Локальная Wi-Fi сеть с элементами защиты WPA-PSK 2

МИНОБРНАУКИ РОССИИ



Федеральное государственное бюджетное образовательное учреждение 

 высшего образования

«Московский технологический университет»

МИРЭА

Институт кибернетики 

Кафедра Компьютерной и информационной безопасности 



	

	«ДОПУЩЕН К ЗАЩИТЕ»

	

	

	Заведующий 

	кафедрой________________ С.М. Ярлыкова 

	

	«___» __________ 2017 г.



ДИПЛОМНАЯ РАБОТА



				

				Тема: «Локальная Wi-Fi сеть с элементами защиты WPA-PSK 2»

				

				Обучающийся: Листошин Михаил Владимирович



Шифр: 13К0458

Группа: КТСО-03-12



Руководитель дипломной работы:

Д.ф.-м.н. Профессор Булычев Г.Г.

Консультант по специальной части работы:

Д.ф.-м.н. Профессор Булычев Г.Г. 

Консультант по экономической части:	

Ст. преподаватель кафедры Ткаченко Е.К.

Рецензент:

________________













	Москва, 2018

Аннотация



	Дипломная работа содержит 72 страницы, 19 рисунков, 12 таблиц. При написании использована информация из 16 источников.

	В данной дипломной работе на основе обзора основных методов и средств защиты информации в беспроводных ЛВС проводилась разработка, тестирование, анализ и внедрение программного продукта защиты данных от несанкционированного доступа. 

	Целью дипломной работы является разработка и реализация разделенной локальной Wi-Fi сети с элементами защиты WPA-PSK 2. Дается описание технологий, принципы действия и варианты использования.

	Область применения: результаты проделанной работы могут использоваться при построении беспроводной сети в компаниях любого профиля и уровня.

	Рекомендации: рекомендуется к внедрению после утверждения требований к параметрам сети и функциональности устройств.

Разработано технико-экономическое обоснование целесообразности выполнения проекта.



















Ключевые слова: беспроводные локальные сети Wi-Fi, технологии, оборудование, точка доступа, стандарт IEEE802.11.


















Оглавление

	Аннотация	2

	Список сокращений	4

	Введение	5

		1.	Методы и средства защиты информации в беспроводной сети	8

		1.1	Обзор и анализ основных методов и средств защиты информации для беспроводных ЛВС	8

		1.2	Анализ основных угроз и рисков информационной безопасности ЛВС организации	20

		1.3	Анализ архитектуры сети беспроводного доступа	23

		1.4	Сравнение стандартов семейства IEEE 802.11	35

		2.	Разработка разделенной локальной Wi-Fi сети	43

		2.1	Постановка задачи	43

		2.2	Расчет зоны покрытия Wi-Fi сети	44

		2.3	Выбор оборудования	47

		2.4	Нагрузочное и функциональное тестирование беспроводной сети WLAN и инфраструктуры	51

		2.5	Анализ результатов	54

		3.	Экономический раздел.	56

		3.1	Разработка бизнес-плана.	56

		3.1.1	Продукция и услуги.	56

		3.1.2	Маркетинговый план.	56

		3.1.3	Оценка риска.	57

		3.2	Организационный план.	58

		3.3	Расчет договорной цены.	60

		3.3.1	Материалы и покупные изделия и полуфабрикаты (за вычетом отходов).	61

		3.3.2	Специальное оборудование для научных (экспериментальных) работ.	………………………………………………………………………..62

		3.3.3	Основная заработная плата научного и производственного персонала.	62

		3.3.4	Дополнительная заработная плата научного и производственного персонала.	64

		3.3.5	Страховые взносы в социальные фонды.	64

		3.3.6	Расходы на научные и производственные командировки.	65

		3.3.7	Оплата работ, выполненных сторонними организациями и предприятиями.	65

		3.3.8	Прочие прямые расходы.	66

		3.3.9	Накладные расходы.	66

		3.3.10	Полная себестоимость работ.	67

		3.3.11	Определение договорной цены.	68

		3.4	Технико-экономическое обоснование целесообразности выполнения проекта.	69

	Заключение	71

	Список использованной литературы	73

	Приложение	75









































Список сокращений



Hi-Fi (англ. High Fidelity) - высокая точность;

АИС – автоматизированная информационная система; 

АРМ – автоматизированное рабочее место; 

БД – база данных; 

ДМЗ (DMZ, Demilitarized Zone) - демилитаризованная зона; 

ИС – измерительное средство; 

ИС – информационная система; 

ЛВС –локальная вычислительная сеть; 

МФУ –многофункциональное устройство; 

МЭ – межсетевой экран; 

НИР и ОКР - научно-исследовательская работа и опытно-конструкторская разработка;

НСД –несанкционированный доступ; 

ОС –операционная система; 

ПО – программное обеспечение; 

ПЭМИН - побочные электромагнитные излучения и наводки; 

СВТ - Средства вычислительной техники;

СИА -  Системы идентификации и аутентификации; 

СКЗ - Средства коллективной защиты; 

ТС – технические средства; 

ЭВМ – электронная вычислительная машина;















Введение



	В обществе быстро увеличивается необходимость в защищенных беспроводных соединениях, особенно в сфере бизнеса и IT-технологий. Пользователи с беспроводным доступом к данным имеют все шансы действовать значительно эффективнее и продуктивней, нежели сотрудники, ограниченные проводными локальными сетями.

В производственной деятельности практически любой организации информационная безопасность является важной задачей, так как нарушения

в этой части приводят к компрометации деятельности компании или ее персонала.

Новые технологии передачи данных дают существенные преимущества в работе организации, но при этом увеличивается вероятность несанкционированной деятельности, связанной с хищением, подделкой, блокированием и уничтожением информации. Фактически это означает, что с развитием технологий обработки и передачи информации необходимо развивать защиту информации.

На практике беспроводные сети чаще всего используются совместно с проводными для организации и предоставления различных видов услуг связи на «последней миле» - соединение абонентов с узлом связи и между собой. Средства беспроводных ЛВС позволяют оперативно и достаточно экономно создавать локальные сети, полностью соответствующие стандартам проводных сетей. Они особенно эффективны, когда кабельная прокладка затруднена, или организации необходимо в сжатые сроки провести модернизацию уже имеющихся сетей.

	В то же время объединение различных средств вычислительной техники (СВТ) на основе средств беспроводной связи повышает уязвимость ЛВС организации за счет ее неоднородности и открытости. Радиосигналы имеют открытую природу и не ограничены стенами зданий, что предоставляет злоумышленникам свободу для атак.

В настоящее время имеется большое разнообразие (по отказоустойчивости и стоимости) средств защиты беспроводных сетей связи для объединения автоматизированных рабочих мест (АРМ) организации в корпоративные ЛВС, и поэтому решение проблемы выбора технико-экономической комбинации методов и средств защиты является очень актуальной. В тоже время надо понимать, что все эти средства не являются сертифицированными, так как они основаны на стандартах иностранного производства и при их разработке вряд ли выполнялись требования нормативных документов РФ.

В этих условиях, при задании заказывающими организациями исходных данных и требований на создание защищенных АС и ЛВС в их составе, выдается субъективная и не всегда проверенная информация, что в еще большей степени приводит к неадекватности решений при выборе методов и средств защиты информации.

Целью данной дипломной работы является уменьшение возможного ущерба локальной сети организации, подключенных по каналу Wi-Fi с элементами защиты WPA-PSK 2 от угроз безопасности путем разработки и внедрения системы предотвращения утечек информации.

Для реализации этой цели в работе было выполнено следующее:

Обзор и анализ основных методов и средств защиты информации для беспроводных ЛВС;

Анализ основных угроз и рисков информационной безопасности ЛВС организации;

Анализ архитектуры сети беспроводного доступа;

Анализ алгоритмов аутентификации в системах Wi-Fi и алгоритмов шифрования;

Выбор технологии защиты информации в корпоративных беспроводных сетях;

Разработан алгоритм работы системы предотвращения утечек информации; 

Разработано программное обеспечение для реализации задачи повышения уровня защиты информации путем предотвращения утечек данных.





















































Методы и средства защиты информации в беспроводной сети



Обзор и анализ основных методов и средств защиты информации для беспроводных ЛВС



	Беспроводные компьютерные сети – это технология, предназначенная для создания ЛВС полностью соответствующих стандартам обычных проводных ЛВС без использования прокладки кабелей.

Необходимо отметить ряд основных преимуществ Wi-Fi сетей по сравнению с традиционными кабельными, а именно [3]:

- простота развертывания (практически отсутствуют монтажные работы),

- оперативность подключения новых рабочих мест (модернизация и развитие), 

- простота подключения практически любых технических средств (настольные компьютеры и ноутбуки, принтеры и МФУ, сетевые хранилища и т. п.) за счет встроенных в них модулей беспроводной связи,

- мобильность пользователей в зоне покрытия сети.

	Беспроводные сети различаются по назначению и радиусу действия. Их можно разделить на персональные (Wireless Personal Area Network, WPAN), локальные (Wireless Local Area Network, WLAN), городские (Wireless Metropolitan Area Network, WMAN) и глобальные (Wireless Wide Area Network, WWAN). Соответственно, для каждого варианта организации сети предусмотрен свой стандарт. Рассмотрим наиболее популярные. [2]



Рисунок 1.1 - Радиус действия беспроводных сетей

	Главным отличием беспроводных сетей WLAN и WPAN, перед WMAN является диапазон рабочих частот. Локальные (WLAN) и персональные (WPAN) сети не требуют частотного планирования и координацию с другими радиосетями, работающими в этом же диапазоне, так как функционируют в нелицензионных диапазонах частот 2,4 и 5 ГГц. Сети BWA (Broadband Wireless Access) используют как лицензионные, так и нелицензионные диапазоны (от 2 до 66 ГГц). [5]



Рисунок 1.2 Стандарты беспроводных сетей

Категорию WPAN можно представить целым рядом технологий. Одной из самых старых технологий передачи информации в небольшом радиусе действия можно назвать IrDa – передача данных в пределах инфракрасного диапазона, созданной в 1993 году и предоставляющей возможность пользователям передавать информацию в пределах свободного от препятствий небольшого радиуса. Более современной и продвинутой можно назвать технологию Bluetooth. Чтобы установить контакт между двумя такими устройствами, не требуется прямая видимость.

Стандарт Bluetooth сформулирован еще в 1994 году после решения шведской компании Ericsson, связанного с созданием локальной беспроводной связи между радиотелефоном и различными аксессуарами типа гарнитуры и т.д. В конце мая 1998 года несколько компаний - Ericsson, IBM, Intel, Toshiba и Nokia объявили о выделении отдельной рабочей группы Bluetooth SIG (Bluetooth Special Interest Group) для продвижения и дальнейшего развития данной технологии. Сам стандарт Bluetooth осуществляет радиосвязь в пределах 2.4-2.48 ГГц. Спектр самого сигнала формируется при использовании метода FHSS (Frequency Hopping Spread Spectrum — широкополосный сигнал по методу скачков частот), исходя из которого частота, несущая сигнал, скачкообразно может меняться с периодичностью 1600 раз в секунду. И вся последовательность таких переключений известна только для приемника и передатчика, что позволяет обеспечивать конфиденциальность и защищенность передачи данных, а также исключить возможные помехи, если работают сразу несколько «приемников-передатчиков». Также на основе Bluetooth-технологии возможно создание собственной беспроводной сети.

ZigBee – следующая беспроводная сетевая технология небольшого радиуса действия, которая базируется на стандарте IEEE 802.15.4. Эта технология была реализована для обеспечения менее энергоемкого и более дешевого средства передачи данных по сравнению с остальными WPAN-технологиями, в частности, с Bluetooth. Протоколы ZigBee были построены с учетом максимального сохранения энергии – большую часть времени устройство находится в режиме ожидания, лишь изредка проверяя, не поступили ли обращения к ним. Дальность связи между устройствами составляет до 75 метров. Сегодня данная технология в основном применяется в сенсорных системах, но многие ее сторонники предполагают, что она может использоваться для связи практически любых электронных устройств. В будущем планируется использование данной технологии в беспроводных сигнализациях (задымление, температура, объем, шум и т.д.), а также для управления устройствами умного дома. 

WiMAX — относительно новый стандарт беспроводной широкополосной радиосвязи, созданный собранием WiMAX Forum. Для его основы был использован стандарт 802.16.

Для беспроводных сетей WLAN стандартом стала технология IEEE 802.11. Различных спецификаций стандартов беспроводных сетей семейства 802.1x существует великое множество, так для обозначения одних только разновидностей стандарта 802.11 используются практически все буквы английского алфавита. 

Стандарт IEEE 802.11, имеющий различные версии, более известен пользователям как Wi-Fi. Название предложено разработчиками - консорциумом Wi-Fi Alliance и расшифровывается как Wireless Fideliti («беспроводная связь») и используется для названия любого типа устройств, поддерживающих стандарт 802.11. [1]

Из всех существующих стандартов беспроводной передачи данных IEEE 802.11, на практике наиболее часто используются всего четыре, это: 802.11a, 802.11b, 802.11g и 802.11n. [4]

Основная версия Wi-Fi – 802.11b, который обеспечивает передачу данных со скоростью 11 Мбит/с. Стандарт 802.11a – более "широкополосный", работает в диапазоне 5 ГГц и предусматривает скорость до 54 Мбит/с. 

Версия 802.11g должна заменить версию 802.11b, так как, работая в том же частотном диапазоне (2,4 ГГц), обеспечивает практически в пять раз большие скорости - до 54 Мбит/с, используется та же схема модуляции сигнала, что и в 802.11a - ортогональное частотное мультиплексирование (OFDM) и имеет обратную совместимость. На практике это означает, что устройство с поддержкой стандарта 802.11b, найдя точку доступа 802.11g, автоматически обеспечивает совместную работу и наоборот (только здесь уже с уменьшением скорости обмена данными).

Стандарт 802.11n обеспечивает передачу данных до 480 Мбит/с за счет: удвоения ширины канала с 20 до 40 МГц, а также вследствие реализации технологии MIMO. Устройства 802.11n работают в диапазонах 2,4 — 2,5 или 5,0 ГГц. Оборудование может работать в трёх режимах:

наследуемом (Legacy), в котором обеспечивается поддержка устройств 802.11b/g и 802.11a

смешанном (Mixed), в котором поддерживаются устройства 802.11b/g, 802.11a

 «чистом» режиме — 802.11n (именно в этом режиме и можно воспользоваться преимуществами повышенной скорости и увеличенной дальностью передачи данных, обеспечиваемыми стандартом 802.11n).

Недавно принятая версия 802.11ac работает только в диапазоне частот 5GHz и обратно совместима с устройствами 802.11n (в 5GHz) и 802.11а. При этом существенно увеличены не только полосы пропускания, но и зона покрытия. 

Технология MIMO, реализованная в стандарте 802.11n, обеспечивает одновременную работу передачи/приема данных между устройствами сети. Но в конкретный момент времени только одно устройство может получать и отправлять данные, тогда как другие ожидают своей очереди. Стандарт 802.11ас значительно улучшает эту ситуацию. В рамках стандарта была реализована технология многопользовательского MIMO — MU-MIMO (Multi-User Multiple-Input, Multiple-Output).

MU-MIMO создаёт многопоточный канал передачи, при использовании которого остальные устройства не ждут своей очереди. 

Устройства с поддержкой MU-MIMO могут обеспечивать одновременную передачу четырёх потоков данных (до четырёх клиентов). Это позволило реализовать более эффективное использование беспроводной сети и сократить задержки (время ожидания на обслуживание), которые возникают при значительном увеличении числа клиентов в сети.

 



Рисунок 1.3 MIMO и MU-MIMO

Кроме этого, преимуществом Wi-Fi перед другими технологиями является высокая скорость передачи. Поэтому эта технология столь бурно развивается в таких областях, как беспроводной доступ в Интернет, беспроводное телевидение, беспроводные DVD - проигрыватели. Данная технология используется на многих современных предприятиях, в муниципальных учреждениях, школах, домах, квартирах, как наиболее подходящая альтернатива проводным локальным сетям. Широко применяется Wi-Fi в различных беспроводных системах на транспорте. Практически все беспроводные видеокамеры и регистраторы скорости, установленные на автомагистралях, используют Wi-Fi. Также эта технология используется для организации локальных сетей между зданиями и промышленными объектами. Благодаря жестокой привязке к конкретной области, внутри которой распространяется информация, Wi-Fi является идеальной технологией для платного выхода в Интернет в кафе, ресторанах, гостиницах, муниципальных учреждениях и т.д.

При рассмотрении любой проблемы, требующей принятия обоснованного выбора пути ее решения, необходимо опираться на нормативную базу, которая, как правило, состоит из нормативно-правовых и нормативно-технических документов [6]. 

Главной особенностью подобных средств можно выделить то, что они создают функции защиты данных практически вместе с функциями информационного процесса, используя при этом чередование выполнения данных функций. Такой подход значительно сокращает время реакции на угрозу ИБ и обеспечивает быстрое восстановление лишь тех элементов, которые были подвержены воздействию угрозы и повреждены. 

Таким образом, направления улучшения механизмов защиты данных от НСД в АС следуют из основных направлений развития технологий защиты информационных ресурсов в целом, с учетом особых свойств работы конкретной АС с беспроводными средствами связи и требований, которые могут предъявляться к такого рода системам. 

Необходимо отметить, что государственные нормативно-правовые документы формулируют качественные требования к системам и средствам защиты информации, но в практической деятельности необходимы и количественные критерии. Зарубежные стандарты, которые легли в основу нормативных документов ФСТЭК, трактуют оценку качества защиты чисто экономически – стоимость системы защиты не может быть выше стоимости возможного ущерба от утечки или потери информации, то есть простые оценки технико-экономической эффективности [11].

Важно помнить, что любая успешно реализованная угроза ИБ так или иначе использует отдельные особенности построения и функционирования АС, либо недостатки ее механизмов защиты.

Эти особенности исследуются уже достаточно давно и получили название «уязвимостей технологического процесса» или «уязвимостей механизма защиты». Все способы осуществления информационных атак базируются на такого рода уязвимостях, которые и провоцируют появление средств нападения. Таким образом, противостояние угроз и механизмов защиты напоминает систему с обратной связью: новые виды атак приводят к появлению новых способов защиты, а недостатки в механизмах защиты приводят к появлению новых средств их преодоления и т.д.

Выход из подобной ситуации возможен двумя путями:

1)	устранение уязвимостей АС, служащих источниками успешной реализации угроз информационной безопасности;

2)	создание высокоэффективных и надежных средств защиты от каждого типа атак.

В соответствии с этим, возможно два пути обеспечения защищенности информации в АС:

1)	изначальная разработка АС как защищенной, устранение в ее архитектуре уязвимостей, являющихся причинами успешной реализации угроз. При этом СЗИ, реализуя механизмы защиты от конкретных видов угроз, не зависят напрямую от назначения АС и не требуют модификации по мере ее развития;

2)	применение в них достаточно универсальных средств защиты от достаточно широкого круга угроз информационной безопасности.

Трудности реализации указанных направлений очевидны: для создания эффективного механизма защиты информации необходимо проанализировать все типы угроз информационной безопасности и выработать эффективные способы противодействия угрозам каждого типа. 

Помимо этого, на практике уже доказано, что обеспечение гарантированной защиты информации в системе является сложно реализуемой задачей вследствие нескольких факторов:

Количество угроз постоянно изменяется и имеет тенденцию экспоненциального роста. Это говорит о том, что через какое-то время появятся новые угрозы, которые будут требовать новых методов защиты, т.к. все существующие будут уже не эффективными;

В совокупности, все угрозы ИБ растут не только количественно, но и качественно, т.к. для успешной реализации угрозы нужно, чтобы она принципиально отличалась от тех, на которые уже рассчитаны механизмы безопасности. Это означает, что нельзя 100% создать полноценную классификацию угроз ИБ и успешно предсказывать появление всех новых видов угроз.

Рассматривая СЗИ от НСД беспроводных ЛВС требуется особо отметить, что из-за общедоступного характера радиоспектра возникают новые проблемы безопасности, которых нет в проводных сетях. Так для прослушивания сообщений в проводных сетях требуется физический доступ к компонентам сети, а для беспроводных сетей достаточно сканера частот с функциями записи для последующего анализа. Распространенность беспроводных сетей и оборудования для их организации порождают проблемы безопасности не из-за слабости их встроенных средств защиты, а из-за использования настроек по умолчанию, когда не выбираются оптимальные методы идентификации пользователей и т.п.

Защиту беспроводных сетей начинать надо с исключения не контролируемого физического доступа к узловому оборудованию сети (точкам доступа), так как простое изменение их настроек может обеспечить любой уровень взлома сети, кражи данных и т.п.

Точки доступа и адаптеры беспроводной связи в оборудовании взаимодействуют через радиоканал. Точка доступа и адаптер получают МАК-адрес, аналогичный МАК-адресу сетей Ethernet. Точки доступа предоставляют клиентам беспроводной сети ее ресурсы. Сама беспроводная сеть имеет собственный идентификатор SSID, который используется при обращении к ней. Связь обеспечивается тогда, когда SSID транслируется и устройства могут его обнаружить или на клиентах задан такой же SSID. Если сразу после установки оборудования просто переименовать стандартно настроенный идентификатор SSID или скрыть его, то уровень защиты сети сделает первый шаг вверх. 

Для контроля доступа к беспроводным сетям первоначально был разработан необязательный к применению стандарт WEP. WEP использует общий ключ, который устанавливается на точках доступа и адаптерах абонентов сети. Этот стандарт имеет много недостатков, в том числе: не стойкие ключи шифрования и механизмы аутентификации.

Стандарт WPA был разработан для устранения этих недостатков. Технология WPA включает следующие основные части:

Протокол 802.1х – универсальный протокол для аутентификации, авторизации и учета,

Протокол EAP – расширяемый протокол аутентификации,

Протокол TKIP – протокол целостности ключей во времени,

Протокол RADIUS – служба дистанционной аутентификации пользователей по коммутируемым каналам,

MIC – криптографическая проверка целостности пакетов.

WPA превосходит WEP из-за добавления протокола TKIP и надежному механизму аутентификации на базе протокола 802.1х и протокола ЕАР. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном уровне, так и на программном.  Вместе с расширением протокола 802.11 была введена новая версия стандарта WPA – WPA2, который обратно совместим с WPA [7, 12]. 

Данные в WPA шифруются за счет протокола TKIP, который использует динамические ключи. В WPA2 применяются длинный вектор инициализации и криптографическая контрольная сумма (MIC). RADIUS-протокол рекомендуется использовать совместно с сервером аутентификации. При правильных настройках аутентификация осуществляется на уровне порта – то есть пока пользователь не будет аутентифицирован ему разрешено только посылать/принимать пакеты его аутентификации (учетных данных) и только после успешной аутентификации пользователь получит доступ к ресурсам сети.

Аутентификацию реализует протокол EAP, который очень удобен тем, что его просто реализовать на аутентификаторе – точке доступа, так как ей не требуется знать никаких специфических особенностей различных методов аутентификации. Аутентификатор в этом случае просто служит передаточным звеном между клиентом и сервером аутентификации.

В настоящее время уже есть два метода аутентификации EAP-TTLS и EAP- PEAP, отличающихся от других тем, что перед аутентификацией пользователя сначала образуется TLS-туннель между клиентом и сервером аутентификации, а уже внутри него происходит процесс аутентификации. Начальное туннелирование существенно повышает безопасность процесса аутентификации, защищая его от атак.

Защищенность беспроводной сети повышает и обычное сегментирование пользовательских групп. При этом рекомендуется динамическое назначение VLAN для создания управляемых сетей. 

Кроме этого, система в идеале должна быть настроена и сконфигурирована так, чтобы управление было невозможно проводить через радио-среду, а только непосредственно через выделенный АРМ, особенно для изменения настроек точек доступа.

В последнее время появились автоматические системы предотвращения вторжений – WIPS, которые позволяют обнаруживать аномальные действия в сети. К таким случаям могут относиться, например, неоднократные попытки перебора ключей аутентификации, повышение привилегий, обращения к конфиденциальным данным и т.п. WIPS обнаруживают каждую из настроенных категорий атак на основе систем анализа событий, их автоматической классификации, анализа протоколов и т.п.

В заключение необходимо отметить, что ни одно устройство, ни одно специальное ПО, ни один протокол не защитит вашу сеть и АС от безграмотного подхода к решению проблем информационной безопасности, обучения сотрудников и строгого контроля за их деятельностью в организации.

Анализ основных угроз и рисков информационной безопасности ЛВС организации



Основными источниками угроз безопасности информации являются:

• Непреднамеренные (случайные, ошибочные) нарушения введенных правил сбора, обработки, передачи информации, а также различных требований защиты данных и другие действия пользователей ИС (в т. ч. тех сотрудников, которые отвечают за обслуживание и функционирование элементов корпоративной системы), приводящие к дополнительным затратам времени и ресурсов, разглашению личной и конфиденциальной информации, потере ценных данных или нестабильностями работе ИС в целом;

• Преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом) действия официально допущенных к информационным активам сотрудников (в т. ч. тех сотрудников, которые отвечают за обслуживание и функционирование элементов корпоративной системы), приводящие к дополнительным затратам времени и ресурсов, разглашению личной и конфиденциальной информации, потере ценных данных или нестабильностями работе ИС в целом;

• Действия преступных лиц и организованных группировок, политических или экономических структур, иностранных разведок, а также отдельных лиц по добыванию важных данных, навязыванию ложной информации, нарушению целостности или работоспособности ИС в целом, либо ее отдельных компонентов;

• Удаленное несанкционированное проникновение третьих лиц из отдаленных сегментов корпоративной сети или внешних ЛВС общего пользования (прежде всего через сеть Интернет), через несанкционированные или легальные участки таких сетей, используя изъяны и недостатки протоколов обмена данными, средств ИБ и разграничения удаленного доступа к ресурсам;

• Погрешности, допущенные в ходе разработки и тестирования компонентов ИС и их систем защиты, ошибки ПО, различные технические сбои и отказы стабильной работы системы (в т. ч. средств информационной защиты и контроля ее эффективности);

•  Стихийные бедствия и различные аварии.

Наиболее важными угрозами ИБ можно выделить следующие:

• Нарушение конфиденциальности (утечка, разглашение) данных, которые могут составлять корпоративную или служебную тайну, а также различных персональных данных;

• Получение несанкционированного доступа или кража медиа архивов;

• Изменение функциональности некоторых компонентов ИС, блокировка данных, срыв решения задач, нарушение технологического процесса;

• Нарушение целостности (удаление, изменение, подмена) информационных и программных ресурсов, а также целенаправленная фальсификация важных документов.

Угрозы конфиденциальности – это угрозы несанкционированного доступа и ознакомления с учетом тонких политик безопасности. Угрозы целостности – угрозы, при реализации которых информация теряет заранее определенные системой вид и качество. Угрозы доступности - характеризуют возможность доступа к хранимой и обрабатываемой в BC информации в любой момент [13].

К подобным нарушениям можно отнести:

1. Угрозу рабочим местам (удаленным, внутренним и филиальным). Под этим подразумевается непосредственный физический доступ к рабочей станции, когда злоумышленник располагает данными для входа (логин\пароль, сертификат доступа) законного пользователя или самого администратора ИС. Подобный вид доступа дает возможность контролировать все документы пользователя, у которого были похищены учетные данные. Если похищены учетные данные администратора ИС, то злоумышленник может иметь доступ ко всем документам ИС. 

2. Угрозу серверу ОС. Подразумевается получение прав доступа к серверу ОС и возможность загрузки в память вредоносного ПО, которое позволяет существенно облегчить взлом самой ИС. Если злоумышленник получил доступ к серверу ИС, то он вполне может создать новое рабочее место, подменить его на законное и реализовать доступ к базе данных, а также получить полный или частичный контроль над сервером АИС.

3. Угрозу серверу АИС. При возможности такой угрозы злоумышленник может напрямую подключаться к ИС, минуя сервер ОС и самую основную систему безопасности, за которую и отвечает сервер ОС. Если злоумышленник подключает свое рабочее место, то последствия аналогичны последствиям угрозы рабочих мест.

4. Угрозу серверу баз данных. Злоумышленник получает доступ к серверу БД, что дает ему возможность получения полного или частичного контроля над всей ИС, а также всеми хранящимися там документами. Такая угроза наиболее опасна, т.к. обычно БД хранят в себе все документы, которые имеют ценность как для их владельцев, так и для заинтересованного злоумышленника. 

5. Угрозу каналам связи между подсистемами. Такой вариант позволяет злоумышленнику перехватывать пакеты данных между рабочими местами путем подключения к каналам связи. Применение шифрованного протокола HTTPS только значительно усложняет попытки перехвата данных. 

В самой ИС объектами данной угрозы могут быть все без исключения компоненты из общей модели ИС.

Документы – данные, которые могут храниться на сервере БД, а также их резервные копии. Это звено наиболее важно и ценно, т.к. именно документы содержат конфиденциальные данные, для безопасности которых и создается вся система безопасности. 

Сервер БД – место хранения всех электронных документов. Стабильность и целостность данного компонента строит на втором по значимости месте после целостности данных.

Сервер ОС и АИС – интерфейсная и операционная части, которые установлены на серверах и рабочих станциях, включая также и СУБД-клиентов; протоколы передачи информации, криптографические методы защиты. Безопасность этих компонентов не так критична, поскольку при их выходе из строя целостность всей хранимой информации нарушена не будет. Важно также понимать, что при внештатной ситуации между этими компонентами может быть частично разрушена взаимосвязь и транзакции данных внутри ИС не пройдут.  

Аппаратная система включает в себя каналы передачи данных между всеми компонентами, а также аппаратный межсетевой экран. При выходе из строя аппаратных компонентов или коммуникационных линий разрушения данных не случится, а неисправные комплектующие всегда легко заменить на новые. 

Угрозы доступности подразумевают наличие доступа к хранящимся в ИС данным в любой момент. Самыми частыми и опасными (по размеру ущерба) можно назвать непреднамеренные ошибки пользователей, операторов, системных администраторов и других сторонних лиц, которые имеют отношение к самом системе и ее компонентам.



Анализ архитектуры сети беспроводного доступа



Определение конкретных моделей нарушителя и угроз являются возможно главной задачей при проектировании системы защиты, так как именно это позволяют определить, что должна обеспечивать система защиты информации.

Прежде чем определять модель нарушителя и угроз всегда необходимо достаточно четко определиться со структурой, защищаемой АС и ее составных частей. Представленная на рисунке 1.4 обобщенная модель АС может рассматриваться как типовая для АС с применением средств беспроводных ЛВС для подключения пользователей сети (здесь пользователь — это АРМ, сервер, сетевой принтер и т.п.). 

Рисунок 1.4 Обобщенная модель АС с применением средств беспроводных ЛВС



ЛВС любой АС состоит из программно-технических средств, обеспечивающих взаимодействие пользователей сети между собой и ресурсами сети. На практике ЛВС организации территориально ограничены и при необходимости удаленного доступа взаимодействуют через общедоступные сети.

Сама АС включает набор ТС четырех основных классов оборудования: рабочие станции, сервера, устройства ввода/вывода и сетевые средства. К собственно ЛВС относят сетевое оборудование, сетевые кабели и сетевые адаптеры из состава ТС проводной и/или беспроводной связи.

Серверами считаются компьютеры, представляющие свои ресурсы или осуществляющие управляющие воздействия по отношению к другим компьютерам сети.

Рабочие станции — это компьютеры пользователей, использующие ресурсы серверов.

Устройства ввода/вывода это как правило сетевые МФУ, принтеры, сканеры и т. п. устройства.

Архитектурно сети делятся на два основных класса: одноранговые сети и сети с клиент-серверной архитектурой. Для первого типа любой компьютер может быть и рабочей станцией, и сервером, во втором случае часть компьютеров – серверов специализируется по назначению.

В части оборудования взаимодействия в ЛВС, использующих беспроводные средства связи после маршрутизатора провайдера общедоступных сетей ставится коммутатор сети организации, который, как правило, выполняет и функции межсетевого экрана.

При наличии выделенных серверов они подключаются так же как точки доступа (роутеры) к коммутатору/МЭ проводными связями для обеспечения более высокой пропускной способности, а остальные рабочие станции и устройства ввода/выв.......................