖЕНИЕ И ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ

Средства обнаружения и предотвращения вторжений применяются для обнаружения и предотвращения некоторых типов потенциально вредоносной активности, которая может нарушить безопасность информационной системы. К такой активности относятся сетевые атаки направленные на уязвимости сетевых сервисов, атаки направленные на повышение прав доступа к информационным ресурсам, нелегитимный доступ к критичной информации, а также действия вредоносного программного обеспечения.

Выделяют следующие типы средств обнаружения и предотвращения вторжений:

· Host-based - средства защиты отдельных компьютеров и серверов от вредоносной сетевой активности;

· Network-based – средства обнаружения и блокировки вредоносной активности в сети.

В общем случае подсистемы обнаружения/предотвращения вторжений состоят из следующих модулей:

· модуль сенсоров (программные, программно-аппаратные);

· модуль анализа;

· консоль управления.

Средства защиты Host-Based обеспечивают обнаружение и предотвращение вторжений в пределах заданного узла. Эти средства позволяют обнаруживать и предотвращать вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния отдельных узлов и прочих источников.

Средства защиты Network-based IPS обеспечивают обнаружение и блокирование сетевых атак, а так же оповещение ответственных лиц. Сенсоры могут устанавливаться в разрыв соединения (In-line) или в режиме пассивного мониторинга сетевого трафика, и анализируют сетевые, транспортные и прикладные протоколы взаимодействия. Просматриваемый трафик сравнивается с набором определенных производителем средства защиты образцов (сигнатур) атак или нарушений правил политики безопасности. Так же возможен поведенческий анализ, в рамках которого анализируется сетевой трафик и идентифицируются нетипичные потоки, например DoS и DDoS атаки.

При обнаружении вредоносной активности подсистема обнаружения/предотвращения вторжений может обеспечить применение следующих меры противодействия:

· блокирование выбранных сетевых пакетов (только в случае работы в режиме In-line);

· изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) в целях предотвращения данного вторжения;

· регистрация событий и оповещение ответственных лиц.

3. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА КАНАЛОВ СВЯЗИ

Средства криптографической защиты каналов связи обеспечивают:

· криптографическую защиту каналов связи между несколькими территориально распределенными сегментами сети, взаимодействующими по неконтролируемым каналам связи (Интернет, арендуемые каналы связи и т.п.);

· организацию защищенного удаленного доступа к информационным ресурсам компании для сотрудников организации, работающих вне локальной сети организации (из дома, в командировке, интернет-кафе и др.).


Дата добавления: 2018-02-28; просмотров: 666; Мы поможем в написании вашей работы!

Поделиться с друзьями:






Мы поможем в написании ваших работ!