А. В.Заряев,
доктор технических наук, профессор , Воронежский филиал Московской академии экономики и права
А.Н. Бабкин,
кандидат технических наук, доцент
К ВОПРОСУ О БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ
СЕТЕЙ СВЯЗИ ОВД
ABOUT WIRELESS NETWORKS SECURITY IN THE INTERNAL
AFFAIRS BODIES
Статья посвящена организации защищенных беспроводных сетей ОВД. Рассматриваются вопросы обеспечения конфиденциальности, целостности и доступности передаваемой информации, противодействия угрозам информационной безопасности.
The protected wireless networks is aimed at providing information security. The article examines how to provide wireless networks security in the Internal Affairs Bodies: data confidentiality, integrity, availability; physical protection devices, physical security, risk analisys, access control mechanism.
В настоящее время беспроводные сети связи ОВД получили широкое распространение. Они привлекательны невысокими затратами на построение и эксплуатацию, возможностью быстрой интеграции в существующие системы. Интенсивное развитие беспроводных сетей способствует увеличению интереса к ним со стороны нарушителей. В связи с этим при эксплуатации защищенных беспроводных сетей необходимо осуществлять систематический контроль защищенности, проводить анализ угроз информационной безопасности, давать оценку вероятности реализации угроз, определять оптимальную систему защиты.
Анализу и управлению рисками информационной безопасности в беспроводных сетях посвящено много литературы [1,2,3], однако отдельной методики по обеспечению безопасности сетей не принято.
Угрозы информационной безопасности классифицируют как угрозы нарушения конфиденциальности, угрозы нарушения целостности, угрозы нарушения доступности.
Беспроводные сети связи ОВД имеют свою специфику, связанную с назначением, архитектурой построения, управлением. Сети должны обеспечивать защиту передаваемой информации и устойчивость функционирования. Под устойчивостью функционирования понимается прежде всего структурная, элементная и функциональная живучесть [4], которая, с одной стороны, обеспечивает надежность работы сетей, с другой — увеличивает угрозы информационной безопасности.
Для построения беспроводных сетей применяют аппаратуру широкополосного радиодоступа, работающую в нижней части СВЧ диапазона (5,7 ГГц). Аппаратура широкополосного радиодоступа позволяет объединить в единую сеть связи подразделения ОВД, удаленные друг от друга на значительные расстояния.
На рисунке представлена структурная схема беспроводной сети, которая объединяет локальные вычислительные сети РОВД и ОВД.
ODU1 ODU2
На этом рисунке ODU — внешнее устройство (Outdoor Unit) и IDU — внутреннее устройство (Indoor Unit) одного комплекта аппаратуры широкополосного радиодоступа «Point to Point»; К — коммутатор; М — криптомаршрутизатор; ЛВС — локальная вычислительная сеть; ПК — персональный компьютер; S1 и S2 — расстояния между приемопередающими устройствами ODU1 и ODU2; R — радиус первой зоны Френеля.
К угрозам информационной безопасности беспроводных сетей ОВД можно отнести следующие: нарушение физической безопасности, несанкционированное подключение к устройствам сети, перехват и модификация трафика, нарушение доступности.
Физическая безопасность в беспроводных сетях выходит на более высокий уровень по сравнению с кабельными сетями, так как невозможно четко описать периметр сети. Кроме того, для обеспечения помехоустойчивости и помехозащищенности сетей необходимо, чтобы не было блокирования прежде всего первой зоны Френеля. Радиус первой зоны Френеля можно рассчитать по формуле [2]:
R = 17,3 х.
'А
1 S х S2
_X_J------2.
f ^ + S 2
где f — частота работы сети (ГГц), R измеряется в (м), Sl и S2 — в (км).
Физическая безопасность предусматривает охрану сайтов, где расположена аппаратура сети, ограничение доступа пользователей и посетителей на сайты, контроль приносимых устройств, организацию бесперебойной работы технических средств.
Для снижения уровней рисков, связанных с несанкционированным подключениям к элементам беспроводных сетей, необходимо отключать неиспользуемые порты коммутаторов, осуществлять фильтрацию по МАС-адресам и I?-адресам, повышать степень аутентификации пользователей, уменьшать ошибки в системе разграничения доступа.
Специфика организации беспроводного канала повышает вероятность перехвата и модификации трафика. Данные могут быть перехвачены и изменены в любой момент. Для противодействия такой угрозе необходимо обеспечить:
конфиденциальность и имитозащиту передаваемой информации; энергетиче скую скрытность излуч аемых радиосигналов;
защиту беспроводного канала связи от радиоэлектронного подавления помехами от станций помех противника.
Конфиденциальность и имитозащиту передаваемой информации необходимо обеспечивать эффективными механизмами криптографической защиты.
В сетях связи ОВД для осуществления криптографической защиты информации применяется программно-аппаратный маршрутизатор БЮКК FW («Дионис»), который может работать в составе ТСР/1Р сетей.
Снижение угроз нарушения целостности обеспечивает контроль над доступом к файлам на компьютерах ЛВС, управление доступом, цифровая подпись.
Необходимо предусмотреть аудит: фиксацию всех происходящих событий с помощью журналов регистрации, ведомостей пропусков сотрудников ОВД на сайты, видеозаписей.
Основными угрозами нарушения доступности являются:
1. Отказы или повреждения технических средств беспроводных сетей.
2. Блокирование приемных устройств беспроводного канала преднамеренными или непреднамеренными помехами.
3. Формирование несанкционированного трафика, внедрение трафика в сеть.
Для обеспечения доступности информации необходимо обеспечить живучесть
сети: контролепригодность, резервирование технических средств, возможность восстановления сети в аварийной ситуации от непреднамеренных воздействий.
Для достижения высокой доступности необходимо обеспечить помехоустойчивость и помехозащищенность беспроводного канала.
Рассмотрим основные положения, связанные с обеспечением помехозащиты беспроводного канала сети связи ОВД, представленного на рисунке (направление РОВД-ОВД).
Помехоустойчивость будет определяться защищенностью сигнала на выходе
ОБШ:
Р
ЗСвгк = 101в —(дБ),
Ршвы2х
(1)
где Рс — мощность сигнала и Ршвък — мощность шума на выходе приемника (ПРМ) ОБИ2. При этом защищенность сигнала на входе:
Р
ЗС вх = 10 1в (дБ), (2)
швх
где Рн — мощность высокочастотного сигнала (несущей) на входе ПРМ ОБИ2; Ршвх — мощность шумов на входе ПРМ ОБИ2.
Значение защищенности на выходе приемника ОБИ2 должно обеспечить качество функционирования оконечного оборудования, доступность информации для абонентов ЛВС ОВД. Как показывает практика эксплуатации беспроводных сетей, данное значение должно быть не менее 20 дБ. Оно может быть обеспечено при соответствующем уровне выс окоч астотн ого с игн ала Рн на вход е ПРМ ОБИ2:
Р
Рн = + Ршвх (дБм), (3)
где Ршвх — мощность шумов на входе ПРМ ОБИ2 (дБм); Рн/Ршвх — защищенность сигнала на входе ПРМ ОБИ2 (дБ).
В свою очередь:
PH = Рс + Кш (дБ), (4)
где Рн — мощность несущей, дБ; Кш — коэффициент шума ПРМ, дБ.
Кш = ЗСвх - ЗС_ (дБ).
Защищенность сигнала на входе ПРМ ОБИ2 зависит от электромагнитной обстановки в месте установки приемных антенн, уровня шумов и после теоретических расчетов должна проверяться экспериментально.
В свою очередь Рн определяется выражением:
Рн = Рпрд— О, (дБмХ (5)
где Р д — мощность сигнала на выходе передатчика (ПРД) ОБЩ, дБм; О, — усиление беспроводного канала связи, дБ.
О, = ^фкрд — Оапрд + ^тр — Оапрм + ^фпрм (дБ), (6)
где Ьф1рд, Ьфпрм , Ьтр — соответственно потери сигнала в фидерах ПРД ОБЩ, ПРМ ОБИ2 и на радиотрассе, дБ; Оажрд и Оапрм — усиление антенн ПРД ОБШ и ПРМ ОБИ2, дБ.
Потери на трассе Ьтр на открытом пространстве можно определить по следующей формуле:
' 4р(5 + 5 2)Л 2
(дБ),
1
где X — длина волны несущего колебания, м.
Помехозащищённость беспроводного канала будет определяться пространственной помехозащитой за счёт формирования низкого уровня боковых лепестков антенны ПРД ОБШ, а также формирования «нулей» диаграмм направленности антенны ПРМ ОБИ2 в направлении на источник помех. При этом мощность шумовой помехи на входе ПРМ ОБИ2 будет определяться выражением:
Р ш 2 = Р пом + Р швх (дБХ (7)
где Рпом — мощность помехи на входе ПРМ ОБИ2, сформированной станцией помех,
дБ. При воздействии станции помех защищенность сигнала на входе ПРМ ОБИ2 будет определяться выражением:
Р
ЗСвх = 101в р * (дБ). (8)
пом швх
Мощность помехи на входе ПРМ ОБИ2 будет определяться параметрами беспроводного канала, образованного ПРД станции помех и ПРМ ОБИ2.
Р пом = Р ПТ — О ГМ (дБм) , (9)
Рпом пом
прд — мощность сигнала на выходе ПРД станции помех, дБм; О, — усиле-
ние канала связи, образованной ПРД станции помех и исследуемым ПРМ ОБИ2, дБ.
аги т ги ги 1 т ги мгё 1 т
, = Ь бгда — О сгда + Ь бд — О агдг + Ь бгдг (ДБ), (10)
т ПОМ „ пом т пом (''бок
где Ъфпрд , О апрд , Ь тр , Оапрм, -- соответственно потери в фидере ПРД стан-
ции помех, усиление антенны ПРД станции помех, потери на трассе сигнала, сформированного станцией помех в направлении ПРМ ОБИ2, усиление бокового лепестка диаграммы направленности антенны ПРМ ОБИ2, потери в фидере ПРМ ОБИ2.
Определим параметры беспроводного канала, в наибольшей степени влияющих на защищенность сигнала на выходе ПРМ ОБИ2.
Анализируя уравнения (3)—(10), и с учетом (1) и (2) можно записать:
Фйт = (В.ш — Вд ) + (Оада — ОЯда ) + (Осидг — ОШ ) — (Е0 + В0йд ) (дБ).
Таким образом, в наибольшей степени на выполнение требований по доступности, защищенности сигнала на выходе приемника влияют следующие параметры аппаратуры беспроводного канала:
1. Ширина главного лепестка и усиление антенн приемопередающей аппаратуры, отсутствие боковых лепестков диаграмм направленности, отсутствие препятствий в первой зоне Френеля.
2. Уровень излучаемого сигнала на выходе передатчика.
3. Электромагнитная обстановка, уровень шумов в местах расположения приемопередающих антенн.
4. Собственные шумы аппаратуры беспроводного канала.
Политика безопасности в отношении беспроводных сетей ОВД должна быть представлена в виде отдельного документа, в котором необходимо отразить мероприятия по обеспечению информационной безопасности сетей.
ЛИТЕРАТУРА
1. Щербаков В.Б., Ермаков С.А. Безопасность беспроводных сетей: стандарт 1ЕЕЕ 802.11. — М.: РадиоСофт, 2010. — 256 с.
2. Гордейчик С. В., Дубровин В. В. Безопасность беспроводных сетей. — Горячая линия-Телеком, 2008. — 288 с.
3. Защищенные радиосистемы цифровой передачи информации / П.Н. Сердюков [и др]. — М.: АСТ, 2006. — 403 с.
4. Основы построения систем и сетей передачи информации: учебное пособие для вузов / В.В. Ломовицкий [и др.]; под ред. В.М. Щекотихина — М.: Горячая линия-Телеком, 2005. — 382 с.