Infinet Wireless: Technical Documentation
Page tree

Versions Compared

Old Version 75

changes.mady.by.user Dmitry Amirov

Saved on

compared with

New Version 76

changes.mady.by.user Aleksandr Gorbunov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (смрис. рисунок 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.

...

Объект связи, включающий в себя беспроводные устройства, состоит из трёх основных элементов (смрис. рисунок 2):

  • Высотная часть: место размещения беспроводных устройств, например, крыша здания, мачта, телекоммуникационная башня.
  • Кабельная трасса: путь прохождения кабелей, соединяющих высотную часть и оборудования, размещённого в помещении.
  • Помещение: оборудование, размещённое в помещении, и точки подключения к инфраструктуре. Инфраструктура может включать в себя каналы передачи данных, электропитание, климатические системы и т.д. Оборудование должно быть размещено в стойке или телекоммуникационном шкафу, которые могут размещаться в выделенном помещении или быть совмещены с высотной частью объекта.

...

Частотный ресурс является ограниченным, поэтому процесс распределения частот между беспроводными системами должен рассматриваться комплексно. В противном случае влияние сторонних систем может быть воспринято, как действия злоумышленника (смрис. рисунок 3), снижающие производительность системы и являющиеся угрозой доступности. Снизить риски, связанные с угрозой данного типа, можно следующими способами:

...

При согласованном распределении частотных каналов между системами связи может сохраняться проблема взаимного влияния. Причиной этому служит внеполосное излучение: спектр излучения не является идеальным прямоугольником, имея боковые полосы, которые оказывают влияние на соседние частотные каналы. На рисунках 4 а,б представлены спектры систем связи, использующие соседние частотные каналы: на рисунке 4а мощности излучения систем равна и влияние злоумышленника ниже чувствительности системы связи, на рисунке 4б мощность излучения системы злоумшленника выше, чем системы связи и уровень боковой полосы выше чувствительности, что окажет влияние на систему связи в виде помехи.

...

Популярными сценариями нарушения конфиденциальности и целостности информации в радиоканале являются атаки типа "человек посередине". Рассмотрим примеры атак такого типа:

  • Перехват данных (смрис. рисунок 5а): в зоне покрытия системы связи злоумышленник устанавливает приёмник, принимая все передаваемые сигналы. Все устройства беспроводной системы используют общую среду передачи данных, поэтому устройства принимают данные независимо от того, указаны ли они в качестве адресата. Далее устройство обрабатывает кадр на канальном уровне, если является его получаетелем, или отбрасывает, если не является. Таким образом, злоумышленник может получить скрытый доступ ко всем сообщениям, передаваемым в системе.
  • Ретрансляция данных(смрис. рисунок 5б): частный случай сценария "Перехват данных", в котором злоумышленник использует ретранслятор вместо пассивного приёмника. Такой вариант атаки, например, применим для каналов "точка-точка" с узкой диаграммой направленности, для которых не подходит схема из сценария "Перехват данных".
  • Подмена данных (смрис. рисунок 5в): частный случай сценария "Ретрансляция данных", в котором злоумышленник подменяет данные при ретрансляции. В таком сценарии, помимо нарушения конфиденциальности, нарушается целостность данных.

...

  • Подключение злоумышленника к сети предприятия (смрис. рисунок 6): к сектору базовой станции в топологии "точка-многоточка" подключается устройство злоумышленника, после чего злоумышленник может получить доступ к сети предприятия и реализовать атаки с нарушением целостности, доступности и конфиденциальности.
  • Подмена сектора базовой станции (смрис. рисунок и 7б): злоумышленник устанавливает сектор базовой станции, к которой подключается абонентская станция. После подключения злоумышленник получает несанкционированный доступ к данным, источником которым является абонентская станция, и сегменту сети за абонентской станцией. Рассмотрим пример реализации такой атаки в сценариях с организацией связи для подвижных объектов (см. Организация связи с подвижными объектами). На рисунке 7а организован радиоканал между АС и БС1, при этом АС установлена на движущемся объекте, поэтому при отдалении от БС1, АС разрывает канал связи и начинает поиск сектора базовой станции, с которым можно установить соединение (смрис. рисунок 7б). Злоумышленник установил сектор базовой станции на пути следования АС, между БС1 и БС2, поэтому после отключения от БС1, АС устанавливает связь с сектором злоумышленника.

...

  • Идентификатор канала связи: необходимо заменить значение параметра, установленное по умолчанию, на уникальное.
  • Ключ безопасности: устройства смогут установить канал связи, только если у них совпадают идентификатор канала и ключ безопасности, т.е. использование ключа безопасности снизит вероятность организации канала связи с устройством злоумышленника.
  • Режим авторизации: устройства семейств InfiLINK 2x2 и InfiMAN 2x2 поддерживают настройку режима авторизации при установлении беспроводного канала связи. К безопасным методам можно отнести методы "статический" и "remote". При статическом методе авторизации указывается список MAC-адресов устройств, с которыми может быть установлен беспроводной канал связи (белый список), либо список адресов, с которыми запрещено устанавливать канал связи (чёрный список). Метод "remote" позволяет централизованно хранить MAC-адреса для белых или чёрных списков и выполнять соответствующие запросы при попытках установления радиоканала.
  • Число каналов связи: на секторе базовой станции может быть установлен пороговое значение числа абонентских станций, которые могут быть подключены к сектору.
  • Скрэмблирование: обратимый процесс перераспределения битов данных в соответствии с заданным алгоритмом с целью выравнивания частотного спектра сигнала. Вспомогательной функцией опции скрэмблирования является сложность расшифровки перехваченных данных, т.к. злоумышленник должен обладать используемым алгоритмом дескрэмблирования для восстановления исходной последовательности битов.
  • Частотная сетка: диапазон поддерживаемых радиомодулем частот может быть осознанно ограничен с помощью частотной сетки на устройствах всех семейств Инфинет. Данное ограничение сужает список частот, которые могут быть установлены в качестве центральной: если в конфигурации устройства установлен автоматический выбор центральной частоты, то центральная частота будет выбрана в соответствии с частотной сеткой. Кроме того, центральная частота может быть установлена вручную: на устройствах с ролью "Ведущий" центральная частота устанавливается явно, на устройствах с ролью "Ведомый", в зависимости от семейства, либо явно, либо с помощью одного или нескольких радиопрофилей. Если на абонентской станции используется несколько радиопрофилей (см. Организация связи с подвижными объектами), то при подключении к сектору базовой станции будет осуществляться перебор профилей до момента успешного подключения.
  • Опция Global: в сценариях организации связи для подвижных объектов опция Global используется для подключения абонентской станции к секторам базовых станций, имеющих связность с ядром сети. Этот подход может быть использован для блокировки подключений абонентских станций к базовым станциям, установленными злоумышленниками (смрис. рисунок 7б): поскольку базовая станция злоумышленника не подключена к ядру сети, то абонентская станция в процессе роуминга будет игнорировать устройство злоумышленника.

...

В зависимости от возможностей и масштабов сети, база данных учётных записей для работы RADIUS может быть развёрнута на отдельном устройстве, либо совмещена с другим элементов сети. Алгоритм использования RADIUS-сервера выглядит следующим образом (смрис. рисунок 8):

  1. Запрос на доступ к интерфейсу управления устройством: пользователь пытается получить доступ к интерфейсу управления устройством с помощью одного из протоколов (см. ниже), формируя запрос, в котором передаёт логин и пароль.
  2. Формирование запроса серверу RADIUS: устройство принимает запрос от пользователя и формирует запрос серверу в соответствии с протоколом RADIUS.
  3. Ответ от сервера RADIUS: сервер RADIUS получает запрос и проверяет наличие и выделенные права для пользователя, учётные данные которого переданы в запросе. Сервер формирует один из двух ответов:
    1. Доступ разрешён: учётная запись присутствует в базе и ей разрешён доступ к интерфейсу управления устройством Slave (смрис. рисунок 8а).
    2. Доступ запрещён: учётная запись отсутствует в базе, либо данному пользователю запрещён доступ к интерфейсу управления Slave (смрис. рисунок 8б).
  4. Принятие решения устройством: устройство получает ответ от сервера RADIUS и принимает решения об авторизации пользователя с указанной текущей записью. В случае успешной авторизации пользователю демонстрируется интерфейс управления устройством (смрис. рисунок 8а), в противном случае пользовательское соединение сбрасывается и демонстрируется информационное сообщение.

...

На рисунке 1 представлены сценарии использования устройств Инфинет, рассмотрим организацию доступа к интерфейсу управления устройствами для каждого из сценариев. Для этого дополним схему ПК инженеров, подключенных к разным сетевым сегментам, с помощью которых выполняется управление устройствами (смрис. рисунок ,б,-в):

  • Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен инженерам, подключенным к разным сегментам сети (смрис. рисунок 9а). Функцию ограничение доступа злоумышленника к сети должны выполнять другие сетевые элементы.
  • Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только инженеру, подключенному к локальному сегменту сети (смрис. рисунок 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
  • Объединение сегментов локальной сети и сети Интернет: доступ к интерфейсу управления устройств должен быть предоставлен инженеру, подключенному к локальному сегменту сети (смрис. рисунок 9в). Кроме того, может быть настроен доступ для списка инженеров, подключенных к сети Интернет. При этом обязательно должна быть настроена фильтрация, которая будет рассмотрена позже.

...

Рассмотрим пример атаки с использованием протокола DHCP (смрис. рисунок 10): организован канал связи между Master и Slave, на радиоинтерфейсе Slave активирован DHCP-клиент, в локальной сети установлен DHCP-сервер. Кроме того в сети находится сетевое устройство злоумышленника, на котором тоже настроен DHCP-сервер. После установления канала связи Master-Slave, устройство Slave отправляет в сеть широковещательный запрос для получения сетевых настроек от DHCP-сервера. DHCP-серверы, находящиеся в сети, отвечают на запрос от Slave в соответствии с протоколом DHCP. В случае, если Slave получит первым ответ от сервера злоумышленника, то присвоит себе предлагаемый адрес и сетевые настройки, которые переданы в этом запросе. Таким образом, злоумышленник нарушит конфиденциальность информации, получив доступ к трафику, передаваемому устройством Slave.

...

Кроме того, возможна атака, в которой устройство злоумышленника будет выступать в роли DHCP-клиента (смрис. рисунок 11): в сети установлен DHCP-сервер, функции которого могут быть реализованы на устройствах Инфинет, к сети подключено устройство злоумышленника. В ситуации, когда протокол конфигурация DHCP-сервера не предусматривает средств защиты, злоумышленник сформирует запрос и сервер предоставит устройству сетевые реквизиты. Таким образом, злоумышленник получит доступ к передаваемым по сети данным и будет нарушена конфиденциальность информации.

...

Рассмотрим пример атаки с подменой IP-адреса: через радиоканал Master-Slave организован доступ к сети Интернет двум клиентам Клиент 1 и Клиент 2, за каждым из клиентов закреплён IP-адрес, который является идентификатором для назначения тарифного плана. Клиенту с адресом 192.168.0.1 предоставляется пропускная способность 10 Мбит/с, клиенту с адресом 192.168.0.2 - 2 Мбит/с (смрис. рисунок 12 а12а). В какой-то момент времени Клиент 1 выключает ПК и не пользуется услугами провайдера, в это же время Клиент 2 заменяет свой IP-адрес на IP-адрес 192.168.0.1, закреплённый за Клиентом 1 (смрис. рисунок 12б). В этом случае Клиент 2 получит доступ в Интернет на большей пропускной способности и у Клиента 1, после включения ПК, возникнут проблемы с доступом к сети.

...

Использование протокола LLDP предназначена для обмена справочной информации об устройстве с непосредственно подключенным к нему устройством. В качестве справочной информации передаётся имя VLAN, MAC-адрес, имя устройства, IP-адрес управления и т.д. В случае, если злоумышленник получит физический доступ к устройству и подключится к нему, то, запустив на своём ПК протокол LLDP, сможет, обменявшись служебными сообщениями, получить справочную информацию об устройстве (смрис. рисунок 13). Реализация такой атаки приводит к нарушению конфиденциальности информации.

...

Протокол SNMP был создан как унифицированный протокол для управления сетевыми устройствами. Протокол предусматривает запросы двух типов: GET-запрос для получения значения какого-либо параметра и SET-запрос для установки параметра в указанное значение. Таким образом устройства, на которых реализована поддержка SNMP-клиента, могут работать в режиме чтения (обрабатывать только GET-запросы) и режиме записи (обрабатывать SET- и GET-запросы). Активация SNMP-клиента без конфигурации аспектов безопасности может грозить нарушениями конфиденциальности и целостности информации, т.к. злоумышленник получит доступ к устройству по протоколу SNMP (смрис. рисунок 14).

Для обеспечения безопасности информации, рекомендуется следовать рекомендациям:

...

Рассмотрим пример атаки с использованием протокола MINT: два беспроводных канала связи Master 1 - Slave 1 и Master 2 - Slave 2 объединены в единую область MINT с помощью prf-интерфейсов (смрис. рисунок 15а), злоумышленник получает доступ к локальной сети предприятия, подключается к ней коммутатором InfiMUX, на котором создан prf-интерфейс (смрис. рисунок 15б). В общем случае, prf-интерфейсы установят между собой каналы связи и все устройства будут объединены в одну область MINT, поэтому злоумышленник получит информацию об устройствах в этой области и сможет выполнять удалённые команды на них средствами MINT, что является нарушением конфиденциальности и целостности информации.

...

Компания Инфинет поддерживает систему для мониторинга беспроводных устройств Инфинет - InfiMONITOR. Для получения данных об устройствах используется протокол SNMP. Существует два варианта получения информации системой мониторинга (смрис. рисунок 16):

  • Поллинг: система мониторинга отправляет SNMP-запросы устройству с указанием параметров, значения которых необходимо получить. Устройство формирует для системы мониторинга SNMP-ответ, где указывает значения запрашиваемых параметров. Опрос параметров устройств ведётся с установленной периодичностью, что гарантирует опрос устройства в заданный интервал.
  • Trap-сообщения: устройство отправляет Trap-сообщение серверу мониторинга в случае возникновения события из указанного списка. В отличие от поллинга, отправка Trap-сообщения происходит мгновенно,  независимо от цикла опроса, однако это потребует дополнительной настройки на устройствах.

...

Для этих целей в сети выделяется Syslog-сервер. При появлении новой записи в логах, устройство отправляет сообщение Syslog-серверу, в котором содержится запись о новом событии (смрис. рисунок 17). Это позволяет хранить историю сообщений всех сетевых устройством централизованно и не зависить от бесперебойности работы устройств.

...