Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

Классификация средств защиты информации

Беспроводные сети

До недавнего времени беспроводная связь в локальных сетях практически не применялась. Однако с конца 90-х годов 20 века наблюдается настоящий бум беспроводных локальных сетей (WLAN – Wireless LAN). Это связано в первую очередь с успехами технологии и с теми удобствами, которые способны предоставить беспроводные сети. По имеющимся прогнозам, число пользователей беспроводных сетей в 2005 году достигнет 44 миллионов, а 80% всех мобильных компьютеров будут оснащены встроенными средствами доступа к таким сетям.

В 1997 году был принят стандарт для беспроводных сетей IEEE 802.11. Сейчас этот стандарт активно развивается и включает в себя уже несколько разделов, в том числе три локальные сети (802.11a, 802.11b и 802.11g). Стандарт содержит следующие спецификации:

  • 802.11 – первоначальный стандарт WLAN. Поддерживает передачу данных со скоростями от 1 до 2 Мбит/с.
  • 802.11a – высокоскоростной стандарт WLAN для частоты 5 ГГц. Поддерживает скорость передачи данных 54 Мбит/с.
  • 802.11b – стандарт WLAN для частоты 2,4 ГГц. Поддерживает скорость передачи данных 11 Мбит/с.
  • 802.11e – устанавливает требования качества запроса, необходимое для всех радио интерфейсов IEEE WLAN.
  • 802.11f – описывает порядок связи между равнозначными точками доступа.
  • 802.11g – устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен для обеспечения скоростей передачи данных до 54 Мбит/с.
  • v802.11h – описывает управление спектром частоты 5 ГГц для использования в Европе и Азии.
  • 802.11i – исправляет существующие проблемы безопасности в областях аутентификации и протоколов шифрования.

Разработкой и поддержкой стандарта IEEE 802.11 занимается комитет Wi-Fi Alliance. Термин Wi-Fi (wireless fidelity) используется в качестве общего имени для стандартов 802.11a и 802.11b, а также всех последующих, относящихся к беспроводным локальным сетям (WLAN).

Оборудование беспроводных сетей включает в себя точки беспроводного доступа (Access Point) и беспроводные адаптеры для каждого абонента.

Точки доступа выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабженные беспроводными адаптерами, получают доступ к сети. Такие зоны доступа (Hotspot) создаются в местах массового скопления людей: в аэропортах, студенческих городках, библиотеках, магазинах, бизнес-центрах и т.д.

Каждая точка доступа может обслуживать несколько абонентов, но чем больше абонентов, тем меньше эффективная скорость передачи для каждого из них. Метод доступа к сети – CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance). Сеть строится по сотовому принципу. В сети предусмотрен механизм роуминга, то есть поддерживается автоматическое подключение к точке доступа и переключение между точками доступа при перемещении абонентов, хотя строгих правил роуминга стандарт не устанавливает.

Поскольку радиоканал не обеспечивает высокой степени защиты от прослушивания, в сети Wi-Fi используется специальный встроенный механизм защиты информации. Он включает средства и процедуры аутентификации для противодействия несанкционированному доступу к сети и шифрование для предотвращения перехвата информации.

Стандарт IEEE 802.11b был принят в 1999 г. и благодаря ориентации на освоенный диапазон 2,4 ГГц завоевал наибольшую популярность у производителей оборудования. В качестве базовой радиотехнологии в нем используется метод DSSS (Direct Sequence Spread Spectrum), который отличается высокой устойчивостью к искажению данных, помехам, в том числе преднамеренным, а также к обнаружению. Поскольку оборудование 802.11b, работающее на максимальной скорости 11 Мбит/с, имеет меньший радиус действия, чем на более низких скоростях, то стандартом 802.11b предусмотрено автоматическое понижение скорости при ухудшении качества сигнала. Пропускная способность (теоретическая 11 Мбит/с, реальная – от 1 до 6 Мбит/с) отвечает требованиям большинства приложений. Расстояния – до 300 метров, но обычно – до 160 метров.

Стандарт IEEE 802.11a рассчитан на работу в частотном диапазоне 5 ГГц. Скорость передачи данных до 54 Мбит/с, то есть примерно в пять раз быстрее сетей 802.11b. Это наиболее широкополосный из семейства стандартов 802.11. Определены три обязательные скорости – 6, 12 и 24 Мбит/с и пять необязательных – 9, 18, 36, 48 и 54 Мбит/с. В качестве метода модуляции сигнала принято ортогональное частотное мультиплексирование (OFDM). Его наиболее существенное отличие от методов DSSS заключается в том, что OFDM предполагает параллельную передачу полезного сигнала одновременно по нескольким частотам диапазона, в то время как технологии расширения спектра передают сигналы последовательно. В результате повышается пропускная способность канала и качество сигнала. К недостаткам 802.11а относятся большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (около 100 м). Кроме того, устройства для 802.11а дороже, но со временем ценовой разрыв между продуктами 802.11b и 802.11a будет уменьшаться.

Стандарт IEEE 802.11g является новым стандартом, регламентирующим метод построения WLAN, функционирующих в нелицензируемом частотном диапазоне 2,4 ГГц. Благодаря применению технологии ортогонального частотного мультиплексирования (OFDM) максимальная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет 54 Мбит/с. Оборудование, поддерживающее стандарт IEEE 802.11g, например точки доступа беспроводных сетей, обеспечивает одновременное подключение к сети беспроводных устройств стандартов IEEE 802.11g и IEEE 802.11b. Стандарт 802.11g представляет собой развитие 802.11b и обратно совместим с 802.11b. Теоретически 802.11g обладает достоинствами двух своих предшественников. В числе преимуществ 802.11g надо отметить низкую потребляемую мощность, большие расстояния (до 300 м) и высокую проникающую способность сигнала.

Спецификация IEEE 802.11d. устанавливает универсальные требования к физическому уровню (процедуры формирования каналов, псевдослучайные последовательности частот и т. д.). Стандарт 802.11d пока находится в стадии разработки.

Спецификация IEEE 802.11e позволит создавать мультисервисные беспроводные сети для корпораций и индивидуальных потребителей. При сохранении полной совместимости с действующими стандартами 802.11а и b она расширит их функциональность за счет обслуживания потоковых мультимедиа-данных и гарантированного качества услуг. Пока утвержден предварительный вариант спецификаций 802.11е.

Спецификация IEEE 802.11f описывает протокол обмена служебной информацией между точками доступа (Inter-Access Point Protocol, IAPP), что необходимо для построения распределенных беспроводных сетей передачи данных. Находится в стадии разработки.

Спецификация IEEE 802.11h предусматривает возможность дополнения действующих алгоритмами эффективного выбора частот для офисных и уличных беспроводных сетей, а также средствами управления использованием спектра, контроля излучаемой мощности и генерации соответствующих отчетов. Находится в стадии разработки.

Среди изготовителей Wi-Fi оборудования такие известные компании, как Cisco Systems, Intel, Texas Instruments и Proxim.

Таким образом, беспроводные сети весьма перспективны. Несмотря на свои недостатки, главный из которых – незащищенность среды передачи, они обеспечивают простое подключение абонентов, не требующее кабелей, мобильность, гибкость и масштабируемость сети. К тому же, что немаловажно, от пользователей не требуется знания сетевых технологий.

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придается большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией. Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.

Следует заметить, что наряду с термином "защита информации" (применительно к компьютерным сетям) широко используется, как правило, в близком значении, термин "компьютерная безопасность".

Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:

  1. большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц;
  2. значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть;
  3. уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета- тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и "мощных" сетевых ОС, как Windows NT или NetWare.

Остроту проблемы, связанной с большой протяженностью сети для одного из ее сегментов на коаксиальном кабеле, иллюстрирует рис. 9.1. В сети имеется много физических мест и каналов несанкционированного доступа к информации в сети. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за того, что соответствующие поля, особенно на высоких частотах, экранированы неидеально. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. Безусловно, в случае использования проводных соединений типа коаксиальных кабелей или витых пар, называемых часто медными кабелями, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, становится возможным несанкционированный вход в сеть с файл-сервера или с одной из рабочих станций. Наконец возможна утечка информации по каналам, находящимся вне сети:

  • хранилище носителей информации,
  • элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,
  • телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).


Рис. 9.1. Места и каналы возможного несанкционированного доступа к информации в компьютерной сети

Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:

  • Сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).
  • IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.
  • Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
  • Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.
  • Атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети.
  • Атаки на уровне приложений.
  • Сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений.
  • Злоупотребление доверием внутри сети.
  • Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.
  • Вирусы и приложения типа "троянский конь".

Классификация средств защиты информации

Защита информации в сети на рис. 9.1. может быть улучшена за счет использования специальных генераторов шума, маскирующих побочные электромагнитные излучения и наводки, помехоподавляющих сетевых фильтров, устройств зашумления сети питания, скремблеров (шифраторов телефонных переговоров), подавителей работы сотовых телефонов и т.д. Кардинальным решением является переход к соединениям на основе оптоволокна, свободным от влияния электромагнитных полей и позволяющим обнаружить факт несанкционированного подключения.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

  1. Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, "перекрывающих" потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
  2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
  3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
  4. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, поэтому далее они рассматриваются более подробно (см. "Стандартные методы шифрования и криптографические системы" и "Программные средства защиты информации"). Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяженным последовательным линиям, от утечки. Шифрование образует последний, практически непреодолимый "рубеж" защиты от НСД. Понятие "шифрование" часто употребляется в связи с более общим понятием криптографии. Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации. Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника (установление авторства c помощью цифровой подписи).

Число используемых программ шифрования ограничено, причем часть из них являются стандартами де-факто или де-юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование (расшифрование) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации (plain text в англоязычной литературе) с использованием ключа (или двух ключей – по одному для шифрования и дешифрования). В конечном счете, любой сложный метод (алгоритм) шифрования представляет собой комбинацию относительно простых методов.