- •В.Б. Щербаков, с. А. Ермаков, м.И.Бочаров анализ и управление рисками беспроводных сетей Учебное пособие
- •Воронеж 2008
- •Воронеж 2008
- •Спектр уязвимостей беспроводных сетей стандарта ieee 802.11……………………………………………………….38
- •1 Беспроводные сети стандарта ieee 802.11 как объект обеспечения информационной безопасности
- •Угрозы информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Классификация угроз информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Беспроводные сети стандарта ieee 802.11 как объект угроз информационной безопасности
- •Нарушители как источники угроз информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Спектр уязвимостей беспроводных сетей стандарта ieee 802.11
- •Атаки на беспроводные сети стандарта ieee 802.11
- •Атаки использующие уязвимости среды передачи и диапазона рабочих частот
- •Атаки на систему аутентификации
- •Атаки на криптографические протоколы
- •Атаки на используемое программное обеспечение
- •Атаки, обусловленные человеческим фактором
- •Постановка задач исследования
- •Анализ рисков информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Общая методика оценки рисков информационной безопасности
- •Особенности оценки рисков информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Методика оценки вероятности реализации угроз информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Оценка ущерба при нарушении безопасности беспроводных сетей стандарта ieee 802.11
- •Результаты опроса экспертов
- •Оценка рисков информационной безопасности беспроводных сетей стандарта ieee 802.11 на основе использования теории нечетких множеств и нечеткой логики
- •Методика оценки рисков информационной безопасности на основе использования теории нечетких множеств и нечеткой логики
- •Методика построения функций принадлежности нечетких множеств
- •Построение функций принадлежности нечетких множеств для анализа риска информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Пример оценки риска информационной безопасности беспроводных сетей стандарта ieee 802.11 на основе использования теории нечетких множеств и нечеткой логики
- •Основные результаты
- •Управление рисками информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Обзор концепций и методов управления рисками информационной безопасности для беспроводных сетей стандарта ieee 802.11
- •Методика управления остаточными рисками иб
- •Методология борьбы с рисками иб
- •Концепция управления рисками octave
- •Концепция управления рисками сramm
- •Концепция управления рисками mitre
- •Инструментарий для управления рисками
- •Ранжирование рисков информационной безопасности беспроводных сетей стандарта ieee 802.11
- •Анализ контрмер для снижения рисков иб беспроводных сетей стандарта ieee 802.11
- •Выбор структуры и параметров средств защиты информации
- •Введение ограничений на процесс управления и постановка задачи оптимального управления риском
- •Метод анализа иерархий
- •Применение метода анализа иерархий для сравнения систем контрмер
- •Сравнение методов криптографической защиты
- •Сравнение средств и методов аутентификации
- •Решение задачи выбора системы контрмер
- •Основные результаты
- •Нормативные требования политики безопасности беспроводных сетей стандарта 802.11
- •Гост 15408 – Критерии оценки безопасности информационных технологий
- •Подход к разработке политики безопасности, согласно iso 17799
- •Структура неформальной политики безопасности
- •Основные методики формирования политики безопасности
- •Мероприятия по обеспечению информационной безопасности беспроводных сетей стандарта 802.11
- •Требования политики безопасности к построению беспроводных сетей vpn
- •Основные этапы разработки информационной безопасности беспроводной сети
- •Основные результаты
- •Список литературы
- •1.5 Объекты защиты ткс стандарта iee 802.11
- •1.6 Зона ответственности оператора беспроводной связи
- •1.7 Основные принципы и подходы к защите блвс
- •1.8 Оценка рисков и управление
- •1.9 Технические средства
- •394026 Воронеж, Московский просп., 14
Нарушители как источники угроз информационной безопасности беспроводных сетей стандарта ieee 802.11
В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники. В нашей работе мы будем рассматривать антропогенные источники угроз, которые свойственны беспроводным сетям стандарта IEEE 802.11.
Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства [16].
Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.
Существует ряд причин, по которым нарушитель выбирает для взлома беспроводные сети стандарта IEEE 802.11 [8]:
1 Беспроводная компьютерная сеть для злоумышленника более уязвима, чем обычная проводная, так как вопрос физического доступа к трафику решается наличием недорогого радиооборудования. Стоимость комплекта оборудования для подключения к сети (беспроводной адаптер и, при необходимости, внешняя антенна) редко превышает 100 долларов. Подключение же к проводной сети требует проникновения на территорию объекта или применения высокотехнологичного специального оборудования для съема информации, которое, к тому же, не поступает в свободную продажу.
2 Мировые производители абонентского беспроводного оборудования для частных домашних сетей и небольших компаний пока не смогли предложить простые и легкие механизмы защиты от стороннего проникновения.
3 При взломе беспроводных сетей доступ оказывается анонимным, и нарушителя трудно проследить. При взломе проводных сетей, если атакующий заходит со своей учетной записью, полученной от сервис-провайдера, то его координаты можно легко проследить. При взломе же беспроводных сетей сервис-провайдер не участвует, а след ведет к атакованной и скомпрометированной беспроводной сети. Даже если вблизи этой сети и найден человек с ноутбуком или машина с антенной, то вину нарушителя будет сложно доказать. А если до или после атаки нарушитель изменил MAC-адрес своей сетевой платы для беспроводного доступа и удалил все программы и данные, связанные с атакой, то доказать его вину практически невозможно.
4 Нарушитель, присоединившийся к плохо спроектированной сети, часто оказывается прямо в проводной сети за корпоративным межсетевым экраном и видит перед собой в качестве возможных целей множество не защищенных сервисов. Администратор может вообще не позаботиться о безопасности внутренней сети, считая, что безопасность целиком и полностью определяется настройками межсетевого экрана, защищающего периметр.
Можно выделить следующие основные мотивы нарушений [45, 46]:
безответственность (непреднамеренные ошибки, неосознанные, немотивированные действия под влиянием алкоголя или других наркотических веществ, халатность);
самоутверждение;
корыстный интерес (желание приобрести материальные ценности );
конкурентная борьба;
сведение личных счетов;
политические мотивы;
религиозные мотивы;
любопытство.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь – против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности сети может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в сети информации. Даже если сеть имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно [45].
Учитывая вышеописанные мотивы, разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75 % [46].
Среди внутренних нарушителей можно выделить следующие категории:
1 Администраторы, сотрудники служб ИБ. Они обладают высокими знаниями в области структуры сети, систем защиты. Обладают доступом в контролируемую зону.
2 Прикладные и системные программисты. Обладают глубокими знаниями в области компьютерных технологий, знаниями структуры сети, имеют доступ в контролируемую зону, но обладают меньшими привилегиями и правами, чем администраторы сети.
3 Непосредственные пользователи и операторы беспроводной сети, технический персонал по обслуживанию зданий и вычислительной техники, вспомогательный персонал и временные работники. Необязательно обладают глубокими знаниями в области компьютерных технологий, но имеют частичный или полный доступ в контролируемую зону, а также потенциально могут выяснить структуру сети.
Группу внешних нарушителей могут составлять:
1 Любопытствующие. Чаще всего использует готовые компьютерные программы, доступные в сети Интернет, для реализации угроз через давно известные уязвимости. Их действия больше носят экспериментальный характер, т.е. они занимаются этим ради забавы и самоутверждения, он не стремятся получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Такие взломщики обычно не представляют серьезной угрозы беспроводным сети и могут оказать услугу, публично известив об обнаруженных небезопасных сетях, что заставит заинтересованных лиц обратить внимание на имеющиеся проблемы.
2 Охотник за бесплатным трафиком сети Интернет. К данной категории относятся распространители рекламы, торговцы пиратскими программами, а также люди, которых привлекает возможность использовать сеть Интернет без материальных затрат. Останавливаются при наличии средств защиты, отличных от базовых. Имеют представление о принципах функционирования сети, и обладают знаниями по преодолению минимальных средств защиты.
3 Группа взломщиков. Они достаточно скованы в своих финансовых возможностях. Не обладают вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных организаций, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть с Интернет. Они хорошо знают, как вторгаться в чужие сети и компьютеры, знакомы с теоретической и практической радиофизикой, вследствие чего их трудно поймать. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты сети. Спектр их действий – от подделки суммы на счете (модификация данных) до получения или уничтожения критичных данных по заказу. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа [8].
4 Конкуренты. Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Они могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего агента. Среди целей могут быть: блокирование функционирования информационной системы конкурента, подрыв имиджа, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер [48].
5 Враждебно настроенные бывшие служащие. Их действия против бывшей компании носят намеренный характер, и в этом большая опасность. Мотивами обычно являются обида и личная неприязнь. Такие сотрудники опасны, так как, во-первых, действуют умышленно, во-вторых, имеют представление об устройстве и структуре сети, а также систем защиты. Степень опасности зависит от квалификации сотрудника. Но и при невысоком уровне ущерб может быть большим, если нелояльный сотрудник действует в связке с внешним противником.