Документ описывает опыт обеспечения информационной безопасности беспроводных технологий в государственных структурах с акцентом на решения, связанные с использованием оборудования WLAN и протоколов защиты, таких как WEP и WPA. Основные проблемы безопасности беспроводных сетей обсуждаются, включая отсутствие надежных методов шифрования и предложения по использованию VPN-технологий для защиты передаваемых данных. Также документ освещает сертифицированные средства криптографической защиты и оптимальные решения для управления и мониторинга безопасности WLAN.

1. Опыт обеспечения информационной безопасности беспроводных технологий для применения в государственных структурах Костенко Кирилл Менеджер по работе с заказчиками ОАО «ЭЛВИС-ПЛЮС»

2. Беспроводные технологии Невысокие затраты; Гибкость (мобильность) подключения; Простота и удобство развертывания; Легкость установки и демонтажа; Отсутствие СКС; Широкие возможности реализации. Преимущества использования:

3. Беспроводные технологии Бесспорный лидер на рынке беспроводных сетей является оборудование, отвечающее спецификациям семейства протоколов стандарта IEEE 802.11 (сеть WLAN, Wi-Fi )

4. Беспроводные технологии Оборудование WLAN , обеспечивает выполнение следующих задач: Регистрация абонентов для обеспечения взаимодействия с комплексом аутентификации для определения прав абонентов; Организация сетевого моста для обеспечения передачи информации между проводным сегментом сети и подвижными (мобильными) абонентами; Ретрансляция для обеспечения передачи информации между подвижными абонентами, находящимися в зоне действия одной зоны покрытия, минуя проводной сегмент; Роуминг подвижных абонентов для обеспечения плавного и незаметного перенаправление потока передаваемой информации при передвижении абонента из одной зоны покрытия в другую так, чтобы обеспечивалась постоянная связь с проводным сегментом сети.

5. Типовая архитектура сети WLAN

6. Проблемы безопасности WLAN Радиосреда 802.11 – открытая среда передачи данных она не имеет четких физических границ. Радосреда не «лежит» в пределах контролируемой зоны (КЗ). Базовый протокол шифрования WEP ( Wired Equivalent Privacy ) стандарта 802.11 имеет ряд нелостатков: Отсутствие функций разграничения прав пользователей; Отсутствие возможности генерации ключей для каждого пользователя; Известен алгоритм смены ключей; Уязвимости реализации поточного шифра RC-4; Ограничения на применяемые криптоалгоритмы (не поддерживает ГОСТ).

7. Проблемы безопасности WLAN Для решения проблем безопасности WLAN необходимо предусмотреть наличие и использование дополнительных, надежных и отработанных методов и средств защиты информации!

8. Базовые механизмы защиты сетей WLAN Изменение настроек «по умолчанию» производителя оборудования WLAN ; Применение протоколов улучшения WEP: Протокол MIC (Message Integrity Check) – позволяет защитить WEP- пакеты от их изменения и подделки, в процессе передачи; Протокол TKIP (Temporal Key Integrity Protocol) - предполагает использование уникальной ключевой последовательности для каждого устройства, а также обеспечивает динамическую схему ключа каждые 10 000 пакетов.

9. Применение протоколов стандарта 802.1х для авторизации абонента в WLAN : установка сервера контроля доступа, использующего протоколы LEAP, PEAP, EAP-TLS, EAP-TTLS, с целью усиленной аутентификации абонентов WLAN; Применение технологии стандарта 802.1q для размещения авторизованных абонентов WLAN в различные VLAN с определенной ранее политикой безопасности для каждого из этих VLAN-ов (в зависимости от типа абонента). Базовые механизмы защиты сетей WLAN

10. Применение стандарта WPA – в нем предусмотрено использование протоколов 802.1x, EAP, TKIP и RADIUS. Применение стандарта IEEE 802.11i - механизм обеспечения конфиденциальности данных основан на блочном шифре стандарта AES. Базовые механизмы защиты сетей WLAN

11. Базовые механизмы защиты сетей WLAN Основной недостаток базовых механизмов защиты WLAN для нас: ИСПОЛЬЗОВАНИЕ ЗАРУБЕЖНЫХ НЕ СЕРТИФИЦИРОВАННЫХ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ!

12. Средства защиты сетей WLAN Оптимальное решение этих проблем видится в использовании технологии защищенных частных виртуальных сетей (VPN): Внедрение технологии VPN для обеспечения конфиденциальности и целостности информации, циркулирующей в WLAN , в соответствии с требованиями российского законодательства и руководящих документов ФСБ России и ФСТЭК России.

13. Средства защиты сетей WLAN Средства VPN для сетей WLAN должны обеспечивать выполнение следующих задач: Защиту передаваемого по беспроводным каналам потока данных ; Аутентификацию и управление правами пользователей при доступе в WLAN; Централизованное управление и мониторинг средствами защиты ; Использование сертифицированных средств криптографической защиты информации Базироваться на общепринятых стандартах, например на базе семейства протоколов IPSec. IPsec – оптимальный вариант защиты передаваемых данных в сетях WLAN , универсальное средство защиты информации на уровне сетевой инфраструктуры .

14. Средства защиты сетей WLAN Агенты VPN ЗАСТАВА ЗАСТАВА-Офис ЗАСТАВА-Сервер ЗАСТАВА-Клиент Платформа управления ЗАСТАВА-Управление ЗАСТАВА™ - семейство программных продуктов обеспечения сетевой безопасности информационных систем

15. Средства защиты сетей WLAN Централизованное управление VPN- агентами Многофункциональные VPN- агенты (клиент, сервер, шлюз): Полная реализация стандартов IPSec/IKE / PKCS#7,8,11 Наличие межсетевого экрана (SFI) в каждом агенте Поддержка сложных логических схем аутентификации Интеграция с внешними PKI -системами Поддержка прямых запросов по протоколу LDAP Поддержка режима One click installation для Застава-Клиент 3.3. Поддержка SNMP- протокола Централизация и унификация управления (не только в составе WLAN ); Совместимость с сетевой средой Cisco ; Криптоинтерфейс в соответствии с RFC 2628 ; Сертификат ФСТЭК России № 653; Набор сертификатов ФСБ (ФАПСИ) для внешних криптомодулей.

16. Средства защиты сетей WLAN Поддержка криптомодулей: Криптоплагин "Циклон" на базе СКЗИ "Верба" производства компании "Омега-Трин" для платформы Windows 2000 Длина ключа - 256 бит. Заключение ФАПСИ № 2/5/2-984 от 2000 г. Криптомодуль на базе СКЗИ "CryptoPro CSP" производства компании «КриптоПро" для платформ Windows 9x/NT/2000/ХР и Solaris 8,9. Длина ключа - 256 бит. Модуль сертифицирован ФАПСИ - сертификат № СФ/114-0441. Модуль преобразования информации ВЕСТА-2М на базе ОСТ 51-08-98 производства компании «ЛАН-Крипто". Длина ключа - 256 бит. Поддержка подсистемы PKI на базе продуктов: Удостоверяющий Центр КриптоПро; Microsoft CA ; RSA Keon

17. Пример решения ( Cisco ) Аутентификация, мониторинг и управление: Сервер доступа Cisco ACS 3.1 поддерживает множество протоколов аутентификации канального уровня стандарта 802.1х. VPN- продукты ЗАСТАВА 3.3 дополнительно обеспечивают аутентификацию для контроля доступа к конфиденциальной информации в рамках защищенной сети Центр управления ЗАСТАВА 3.3. Обеспечивает централизованное управление средствами защиты передаваемых данных CiscoWorks WLSE предоставляет возможность централизованного и гибкого конфигурирования большого количества точек доступа, а также обеспечивает мониторинг серверов аутентификации

18. Система информационной безопасности WLAN

19. Преимущества решения Решение отвечает всем требованиям безопасности информации за счет использования сертифицированных VPN- продуктов семейства «ЗАСТАВА 3.3» Реализация WLAN на базе стандарта 802.11b / g , являющегося наиболее популярным в России. Снижение TCO Использование продуктов Cisco является более предпочтительным с точки зрения эксплуатационных, технических и функциональных параметров При необходимости (или по желанию Заказчика) данное решение позволяет с минимальными затратами провести аттестацию созданного объекта информатизации по классу 1Г и выше.

20. Ваши вопросы Спасибо за внимание! Костенко Кирилл E-mail: kkv@elvis.ru , Тел.: (495) 531-16-22, 531-46-33 Моб.: (495) 364-70-84