версия для печати
Пример решения: Защита беспроводных сетей с помощью ALTELL Wi-Fi

Пример решения: Защита беспроводных сетей с помощью ALTELL Wi-Fi

Современную информационную среду сложно представить без использования беспроводных каналов передачи данных, постороенных с применением технологии Wi-Fi. В связи с этим актуальность проблемы защиты передаваемых по такому каналу данных только растет.

Архитектурно беспроводные каналы связи содержат ряд присущих им уязвимостей, среди которых наиболее распространенными считают:

  • Подключение неавторизованных клиентов. В случае с беспроводными решениями злоумышленнику достаточно попасть в зону действия сети, и он при помощи радиооборудования может инициировать подключение.

  • Клонирование точки доступа. Для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составляет труда: для этого нужно выставить для клонированной точки идентичный оригинальной SSID (а без дополнительных настроек он известен всем) и обеспечить сильный сигнал в выбранной зоне.

  • Атаки типа «отказ в обслуживании» (DoS-атаки) использующие стандартные механизмы защиты от НСД встроенные в протокол WPA. Механизм атаки следующий: злоумышленник посылает каждую секунду два пакета со случайными ключами шифрования, в результате чего точка доступа следующая стандарту, приняв эти пакеты, решает, что произведена попытка НСД, и закрывает все соединения.

  • Подбор ключей. В связи с тем, что все передаваемые данные, включая обмен необходимый для выработки сессионных ключей, элементарно перехватываются, их можно сохранить и проводить подбор используемого PSK ключа в оффлайне с использованием любых доступных злоумышленнику ресурсов. С учётом возможности таких атак пароли длиной до 20 символов считаются потенциально опасным.

  • Перехват трафика пользователей с известным PSK. Несмотря на то, что при использовании протокола WPA и авторизации на основе разделяемого ключа для каждого клиента вырабатывается свой  сессионный ключ и невозможно расшифровать чужой трафик напрямую даже зная сам PSK, злоумышленник владеющий PSK может легко вызвать пересоздание сессионного ключа с помощью встроенных механизмов WPA. При этом, наблюдая диалог выработки сессионного ключа между точкой и клиентом с самого начала, он сможет воссоздать этот ключ, а затем без труда расшифровывать трафик между точкой и клиентом. Проблема особенно актуальна при необходимости обеспечения гостевого доступа к сети.

Так каким же образом бороться с многочисленными угрозами в беспроводной сети - перехватом данных из эфира вещания, атаками отказа в обслуживании (DoS), внедрением ложной точки доступа (AP)?

Авторизация и методы верификации

Для авторизации клиентов рекомендуется использовать авторизацию EAP-TLS с использованием инфраструктуры PKI. Развёрнутая инфраструктура PKI позволяет легче решать проблемы разграничения доступа (включая настройку защищённого гостевого входа), а использование авторизации в режиме EAP-TLS решает как проблему подбора пароля, так и проблему перехвата чужого трафика. При настройке по умолчанию с использованием авторизации точки доступа на клиентах также решается проблема клонирования точки доступа.

Для усиления защиты от клонирования точки доступа и проведения DoS-атак применяются также следующие методы:

  • Использование модифицированных протоколов. Этот метод признан наиболее действенным способом борьбы, поскольку вводит в заблуждение программное обеспечение, применяемое при сканировании эфира, и делает анализ перехваченных пакетов невозможным.

  • Определение временных и специфических характеристик протоколов и ОС для удостоверения неизменности конечных точек. Используя данный подход, можно создавать "отпечаток" ОС, проверка которого позволяет исключить внедрение ложной точки доступа или проведение атаки man-in-the-middle.

Для дополнительной защиты может также использоваться связка Wi-Fi и VPN. В этом случае программное обеспечение VPN-сервера проводит окончательную идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищенной сети.

Для защиты данных, передаваемых в Wi-Fi сетях, компанией «АльтЭль» была разработана защищенная точка доступа, получившая название ALTELL NEO Wi-Fi. Конструктивно, точка доступа представляет собой аппаратное устройство в настольном исполнении (возможна поставка комплекса в защищенном исполнении в соответствии с требованиями заказчика), оснащенное несколькими портами типа Ethernet для подключения проводных сетей. Доступ к точке осуществляется удалённо, через проводной или беспроводной интерфейс, либо через RS232-порт.

К преимуществам комплекса ALTELL Wi-Fi можно отнести:

  • Защита от сканирования управляющего трафика. Управляющая информация, способствующая проведению атак -  например, пароли и имена пользователей защищена СКЗИ (средством криптографической защиты информации).

  • Многофакторная авторизация пользователя. Авторизация пользователя производится с помощью пароля и защищенного носителя типа USB-token, что предотвращает несанкционированный доступ.

  • Защита от подмены программных компонентов. Реализован многоуровневый контроль целостности ПО точки доступа на уровне базовой системы ввода-вывода (BIOS), что обеспечивает полный контроль над программным обеспечением точки доступа.

  • Защита от использования возможных уязвимостей программного обеспечения точки доступа. Реализованы механизмы защиты от переполнения буфера, случайное выделение и маскировка памяти, мандатный механизм контроля доступа.

  • Доверенная базовая система ввода-вывода (BIOS) ALTELL HyperBIOS с функциями защиты от несанкционированного доступа на АРМ.  Авторизация пользователя осуществляется на уровне БСВВ (BIOS) с использованием многофакторной авторизации.

  • Контроль целостности базовой системы ввода-вывода (BIOS) и загружаемых компонентов. В момент загрузки BIOS проверяет целостность себя самого и загружаемых компонентов.

  • Гипервизор, встроенный в базовую систему ввода-вывода (BIOS) на АРМ. Конструктивно гипервизор находится в микросхеме EEPROM, где размещён образ BIOS; при этом сам гипервизор является неотъемлемой составной частью BIOS.

  • Изоляция пользовательского окружения на АРМ. Пользовательское окружение запущено в полностью виртуальной машине под управлением ОС Windows.  Драйвер Wi-Fi адаптера, стек IEEE 802.11, СКЗИ и программное обеспечение управления и авторизации запущены и работают в виртуальной машине монитора. Гипервизор обеспечивает изоляцию, пользователь полностью отделён от управляющих компонентов, и не может на них повлиять. Доступ к беспроводной сети осуществляется через виртуальный сетевой интерфейс, организованный средствами гипервизора.

Точка доступа ALTELL NEO Wi-Fi имеет в своем составе весь спектр архитектурных и технологических решений, необходимых для реализации безопасной беспроводной сети. Кроме того, ALTELL NEO Wi-Fi полностью гарантирует безопасность работы в локальной сети, Интернете и с электронной почтой.

Для защиты передаваемы по беспроводному каналу данных применяется модифицированный протокол WPA2 с поддержкой шифрования на основе алгоритмов ГОСТ как для симметричного шифрования передаваемого трафика, как и в инфраструктуре PKI используемой для аутентификации и выработки сессионного ключа. В случае применения процедуры централизованной авторизации на некой точке принятия решений, возможна выработка политики безопасности, ограничивающей доступ к различным ресурсам и обеспечивающей наблюдение и контроль за действиями пользователей.

Точка доступа ALTELL Wi-Fi обладает функциональными возможностями, присущими всему модельному ряду устройств серии ALTELL NEO (межсетевым экранам, VPN-шлюзам и UTM-устройствам):

Защита локальной сети

  • Межсетевой экран с фильтрацией трафика с учетом заданного контекста
  • Межсетевой экран с фильтрацией протоколов пользовательского уровня
  • Защита от DoS/DDoS-атак, сканирования портов, вредоносного ПО и BotNet-атак
  • Система предотвращения вторжений: более 7500 правил, автоматическое обновление базы сигнатур
  • Поддержка VPN-подключений и удаленного доступа: SSL, IPSec, PPTP
  • Поддержка подключений Site-to-Site IPsec и SSL VPN

Защита Интернет-подключений

  • Фильтрация HTTP, HTTPS и FTP-трафика
  • Фильтрующий и кэширующий proxy (возможно использование массивов 0,1,5 уровня, либо striped)
  • Фильтрация URL-адресов (база URL-адресов содержит 96 различных категорий веб-сайтов на 65 языках, более 2000000 записей базы данных различных категорий)
  • Гибко настраиваемые политики доступа: возможность ограничения доступа по времени/адресу, имени пользователя, группе
  • Поддержка каталогов пользователей(Active Directory, LDAP, SQL)
  • Возможность блокирования/ограничения полосы пропускания для IM/P2P-приложений: Skype, ICQ, MSN, Jabber, GTalk, Yahoo, IRC, BitTorrent и др.
  • Блокировка активного контента веб-сайтов (Java, ActiveX, Flash, cookies, VBScript, JavaScript)

Антивирусная защита

  • Модуль антивирусной защиты с двумя независимыми движками и регулярно обновляемыми базами (содержат более 800000 сигнатур вирусов на настоящий момент)
  • Проверка входящих и исходящих почтовых сообщений на наличие угроз
  • Обнаружение зараженных, подозрительных, защищенных паролем и недоступных для проверки объектов
  • Обезвреживание обнаруженных в файлах и почтовых сообщениях угроз, лечение зараженных объектов
  • Сохранение резервных копии сообщений перед их антивирусной обработкой и фильтрацией
  • Восстановление сообщений из резервных копий
  • Обработка почтовых сообщений согласно правилам, заданным для групп отправителей и получателей
  • Выполнение фильтрации почтовых сообщений по имени, типу и размеру вложений
  • Уведомление отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты
  • Формирование статистики и отчетов о результатах работы
  • PUSH-технология обновления баз данных антивирусов
  • Настройка параметров и управление работой приложения как локально (стандартными средствами операционной системы с помощью параметров командной строки, сигналов и модификацией конфигурационного файла приложения), так и удаленно через веб-интерфейс

Антиспам

  • Модуль защиты от нежелательной почты (спама) со встроенной технологией мониторинга вспышек спам-активности во всемирной сети Интернет
  • Два независимых движка защиты от спама
  • Проверка адреса отправителя и получателя (из envelope), размера письма, а также различных заголовков письма (включая заголовки From и To)
  • Проверка адреса отправителя письма (e-mail и/или IP-адрес) с помощью «черных» и «белых» списков, проверка наличия IP-адреса отправителя в выбранном списке сервисов DNS-based RealTime
  • Поддержка DNS Black List (DNSBL)
  • Проверка наличия DNS-записи о сервере-отправителе (reverse DNS lookup)
  • Проверка IP-адреса отправителя на соответствие списку разрешенных адресов для домена с помощью технологии Sender Policy Framework (SPF)
  • адреса и ссылки на сайты, присутствующие в тексте письма проверяются с помощью сервиса Spam URI Realtime Blocklists (SURBL)
  • Использование байесовских фильтров
  • Передовые методы фильтрации спама: DomainKeys, DKIM, Razor

Средства управления безопасностью сети

  • Интуитивно понятная и простая система управления на основе веб-браузера
  • Полнофункциональный интерфейс управления на основе командной строки
  • Подключения по защищенному каналу управления
  • Встроенная функция регулярного формирования отчетов
  • Контроль целостности файлов устройства
  • Интерактивная справка при настройке устройства
  • Система автоматического обновления сигнатурных баз Altell NEO

Сетевые подключения

  • Интерфейсы: Ethernet, DSL, Cable, 802.1q VLAN, PPP, FC
  • Режимы функционирования маршрутизатора: static, policy, OSPF, BGPv4, RIPv2, IS-IS, NAT, PAT, Bridging
  • Маршрутизация VPN соединений
  • Поддержка IPv6
  • Поддержка H232, SIP, включая проксирование VoIP трафика
  • Агрегирование подключений 802.3ad
  • Функция балансировки нагрузки
  • Управление полосой пропускания

 

Модель точки доступа ALTELL NEO Wi-Fi

Модель абонентского пункта Wi-Fi

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS