ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

9.5 Контроль доступа

 

9.5.1 Общие положения

Современные решения в системах безопасности беспроводных сетей основаны на использовании распространенных механизмов управления доступом, таких, например, как управление доступом на основе ролей (RBAC), функции контроля доступа к файловой системе, межсетевые экраны, обнаружение вторжений. Их можно интегрировать в отдельный продукт или создать на их основе внешний уровень защиты. Они в полной мере применимы к беспроводным сетям, однако существуют и специфические механизмы, определенные в стандартах безопасности беспроводной связи и дополняющие традиционные средства управления доступом.

Специалисту по ИБ необходимо получить ответы на следующие вопросы:

- какие механизмы контроля доступа определены соответствующими стандартами безопасности беспроводной связи для выбранной беспроводной технологии;

- какие механизмы контроля доступа реализованы в оборудовании сети и в устройствах конечных пользователей? Некоторые устройства и/или оборудование ТД могут не поддерживать последнюю версию стандарта или поддерживать не все параметры безопасности;

- какие параметры доступны сетевому администратору для выбора и настройки механизма контроля доступа?;

- местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы механизмов контроля доступа;

- совместимость с другими (беспроводными) сетями;

- как правило, у специалиста по ИБ нет возможности изменять параметры операционного взаимодействия или управлять ими, однако специалист должен быть осведомлен о возможностях различных технологий обеспечения безопасности беспроводной связи;

- обратная совместимость с различными версиями устройств и оборудования;

- для обнаружения несанкционированного доступа в беспроводную сеть и предотвращения последующего воздействия такого нарушения безопасности необходимо создать соответствующую систему обнаружения и предотвращения вторжения в беспроводную сеть.

9.5.2 Контроль разрешений

Одним из примеров контроля разрешений является фильтрация по MAC-адресам, реализованная в системах IEEE 802.11, в которых возможность подключения к беспроводной сети предоставляется только клиентам, MAC-адреса которых удовлетворяют условию фильтрации. Однако, следует отметить, что этот механизм сам по себе не обеспечивает эффективную защиту, поскольку нарушитель имеет возможность маскироваться под доверенного клиента беспроводной сети. Тем не менее этот механизм является примером одного из уровней защиты системы.

В стандартах мобильных сетей в качестве критерия допуска в сеть используется идентификатор оборудования пользователя. Таким образом, если международный идентификатор мобильного оборудования (IMEI) пользователя находится в черном списке оператора, доступ в сеть ему предоставлен не будет.

9.5.3 Сетевой контроль

Анализ множества стандартов беспроводных технологий показывает, что протоколы данных пользователей и протоколы управления отдельно определены и во многих случаях реализуются тоже отдельно. При таком определении и реализации стандарта обеспечивается логическое разделение протоколов, что само по себе обеспечивает возможность контроля доступа.

В стандартах 4G LTE содержатся рекомендации по использованию протокола IPsec для защиты передачи не шифрованных данных управления при пересечении границы сети и переходе из одного домена безопасности в другой (в незащищенную сеть). Мобильные операторы могут опционально использовать такую же возможность и для данных пользователей.