ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

10.2 Сети Wi-Fi

 

10.2.1 Общая информация

Wi-Fi представляет собой совокупность компонентов беспроводной локальной вычислительной сети (WLAN), в основе которой лежат стандарты беспроводной связи серии 802.11 Института инженеров электроники и электротехники (IEEE) (см. [4]).

В данном подразделе содержится общая информация о принципах и методах, связанных с сетями и оборудованием Wi-Fi.

Сеть Wi-Fi - это группа из двух или более беспроводных сетевых устройств в ограниченной географической области, которые обмениваются данными по радиосвязи. Основными компонентами сети Wi-Fi, соответствующей [4], являются клиентские устройства, такие как ноутбуки, планшеты и смартфоны, а также точки доступа (AP), которые логически связывают клиентские устройства с распределительной сетью, как правило, инфраструктурой проводной сети организации. Некоторые сети Wi-Fi также используют беспроводные коммутаторы, которые выполняют роль ретрансляторов между точками доступа и распределительной сетью.

Семейство стандартов [4] определяет технологию беспроводного обмена данными с полудуплексной модуляцией, в котором используется один и тот же базовый протокол. К первоначальной версии [4] было применено более десятка различных дополнений и корректировок спецификаций, предусматривающих поддержку различных частот передачи и других механизмов безопасности.

Механизмы безопасности сетей Wi-Fi определены в [4] и включают в себя функции аутентификации клиентских устройств на точках доступа, точек доступа на устройстве, шифрование пользовательских данных и защиту их целостности. Следует отметить, что не каждый из стандартов [4] определяет все функции безопасности.

Отделы ИБ организации отвечают за контроль конфигурации безопасности подведомственной им инфраструктуры.

Сотрудники, использующие другие сети и общественные точки беспроводного доступа, должны быть обеспечены инструкциями по использованию альтернативных механизмов защиты при передаче информации ограниченного доступа, например, VPN.

10.2.2 Аутентификация пользователей

Все пользователи, пытающиеся получить доступ к беспроводной сети, контролируемой или управляемой организацией, должны проходить проверку подлинности. Лишь после этого им может быть предоставлен доступ к сети или точкам гостевого доступа Wi-Fi.

Доступ сотрудников организации к сети должен осуществляться с использованием двухфакторной аутентификации, например, с использованием токена <1> и ПИН-кода к нему.

--------------------------------

<1> Токен - компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам и т.д. Как правило, это физическое устройство, используемое для аутентификации.

 

Для авторизации гостевого доступа в сеть Интернет должны приниматься в расчет следующие факторы:

- регистрация всех гостевых пользователей беспроводной сети должны производиться под контролем ответственного лица организации;

- для обеспечения неотказуемости следует использовать уникальные гостевые идентификаторы. В тех случаях, когда использование уникальных идентификаторов и паролей нерационально, они могут использоваться совместно (например, при проведении крупных встреч с клиентами);

- срок действия паролей должен отвечать принципу коммерческой целесообразности (до одной недели);

- каждый гостевой пользователь должен быть ознакомлен с правилами предоставления доступа и использования сети.

10.2.3 Конфиденциальность и целостность данных

Данные, получаемые и передаваемые сетью организации, должны шифроваться. Для шифрования передаваемых данных должны использоваться соответствующие криптографические механизмы защиты, в том числе и использование VPN-туннелей с надлежащим шифрованием. Кроме того, для предотвращения приема фальсифицированных пакетов необходима проверка целостности сообщений.

10.2.4 Беспроводные технологии Wi-Fi

На всем оборудовании беспроводной связи, подключаемом к сети организации, должны быть установлены и настроены средства защиты информации в соответствии с политикой безопасности предприятия.

Ввиду общеизвестных проблем безопасности использование алгоритмов шифрования Wired Equivalent Privacy (WEP) или WPA не допускается.

10.2.5 Другие конфигурации Wi-Fi

В отдельных случаях может потребоваться использовать приложения, основанные на беспроводных конфигурациях, не отвечающих вышеизложенным требованиям безопасности. Примером является использование сканеров складских запасов, с аутентификацией ААА.

В таких случаях необходимо проводить оценку рисков безопасности для определения дополнительных мер контроля, таких как:

- регулярная смена паролей разной максимальной длины;

- выделенные SSID;

- ограничение диапазона радиопередачи;

- ограничения доступа к сети путем использования межсетевых экранов TCP или использования изолированной VLAN;

- наличие журналов мониторинга.

10.2.6 Контроль доступа - оборудование пользователя

В целом механизмы контроля доступа для беспроводных сетей должны быть аналогичны используемым для проводных сетей.

Политика безопасности беспроводной сети может конкретно указывать, что сторонние пользователи (гости) не должны иметь доступ к внутренней сети организации через беспроводную сеть.

В некоторых политиках безопасности беспроводной связи может присутствовать запрет на использование сотрудниками организации сетей Wi-Fi в качестве моста к сетевому периметру организации (например, использование Wi-Fi для одновременного подключения к сети LAN организации и внешней сети, не контролируемой данной организацией). Поэтому сотрудникам запрещено включать IP-переадресацию (IP Forwarding), устанавливать беспроводные одноранговые соединения, использовать специальный режим Ad-hoc или устанавливать иные виды маршрутизации.

Беспроводные системы обнаружения/предотвращения вторжений (WIDS/WIPS) могут обеспечить эффективный уровень защиты для борьбы с такими угрозами, как создание фальшивых точек доступа и атака отказа в обслуживании.

Системы WIDS/WIPS оснащены датчиками, которые сканируют радиочастотный спектр и передают результаты на сервер управления, который после анализа полученной с датчиков информации может предпринимать конкретные действия. Как правило, в состав системы WIDS/WIPS входит и сервер базы данных, используемый в качестве хранилища информации.

10.2.7 Контроль доступа - точка доступа

Для точек доступа необходимо придерживаться следующих рекомендаций по настройке:

- пароль управления точки доступа для администрирования по умолчанию должен быть заменен на надежный пароль - отсутствующее в словарях слово длиной не менее 15 (пятнадцати) буквенно-цифровых символов, содержащее не менее одного цифрового или специального символа;

- для аутентификации администратора точки доступа должна использоваться инфраструктура сетевого устройства ААА;

- удаленное администрирование через беспроводную локальную сеть должно быть отключено, администрирование должно быть возможно только через интерфейсы Ethernet, USB или последовательный порт;

- удаленное администрирование должно осуществляться только с использованием шифрования, можно использовать, например, https/ssh, но http/telnet должны быть отключены;

- для исключения возможности подбора пароля, необходимо изменить все строки имен и паролей протокола SNMP, заданные по умолчанию;

- по возможности во всех точках доступа для сетевого управления должен использоваться протокол SNMPv3;

- при установке точки доступа необходимо провести измерение и определение зон покрытия, которые должны находиться в пределах физически контролируемого периметра. Сеть не должна быть доступна там, где не предусмотрено ее использование, например, на автомобильных парковках. С целью предотвращения несанкционированного доступа следует ограничивать доступность сигнала маршрутизатора конкретной территорией;

- необходимо надлежащим образом обеспечить физическую защиту всех точек доступа, чтобы предотвратить кражу или взлом;

- необходимо изменить SSID (идентификатор набора услуг) с заданного по умолчанию имени сети на собственное имя и разрешить точке доступа транслировать свой SSID;

- точки доступа дают возможность без лишних проблем создать беспроводную сеть с единым SSID с использованием высокочувствительных направленных антенн для ретрансляции сигнала беспроводной связи базовой точки доступа. Каждая точка доступа, контролируемая и управляемая организацией беспроводной сети, должна осуществлять аутентификацию устройств, пытающихся получить к ней доступ;

- беспроводную сеть необходимо отделить от внутренней сети организации и сети "Интернет";

- для повышения их надежности и безопасности на маршрутизаторах и в точках доступа должны быть установлены последние версии прошивок;

- в идеальном случае для гостевого доступа должна быть предоставлена отдельная сеть.

Для управления точками доступа могут использоваться несколько административных учетных записей с расширенными правами (одна или несколько учетных записей для управления одной точкой доступа), что может представлять проблемы с их управлением и контролем.

Организации и предприятия должны обеспечить наличие механизма управления привилегированными учетными записями.

Организациям необходимо рассмотреть возможность проведения проверок безопасности независимой третьей стороной. Независимый аудитор, специализирующийся на вопросах безопасности беспроводных сетей, может располагать большей информацией об уязвимостях систем и обладать лучшей подготовкой для оценки безопасности беспроводной сети.

10.2.8 Доступность

В основном, средства обеспечения доступности беспроводных сетей, такие как резервные маршрутизаторы, источники питания и пр., те же самые, что и для проводных сетей. В сетях Wi-Fi информация о доступности точек доступа и их алгоритмах шифрования передается на клиентские компьютеры.

Для сетей Wi-Fi могут предприниматься и некоторые дополнительные меры или проверки, такие как:

- проведение на регулярной основе аудита безопасности конфигураций компонентов сети Wi-Fi, например, клиентских устройств и точек доступа, для подтверждения их соответствия минимальным требованиям безопасности или соответствия внутренним стандартам организации по безопасности;

- мониторинг сети Wi-Fi с использованием беспроводных систем обнаружения вторжений и защиты от них, размещенных в различных точках организации для выявления аномального трафика в беспроводной сети.

Вышеуказанные меры предназначены для обнаружения изменений характеристик сети Wi-Fi или клиентских устройств, которые могут предшествовать атакам. Уязвимости сети могут использоваться для снижения уровня ее доступности.

10.2.9 Неотказуемость

Если законодательство или соответствующие нормативные правовые акты позволяют, то должно быть обеспечено централизованное ведение журналов точек доступа, где для действий пользователей и событий, фиксируется следующая информация:

- метки времени;

- MAC-адреса;

- имена пользователей;

- успешные и неудачные события;

- типы событий, например, попытки входа в сеть;

- перезагрузки;

- изменения конфигурации;

- установление и (или) отключение связей, что может означать попытки атаки отказа в обслуживании;

- идентификация фиктивных точек доступа.

Для того чтобы оценить состояние безопасности беспроводной сети, сеть должна периодически сканироваться на наличие неавторизованных точек доступа в помещениях организации.