Page History

Содержание

Введение

Появление информационных технологий изменило сферы жизни человека, сделав информацию одним из самых ценных ресурсов. Наряду с другими ресурсами, информация представляет ценность для владельца и может стать причиной споров и конфликтов. Именно поэтому, одним из вопросов, связанных с информацией, является обеспечение её безопасности, а развитие информационных систем и накопление больших объёмов данных привело к необходимости комплексного подхода к обеспечению безопасности технических систем.

Документ описывает средства достижения информационной безопасности в сетях, построенных с использованием устройств Инфинет. Набор используемых средств зависит от семейства устройств, поэтому документ включает дочерние страницы с объединением средств по семействам, а на главной странице даётся ссылка на соответствующий раздел.

Терминология

• Информация - сведения об окружающем мире и протекающих в нём процессах, воспринимаемые человеком или специальным устройством.
• Информационная безопасность (ИБ) - защищённость информации и инфраструктурных составляющих от воздействий, которые могут нанести ущерб субъектам информационных отношений.
• Угроза - потенциальная возможность нарушения информационной безопасности.
• Атака - попытка реализации угрозы.
• Злоумышленник - лицо или группа лиц, производящие атаку.
• Риск - вероятность наступления той или иной угрозы.

Характеристики информации

В технической системе должны быть применены меры обеспечения безопасности информации в соответствии с политикой ИБ, принятой компании. Политика ИБ должна включать в себя цели для достижения следующих свойств информации:

• Доступность - возможность получения доступа к информации за приемлемое время.
• Целостность - непротиворечивость информации, её актуальность.
• Конфиденциальность - невозможность получения несанкционированного доступа к информации.

Архитектура технических систем подразумевает комплексный подход для обеспечения ИБ, поэтому следует реализовывать меры по достижению каждого из базовых свойств информации. Следует помнить, что реализация политики ИБ является бесконечным процессом, требующим периодического пересмотра мер и контроля за их выполнением.

Организация ИБ должна иметь многоуровневый характер и не ограничиваться только техническими решениями. Помимо технических должны быть предусмотрены законодательные, административные и процедурные меры.

Сценарии использования оборудования Инфинет

Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (рис. 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.

Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах.

Для конфигурации устройств можно сформулировать следующие общие правила ИБ:

• управление устройством извне должно быть ограничено с помощью белых списков;
• работа вспомогательных сетевых протоколов должна быть ограничена локальной сетью;
• на стыке зон ответственности должен быть организован эшелон безопасности для защиты от вредоносного трафика.

Объединение сегментов своей сети

Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.

Anchor
lan_wan_scenario lan_wan_scenario

Объединение сегментов своей и сторонней сетей

В сценарии объединения двух сетей, находящихся в разных зонах ответственности, функции первого эшелона безопасности возложены на радиоустройство, расположенное на стыке двух сетей. В таком сценарии должна быть обеспечена фильтрация как входящего, так и исходящего трафика сторонней организации.

Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.

Объединение сегментов своей сети и сети Интернет

Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.

Таблица применимости средств обеспечения ИБ в различных сценариях

Anchor
physical_security physical_security

Физическая безопасность

Фундаментом стека сетевых технологий является физический уровень, поэтому обеспечение физической безопасности устройств является приоритетной задачей при реализации политики ИБ предприятия. Обеспечение физической безопасности подразумевает комплексный подход и включает несколько компонент:

• выбор площадки для установки оборудования;
• организация вспомогательной инфраструктуры объекта;
• монтаж оборудования;
• эксплуатация объекта.

Объект связи, включающий в себя беспроводные устройства, состоит из трёх основных элементов (рис. 2):

• Высотная часть: место размещения беспроводных устройств, например, крыша здания, мачта, телекоммуникационная башня.
• Кабельная трасса: путь прохождения кабелей, соединяющих высотную часть и оборудования, размещённого в помещении.
• Помещение: оборудование, размещённое в помещении, и точки подключения к инфраструктуре. Инфраструктура может включать в себя каналы передачи данных, электропитание, климатические системы и т.д. Оборудование должно быть размещено в стойке или телекоммуникационном шкафу, которые могут размещаться в выделенном помещении или быть совмещены с высотной частью объекта.

Выбор площадки для установки оборудования

Площадка для размещения оборудования должна отвечать требованиям технической политики компании и предусматривать развитие объекта связи. При выборе площадке следует обратить внимание на следующие аспекты:

• Доступ на объект является важным фактором, влияющим на время восстановления связи и удобство обслуживания оборудования на объекте. Доступ на объект может быть ограничен по времени и по спискам сотрудников, поэтому необходимо поддерживать документы для допуска на объект в актуальном состоянии. Также следует обращать внимание на наличие охраны и замков в местах размещения оборудования для предотвращения несанкционированного доступа.
• Наличие высотной части - это обязательное требование для размещения беспроводных устройств на площадке. При выборе площадки обсудите возможность установки дополнительного оборудования (трубостойки, мачты, комплекты креплений).
• Наличие выделенного помещения. Оборудования передачи данных и точки подключения к инфраструктуре рекомендуется размещать в выделенном помещении, закрытом от воздействия внешних факторов. Например, это может быть помещение с отдельным входом и доступом отдельных сотрудников предприятия или машинный зал, в котором размещается оборудование сторонних компаний.
• Кабельная трасса. Площадка должна отвечать требованиям по прокладке кабельной трассы и доступу к ней на этапе эксплуатации.
• Электропитание. На площадке должна присутствовать возможность подключения к сети стабильного электропитания. В зависимости от типа электрического тока на площадке, постоянного или переменного, необходимо использовать различные инжекторы питания (см. раздел "Аксессуары" на сайте infinet.ru). В соответствии с технической политикой компании, может быть организована вторая линия электропитания или система бесперебойного электропитания. Линии электропитания должны быть независимыми, т.е. должны отсутствовать единые точки отказа. Для систем резервного электропитания рекомендуется реализовывать схемы автоматического переключения между источниками, что позволит избежать перерыва связи при отказе основного источника ЭП.
• Заземление. Площадка должна включать точку заземления в высотной части и в помещении.
• Климатические системы. Надёжная работа сетевого оборудования зависит от внешних условий эксплуатации: устройство гарантированно функционирует в установленном диапазоне значений температуры, давления и влажности. Влияние среды носит случайный характер, поэтому, для поддержания стабильной работы, заданный диапазон климатических условий должен быть создан искусственно, для чего на объекте рекомендуется установить кондиционер и обогреватель с возможностью их автоматического включения/отключения. Применение климатических систем в высотной части невозможно, поэтому для надёжной работы в суровых условиях рекомендуется использовать устройства семейств InfiLINK 2x2 / InfiMAN 2x2 с расширенным температурным диапазоном. Настройка встроенного обогревателя представлена в соответствующем разделе.
• Каналы связи. В соответствии с технической политикой, принятой в компании, сетевая доступность объекта может быть увеличена за счёт организации избыточных каналов связи. Каналы связи должны быть независимыми, т.е. не иметь единых точек отказа, например, в качестве основного может использовать проводной канал связи, а в качестве резервного - беспроводной. Схемы организации отказоустойчивых схем автоматического резервирования и агрегации каналов связи с использованием устройств Инфинет представлены в статье "Агрегация каналов, балансировка и резервирование". В сценариях с подвижными объектами используется другая схема резервирования канала связи, представленная в статье "Организация связи с подвижными объектами".

Организация вспомогательной инфраструктуры объекта

Важным фактором при выборе площадки является возможность установки элементов вспомогательной инфраструктуры, которая позволит повысить доступность системы связи. Примерами вспомогательной инфраструктуры являются системы видеонаблюдения и сигнализации. Сигнализация позволит оперативно зафиксировать несанкционированный доступ на объект, а система видеонаблюдения будет полезна в расследовании инцидентов.

Монтаж оборудования

При выполнении монтажных работ на площадке следует руководствоваться общим набором требований и технической политикой, принятой в компании. Некачественно выполненные монтажные работы могут стать причиной нарушения доступности всего сетевого объекта, восстановление которой может потребовать больших временных и финансовых ресурсов.

Завершение установки и юстировки может быть совмещено с настройкой устройства для обеспечения физической безопасности:

• для повышения скрытности устройств рекомендуется отключить световые индикаторы, расположенные на корпусе устройства;
• неиспользуемые порты беспроводных устройств могут быть использованы злоумышленником для получения доступа к сети, поэтому для обеспечения конфиденциальности информации рекомендуется отключать неиспользуемые сетевые интерфейсы;
• устройства, базирующиеся на аппаратной платформе H11, поддерживают функцию PoE-out на порту Eth1. Этим может воспользоваться злоумышленник, непосредственно подключившись к порту устройства и запитав стороннее оборудование.

Эксплуатация объекта

Контроль за качеством монтажных работ выполняется с помощью приёмки объекта в эксплуатацию. Процедура приёмки должна быть построена в соответствии с общепринятыми требованиями к монтажу и технической политикой компании.

Обеспечение информационной безопасности является непрерывным процессом, требующим контроля и реакции на выявленные угрозы, поэтому необходимо проводить профилактическое обслуживание объектов связи. В зависимости от требований, закреплённых в компании, и специфики сетевого объекта список профилактических мероприятий может отличаться. Общий набор регулярных работ состоит из:

• осмотра объекта связи с составлением списка угроз;
• уборки объекта;
• тестирования резервных систем: для каналов связи - плановые работы с отключением основного канала, для систем электропитания - плановые работы с отключением основного источника (дополнительно, для источников бесперебойного питания, тестирование ёмкости батарей).

Anchor
radio_security radio_security

Безопасность радиоканала

Беспроводная передача данных выполняется в общей среде, что позволяет злоумышленникам организовывать атаки различных видов. Рассмотренные ниже средства обеспечения безопасности должны применяться комплексно, поскольку мероприятия, направленные на борьбу с одной угрозой, будут малоэффективны против угрозы другого типа.

Частотные настройки

Частотный ресурс является ограниченным, поэтому процесс распределения частот между беспроводными системами должен рассматриваться комплексно. В противном случае влияние сторонних систем может быть воспринято, как действия злоумышленника (рис. 3), снижающие производительность системы и являющиеся угрозой доступности. Снизить риски, связанные с угрозой данного типа, можно следующими способами:

• Централизованное распределение частот: координация предприятий-владельцев беспроводных систем на государственном уровне с контролем соблюдения договорённостей и последующим наказанием. В некоторых случаях, договорённость между предприятиями может быть достигнута в частном порядке. Устройства семейств InfiLINK 2x2 и InfiMAN позволяют получить MAC-адреса систем, работающих в выбранном частотном канале, с помощью утилиты "Radio scanner", что позволяет выявить злоумышленника и передать эти данные координатору.
• Ручное сканирование спектра: предварительное радиообследование территории, в которой будет развёрнута система связи, выполненное вручную. Выбор частотного канала системы осуществляется с учётом данных сканирования. Устройства Инфинет позволяют оценить состояние спектра с помощью встроенной утилиты "Спектроанализатор".
• Автоматическое сканирование спектра: радиообследование территории, в которой развёрнута система связи, выполняемое автоматически с заданной периодичностью. Выбор частотного канала системы осуществляется с учётом данных сканирования и может быть автоматически изменён. В устройствах Инфинет реализована поддержка технологии DFS и iDFS (см. Динамический выбор частоты), которые предназначены для сканирования спектра в автоматическом режиме.

При согласованном распределении частотных каналов между системами связи может сохраняться проблема взаимного влияния. Причиной этому служит внеполосное излучение: спектр излучения не является идеальным прямоугольником, имея боковые полосы, которые оказывают влияние на соседние частотные каналы. На рис. 4 а,б представлены спектры систем связи, использующие соседние частотные каналы: на рис. 4а мощности излучения систем равна и влияние злоумышленника ниже чувствительности системы связи, на рис. 4б мощность излучения системы злоумшленника выше, чем системы связи и уровень боковой полосы выше чувствительности, что окажет влияние на систему связи в виде помехи.

Использование функции автоматической подстройки мощности излучения позволит снизить влияние системы связи на частотные каналы и повысит срок службы устройства. Кроме того, при возникновении помех устройства увеличат мощность излучения, сохраняя производительность канала связи.

Бюджет канала связи помимо мощности излучателей зависит от используемой модуляционно-кодовой схемы: схемы высших порядков более требовательны к параметрам канала связи, поэтому их использование невозможно при низком уровне сигнала и высоком уровне помех. Таким образом, выбор модуляционно-кодовой схемы является компромиссом между производительностью и надёжностью канала связи. Использование функции автоматического контроля модуляции позволяет автоматически выбирать модуляционно-кодовую схему в соответствии с текущими параметрами радиоканала. Это позволяет повысить надёжность и повысить доступность информации.

Подробно частотные характеристики сигналов рассмотрены в онлайн-курсе "Основы беспроводных сетей".

Настройки аутентификации

Популярными сценариями нарушения конфиденциальности и целостности информации в радиоканале являются атаки типа "человек посередине". Рассмотрим примеры атак такого типа:

• Перехват данных (рис. 5а): в зоне покрытия системы связи злоумышленник устанавливает приёмник, принимая все передаваемые сигналы. Все устройства беспроводной системы используют общую среду передачи данных, поэтому устройства принимают данные независимо от того, указаны ли они в качестве адресата. Далее устройство обрабатывает кадр на канальном уровне, если является его получаетелем, или отбрасывает, если не является. Таким образом, злоумышленник может получить скрытый доступ ко всем сообщениям, передаваемым в системе.
• Ретрансляция данных(рис. 5б): частный случай сценария "Перехват данных", в котором злоумышленник использует ретранслятор вместо пассивного приёмника. Такой вариант атаки, например, применим для каналов "точка-точка" с узкой диаграммой направленности, для которых не подходит схема из сценария "Перехват данных".
• Подмена данных (рис. 5в): частный случай сценария "Ретрансляция данных", в котором злоумышленник подменяет данные при ретрансляции. В таком сценарии, помимо нарушения конфиденциальности, нарушается целостность данных.

Кроме того, популярны сценарии получения несанкционированного доступа к ресурсам через подключение к радиосети. Рассмотрим примеры атак такого типа:

• Подключение злоумышленника к сети предприятия (рис. 6): к сектору базовой станции в топологии "точка-многоточка" подключается устройство злоумышленника, после чего злоумышленник может получить доступ к сети предприятия и реализовать атаки с нарушением целостности, доступности и конфиденциальности.
• Подмена сектора базовой станции (рис. 7а,б): злоумышленник устанавливает сектор базовой станции, к которой подключается абонентская станция. После подключения злоумышленник получает несанкционированный доступ к данным, источником которым является абонентская станция, и сегменту сети за абонентской станцией. Рассмотрим пример реализации такой атаки в сценариях с организацией связи для подвижных объектов (см. Организация связи с подвижными объектами). На рис. 7а организован радиоканал между АС и БС1, при этом АС установлена на движущемся объекте, поэтому при отдалении от БС1, АС разрывает канал связи и начинает поиск сектора базовой станции, с которым можно установить соединение (рис. 7б). Злоумышленник установил сектор базовой станции на пути следования АС, между БС1 и БС2, поэтому после отключения от БС1, АС устанавливает связь с сектором злоумышленника.

Формат радиокадров, используемых устройствами Инфинет, является фирменным, что делает невозможным организацию канала связи между устройствами, работающими по стандарту 802.11, и устройствами Инфинет. Это усложняет реализацию планов злоумышленника, т.к. он будет вынужден использовать устройства Инфинет или самостоятельно разработать устройства, использующие фирменный формат радиокадров Инфинет.

Для защиты сетевых ресурсов от рассмотренных атак используются следующие инструменты:

• Идентификатор канала связи: необходимо заменить значение параметра, установленное по умолчанию, на уникальное.
• Ключ безопасности: устройства смогут установить канал связи, только если у них совпадают идентификатор канала и ключ безопасности, т.е. использование ключа безопасности снизит вероятность организации канала связи с устройством злоумышленника.
• Режим авторизации: устройства семейств InfiLINK 2x2 и InfiMAN 2x2 поддерживают настройку режима авторизации при установлении беспроводного канала связи. К безопасным методам можно отнести методы "статический" и "remote". При статическом методе авторизации указывается список MAC-адресов устройств, с которыми может быть установлен беспроводной канал связи (белый список), либо список адресов, с которыми запрещено устанавливать канал связи (чёрный список). Метод "remote" позволяет централизованно хранить MAC-адреса для белых или чёрных списков и выполнять соответствующие запросы при попытках установления радиоканала.
• Число каналов связи: на секторе базовой станции может быть установлен пороговое значение числа абонентских станций, которые могут быть подключены к сектору.
• Скрэмблирование: обратимый процесс перераспределения битов данных в соответствии с заданным алгоритмом с целью выравнивания частотного спектра сигнала. Вспомогательной функцией опции скрэмблирования является сложность расшифровки перехваченных данных, т.к. злоумышленник должен обладать используемым алгоритмом дескрэмблирования для восстановления исходной последовательности битов.
• Частотная сетка: диапазон поддерживаемых радиомодулем частот может быть осознанно ограничен с помощью частотной сетки на устройствах всех семейств Инфинет. Данное ограничение сужает список частот, которые могут быть установлены в качестве центральной: если в конфигурации устройства установлен автоматический выбор центральной частоты, то центральная частота будет выбрана в соответствии с частотной сеткой. Кроме того, центральная частота может быть установлена вручную: на устройствах с ролью "Ведущий" центральная частота устанавливается явно, на устройствах с ролью "Ведомый", в зависимости от семейства, либо явно, либо с помощью одного или нескольких радиопрофилей. Если на абонентской станции используется несколько радиопрофилей (см. Организация связи с подвижными объектами), то при подключении к сектору базовой станции будет осуществляться перебор профилей до момента успешного подключения.
• Опция Global: в сценариях организации связи для подвижных объектов опция Global используется для подключения абонентской станции к секторам базовых станций, имеющих связность с ядром сети. Этот подход может быть использован для блокировки подключений абонентских станций к базовым станциям, установленными злоумышленниками (рис. 7б): поскольку базовая станция злоумышленника не подключена к ядру сети, то абонентская станция в процессе роуминга будет игнорировать устройство злоумышленника.

Anchor
mgmt mgmt

Управление устройством

Получение несанкционированного доступа к интерфейсу управления устройством является важной угрозой, которая может повлечь за собой нарушение всех основных свойств информации, поэтому необходимо уделить внимание тщательной проработке мероприятий для обеспечения безопасности информации и снижения потенциальных рисков.

Anchor
mgmt_authentication mgmt_authentication

Аутентификация и авторизация

По умолчанию в конфигурацию устройств Инфинет добавлен один пользователь с административными параметрами и следующими значениями атрибутов:

• логин: любая непустая строка;
• пароль: любая непустая строка.

Поскольку с настройками аутентификации по умолчанию велика вероятность угрозы несанкционированного доступа, то рекомендуется изменить логин и пароль при первоначальной настройке.

Кроме учётной записи администратора, в конфигурацию устройства может быть добавлена гостевая учётная запись. Пользователь, получивший доступ к интерфейсу управления с использованием гостевой учётной записи, может использовать утилиты и просматривать статистику интерфейсов, но ему запрещено вносить изменения в конфигурацию. Такой подход может быть использован на предприятиях, у которых организовано несколько линий технической поддержки: в такой схеме часть проблем может быть решена первой линией технической поддержки, при этом не будет изменена конфигурация беспроводных устройств и не будут использованы ресурсы квалифицированных сотрудников второй и третьих линий технической поддержки.

С точки зрения эксплуатации крупных сетей гораздо удобнее использовать централизованное хранение учётных записей, в сравнении с локальным, рассмотренным выше. Устройства Инфинет поддерживают работу протокола RADIUS, который предназначен для централизованной аутентификации, авторизации и аккаутинга в сетях.

В зависимости от возможностей и масштабов сети, база данных учётных записей для работы RADIUS может быть развёрнута на отдельном устройстве, либо совмещена с другим элементов сети. Алгоритм использования RADIUS-сервера выглядит следующим образом (рис. 8):

1. Запрос на доступ к интерфейсу управления устройством: пользователь пытается получить доступ к интерфейсу управления устройством с помощью одного из протоколов (см. ниже), формируя запрос, в котором передаёт логин и пароль.
2. Формирование запроса серверу RADIUS: устройство принимает запрос от пользователя и формирует запрос серверу в соответствии с протоколом RADIUS.
3. Ответ от сервера RADIUS: сервер RADIUS получает запрос и проверяет наличие и выделенные права для пользователя, учётные данные которого переданы в запросе. Сервер формирует один из двух ответов:
   
   1. Доступ разрешён: учётная запись присутствует в базе и ей разрешён доступ к интерфейсу управления устройством Slave (рис. 8а).
   2. Доступ запрещён: учётная запись отсутствует в базе, либо данному пользователю запрещён доступ к интерфейсу управления Slave (рис. 8б).
4. Принятие решения устройством: устройство получает ответ от сервера RADIUS и принимает решения об авторизации пользователя с указанной текущей записью. В случае успешной авторизации пользователю демонстрируется интерфейс управления устройством (рис. 8а), в противном случае пользовательское соединение сбрасывается и демонстрируется информационное сообщение.

Anchor
mgmt_methods mgmt_methods

Методы доступа

Конфигурация устройств Инфинет может быть выполнена с помощью графического Web-интерфейса или интерфейса командной строки (CLI). Управление некоторыми функциями устройства возможно только с помощь CLI, однако Web-интерфейс проще в эксплуатации. Выбор интерфейса и связанного с ним протокола управления зависит от технической политики, используемой на предприятии, однако следует иметь в виду, что неиспользуемые протоколы управления рекомендуется отключить.

Протоколы управления, поддерживаемые устройствами Инфинет, соотносятся с интерфейсами управления следующим образом:

• Web-интерфейс:
  • Протокол HTTP: запросы и ответы на них передаются по сети в открытом виде, поэтому злоумышленник, получив доступ к сети, может перехватить информацию.
  • Протокол HTTPS: запросы и ответы на них передаются по сети в шифрованном виде, поэтому злоумышленнику, перехватившему данные, потребуются ключи шифрования для обработки информации.
• CLI-интерфейс:
  • Протокол Telnet: управляющие команды и результат их выполнения передаётся в открытом виде, поэтому злоумышленник, получив доступ к сетевой инфраструктуре, может перехватить информацию.
  • Протокол SSH: управляющие команды и результаты их выполнения передаётся в шифрованном виде. В случае, если злоумышленник получит доступ к сети и сможет их перехватить, то ему потребуются ключи для расшифровки информации.

Anchor
mgmt_interface mgmt_interface

Интерфейс управления

Интерфейс управления, используемый для доступа к устройству, организован различным способом для устройств семейств Инфинет: на устройствах семейств InfiLINK XG, InfiLINK XG 1000 и Vector 5 выделен внутренний виртуальный интерфейс для управления устройством, который может быть ассоциирован с IP-адресом, на устройствах семейств InfiLINK 2x2 и InfiMAN 2x2 IP-адрес может быть ассоциирован с интерфейсами различных типов, как виртуальными, так и физическими.

Помимо выбора интерфейса управления, можно управлять обменом данными между интерфейсом управления и другими интерфейсами. Данный механизм позволяет ограничивать доступ к устройству через проводные или беспроводные интерфейсы, в зависимости от сценария использования оборудования.

На рис. 1 представлены сценарии использования устройств Инфинет, рассмотрим организацию доступа к интерфейсу управления устройствами для каждого из сценариев. Для этого дополним схему ПК инженеров, подключенных к разным сетевым сегментам, с помощью которых выполняется управление устройствами (рис. 9а-в):

• Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен инженерам, подключенным к разным сегментам сети (рис. 9а). Функцию ограничение доступа злоумышленника к сети должны выполнять другие сетевые элементы.
• Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только инженеру, подключенному к локальному сегменту сети (рис. 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
• Объединение сегментов локальной сети и сети Интернет: доступ к интерфейсу управления устройств должен быть предоставлен инженеру, подключенному к локальному сегменту сети (рис. 9в). Кроме того, может быть настроен доступ для списка инженеров, подключенных к сети Интернет. При этом обязательно должна быть настроена фильтрация, которая будет рассмотрена позже.

Сформулируем общие принципы, применимые к конфигурации интерфейса управления:

• В качестве интерфейса управления необходимо использовать виртуальный интерфейс, для устройств семейств InfiLINK XG, InfiLINK XG 1000 и Vector 5 - стандартный интерфейс управления, для устройств семейств InfiLINK 2x2 и InfiMAN 2x2 - интерфейс svi, связанный с группой коммутации управляющего трафика.
• Доступ к интерфейсу управления должен быть разрешён только с интерфейсов, за которыми расположены хосты инженеров, выполняющих конфигурацию, или вспомогательные сервисы предприятия, например NMS.
• В случае разделения сетевого трафика по vlan, должен быть выделен отдельный vlan для трафика управления и интерфейс управления должен быть ассоциирован с выделенным идентификатором vlan.

Anchor
mgmt_firewall mgmt_firewall

Ограничение доступа

Устройства семейств InfiLINK 2x2, InfiMAN 2x2 и Vector 5 позволяют создать белые списки доступа: доступ к интерфейсу управления будет предоставлен только хостам, адреса которых включены в белые списки.

Anchor
mgmt_repair mgmt_repair

Восстановление доступа

Восстановление доступа к устройствам Инфинет всех семейств выполняется с помощью утилиты ERConsole (см. скринкаст "Утилита ERConsole"). Использование утилиты полезно в следующих сценариях:

• Ошибка в конфигурации устройства: утилита ERConsole позволяет назначить IP-адрес на интерфейс, либо сбросить устройство к заводским настройкам в ситуации, когда была допущена ошибка в конфигурации и доступ к устройству был утерян.
• Защита от использования устройства злоумышленником: для сброса устройства Инфинет к заводским настройкам требуется ввод заводского пароля, который закреплён за предприятием, которое его приобрело. В случае кражи устройства злоумышленником, он не сможет получить заводской пароль, обратившись в службу технической поддержки, т.к. не является сотрудником предприятия, значит не сможет получить доступ к устройству.

Anchor
data_transmit data_transmit

Передача данных

Базовая функция любого сетевого устройства, имеющего более одного интерфейса, передача данных между ними. Устройства Инфинет не являются исключением, выполняя коммутацию или маршрутизацию пакетов между проводными и беспроводными интерфейсами. Кроме того, на устройствах запущены вспомогательные сервисы, работа которых основана на одном из сетевых протоколов, например, SNMP и LLDP. Реализация всех этих функций на устройствах содержит в себе потенциальные угрозы, которыми может воспользоваться злоумышленник, поэтому кропотливый подход к настройке сетевых протоколов на устройствах позволит минимизировать данные риски.

Anchor
data_transmission_common data_transmission_common

Общие рекомендации

Работа любого сетевого элемента складывается из его аппаратной и программной реализаций, поэтому актуализация программного обеспечения является важным вкладом в надёжность работы устройств. Рекомендуется использовать стабильную версию программного обеспечения и следить за выходом обновлений. Проверить актуальность используемой версии ПО можно через интерфейс управления или на FTP Infinet Wireless.

Внося изменения в конфигурацию устройств, следует иметь в виду, что механизм применения настроек зависит от интерфейса управления:

• Web-интерфейс: выполняется настройка устройства в нескольких разделах меню, при нажатии на кнопку "Применить" выполненные изменения последовательно вносятся в текущую конфигурацию и сохраняются. При перезагрузке устройства, будет выполнена загрузка новой конфигурации.
• Интерфейс CLI: при выполнении команда мгновенно добавляется в текущую конфигурацию, но не сохраняется. Для сохранения настроек необходимо выполнить соответствующую команду. При перезагрузке устройства будет выполнена загрузка последней сохранённой версии конфигурации.

При использовании любого интерфейса управления устройством, можно допустить ошибки в конфигурации и потерять доступ к устройству, отфильтровать трафик пользователей или разорвать беспроводное соединение. Независимо от последствий, будет нарушена доступность информации и велика вероятность, что устройство следует сбросить к заводским настройкам (см. "Восстановление доступа"). Для того, чтобы снизить риск возникновения рассмотренного сценария, рекомендуется использовать отложенную перезагрузку устройства: сохраняется две копии конфигурации - текущая и новая, применяется новая и проверяется доступность интерфейса управления устройством - если управление потеряно, то устройство перезагружается с предыдущей сохранённой конфигурацией, иначе - на устройстве сохраняется новая конфигурация.

Anchor
data_transmission_config data_transmission_config

Настройка передачи данных

Беспроводные устройства используются для организации каналов связи с целью передачи данных различных сервисов, поэтому настройка протоколов, отвечающих за обработку передаваемых данных, является важной составляющей стратегии информационной безопасности. По умолчанию устройства Инфинет настроены в режиме коммутации таким образом, чтобы данные между проводным и беспроводным интерфейсами передавались без фильтрации. Такая схема уязвима для большого объёма паразитного трафика, который может привести к нарушению доступности сети. Пример паразитного трафика -  широковещательный шторм, причиной которого может быть ошибка в коммутации устройств, либо действия злоумышленника. Мероприятиями по защите сетевой инфраструктуры от атак подобного типа:

• Фильтрация трафика: хорошей практикой является разделение физической инфраструктуры на несколько виртуальных локальных сетей с использованием технологии VLAN. Такой метод позволяет ограничить широковещательные домены, а значит уменьшить масштаб от широковещательного шторма. Это потребует настройки фильтрации трафика разных VLAN на устройствах и каналах связи: на беспроводных устройствах рекомендуется разрешить обработку только тех vlan-id, которые должны быть переданы через организованный радиоканал и запретить все остальные.
• Протокол STP: протокол покрывающего дерева (STP) предназначен для предотвращения петель на канальном уровне, которые могут быть причиной широковещательного шторма. Кроме того, протокол STP может быть использован для построения схемы автоматического резервирования на канальном уровне в сетях с избыточностью каналов связи.
• Режим маршрутизатора: одним из подходов для снижения влияния широковещательного шторма является уменьшение размера широковещательного сегмента за счёт использования технологии маршрутизации. В этом случае данные передаются на основе L3-заголовка, содержащего поле TTL, который исключает циклическую передачу широковещательного трафика.

Anchor
data_transmission_protocol data_transmission_protocol

Настройка сетевых протоколов

Помимо пользовательского трафика, устройства в сети обмениваются служебными данными с использованием различных протоколов, настройка которых важна в контексте информационной безопасности.

DHCP

Устройства Инфинет могут быть настроены в качестве DHCP-клиента, DHCP-сервера и DHCP-ретранслятора. Следует иметь в виду, что протокол DHCP поддерживает не только выделение IP-адреса клиенту, но и передачи множества сетевых настроек с помощью опций.

Рассмотрим пример атаки с использованием протокола DHCP (рис. 10): организован канал связи между Master и Slave, на радиоинтерфейсе Slave активирован DHCP-клиент, в локальной сети установлен DHCP-сервер. Кроме того в сети находится сетевое устройство злоумышленника, на котором тоже настроен DHCP-сервер. После установления канала связи Master-Slave, устройство Slave отправляет в сеть широковещательный запрос для получения сетевых настроек от DHCP-сервера. DHCP-серверы, находящиеся в сети, отвечают на запрос от Slave в соответствии с протоколом DHCP. В случае, если Slave получит первым ответ от сервера злоумышленника, то присвоит себе предлагаемый адрес и сетевые настройки, которые переданы в этом запросе. Таким образом, злоумышленник нарушит конфиденциальность информации, получив доступ к трафику, передаваемому устройством Slave.

Кроме того, возможна атака, в которой устройство злоумышленника будет выступать в роли DHCP-клиента (рис. 11): в сети установлен DHCP-сервер, функции которого могут быть реализованы на устройствах Инфинет, к сети подключено устройство злоумышленника. В ситуации, когда протокол конфигурация DHCP-сервера не предусматривает средств защиты, злоумышленник сформирует запрос и сервер предоставит устройству сетевые реквизиты. Таким образом, злоумышленник получит доступ к передаваемым по сети данным и будет нарушена конфиденциальность информации.

Для того, чтобы повысить безопасность использования протокола DHCP рекомендуется реализовать следующие мероприятия:

• Ограничение списка DHCP-серверов: DHCP-клиент позволяет ограничить список серверов, для которых будет формироваться запрос сетевых настроек. В этом случае, DHCP-клиент сформирует запросы для указанных DHCP-серверов, а если они не ответят, то сформирует широковещательный запрос.
• Использование ключа безопасности: при аутентификации клиента может быть использован ключ безопасности. Следует иметь в виду, что данная настройка должна быть выполнена как на DHCP-сервере, так и на DHCP-клиенте.
• Фиксация пары "клиент-адрес": конфигурация DHCP-сервера позволяет зафиксировать за клиентами, выделяемые им IP-адреса. Таким образом можно сформировать белые списки устройств, что затруднит действия злоумышленника для получения сетевых реквизитов.
• Использование DHCP Snooping: использование данной технологии позволяет предотвратить получение сетевых реквизитов от DHCP-сервера злоумышленника. Принцип работы весьма прост: порты локальной сети, за которыми расположен DHCP-сервер помечаются как доверенные, остальные - как ненадёжные. Сообщения от DHCP-серверов, пришедшие на вход ненадёжных портов будут отброшены, что делает невозможным получение устройствами-клиентами сетевых реквизитов от сервера злоумышленника.
• Отключение DHCP на неиспользуемых интерфейсах: необходимо тщательно следить за списком интерфейсов, на которых включена поддержка протокола DHCP. На интерфейсах, которые не используются для передачи данных или на которых используется статическая адресация, необходимо деактивировать поддержку DHCP. Эта рекомендация справедлива как для ролей DHCP-клиента, так и DHCP-сервера.
• Отказ от протокола DHCP: следует понимать, что использование протокола DHCP должно иметь ограниченный характер, т.к.возможны сценарии, в которых рекомендуется использовать статическое распределение адресов. Так, например, статические адреса рекомендуется закреплять за ключевыми сетевыми элементами, в роли которых могут выступать и беспроводные устройства Инфинет. Это позволит избежать проблем при организации систем технического учёта и мониторинга.

ARP

Поскольку протоколы Ethernet и IP относятся к разным уровням сетевой модели OSI, то необходим инструмент, который будет связывать адреса устройств, используемую в каждом из протоколов. Таким инструментом является протокол ARP и заполняемая им таблица соответствия адресов. Таблица состоит из записей, в которых MAC-адрес интерфейса сопоставлен с IP-адресом, что используется при передаче IP-кадров, инкапсулированных в Ethernet-кадры.

Рассмотрим пример атаки с подменой IP-адреса: через радиоканал Master-Slave организован доступ к сети Интернет двум клиентам Клиент 1 и Клиент 2, за каждым из клиентов закреплён IP-адрес, который является идентификатором для назначения тарифного плана. Клиенту с адресом 192.168.0.1 предоставляется пропускная способность 10 Мбит/с, клиенту с адресом 192.168.0.2 - 2 Мбит/с (рис. 12а). В какой-то момент времени Клиент 1 выключает ПК и не пользуется услугами провайдера, в это же время Клиент 2 заменяет свой IP-адрес на IP-адрес 192.168.0.1, закреплённый за Клиентом 1 (рис. 12б). В этом случае Клиент 2 получит доступ в Интернет на большей пропускной способности и у Клиента 1, после включения ПК, возникнут проблемы с доступом к сети.

Рассмотренный вид атак с подменой IP-адреса можно предотвратить, добавив статическую запись в таблицу соответствия адресов протокола ARP. В этом случае, после смены IP-адреса данные Клиента 2 передаваться не будут, т.к. за адресом 192.168.0.1 будет закреплён MAC-адрес Клиента 1.

LLDP

Использование протокола LLDP предназначена для обмена справочной информации об устройстве с непосредственно подключенным к нему устройством. В качестве справочной информации передаётся имя VLAN, MAC-адрес, имя устройства, IP-адрес управления и т.д. В случае, если злоумышленник получит физический доступ к устройству и подключится к нему, то, запустив на своём ПК протокол LLDP, сможет, обменявшись служебными сообщениями, получить справочную информацию об устройстве (рис. 13). Реализация такой атаки приводит к нарушению конфиденциальности информации.

Для того, чтобы предотвратить атаки данного типа, необходимо придерживаться следующих правил:

• Глобальное отключение LLDP: в случае, если использование протокола не предусмотрено технической политикой предприятия, то рекомендуется отключить его работу на устройствах глобально.
• Отключение LLDP на интерфейсах: если использование протокола LLDP необходимо, то следует разрешить его работу только на интерфейсах, к которым подключены элементы сетевой инфраструктуры.

SNMP

Протокол SNMP был создан как унифицированный протокол для управления сетевыми устройствами и сбора данных об их функционировании. Протокол предусматривает запросы двух типов: запрос GET для получения значения какого-либо параметра и запрос SET для установки параметра в указанное значение. Таким образом, устройства, на которых реализована поддержка SNMP, могут работать в режиме чтения (обрабатывать только запросы GET) и режиме записи (обрабатывать запросы SET и GET). Активация сервера SNMP необходима, как правило, для централизованного управления устройствами с помощью системы мониторинга. Но если сервер SNMP настроен недостаточно надёжно, то им может воспользоваться злоумышленник В этом случае он сможет не только получить информацию о структуре сети, но и изменить конфигурацию устройства (рис. 14).

Для предотвращения несанкционировнного доступа cледуйте рекомендациям:

• Использование SNMPv3: по умолчанию на устройствах активирована поддержка SNMPv1 и SNMPv2c, на устройствах создано community с именем "public". Протоколы SNMPv1 и SNMPv2c предусматривают аутентификацию с помощью параметра community, значение которого передаётся по сети в явном виде. В SNMPv3 реализованы как возможность аутентификации, так и шифрования сообщений, которое рекомендуется всегда использовать.
  
• Использование режима чтения: в случае, если не используется режим записи протокола SNMP, то рекомендуется отключить его поддержку. Это снизит возможные последствия в случае несанкционированного доступа.
• Организация списков доступа: устройства Инфинет позволяют создать белые списки доступа к серверу SNMP.

MINT

MINT является фирменным протоколом компании Инфинет, работа которого может быть организована в проводном и беспроводном сегментах. Злоумышленник, получив доступ к области MINT, может компроментировать все сетевые устройства, относящиеся к этой области, поэтому при использовании протокола MINT необходимо обращать внимание на вопросы безопасности.

Рассмотрим пример атаки с использованием протокола MINT: два беспроводных канала связи Master 1 - Slave 1 и Master 2 - Slave 2 объединены в область MINT с помощью интерфейсов PRF (рис. 15а). Злоумышленник, имея физический доступ к сети предприятия, подключается к ней коммутатором InfiMUX, на котором создан интерфейс PRF (рис. 15б). В общем случае, интерфейсы PRF установят между собой каналы связи и все устройства будут объединены в область MINT, поэтому злоумышленник получит информацию об устройствах в этой области и сможет выполнять удалённые команды на них средствами MINT, что является нарушением конфиденциальности и целостности информации.

Средства защиты от атак подобного типа:

• Использование ключа безопасности: интерфейс PRF представляет собой виртуальный радиоинтерфейс, работающий в проводной среде, поэтому, по аналогии с беспроводным интерфейсом, интерфейс PRF поддерживает возможность установки ключа безопасности. При этом канал связи будет организован между двумя интерфейсами PRF только в том случае, когда их ключи безопасности совпадают.
• Использование пароля для выполнения удалённых команд: одним из удобных инструментов протокола MINT является возможность удалённого выполнения команд на устройстве, находящемся в одной области MINT. По умолчанию удалённое выполнение команд доступно без указания пароля, поэтому такое поведение рекомендуется изменить. В этом случае, для удалённого выполнения команд на устройстве потребуется ввести пароль, что сократит возможности злоумышленника.

Anchor
infrastructure infrastructure

Инфраструктура

  Инфраструктурная безопасность - это важнейший раздел информационной безопасности, которому не всегда уделяется должное внимание. Состав инфраструктуры зависит от технической политики предприятия. Часто на сети выделяются устройства, которые выполняют функции мониторинга, технического учёта (ТУ) и хранения истории. Эти функции могут быть реализованы в одном или нескольких устройствах.

Anchor
monitoring monitoring

Мониторинг

Система мониторинга необходима для централизованного управления устройствами и контроля работы сети. Кроме того, система мониторинга рассылает уведомления для сотрудников, если значения параметров вышли за рамки разрешённого диапазона. Такие уведомления уменьшают время реакции обслуживающего персонала, благодаря чему минимизируются последствия сбоев и вероятных атак.

Системы мониторинга могут быть интегрированы с системами сигнализации и видеонаблюдения.

Компания Инфинет предоставляет собственную систему мониторинга беспроводных устройств Инфинет - InfiMONITOR. Система мониторинга осуществляет сбор данных следующими способами (рис. 16):

• Поллинг: система мониторинга отправляет SNMP-запросы устройству с указанием параметров, значения которых необходимо получить. Устройство формирует для системы мониторинга SNMP-ответ, где указывает значения запрашиваемых параметров. Опрос параметров устройств ведётся с установленной периодичностью, что гарантирует опрос устройства в заданный интервал.
• Trap-сообщения: устройство отправляет специальное сообщение SNMP-Trap серверу мониторинга в случае возникновения события из указанного списка. Отправка SNMP-Trap, в отличие от поллинга, инициируется самим устройством и происходит мгновенно,  независимо от цикла опроса, однако это потребует дополнительной настройки устройств.

Anchor
history_data history_data

Хранение истории

Детальное расследование инцидентов требует анализа истории событий, зарегистрированных на устройстве. Устройства Инфинет поддерживают логирование событий, однако данные истории не сохраняются после перезагрузки устройства. Кроме того, в крупных сетях удобно иметь централизованное хранилище журнальных файлов, потому что такое хранилище предоставляет интерфейс просмотра журналов всех сетевых устройств, используемые при расследовании инцидентов.

Для этих целей в сети выделяется сервер Syslog. Все журнальные записи, одновременно с записью в системный журнал, отправляются на сервер Syslog (рис. 17). Это позволяет хранить историю сообщений всех сетевых устройством централизованно и не зависеть от состояния системного журнала непосредственно на устройстве, который может быть очищен при перезагрузке или несанкционированном доступе.

Anchor
tech_accounting tech_accounting

Технический учёт

Решение эксплуатационных задач требует от инженеров комплексной информации об устройствах для получения доступа на объект, восстановления конфигурации, добавления в систему мониторинга и т.д.  Такая информация включает в себя как технические, так и административные аспекты. Для того, чтобы эти данные хранить и иметь к ним доступ, в сети могут быть использованы специализированные системы технического учёта. Системы технического учёта содержат следующую информацию:

• Данные об устройстве: указывается модель устройства, его серийный номер и сетевые реквизиты.
• Данные о площадке: указывается место установки устройства, сведения о доступе на площадку, контактные данные арендодателя и т.д.
• Текстовая конфигурация устройства: хранится история конфигураций, используемых на устройстве. История конфигураций может быть использована для расследования инцидентов и восстановления работы устройства, поэтому сохранение конфигураций должно выполняться с заданной периодичностью. Некоторые системы ТУ могут быть совмещены с системами массовой конфигурации устройств в сети: применение таких систем позволяет иметь унифицированные конфигурации на устройствах, а сеть рассматривается как единое устройство, для которого хранится история изменений.

Дополнительные материалы

Онлайн-курсы

1. Онлайн-курс "Предварительная настройка и установка устройств семейств InfiLINK 2x2 и InfiMAN 2x2".
2. Онлайн-курс "Устройства семейства InfiLINK XG".
3. Онлайн-курс "Vector 5: установка и настройка".
4. Онлайн-курс "Основы беспроводных сетей".

White papers

1. Агрегация каналов, балансировка и резервирование.

2. Организация связи с подвижными объектами.

3. Динамический выбор частоты

Вебинары

1. Вебинар "Монтаж, грозозащита и заземление оборудования Инфинет".

Скринкасты

1. Скринкаст "Ввод в эксплуатацию устройств "Инфинет" семейства R5000".
2. Скринкаст "Утилита ERConsole".

Прочее

1. Раздел "Аксессуары" сайта infinet.ru
2. FTP Infinet Wireless
3. Раздел "InfiMONITOR" сайта infinet.ru