...
Популярными сценариями нарушения конфиденциальности и целостности информации в радиоканале являются атаки типа "человек посередине" (MiTM - Man in The Middle). Рассмотрим примеры атак такого типа:
- Перехват данных (рис. 5а): в зоне покрытия системы связи злоумышленник устанавливает приёмникустройство, принимая принимающее все передаваемые сигналы. Все устройства беспроводной системы используют общую среду передачи данных, поэтому устройства принимают данные независимо от того, указаны ли они в качестве адресата. Далее устройство обрабатывает кадр на канальном уровне, если является его получаетелемполучателем, или отбрасывает, если не является. Таким образом, злоумышленник может получить скрытый Злоумышленник может прикинуться одним из адресатов и получить доступ ко всем сообщениям, передаваемым в системенаравне с легальным адресатом.
- Ретрансляция данных(рис. 5б): частный случай сценария "Перехват данных", в котором злоумышленник использует ретранслятор вместо пассивного приёмника. Такой вариант атаки, например, применим для каналов "точка-точка" с узкой диаграммой направленности, для которых не подходит схема из сценария "Перехват данных".
- Подмена данных (рис. 5в): частный случай сценария "Ретрансляция данных", в котором злоумышленник подменяет данные при ретрансляции. В таком сценарии, помимо нарушения конфиденциальности, нарушается целостность данных.
| Center |
|---|
Рисунок 5а - Перехват данных
Рисунок 5б - Ретрансляция данных
Рисунок 5в - Подмена данных |
Кроме того, популярны Наравне с атаками MiTM возможны сценарии получения несанкционированного доступа к ресурсам через подключение к радиосети. Рассмотрим примеры атак такого типа:
- Подключение злоумышленника к сети предприятия (рис. 6): к сектору базовой станции в топологии "точка-многоточка" подключается устройство злоумышленника, после чего злоумышленник может получить доступ к сети предприятия и реализовать атаки с нарушением , направлнные на нарушение целостности, доступности и конфиденциальности. Злоумышленник сможет установить канал связи с сектором базовой станции только при условии использования беспроводного устройства Инфинет.
| Center |
|---|
 Рисунок 6 - Подключение злоумышленника к сети предприятия |
- Подмена сектора базовой станции (рис. 7а,б): злоумышленник устанавливает сектор базовой станции, к которой подключается абонентская станция. После подключения злоумышленник получает несанкционированный доступ к данным, источником которым является абонентская станция, и сегменту сети за абонентской станцией. Рассмотрим пример реализации такой атаки в сценариях с организацией связи для подвижных объектов (см. Организация связи с подвижными объектами). На рис. 7а организован радиоканал между АС и БС1, при этом АС установлена на движущемся объекте, поэтому при отдалении от БС1, АС разрывает канал связи и начинает поиск сектора базовой станции, с которым можно установить соединение (рис. 7б). Злоумышленник установил сектор базовой станции на пути следования АС, между БС1 и БС2, поэтому после отключения от БС1, АС устанавливает связь с сектором злоумышленника. Реализация атаки такого типа возможна только в случае пренебрежения настройками безопасности.
| Center |
|---|
Рисунок 6 7а - Подключение злоумышленника к сети предприятия
Рисунок 7а - Подключение абонентской станции к сектору базовой абонентской станции к сектору базовой станции злоумышленника
Рисунок 7б - Подключение абонентской станции к сектору базовой станции злоумышленника |
Формат радиокадров, используемых устройствами Инфинет, является фирменнымУстройства Инфинет используют собственный формат радиокадров, что делает невозможным организацию канала связи между устройствами, работающими по стандарту 802.11, и устройствами Инфинет. Это усложняет реализацию планов злоумышленника, т.к. он будет вынужден использовать устройства Инфинет или самостоятельно разработать устройства, использующие фирменный формат радиокадров Инфинет.
Для защиты сетевых ресурсов от рассмотренных атак используются следующие инструментыпротиводействия атакам рассмотренного типа должны применяться следующие инструменты:
- Идентификатор канала связи: необходимо заменить всегда меняйте значение параметра, установленное по умолчанию, на уникальное.
- Ключ безопасности: устройства смогут установить канал связи, только если у них совпадают идентификатор канала и ключ безопасности, т.е. использование ключа безопасности снизит вероятность для снижения вероятности организации канала связи с устройством злоумышленника, на обоих устройствах должны быть установлены ключи безопасности.
- Режим авторизации: устройства семейств InfiLINK 2x2 и InfiMAN 2x2 поддерживают настройку режима авторизации при установлении беспроводного канала связи. К безопасным методам можно отнести методы "статический" и "remote". При статическом методе авторизации указывается список MAC-адресов устройств, с которыми может быть установлен беспроводной канал связи (белый список), либо список адресов, с которыми запрещено устанавливать канал связи (чёрный список). Метод "remote" позволяет централизованно хранить MAC-адреса для белых или чёрных списков и выполнять соответствующие запросы при попытках установления радиоканала. Использование одного из описанных методов авторизации значительно усложнит неавторизованное подключение злоумышленника к сети, т.к. его MAC-адрес будет отсутствовать в списке разрешённых.
- Число каналов связи: на секторе базовой станции может быть установлен установлено пороговое значение числа абонентских станций, которые могут быть подключены к сектору. Рекомендуется установить значение на уровне фактического количества абонентских станций.
- Скрэмблирование: обратимый процесс перераспределения битов данных в соответствии с заданным алгоритмом с целью выравнивания частотного спектра сигнала. Вспомогательной функцией Побочным эффектом опции скрэмблирования является сложность расшифровки перехваченных данных, т.к. злоумышленник должен обладать используемым алгоритмом дескрэмблирования для восстановления исходной последовательности битов. Операции скрэмблирования/дескремблирования потребуют аппаратных ресурсов, поэтому использование данной опции рекомендуется в случаях невысокой аппаратной загрузки устройств.
- Частотная сетка: диапазон поддерживаемых радиомодулем частот может быть осознанно ограничен с помощью частотной сетки на устройствах всех семейств Инфинет. Данное ограничение сужает список частот, которые могут быть установлены в качестве центральной: если . Инструмент настройки частотной сетки предназначен для сужения списка разрешённых к использованию частот и является вспомогательным для обеспечения безопасности. Если в конфигурации устройства установлен автоматический выбор центральной частоты, то центральная частота она будет выбрана в соответствии с частотной сеткой. Кроме того, центральная частота может быть установлена вручную: на устройствах с ролью "Ведущий" центральная частота устанавливается явно, на устройствах с ролью "Ведомый", в зависимости от семейства, либо явно, либо с помощью одного или нескольких радиопрофилей. Если на абонентской станции используется несколько радиопрофилей (см. Организация связи с подвижными объектами), то при подключении к сектору базовой станции будет осуществляться перебор профилей до момента успешного подключения.
- Опция Функция Global: в сценариях организации связи для подвижных объектов опция Global используется для подключения абонентской станции к секторам базовых станций, имеющих связность с ядром сети. Этот подход может быть использован применяться для блокировки подключений абонентских станций к базовым станциямсекторам базовых станций, установленными злоумышленниками (рис. 7б): поскольку базовая станция злоумышленника не подключена к ядру сети, то абонентская станция в процессе роуминга будет игнорировать устройство злоумышленника.
...