ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей
9.4 Аутентификация
Для защиты от угроз несанкционированного доступа к сети, точке доступа или данным, внедрения фальшивых точек доступа и атак через посредника в стандартах беспроводных технологий определены механизмы аутентификации различной степени сложности, начиная с аутентификации по паролю, аутентификации с использованием разделяемых, закрытых или открытых ключей и заканчивая более сложными сочетаниями методов. Специалист по ИБ должен рассмотреть не только процедуру аутентификации конечного пользователя в сети доступа, но и процедуры аутентификации устройств конечного пользователя, процедуры проверки подлинности точек доступа или промежуточных шлюзов со стороны устройств конечного пользователя, а также порядок взаимной аутентификации точек доступа или проверки их подлинности базовой сетью. В целом все эти аспекты большинства беспроводных технологий определены в соответствующих стандартах безопасности.
Специалисту по ИБ необходимо обратить внимание на следующие аспекты:
- перечень методов (механизмов) аутентификации, предусмотренных для данной технологии беспроводной связи соответствующими стандартами безопасности, с конкретизацией интерфейсов, для каждого механизма, включая радиоинтерфейс обмена данными и интерфейс для управления и контроля устройств и/или точек доступа. Необходимо учесть, что для всех интерфейсов рекомендуется взаимная аутентификация;
- механизмы аутентификации, реализованные в оборудовании сети и в устройствах конечных пользователей. Некоторые устройства и/или оборудование точки доступа могут не поддерживать последнюю версию стандарта или поддерживать не все параметры безопасности;
- параметры, доступные сетевому администратору для выбора и настройки механизма аутентификации;
- предпочтительно использовать наиболее надежный механизм аутентификации, но необходимо оценить его с точки зрения удобства для пользователя, управляемости с точки зрения сетевого администратора, а также затрат на реализацию;
- управление учетными данными аутентификации должно быть четко определено;
- среди прочих аспектов управления учетными данными для проверки подлинности необходимо рассмотреть следующее. Как обрабатываются неудачные попытки аутентификации? Как происходит аннулирование/восстановление прав? Как истекает срок действия полномочий? Эти аспекты нужно рассматривать как с позиции пользователей, так и с позиции функций контроля и менеджмента;
- в беспроводных технологиях типов 2G/3G/4G/5G в устройствах конечных пользователей используются карточки SIM/UICC, которые либо выдаются оператором PLMN, либо могут быть встроены в устройство их производителями. Специалист по ИБ должен понимать суть взаимоотношений всех задействованных в таком случае сторон. Руководитель по ИБ также должен понимать механизмы физической безопасности, используемые для защиты учетных данных на устройствах конечных пользователей или в контроллерах, таких как защищенные от несанкционированного доступа интегральные схемы, доверенные среды и т.п.;
- местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы механизмов аутентификации;
- необходимый тип аутентификации может также определяться соглашением об уровне обслуживания (SLA);
- возможность взаимодействия с другими (беспроводными) сетями; например, если будет происходить переход устройств конечных пользователей в другую сеть, будет ли эта сеть поддерживать тип аутентификации, аналогичный исходной сети? Как правило, у специалиста по ИБ нет возможности изменять параметры операционного взаимодействия или управлять ими, однако специалист должен быть осведомлен о возможностях различных технологий обеспечения безопасности беспроводной связи;
- обратная совместимость с различными версиями устройств и оборудования.
Подписаться на обновления