О проблеме надежной идентификации пользователей в сетях общего пользования Текст научной статьи по специальности «Компьютерные и информационные науки»

Решетневские чтения. 2017

УДК 004.056.523

О ПРОБЛЕМЕ НАДЕЖНОЙ ИДЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В СЕТЯХ ОБЩЕГО ПОЛЬЗОВАНИЯ

Р. Н. Редикульцев

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: redik727@gmail.com

Рассматриваются возможные угрозы, которым может подвергнуться пользователь при подключении к общедоступным сетям. Также представлена структура разрабатываемой системы для идентификации пользователей по характеристикам электронной подписи с описанием ее функциональных компонентов.

Ключевые слова: аутентификация, идентификация, электронная подпись, беспроводная сеть, доступ к публичному Интернету.

ON THE PROBLEM OF RELIABLE IDENTIFICATION OF USERS PUBLIC NETWORKS

R. N. Redikultsev

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: redik727@gmail.com

The article discusses the possible threats, which may be subject to the user when connecting to public networks. Also the structure of a software system is to identify a user according to electronic signature characteristics, describing its functional components.

Keywords: authentication, identification, electronic signature, wireless network, access to the public Internet.

Беспроводные сети общего доступа активно используются практически во всем мире. Использование на практике заключается в их гибкой настройке и сравнительно невысокой стоимости. Беспроводные технологии должны удовлетворять ряду требований к качеству, скорости, радиусу приема и безопасности, безопасность является самым важным фактором [1].

Сложность обеспечения безопасности беспроводной сети очевидна. Если в проводных сетях для реализации противоправных действий злоумышленник должен сначала получить физический доступ к кабельной системе или оконечным устройствам, то в беспроводных сетях это условие отпадает само собой, так как данные передаются по радиоканалу, для получения доступа достаточно обычного приемника, установленного в радиусе действия сети.

Владельцы открытых сетей общего пользования должны выполнять требования регуляторов информационной безопасности, поскольку постановление Правительства РФ № 758 регламентирует обязательную идентификацию пользователей при подключении к сетям общего доступа [2].

Сети общего доступа, использующие беспроводной канал, являются источником угроз, поскольку он практически не контролируется. Рассмотрим угрозы, представленные в «Банке данных угроз безопасности информации ФСТЭК»

1. УБИ.011: Угроза деавторизации санкционированного клиента беспроводной сети.

2. УБИ.083: Угроза несанкционированного доступа к системе по беспроводным каналам.

3. УБИ.125: Угроза подключения к беспроводной сети в обход процедуры аутентификации.

4. УБИ.126: Угроза подмены беспроводного клиента или точки доступа.

5. УБИ.133: Угроза получения сведений о владельце беспроводного устройства [3].

Далее представлена схема работы разрабатываемого программного решения для идентификации в беспроводной открытой сети основанная на электронной подписи и ее проверке из удостоверяющего центра (см. рисунок).

1. На электронной подписи хранится уникальный идентификатор, в качестве номера сертификата открытого ключа.

2. На ПК устанавливается разрабатываемый плагин.

3. Сервер проверяет раз в день список аннулированных сертификатов CRL c помощью OCSP (онлайн протокол состояния сертификата) тем самым обновляет актуальность сертификатов.

4. Происходит подключение через точку доступа по HTTPS (HyperText Transfer Protocol Secure) для идентификации нового пользователя (при отсутствии у пользователя плагина криптопро его предварительная установка).

5. Плагин на стороне клиента выполняет функцию CryptoAPI поиска сертификатов на ПК с параметрами, например, ФИО владельца сертификата и ID сертификата) предъявляемыми пользователем, в указанной папке, где должен лежать сертификат.

Методы и средства защиты информации

Схема работы разрабатываемого программного обеспечения

6. При подключении нового пользователя сервер генерирует случайное число с помощью функций CryptoAPI и криптопровайдера КриптоПРО и отправляет его пользователю для подписи.

7. Пользователь его подписывает закрытым клю-чем и передает обратно на сервер с помощью функций CryptoAPI и криптопровайдера КриптоПРО.

8. Сервер проверяет подписанное случайное число пользователем с помощью CryptoAPI функции верификации.

9. В случае успешной проверки верификации сервер заносит запись в базу данных с сертификатом и его ID и запись с MAC и IP адресами, иначе пользователю передается отказ в предоставлении доступа к внешней сети.

10. Формируется ACL (Access Control List) правило для шлюза Интернет на предоставление доступа данному пользователю к внешней сети.

Для нейтрализации угрозы подмены беспроводного клиента или точки доступа необходимо отключить функцию автоматического подключения к ранее используемой точке доступа на клиенте. Так как непосредственно, при отключении клиента от беспроводной сети, нет возможности уведомить его о случившейся проблеме, но есть возможность уведомить клиента о восстановлении работоспособности сети, по средствам передачи приветственной информации.

Реализация угрозы подключения к беспроводной точке доступа в обход процедуры аутентификации не актуальна ввиду не использования протокола WPS (Wi-Fi Protected Setup).

Таким образом, разрабатываемое программное решение на базе электронной подписи выполняет требования нормативных документов по части идентификация пользователей при доступе к сетям общего пользования, позволяет аутентифицировать пользова-

теля и шифровать идентификационную информацию пользователя. Данное решение частично предотвращает рассмотренные угрозы.

Библиографические ссылки

1. Беспроводная сеть WiFi для офиса. Безопасность беспроводных сетей [Электронный ресурс] // URL: https://www.lankey.ru/svyaz/network-solutions/ wifi/ (дата обращения: 9.09.2017).

2. Постановление Правительства РФ от 31.07.2014 № 758 [Электронный ресурс]. URL: http://www.consul-tant.ru/document/cons_doc_LAW_166893/90239c88126a 40da88060f8711882417d44a0a5d/ (дата обращения: 10.09.2017).

3. ФСТЭК России / Банк данных угроз безопасности информации / Список угроз [Электронный ресурс]. URL: http://www.bdu.fstec.ru/ubi/threat (дата обращения: 10.09.2017)

References

1. WiFi wireless network for the office. Wireless security [Electronic resource]. Available at: https:// www.lankey.ru/svyaz/network-solutions/wifi/ (accessed: 9.09.2017).

2. Resolution of the Government of the Russian Federation of July 31, 2014 N 758. [Electronic resource]. Available at: http://www.consultant.ru/document/ cons_ doc_LAW_166893/90239c88126a40da88060f871188241 7d44a0a5d/ (accessed: 10.09.2017).

3. FSTEC of Russia / Bank data security threat information / threat List [Electronic resource]. Available at: http://www.bdu.fstec.ru/ubi/threat/ (accessed: 10.09.2017)

© Редикульцев Р. Н., 2017