- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
3.4. Системы обнаружения атак (ids)
Принцип работы систем обнаружения атак (IDS), основан на распознавании вторжений и неправильного использования компьютерных систем и сетей путём сбора и анализа данных. Изначально IDS разрабатывались для того, чтобы обнаруживать атаки и неправильное использование проводных систем и сетей. Немного позже, появились IDS для беспроводных сетей. Эти беспроводные IDS могут наблюдать и анализировать активность пользователей и систем, распознавать сценарии известных атак, определять аварийную сетевую активность, и выявлять нарушение политики беспроводной сети. Беспроводные IDS собирают все локальные передающиеся радиосигналы и генерируют сигнализацию, основанную или на предопределённой сигнатуре, или на аномалиях трафика.
Беспроводные IDS идентичны стандартным, проводным IDS, но имеют дополнительные требования для их развёртывания, и некоторые уникальные характеристики для определения вторжений и неправильного использования, свойственных WLAN.
Беспроводные IDS бывают централизованные или децентрализованные.
Централизованные беспроводные IDS - это обычно комбинация из индивидуальных датчиков, которые собирают и направляют все данные 802.11 к центральной управляющей системе, где они сохраняются и обрабатываются.
Децентрализованные IDS обычно включают одно или более устройств, которые выполняют как сбор, так и функцию обработки/отчётов. Децентрализованный метод самый подходящий для маленьких WLAN (1 – 2 ТД) за счёт стоимости и свойств управления.
Стоимость датчиков с возможностями обработки данных может стать чрезмерно высокой, если их требуется много. Кроме того, управление большим количеством датчиков обработки/отчётов может быть во много раз сложнее, чем в централизованной модели. WLAN обычно обслуживают относительно большие физические пространства (зоны покрытия). В этих случаях, многие ТД могут быть развернуты только для того, чтобы обеспечить подходящее качество сигнала для данной территории.
Важнейшим аспектом внедрения беспроводной IDS является расположение датчиков в близи мест, где находятся ТД. Обеспечивая полное покрытие физической инфраструктуры, с помощью датчиков расположенных везде, где есть ТД, может быть обнаружено основное количество атак и нарушений. Ещё одно преимущество расположения датчиков в относительной близости к ТД - дополнительная возможность указать точное географическое местонахождение атакующего.
Обнаружение физического местоположения - главнейший аспект беспроводных IDS. Атаки 802.11 обычно происходят в непосредственной близости от ТД и могут быть осуществлены за экстремально короткий временной интервал. Следовательно, отклик на атаку должен быть не только логический, как в стандартных IDS (то есть, блокируя нарушающий IP адрес), но так же отклик должен зарегистрировать физическое расположение представителей, чтобы определить атакующего, и отклик должен быть своевременным. В отличии от проводных атак, где хакер обычно находится на больших расстояниях от сети на которую он нападает, беспроводные атакующие обычно находятся в той же локальной зоне.
Беспроводные IDS не только обнаруживают атакующего, но так же могут помочь ужесточить политику. WLAN имеют некоторое число решений, относящихся к безопасности, но можно зафиксировать много слабостей в её защищённости. С помощью сильной беспроводной политики и надёжного укрепления, беспроводная сеть может стать такой же защищённой как проводная эквивалентная ей сеть, и беспроводные IDS могут помочь с ужесточением политики.
Предположим, политика устанавливает, что все беспроводные коммуникации должны быть зашифрованы. Беспроводная IDS может постоянно следить за 802.11 коммуникациями и если обнаруживается, что ТД или какое либо другое 802.11 устройство взаимодействует без шифрования, IDS распознает и предупреждает о его активности. Если беспроводная IDS заранее сконфигурирована с учётом всех авторизированных ТД, и неизвестная («левая») ТД установлена в зоне ЛВС, IDS сразу распознает её.
Такие свойства как распознавание «левой» ТД и ужесточение политики имеет большое значение для повышения уровня безопасности WLAN.
Беспроводная IDS также имеет возможность опознавать ad-hoc сети - распространённая конфигурация, которая потенциально позволяет хакерам использовать беспроводное устройство. Наконец, беспроводные IDS могут обнаружить уникальные и нестандартные угрозы посредством использования правил, разработанных пользователем. Эта гибкость, вместе со стандартными IDS, позволяет беспроводной IDS быть масштабируемой и иметь отличные характеристики.
Преимуществ у IDS много, но есть и несколько недостатков, которые нужно рассмотреть перед тем, как внедрять такую систему. Обнаружение беспроводных вторжений довольно новая технология. Следует быть осторожным, применяя какие-либо новые технологии в действующей сети. Из-за того, что технология новая, в ней могут быть сбои или уязвимости, которые могут потенциально ослабить безопасность WLAN.
Беспроводные IDS технологии стремительно развиваются, и это предостережение может быстро потерять свою актуальность. Потенциальные ответвления от решений беспроводных IDS могут быть дорогими. В этом случае, могут разрабатываться частные, самодельные решения, но эти решения могут оказаться ещё дороже, из-за стоимости трудовых ресурсов, которые понадобятся, для того чтобы разработать их. Также стоимость беспроводных IDS решений будет расти по мере роста управляемой ей WLAN, из-за требований большого числа датчиков. Следовательно, чем больше WLAN, тем дороже будет стоить развёртывание беспроводной IDS.
Беспроводная IDS так же эффективна, как человек, который анализирует и реагирует на данные, собранные системой. Беспроводная IDS, как и стандартная IDS, может требовать много трудовых ресурсов, чтобы проанализировать и среагировать на обнаружение угрозы. На самом деле, доказано, что беспроводная IDS потребует больше трудовых ресурсов, чем стандартная IDS.
Системы обнаружения беспроводных вторжений – важное дополнение к безопасности беспроводных локальных сетей. Хотя существуют недостатки в развёртывании беспроводной IDS, преимущества всё же перевешивают отрицательные стороны. С возможностями обнаружения зондирования, DoS и различные 802.11 атаки, и дополнительно способствовать ужесточению политик, преимущества беспроводных IDS довольно существенны [28,5,42].