- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
3.3.1. Топологии vpn с точки зрения беспроводной связи
Существует ряд классификаций VPN, применительно к беспроводным ТКС стандарта IEEE 802.11 определим три вида - это сеть-сеть, хост-сеть и хост-хост.
а) топология «сеть – сеть»
Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями. VPN такого типа обычно применяются, когда нужно объединить локальные сети с помощью сети общего пользования так, как будто они находятся внутри одного здания. Основное достоинство такой конфигурации состоит в том, что сети выглядят как смежные, а работа VPN-шлюзов совершенно прозрачна для конечных пользователей. В этом случае важно также туннелирование, поскольку в частных сетях обычно используются описанные в RFC 1918 зарезервированные адреса, которые не могут маршрутизироваться через Internet. Поэтому для успешного взаимодействия трафик необходимо инкапсулировать в туннель. Типичным примером такой сети может быть соединение двух филиалов одной организации по двухточечному беспроводному каналу. Хотя трафик и не выходит за пределы внутренней инфраструктуры организации, но к ее беспроводной части нужно относиться так же внимательно, как если бы трафик маршрутизировался через сеть общего пользования в соответствии с рисунком 3.11.
Рис. 3.11. Топология VPN типа «сеть-сеть»
б) топология «хост-сеть»
При такой конфигурации удаленные пользователи подключаются к корпоративной сети через глобальную сеть Internet в соответствии с рисунком 3.12. Сначала мобильный клиент устанавливает соединение с Internet, а затем инициирует запрос на организацию зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной аутентификации создается туннель поверх сети общего пользования и клиент становится просто еще одной машиной во внутренней сети. VPN. В отличие от VPN типа сеть-сеть, где число участников невелико и более или менее предсказуемо, VPN типа хост-сеть легко может вырасти до необъятных размеров. В связи с этим необходимо предусмотреть масштабируемый механизм аутентификации клиентов и управления ключами.
Механизмов безопасности на втором уровне может не хватить для защиты сетей на базе каналов точка-многоточка. Кроме того, при эксплуатации в таких сетях публичных хост-портов или устаревшего оборудования бывают проблемы из-за отсутствия совместимости и невозможности совместной работы. Если организация развертывает беспроводную сеть в офисе для доступа с ноутбуков или других беспроводных устройств сотрудников, то нужно применять масштабируемые средства сильного шифрования, аутентификации и учета. Возможно, придется установить центральный VPN-концентратор, способный осуществлять контроль доступа и учет работы пользователей по оканчивающемуся на нем VPN-туннелю[32].
Такое решение может составить приемлемую альтернативу RADIUS-серверу, базе данных о пользователях и всей инфраструктуре стандарта 802.1х. Топология хост-сеть предполагает, что беспроводные хосты, которые могут соединяться с VPN, должны иметь выход и в другие сети, например в Internet, через VPN-концентратор, но не могут обмениваться данными с другими беспроводными хостами в той же сети.
Рис. 3.12. Топология VPN типа «хост-хост»
в) топология хост-хост - При данной топологии информация передается между двумя хостами в соответствии с рисунком 3.13. В такой конфигурации туннель организуется между двумя хостами и весь трафик между ними инкапсулируется внутри VPN. В качестве примера можно назвать географически удаленный сервер резервного хранения. Оба хоста подключены к Internet, и данные с центрального сервера зеркально копируются на резервный.
Простые VPN типа хост-хост можно использовать для защиты независимых (ad hoc) сетей.
Рис. 3.13. Топология VPN типа «хост-хост»
г) топология типа «звезда»
Число участников VPN ограничено особенностями сетевых технологий. Самой распространенной из всех топологий VPN является звезда. Имеется VPN-концентратор, который организует туннель с удаленным клиентом в соответствии с рис. 3.14. Чтобы один хост мог взаимодействовать с другим, данные от хоста А должны попасть на концентратор, а затем уже на хост В. Масштабируемость такой сети ограничена пропускной способностью VPN-концентратора, который должен поддерживать достаточное число одновременных соединений. И общая производительность такой сети также лимитируется вычислительной мощностью концентратора, которая делится пополам для каждого соединения между двумя хостами, поскольку сначала нужно расшифровать принятые данные, а затем снова зашифровать перед отправкой.
Уязвимым местом в данной топологии является центральный узел - VPN-концентратор. Если он выйдет из строя, то перестанет работать вся сеть. Звездная топология применима в сетях с каналами точка - многоточка, но она менее безопасна, чем топология хост-сеть, поскольку позволяет беспроводным хостам взаимодействовать между собой (через концентратор).
Рис. 3.14. Топология VPN типа «звезда»
д) топология типа «сетка»
В случае сетчатой (mesh) топологии каждый узел напрямую соединен туннелем с любым другим узлом сети. При этом образуется «переплетение» соединений в соответствии с рисунком 3.15. Хотя недостатки топологии типа звезда и устраняются, но существенно увеличиваются временные затраты на обслуживание сети и становится трудно добавлять новые узлы. В данном случае накладываются определенные требования на производительность оконечных устройств (клиентов), они должны быть достаточно мощными компьютерами, поскольку им приходится поддерживать более одного туннеля.
Например, если нужно развернуть безопасную специальную беспроводную сеть, допустим, в составе крупного проекта беспроводной системы распределения (WDS). Эффективно реализовать решение на базе стандарта 802.1х в такой сети нельзя без выделенного аутентификатора (точки доступа). Поэтому механизмы аутентификации пользователей и ротации ключей, определенные в стандарте могут работать некорректно[23].
Рис. 3.15. Топология VPN типа «сетка»