Обеспечение информационной безопасности при использовании беспроводных IP-сетей ГОСТ Р 59162—2020 (ISO/IEC 27033-6:2016)

Skip to main content

How can we help?

Создано
Последнее обновление
отzamiloff
Print
Навигация

Обеспечение информационной безопасности при использовании беспроводных IP-сетей

Задачи ИБ в контексте беспроводных сетей:

— конфиденциальность: передаваемая информация не должна разглашаться;

— целостность: передаваемая информация не должна изменяться при передаче;

— доступность: услуги сети должны быть доступны;

— аутентификация: подлинность пользователей или объектов, запрашивающих доступ к сети, должна быть подтверждена;

— контроль доступа: доступ к сетям и точкам доступа должен контролироваться;

— подконтрольность: любое нарушение политики должно быть прослежено до конкретного пользователя или субъекта.

Угрозы:

  • Несанкционированный доступ
  • Перехват, прослушивание и анализ пакетов
  • Фальшивая точка беспроводного доступа
  • Атака «Отказ в обслуживании», в том числе путем создания РЧ помехи
  • Атаки через Bluetooth
  • Угрозы в сетях Ad-hoc
  • Прочие угрозы:
    — неправильная маршрутизация/изменение маршрутов сообщений и пакетов;
    — перехват международного идентификатора мобильного абонента (IMSI);
    — отслеживание оборудования пользователя (UE);
    — принудительная передача данных (forced handover);
    — угрозы незащищенной начальной загрузки и многоадресной сигнализации в LTE;
    — возможное нарушение синхронизации туннелей IPsec, которые обеспечивают конфиденциальность, но не целостность данных.
    — угрозы для устройств пользователей и хранимой на них информации, например, ключей шифрования и т. д.

Требования к безопасности:

  • Конфиденциальность достижимая шифрованием данных пользователей, а в некоторых случаях, и шифрование сигналов и данных контроля и управления;
  • Целостность, как правило обеспечивается средствами защиты информации (криптографическая защита)
  • Доступность, зависит от факторов:
    — радиочастотные характеристики выбранной технологии (ширина полосы канала, уровень
    сигнала, полоса частот, модуляция, кодирование и т. д.);
    — среда, в которой разворачивается сеть (физическая местность, атмосферная среда);
    — производительность сети под нагрузкой и в условиях перегрузки;
    — особенности планирования сети (пропускная способность, повторное использование спектра);
    — уровень избыточности, заложенный в сеть и в ее компоненты;
    — устойчивость сети и ее компонентов к DoS-атакам.
  • Идентификация и аутентификация (проверка подлинности)
  • Авторизация и контроль доступа
  • Отслеживание нарушений вплоть до конкретного пользователя (неотказуемость)

Общие меры обеспечения ИБ применимые и к беспроводным сетям:

— усиление защиты оборудования;

— устранение уязвимостей путем обновления программного обеспечения оборудования;

— система управления информацией, построенная на основе оценки рисков безопасности, связанных с защищаемыми элементами;

— обучение операторов;

— информирование конечного пользователя.

Меры ИБ относящиеся к беспроводным сетям:

Контроль и реализация шифрования

Должен учитываться0 следующие аспекты:

  • какие алгоритмы шифрования данных доступны? Какие алгоритмы шифрования данных реализованы в оборудовании и (или) сети и в устройствах конечных пользователей? Какие из них сертифицированы уполномоченным федеральным органом исполнительной власти?;
  • должен ли конечный пользователь иметь возможность выбирать тип шифрования, либо он должен быть жестко задан администратором сети?;
  • использование надежного шифрования желательно, но необходимо соотнести его с производительностью сетевого интерфейса, производительностью устройств конечного пользователя и доступной пропускной способностью интерфейса;
  • каким образом конечный пользователь проинформирован об уровне шифрования его данных, то есть о безопасности его данных;
  • необходимо понимать процедуру управления ключами шифрования. Разворачивается ли инфраструктура открытых ключей? Будет ли беспроводная сеть располагать собственным локальным центром сертификации или будет использоваться открытый и/или корневой центр сертификации? Чем более автоматизирован процесс управления ключами, тем удобнее для пользователей;
  • местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы шифрования;
  • необходимый тип шифрования может также определяться соглашением об уровне обслуживания (SLA);
  • возможность взаимодействия с другими (беспроводными) сетями. Например, если будет происходить переключение устройств конечных пользователей в другую сеть, то будет ли эта сеть поддерживать тот же уровень шифрования, что и исходная сеть?;
  • обратная совместимость с различными версиями устройства/оборудования. В некоторых случаях более ранние версии пользовательских устройств могут не поддерживать используемый уровень шифрования.

Оценка целостности

Для защиты сетей от атак, связанных с перехватом управления сессией, атак через посредника, атак с репликацией сообщений в беспроводных интерфейсах используются встроенные механизмы проверки целостности, представляющие собой основу защиты от таких атак.

Аутентификация

  • перечень методов (механизмов) аутентификации, предусмотренных для данной технологии беспроводной связи соответствующими стандартами безопасности, с конкретизацией интерфейсов, для каждого механизма, включая радиоинтерфейс обмена данными и интерфейс для управления и контроля устройств и/или точек доступа. Необходимо учесть, что для всех интерфейсов рекомендуется
    взаимная аутентификация;
  • механизмы аутентификации, реализованные в оборудовании сети и в устройствах конечных пользователей. Некоторые устройства и/или оборудование точки доступа могут не поддерживать последнюю версию стандарта или поддерживать не все параметры безопасности;
  • параметры, доступные сетевому администратору для выбора и настройки механизма аутентификации;
  • предпочтительно использовать наиболее надежный механизм аутентификации, но необходимо оценить его с точки зрения удобства для пользователя, управляемости с точки зрения сетевого администратора, а также затрат на реализацию;
  • управление учетными данными аутентификации должно быть четко определено;
  • среди прочих аспектов управления учетными данными для проверки подлинности необходимо рассмотреть следующее. Как обрабатываются неудачные попытки аутентификации? Как происходит аннулирование/восстановление прав? Как истекает срок действия полномочий? Эти аспекты нужно рассматривать как с позиции пользователей, так и c позиции функций контроля и менеджмента;
  • в беспроводных технологиях типов 2G/3G/4G/5G в устройствах конечных пользователей используются карточки SIM/UICC, которые либо выдаются оператором PLMN, либо могут быть встроены в устройство их производителями. Специалист по ИБ должен понимать суть взаимоотношений всех задействованных в таком случае сторон. Руководитель по ИБ также должен понимать механизмы физической безопасности, используемые для защиты учетных данных на устройствах конечных пользователей или в контроллерах, таких как защищенные от несанкционированного доступа интегральные схемы, доверенные среды и т. п.;
  • местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы механизмов аутентификации;
  • необходимый тип аутентификации может также определяться соглашением об уровне обслуживания (SLA);
  • возможность взаимодействия с другими (беспроводными) сетями; например, если будет происходить переход устройств конечных пользователей в другую сеть, будет ли эта сеть поддерживать тип аутентификации, аналогичный исходной сети? Как правило, у специалиста по ИБ нет возможности изменять параметры операционного взаимодействия или управлять ими, однако специалист должен
    быть осведомлен о возможностях различных технологий обеспечения безопасности беспроводной связи;
  • обратная совместимость с различными версиями устройств и оборудования

Контроль доступа

Для начала необходимо ответить на вопросы:

  • какие механизмы контроля доступа определены соответствующими стандартами безопасности беспроводной связи для выбранной беспроводной технологии;
  • какие механизмы контроля доступа реализованы в оборудовании сети и в устройствах конечных пользователей? Некоторые устройства и/или оборудование ТД могут не поддерживать последнюю версию стандарта или поддерживать не все параметры безопасности;
  • какие параметры доступны сетевому администратору для выбора и настройки механизма контроля доступа?;
  • местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы механизмов контроля доступа;
  • совместимость с другими (беспроводными) сетями;
  • как правило, у специалиста по ИБ нет возможности изменять параметры операционного взаимодействия или управлять ими, однако специалист должен быть осведомлен о возможностях различных технологий обеспечения безопасности беспроводной связи;
  • обратная совместимость с различными версиями устройств и оборудования;
  • для обнаружения несанкционированного доступа в беспроводную сеть и предотвращения последующего воздействия такого нарушения безопасности необходимо создать соответствующую систему обнаружения и предотвращения вторжения в беспроводную сеть.

Контроль разрешений

фильтрация по MAC-адресам или международный идентификатор мобильного оборудования (IMEI)


Сетевой контроль

Протоколы данных пользователей и протоколы управления как правило реализуются отдельно. При таком определении и реализации стандарта обеспечивается логическое разделение протоколов, что само по себе обеспечивает возможность контроля доступа.

Устойчивость к атакам «Отказ в обслуживании»

Механизмы WIDS/WIPS, для обнаружения глушилок необходимо спец оборудование.

Использование демилитаризованной зоны

Рекомендуется подключать беспроводные сети к безопасной внутренней сети через ДМЗ.