CC BY
101Решетнеескцие чтения. 2015
Библиографические ссылки
1. ICT Facts and Figures - The world in 2015 [Электронный ресурс] // Международный союз электросвязи : офиц. сайт. URL: http://www.itu.int/en/ITU-D/ Statistics/Pages/facts/default.aspx (дата обращения: 10.09.2015).
2. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3(43). С. 20-25.
3. Марков А. С., Цирлов В. А. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. Вып. 1(2). С. 28-35.
References
1. ICT Facts and Figures - The world in 2015 [Electronic resource] // International Telecommunication Union. [Official website]. URL: http://www.itu.int/en/ ITU-D/Statistics/Pages/facts/default.aspx (accessed: 10.09.2015).
2. Isaev S.V. Analiz dinamiki internet-ugroz seti Krasnoyarskogo nauchnogo centra SO RAN // Vestnik SibGAU. 2012. No. 3(43), pр. 20-25.
3. Markov A. S. Tsirlov V. L. Guidelines for cybersecurity in the context of ISO 27032 // Cybersecurity issues. 2014. No. 1(2), pp. 28-35.
© HcaeB C. B., KyracoB H. B., 2015
УДК 004.056
О ПРИМЕНЕНИИ IEEE 802.1X ПРИ ВНЕДРЕНИИ BYOD В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
В. К. Калачёв
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматривается процесс внедрения системы контроля доступа на основе стандарта IEEE 802.1x для организации контроля подключений устройств пользователей к корпоративным информационным системам в рамках BYOD.
Ключевые слова: информационная безопасность, IEEE 802.1x, BYOD.
TO APPLICATION OF THE IEEE 802.1X WHEN IMPLEMENTING BYOD IN CORPORATE INFORMATION SYSTEMS
V. K. Kalachev
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The article studies process of access control implementation based on standard IEEE 802.1x for the organization of control user's device connections to corporate information systems in the framework of BYOD.
Keywords: information security, IEEE 802.1x, BYOD.
Одной из тенденций развития современных информационных технологий является концепция использования сотрудниками предприятия собственных устройств (Bring Your Own Device, BYOD), т. е. сотрудник компании, имея у себя любое мобильное устройство (ноутбук, нетбук, планшет и т. д.), сможет иметь доступ к необходимым корпоративным информационным ресурсам для выполнения своих производственных задач [1]. Рост популярности данной концепции обусловлен тем, что большинство сотрудников предпочитают пользоваться личными устройствами, которые зачастую оказываются лучше, чем предоставляемые предприятием. Но, несмотря на все свои достоинства, на сегодняшний день использова-
ние данной концепции вызывает вопросы, связанные с обеспечением информационной безопасности (ИБ), один из которых - как определить, является ли устройство BYOD, подключаемое к локальной вычислительной сети (ЛВС), легитимным устройством сотрудника, а не злоумышленника. Внедрение в информационную систему (ИС) предприятия системы контроля доступа за подключениями к ЛВС позволило бы устранить данную угрозу и послужить достаточным базисом для внедрения других мер по обеспечению ИБ в ИС с концепцией BYOD.
Как правило, внедрение какого-либо рода средств защиты информации накладывает на мобильные устройства сотрудников и оборудование предприятия
Методы и средства защиты информации
жесткие ограничения, в меру того, что зачастую имеет принадлежность к определенному вендору (поставщику) и/или среде передачи данных (проводная, беспроводная), что существенно ограничивает или делает невозможным использование BYOD. Следовательно, остро встает вопрос о выборе технологии, поддержка которой на сегодняшний день была бы включена в активные управляемые компоненты информационных систем, а также не зависела от среды передачи данных, что обеспечило бы совместное беспрепятственное использование как концепции BYOD, так и средств для ее защиты. На сегодняшний день существуют комплексные решения по организации защищенных сетей с BYOD от мировых лидеров по производству сетевого оборудования и средств защиты информации (СЗИ), таких как Cisco, Check Point и т. п., но не у каждого предприятия существует возможность приобретения данных технологических решений в меру их высокой стоимости. Наиболее предпочтительным решением при организации базиса для защищенного BYOD является внедрение системы контроля доступа на основе стандарта IEEE 802.1x, так как использование данного технологического решения позволяет производить аутентификацию проводных и беспроводных устройств, а также её внедрение концептуально не зависит от производителя программно-аппаратных средств, так как поддержка IEEE 802.1x включена практически во все программное обеспечение (ПО), средства вычислительной техники (СВТ) и СЗИ [2]. Единственным ограничением для внедрения данной технологии является наличие основных компонентов архитектуры IEEE 802.1x, которые в большинстве случаев имеются на предприятии с собственной ЛВС.
Концептуально настройка системы контроля доступа на основе стандарта IEEE 802.1x включает в себя три этапа [3]:
1) настройка сервера аутентификации (настройка службы каталога, хранящей учетные записи клиентов; развертывание центра сертификации; конфигурирование DHCP сервера; настройка RADIUS, TACACS или DIAMETR сервера);
2) настройка аутентификатора (указание контролируемого диапазона портов (при настройке коммутатора) и конфигурирования параметров для взаимодействия с сервером аутентификации);
3) настройка клиентских станций (экспорт и установка сертификата сервера аутентификации; установка клиентского сертификата (при использовании EAP-TLS); запуск служб IEEE 802.1x; настройка сетевого подключения в зависимости от метода EAP).
Отметим, что наиболее защищенный метод EAP-TLS (проверка сертификатов сервера и клиента) не рекомендуется для пользователей BYOD, так как есть вероятность, что с их устройств может произойти хищение личного сертификата, а также не на все устройства возможно произвести импорт клиентского сертификата, следовательно, рекомендуется использовать метод PEAP (проверка сертификата сервера и учетных данных пользователя) [4; 5].
В качестве основных проблем системы контроля доступа IEEE 802.1x можно выделить следующее:
1) стандартное внедрение технологии не позволяет предоставить доступ клиентским устройствам без программного обеспечения саппликанта IEEE 802.1x, а также устройствам, которые не прошли аутентификацию;
2) система имеет множество компонентов, и отказ одного из них может быть критичен для ее работы.
Для решения второй проблемы необходимо разработать комплекс мер по мониторингу, включающий в себя как внедрение программного обеспечения для контроля работоспособности и доступности элементов разработанной системы, так и рекомендуемый план действий для устранения возникших неполадок.
Если вторая проблема и не является ключевым недостатком системы в рамках совместного использования с концепцией BYOD, то первая может быть достаточно критичной в случае использования сотрудником устройства, на котором нет встроенной поддержки саппликанта IEEE 802.1x. Однако при дополнительной настройке компонентов архитектуры IEEE 802.1x данный недостаток можно устранить. Для ее решения необходимо предоставить данным категориям пользователей BYOD ограниченный гостевой доступ на основе создания гостевых VLAN (Guest Virtual Local Area Network), который позволяет членам Guest VLAN иметь доступ друг к другу и к некоторым ресурсам вычислительной сети ИС, а также в случае дальнейшего исправления ошибок на устройствах получить полный доступ к ресурсам ЛВС.
Таким образом, использование системы контроля доступа за подключениями к ЛВС на базе стандарта IEEE 802.1x позволит организовать достаточный базис для формирования доверительных отношений между ИС предприятия и пользователями BYOD. Её внедрение минимизирует угрозу подключения к ЛВС нелегальных пользователей BYOD, более того, технология, на основе которой построена система контроля доступа, поддерживается практически всеми компонентами ИС, а также допускает использование в проводных и беспроводных сетях, что позволяет избежать конфликта с пользовательскими устройствами от различных производителей и немалых затрат на замену уже имеющегося оборудования.
Библиографические ссылки
1. Pros and Cons of Bringing Your Own Device to Work [Электронный ресурс] // PCWorld. URL: http://www.pcworld.com/article/246760 (дата обращения: 05.08.2015).
2. IEEE 802.1x-2010 : Port-Based Network Access Control - Revision of 802.1x-2004 [Электронный ресурс] / Institute of Electrical and Electronics Engineers. New York, 2010. URL: http://standards.ieee.org/getieee 802/download/802.1X-2010.pdf (дата обращения: 10.08.2015).
3. Пример конфигурации мультидоменной аутентификации IEEE 802.1x [Электронный ресурс]. Cisco systems Inc. URL: http://www.cisco.com/cisco/web/ support/RU/10/100/100283_8021x-cat-layer3 .html (дата обращения: 12.08.2015).
4. Request for Comments 5217 PPP EAP TLS Authentication Protocol / M. Shimaoka, Ed. SECOM,
Решетнееские чтения. 2015
N. Hastings, NIST, R. Nielsen, Booz Allen Hamilton. Internet Engineering Task Force, 2008.
5. Internet Draft Protected EAP Protocol (PEAP) / H. Andersson, S. Josefsson, RSA Security, G. Zorn, Cisco, B. Aboba, Microsoft. Internet Engineering Task Force, 2001.
References
1. Pros and Cons of Bringing Your Own Device to Work // PCWorld. Available at: http://www.pcworld. com/article/246760 (accessed: 5 August 2015).
2. IEEE 802.1x-2010 / Port-Based Network Access Control / Institute of Electrical and Electronics Engineers. New York, 2010. Available at: http://standards.ieee. org/getieee802/ download/802.1X-2010.pdf (accessed: 10.08.2015).
3. Primer konfiguratsii mul'tidomennoy autentifikatsii IEEE 802.1x [Example of configuration multidomain IEEE 802.1x authentication] / Cisco systems Inc. Available at: http://www.cisco.com/cisco/web/support/ RU/10/100/100283_8021x-cat-layer3. html (accessed: 12.08.2015).
4. Request for Comments 5217 PPP EAP TLS Authentication Protocol / M. Shimaoka, Ed. SECOM, N. Hastings, NIST, R. Nielsen, Booz Allen Hamilton. Internet Engineering Task Force, July 2008.
5. Internet Draft Protected EAP Protocol (PEAP) / H. Andersson, S. Josefsson, RSA Security, G. Zorn, Cisco, B. Aboba, Microsoft. Internet Engineering Task Force, October 2001.
© KaraneB B. K., 2015
УДК 621.391
АНАЛИЗ УГРОЗ ИНТЕРФЕЙСУ ПОТРЕБИТЕЛЕЙ ГЛОБАЛЬНОЙ НАВИГАЦИОННОЙ
СПУТНИКОВОЙ СИСТЕМЫ (ГЛОНАСС)
Д. В. Орёл, А. В. Ашихина
Северо-Кавказский федеральный университет Российская Федерация, 355000, г. Ставрополь, просп. Кулакова, 2а E-mail: [email protected]
Рассмотрены наиболее опасные виды угроз для функционирования интерфейса потребителей глобальной навигационной спутниковой системы (ГЛОНАСС). Сделан вывод о том, что наиболее опасными угрозами для интерфейса потребителей ГЛОНАСС являются подавление и подмена навигационного сигнала с использованием процессов, имитирующих сигнал.
Ключевые слова: глобальная навигационная спутниковая система, подавление сигнала, имитирующая помеха.
ANALYSIS OF THREATS FOR GLOBAL NAVIGATION SATELLITE SYSTEM GLONASS USER INTERFACE
D. V. Orel, A. V. Ashikhina
North-Caucasus Federal University 2a, Kulakova Av., Stavropol, 355000, Russian Federation E-mail: [email protected]
In the article, there is a review of the most dangerous threats types for the global navigation satellite system (GLONASS) user interface. The conclusion is the most dangerous threats for the GLONASS users interface are the jamming and spoofing the navigation signal using signal-like processes.
Keywords: global navigation satellite system, signal jamming, signal-like noise.
Возможность организации деструктивных воздействий по нарушению работы интерфейса потребителей глобальной навигационной спутниковой системы (ГЛОНАСС) отмечается в целом ряде исследований по всему миру [1; 2]. Дестабилизация работы ГЛОНАСС может привести к нарушению функционирования других зависящих от неё жизненно важных систем. Учитывая тенденции развития ГЛОНАСС,
введение новых сигналов с кодовым разделением каналов становится актуальной задачей повышения помехозащищённости интерфейса потребителей ГЛОНАСС для обеспечения стабильной и бесперебойной работы систем, относящихся к критической инфраструктуре.
Целью настоящей работы является определение наиболее опасных угроз функционирования интерфейса потребителей ГЛОНАСС.
