3.7. Основные методики формирования политики безопасности

Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности. Политика не представляет собой ни директиву, ни норматив, ни инструкции, ни средства управления. Политика описывает безопасность в обобщенных терминах без специфических деталей [175].

Развитие политики должно начинаться на стадии создания беспроводной сети. Выгоды от понимания потребности в безопасности на ранних стадиях огромны: это позволяет понизить цену, приводит к более простому обслуживанию и повышает безопасность с самого начала. Увеличение же безопасности после запуска сети может потребовать нового оборудования, возможно, понадобится логическая или физическая перестройка сети. Если сеть работала без защиты, то политика будет все еще обеспечивать многочисленные выгоды, хотя эти выгоды и будут стоить больше, чем в случае внедрения политики с самого начала. Следует отметить, что грамотная политика безопасности не исключает стандартных уязвимостей беспроводных сетей, но она поможет создать среду, в которой программные средства, методы и процедуры смогут удержать нарушителей и эффективно бороться с угрозами. Политика устанавливает модель защиты для существующей или разрабатываемой сети, создает набор правил и стандартов для пользователей, администраторов и менеджеров.

Рассматривая безопасность как неотъемлемую часть сети, менеджер должен с самого начала объединить безопасность с функциональными возможностями. Беспроводная политика может обеспечить руководство по широкому разнообразию проблем, присущих организациям, но существует несколько проблем, которые следует рассмотреть более пристально.

Во-первых, политика должна назначать человека, который будет администрировать, и нести ответственность за беспроводную сеть. Выделение ответственного человека обеспечивает руководство и ответственность за беспроводную сеть через разработку, внедрение и, в конечном счете, функционирование. Этот сотрудник будет отвечать за все функции безопасности сети и будет иметь полномочия, достаточные для назначения других людей и/или создания команды, если это необходимо. Этот человек будет также нести окончательную ответственность за обеспечения надлежащих мер безопасности в сети [176, 177].

Важно наделить полномочиями того, кто несет ответственность за сеть. Если человек не несет ответственность за действия (свои или чужие), он, вероятно, не предпримет надлежащих мер, необходимых для функционирования сети.

Политика должна требовать оценки риска. Оценка риска определяет угрозы и уязвимости в организациях, что поможет защититься от непредвиденных угроз, издержек и затрат, а также позволит адекватно обеспечивать безопасность. Руководитель службы безопасности должен использовать меры защиты в сочетании с оценкой риска в беспроводных сетях. Оценка риска должна проводиться для того, чтобы гарантировать, что возможности мер безопасности будут адекватны угрозам, связанным с сетью. В некоторых случаях, угрозы беспроводной сети могут перевесить выгоды от технологии, тогда от создания сети лучше отказаться.

При запуске WLAN, политика должна разрабатываться совместно с полной оценкой риска сети. Оценка риска должна проводиться объективно, чтобы обеспечить точную картину потенциальных угроз. Поэтому политика должна определить частоту проведения оценок риска [178].

Политика должна разделять беспроводную и простую сети так, чтобы нарушение безопасности в беспроводной сети не затронуло обычную сеть. Сегрегация сети обеспечивает отделение «ненадежных» WLAN от более «надежных» (обычно проводных) сетей. WLAN обычно соединяются с простой сетью лишь в некоторых случаях, например, чтобы облегчить доступ в Интернет [179]. Эти сети должны быть отделены шлюзами так, чтобы без особой необходимости беспроводные коммуникации не пересекались с обычной сетью. Кроме того, между простыми и беспроводными сетями может быть помещено фильтрующее устройство (подобно межсетевому экрану) для контроля и мониторинга трафика между обычными и беспроводными сетями.

Установление подлинности играет важную роль в беспроводных сетях и должно быть включено в беспроводную политику. Все пользователи WLAN обязаны подтверждать подлинность прежде, чем получат доступ к сети. Установление подлинности поможет ограничить доступ к закрытым ресурсам. Существует множество проблем, которые беспроводная политика должна учитывать при установлении подлинности [180].

Политика должна учитывать стандарт аутентификации, метод, реализацию и требования по обслуживанию. Прежде всего, политика для беспроводного установления подлинности должна соответствовать последним стандартам безопасности. Далее, в политике должна быть определена форма взаимной аутентификации. При взаимном установлении подлинности и клиент и сервер авторизуют друг друга. Взаимное установление подлинности, прежде всего, повышает безопасность, устанавливая подлинность сервера, а также уменьшает возможности мошенничества в сети. Другим фактором при выборе метода аутентификации должна быть легкость реализации и администрирования. Некоторые формы установления подлинности, типа Public Key Infrastructure (PKI), хоть и безопасны, но требуют тщательной разработки и администрирования [181].

Политика может указать строгость установления подлинности и указать, для кого, когда и для каких ресурсов требуется установлении подлинности. Политика может определить пользователей и уровни доступа по группам, как доступ будет управляться, а также любые необходимые особенности.

Средство для обеспечения конфиденциальности в беспроводных сетях должно быть определено в политике. Шифрование может обеспечить безопасный канал связи, в котором беспроводная передача данных может происходить без угрозы подслушивания.

Политика должна определить разумный метод шифрования так, чтобы данные могли передаваться безопасно. Основной метод шифрования, используемый в 802.11 сетях - WEP (Wired Equivalent Privacy), рис. 3.2. К сожалению, WEP-алгоритм может быть легко расшифрован и поэтому не является надежным. Однако WEP обеспечивает некоторую защиту и должен использоваться, если другое шифрование невозможно. Для борьбы с ненадежностью WEP, в настоящее время существуют другие методы шифрования, и, если это возможно, они должны использоваться вместо WEP [182, 183].

Группа стандартов IEEE 802.11i в настоящее время развивает стандарт для 802.11-безопасности. Стандарт унифицирует использование Temporal Key Integrity Protocol (TKIP) как альтернативу WEP. Кроме того, стандарт 802.11i предлагает Advanced Encryption Standard (AES) как алгоритм шифрования. WPA (Wireless Protected Access) - составная часть 802.11i, уже одобрена промышленной группой WiFi Alliance и будет включен во все сертифицированные WiFi-продукты. Если WPA или 802.11i не подходят, то есть также много других решений, включая Virtual Private Network (VPN)[184, 185, 186,187,188].

Рис. 3.2. Аутентификационный обмен WEP

Политика должна учитывать силу шифрования, метод, реализацию, обслуживание и частоту использования. Сила шифрования должна быть выбрана максимальной для чувствительной информации, которая будет передаваться через сеть, чем выше значимость информации, тем выше сила шифрования. Метод определяет используемое шифрование, а реализация должна описывать, как будет развернуто шифрование. Если пользователь имеет доступ к чувствительной информации, то шифрование должно использоваться принудительно; другие ситуации должны оцениваться соответственно.

Чтобы гарантировать максимальную работоспособность сети, в политике должны быть определены испытания работоспособности беспроводной сети в терминах эффективности и частоте запуска. Работоспособность WLAN существенна, т.к. производительность - функция времени простоя. Беспроводные испытания работоспособности должны проводиться перед развертыванием сети, чтобы гарантировать охват сигналом нужной территории и выявить возможные радиочастотные конфликты.

Если испытания работоспособности не определены в политике и не выполнены своевременно, то сеть очень долго может страдать от плохого сигнала. Одной из проблем является то, что множество естественных и физических объектов ухудшают радиосигнал, имеются в виду объекты типа деревьев, дождя, земли, зданий, и т.д. Другие проблемы передачи - это обычные устройства типа переносных телефонов, Bluetooth, микроволновых печей, они работают на той же самой частоте, что и 802.11b/g-сети. Хотя 802.11a-сети в настоящее время работают на менее загруженной частоте, но все же они восприимчивы к вмешательству от современных мобильных телефонов и т.д. Конфликты могут привести беспроводные сети к отказу в обслуживании.

Существует множество инструментов оценки работоспособности беспроводных сетей. Используя топологическое программное обеспечение, можно идентифицировать естественные преграды, типа холмов, долин, и т.д. которые потенциально ухудшают сигнал.

Беспроводные инструменты работоспособности идентифицируют местоположения со слабым 802.11 сигналом. Клиентское программное обеспечение 802.11 (типа Cisco Aironet Client Adapter software) может использоваться, чтобы адекватно оценить силу сигнала во всей беспроводной области охвата [189].

Относительно простой метод проведения испытаний работоспособности состоит в том, чтобы двигаться по беспроводной области охвата с программным обеспечением клиента, пока не будет замечено областей со слабой силой сигнала. Перечисленные инструменты - топологии и испытания работоспособности - должны быть определены в политике.

Политика должна обязывать выполнение испытаний работоспособности, указывать определенные инструменты испытаний, обеспечивать разумную частоту и время проведения. Постоянное проведение испытаний работоспособности поможет уменьшить потерю сигнала и улучшить готовность.

Ведение log-файлов и учет деятельности непременно должны быть упомянуты в политике. Ведение log-файлов и учет деятельности помогут отслеживать деятельность пользователей и, в случае нарушений, применять соответствующие санкции [190]. Ведение log-файлов, как один из наиболее важных компонентов, должно упоминаться в политике по нескольким причинам:

- улучшение контроля за пользователями;

- упрощение процесса отладки в случае неисправностей;

- упрощение вынесения ответственности в случае нарушения правил.

Log-файлы могут помочь идентифицировать и проследить путь нарушителя в случае проникновения в сеть, помочь в устранении проблемы, и предоставить множество другой информации. Log-файлы должны вестись на WAP (Wireless Access Point, Беспроводная Точка Доступа), межсетевом экране, который отделяет простые и беспроводные сети, серверах аутентификации и даже беспроводных клиентах. В политике также должна быть определена частота, с которой будут просматриваться log-файлы.

В беспроводной политике должна быть регламентирована как логическая, так и физическая защита WAP. Точки доступа должны быть расположены в физически защищенных областях. Эти устройства необходимо настроить так, чтобы только администраторы смогли изменять конфигурацию. Большинство WAP после сброса возвращаются к заданному по умолчанию (небезопасному) режиму. Если же WAP находится в незащищенной области, то злоумышленник сможет легко управлять точкой доступа, выключить WAP для вызова отказа в обслуживании, или перезагрузить, чтобы вернуть ее к заданной по умолчанию конфигурации. Беспроводные точки доступа следует настроить так, чтобы неавторизованные пользователи не смогли бы подключиться к WAP и управлять настройками безопасности. Большинство WAP позволяют создавать учетные записи пользователей. Такие учетные записи необходимо создавать, чтобы уменьшить риск несанкционированного доступа к WAP. В политике следует описать то, каким пользователям разрешается подключаться и управлять доступом, следует указать, из каких систем администратор может соединиться с WAP.

Беспроводная политика должна диктовать меры защиты, которыми обязаны пользоваться беспроводные клиенты. Иногда беспроводные клиенты не используют каких-либо мер защиты и, в конечном итоге, это приводит к тому, что из-за них страдает вся сеть. Беспроводные клиенты должны быть оборудованы (как минимум) персональным межсетевым экраном и антивирусным программным обеспечением. Часто из-за слабой защиты беспроводные клиенты становятся объектом для нападения и затем, однажды скомпрометированные, используются как основа для последующих нападений. Политика должна также запрещать прямые (ad-hoc) беспроводные соединения [191, 192].

Политика должна требовать использования межсетевых экранов. Персональный экран уменьшит риск взлома для беспроводного клиента, поскольку будет отклонять любой сетевой трафик, который не будет соответствовать установленным правилам. Регистрацию беспроводной деятельности также следует проводить с помощью межсетевых экранов.

Политика должна требовать использования антивирусного программного обеспечения и обязательного обновления антивирусных баз. Поскольку вирусы могут не только уничтожить критические данные, но и создавать серверы подключения атакующего к скомпрометированной системе, нападающий может получить привилегии законного беспроводного пользователя, затем атаковать других беспроводных клиентов или даже использовать свои привилегии для атаки на обычную сеть. Политика должна определить частоту, с которой должна обновляться антивирусная база.

Независимые (ad-hoc) соединения. Политика должна запрещать беспроводным клиентам осуществлять ad-hoc соединения. Такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик. Атакующие могут использовать несколько типов атак на системы, использующие ad-hoc-соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки типа «man in the middle», отказ в обслуживании (DoS), и/или скомпрометировать системы. Если нарушитель смог скомпрометировать одного беспроводного клиента, то он может использовать скомпрометированную систему, для атак на других пользователей в сети. Если беспроводные клиенты не могут связаться друг с другом напрямую (с использованием ad-hoc связи), то нападение или сбор информации о сети становится для атакующего трудной задачей [193].

Политика должна определить инструменты для выполнения беспроводного сканирования, а также указать частоту выполнения. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа. Незаконные точки доступа могут быть установлены как сотрудниками самой организации, так и кем-то еще и представляют собой значительную угрозу безопасности. Такие точки доступа могут создать условия для обратного подключения атакующего. Даже если незаконные точки доступа установлены с хорошими намерениями («продвинутый» пользователь хочет улучшить доступ, например чтобы увеличить производительность), то они также могут быть обнаружены нарушителями, что приведет к потере безопасности. Сканирования незаконных точек доступа должны проводиться не менее чем один раз в неделю или, в крайнем случае, не реже одного раза в месяц. В политике должны содержаться руководство для сканирования и устранения незаконных точек доступа.

Политика должна включать процедуру повышения у всех пользователей понимания того, что защита очень важна для сети, знакомить пользователей, администраторов и менеджеров с основными положениями о безопасности в сети. Если сетевые пользователи, администраторы и менеджеры знают о проблемах защиты, они будут более склонными предпринять шаги, направленные на ограничения действий, которые ставят сеть под угрозу (например, они не будут использовать важные логины/пароли во время незашифрованных беспроводных сеансов).

Политика должна учитывать образование пользователей и определять специальные меры для увеличения понимания в сетевой защите.