CC BY
38
Яковлев Дмитрий Павлович, студент, dimok-payk2@mail.ru, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@rambler.ru, Россия, Тула, Тульский государственный университет
ANALYSIS OF METHODS FOR IMPLEMENTING AND PREVENTING CWE VULNERABILITIES (567, 820)
I.D. Krylov, D.P. Yakovlev, V.A. Selishchev
The vulnerability of missing synchronization (CWE-{567, 820}) is considered as the most common threat when accessing resources. The main methods of protection are described..
Key words: information security, attacker, related vulnerabilities, code analysis, servlet.
Krylov Ilya Dmitrievich, student, nikplay2000@mail.ru, Russia, Saint Petersburg, ITMO National Research University,
Yakovlev Dmitry Pavlovich, student, dimok-payk2@mail. ru, Russia, Saint Petersburg, ITMO National Research University,
Selishev Valeryi Anatolievich, сandidate of technical sciences, docent, sel648val@rambler.ru, Russia, Tula, Tula State University
УДК 004.056
DOI: 10.24412/2071-6168-2023-3-506-509
ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙ ОТ УГРОЗ
А.А. Квасников
В статье рассматривается проблема защиты беспроводных сетей, установлены угрозы и методы их устранения. Беспроводные сетевые технологии приема и передачи информации на основе стандартов IEEE 802.11 занимают важное место. Однако стоит отметить, что высокий уровень угроз приводит к необходимости искать методы защиты, позволяющие системно обеспечить информационную безопасность.
Ключевые слова: беспроводная сеть, локальная сеть, интернет, соединение, маршрутизатор,
данные.
Беспроводные локальные сети уже давно стали привычными. Но стоит отметить, что применение беспроводных сетей - это не только приобретение новых возможностей и выгоды, но и рождение новых рисков. Новое поколение взломщиков возникло в результате практически вездесущего использования Wi-Fi. Их цель - изобретение свежих возможностей взлома беспроводных сетей и проведение атак пользователей, а также общей инфраструктуры. Прогноз, данный Gаrtner в 2004 году, сбылся. надежность WLAN делается одной из основных проблем.
Исследованием защиты беспроводных сетей занимается довольно большое количество людей. Назовем некоторые имена и статьи, которые освещают предоставленную проблему.
Так в 2020 году выходит статья А. Кухта «Анализ методов защиты беспроводных сетей». В статье перечислены протоколы, которые могут обеспечить шифрование данных. Приведены технологии защиты и некоторые способы взлома беспроводных сетей закрытого типа. Дополнительно перечислены недостатки любой технологии защиты Wi-Fi.
Годом ранее вышла статья А. Скрыпникова «Защита данных при передаче по беспроводным каналам связи», где он с командой молодых ученых поочередно описывает особенности беспроводной связи, типовые стандарты защиты, их уязвимости, а так же приводит способы обхода методов шифрования и определяет возможности защиты от популярных методов взлома.
Отметим, что Wi-Fi-доступ содержит ряд уязвимостей, среди которых наиболее распространенными специалисты считают:
Клонирование точки доступа;
Атаки на отказ в обслуживании (DoS-атаки);
Подключение неавторизованных клиентов;
Подбор ключей.
Для защиты информации, передаваемой в WiFi-сетях, в настоящее время существует несколько стандартов.
Так стандарты IEEE 802.1 и 802.11 предназначены для беспроводных сетей и предусматривают несколько механизмов обеспечения безопасности сети. Для понимания технологии обхода защиты рассмотрим эти механизмы подробнее.
Стандарт 802. 11 основывается на использовании протокола шифрования передаваемой информации Wired Equivаlent Protoœl, или WEP. Основная функция данного протокола - WEP-шифрование информации при передаче по радио и предотвращение неавторизованного прохода в беспроводную сеть. Для шифрования WEP применяет метод RC4, сделанный на применении цифровых ключей зашифровки потоков данных. Ключи - это обыкновенные пароли, обладающие длиной от 5 до 13 символов ASCII. Количество символов в ключе соответствует 40 или 104 разрядному шифрованию на статическом уровне. Однако, как показало время, WEP оказался не самым беспроигрышным механизмом защиты.
Протокол WEP позволяет зашифровывать поток передаваемых данных на основе метода RC 4 с ключом размером 64 или 128 бит.
Ключи шифрования располагают в своей структуре статическую составляющую длиной от 40 до 104 бит и дополнительную динамический элемент размером 24 бита. Динамический элемент называется вектором инициализации (1пШа^айоп Vertor, IV).
Вектор инициализации имеет длину 24 бита, то есть комбинаций знаков всего 16 миллионов, в последующем ключ начинает повторяться. Как видим, вектор инициализации как раз и является некрепким местом защиты с помощью WEP-шифрования. Взломщику довольно приблизительно часа времени, чтоб найти эти повторы, а сломать другую часть ключа уже не доставляется чем-то сложным. Отметим, что утилиты для взлома свободно распространены в Интернете (например, AirSnort, WEPсrасk). После подбора ключа взломщик может входить в сеть как обычный зарегистрированный пользователь.
Второй уровень защиты протокола WEP - это аутентификация пользователей. Есть два способа аутентификации пользователей: Open System (открытая) и Shаred Key (общая). Открытая аутентификация не предполагает определение пользователя. Защита в предоставленном случае - это применение WEP-шифрования данных.
При использовании совместной аутентификация пользователей администратор сети скапливает список учетных данных пользователей, то есть список имен юзеров и их паролей. Отметим, что и данная защита ненадежна, в силу того, что учетные сведения пользователей хранятся на компьютере - сервере. Это означает, что данные всех пользователей беспрепятственно могут угодить в руки злоумышленника. Достаточно скомпрометировать учетную запись администратора или совершить несанкционированный доступ к серверу.
Улучшенной версией WEP является механизм защиты - протокол WEP2, который был представлен в 2001 году. Его применяют в стандарте 802. WEP2 имеет усиленный механизм зашифровки и поддержку метода шифрования Cerberos V. Но с позиций защищенности и этот вариант имеет нарекания. Рассмотрим подробнее.
WPA (Wi-Fi Proteged Aœess) - надежный и современный тип безопасности. Максимальная совместность со всеми устройствами и операционными системами.
WPA2 - доработанная и более надежная версия WPA. Есть поддержка зашифровки AES CCMP. Это актуальная версия протокола, которая всегда еще используется на большинстве домашних маршрутизаторов.
WPA3 - это новый стандарт, который позволяет гарантировать более высокую степень защиты от атак и обеспечить более надежное кодирование по сравнению с предыдущей версией. Так же благодаря шифрованию OWE увеличивается безопасность общественных открытых сетей. Был представлен в 2018 и уже активно применяется практически на всех сегодняшних роутерах и клиентах.
Система аутентификации Open System Authentiсаtion (OSA), по умолчанию используемая в протоколе 802. 11, сильно несовершенна. Собственно, системы как таковой нет - аутентификацию проходит любой, кто запрашивает. В случае OSA не помогает даже WEP, так как в ходе экспериментов, проводимых независимыми экспертами, было выяснено, что пакет аутентификации направляется незашифрованным.
Aœess Control List (лист контроля доступа) в протоколе 802. 11 не описывается, но применяется многими в качестве добавления к стандартным методам. Основа такого метода - клиентский Ethernet MAC (физический адрес адаптера), уникальный для каждого Wi-Fi-адаптера. Точка доступа ограничивает доступ к сети в соответствии со своим перечнем МАС-адресов, если клиент есть в списке, то доступ разрешен, нет - значит, запрещен. Но МАС-адрес беспроводного адаптера свободно можно подделать, следовательно, такая защита не является стопроцентной.
В протоколе 802. 11 применяется еще один способ защиты - Qosed Network Aœess ^ntio (закрытый контроль сетевого доступа). Принцип его поведения не намного сложнее, чем предыдущий: либо администратор позволяет любому пользователю присоединяться к сети, либо в нее может зайти только тот, кто знает ее имя - SSID (сетевой идентификатор). Сетевое имя в таком случае служит тайным ключом.
Первые стандарты 802. 11 обладали множеством недостатков и уязвимостей, но на их смену приходят всё более совершенные стандарты, например, такой как 802. 11n, в котором усовершенствованы методы зашифровки и аутентификации.
Безопасность в Wi-Fi сетях достигается несколькими методами и определёнными алгоритмами и в результате их изучения можно сказать что самым защищённым алгоритмом шифрования является WPA/WPA2 Persornl (PSK), который обеспечивает набольшую сохранность информации. Так же существует WPA/WPA2 Enterprise - более сложный метод, который используется в основном для защиты беспроводных сетей в представительствах и разнообразных заведениях. Позволяет обеспечить более высокий уровень защиты. применяется только в том случае, когда для авторизации устройств установлен RADIUS-сервер.
Как показывает анализ стойкости алгоритмов шифрования, лучше всего использовать WPA3. Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA2/WPA3 - Persornl. На многих маршрутизаторах по умолчанию все еще установлен WPA2.
В современном обществе беспроводные технологии в области приема и передачи информации стали занимать важное место. К этому привели сложности с прокладкой проводных линий связи. Однако беспроводные сети имеют рад существенных недостатков, а именно высокий уровень угроз приводит к необходимости искать собственные методы защиты. Любая информация, располагающая финансовую, конкурентную, военную или политическую ценность, может подвергнуться угрозе со стороны злоумышленников. Перехват управления объектами информационной инфраструктуры становится дополнительным риском.
Таким образом, для защиты беспроводных сетей на основе, используемых стандартов, необходимо также применять дополнительные методы, включая стойкие алгоритмы шифрования.
Список литературы
1. ГОСТ Р 59162-2020. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей : национальный стандарт Российской Федерации : утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2020 г. N 1038-ст: введен впервые: дата введения 2021-06-01.
2. Таненбаум Э.С. Компьютерные сети / Э.С. Таненбаум, Н. Фимстер, Д. Уэзеролл. Санкт-Петербург: Питер, 2012. 960 с.
3. Анализ методов защиты беспроводной сети Wi-Fi. [Электронный ресурс] URL: https://сYberleninkа.ru/аrtiсle/n/аnаliz-metodov-zаsсhitv-besprovodnoY-seti-wi-fi (дата обращения: 25.01.2023).
4. Защита данных при передаче по беспроводным каналам связи. [Электронный ресурс] URL: https://сYberleninkа.ru/аrtiсle/n//аsсhitа-dаnnYh-pri-peredасhe-po-besprovodnYm-kаnаlаm-svYа/i (дата обращения: 25.01.2023).
5. Безопасность WPA3 // SPY-SOFT.NET. [Электронный ресурс] URL: http://www.spy-soTt.net/wpa3 (дата обращения: 25.01.2023).
6. Герасимов Л. WPA3. Смотрим, что нового в следующем стандарте безопасности Wi-Fi, изучаем прошлые // хакер.т: [Электронный ресурс] URL : https://xakep.ru/2018/10/26/wpa3/ (дата обращения: 25.01.2023).
7. Wi-Fi сети: проникновение и защита // Хабр: [Электронный ресурс] URL: https://habr.com/ru/post/224955 (дата обращения: 25.01.2023).
8. Об алгоритме взлома WPA-PSK // Хабр: [Электронный ресурс] URL: https://habr.com/ru/post/122623 (дата обращения: 26.01.2023).
9. Злой двойник // wikipediaю [Электронный ресурс] URL: https://ru.wikipedia.org/wiki/Злой двойник (дата обращения: 28.01.2023).
10. Монин С. Защита информации и беспроводные сети // Компьютер Пресс #4/2005. [Электронный ресурс] URL: http://www.redcenter.ru/?did=822&p realm=print1 (дата обращения: 4.02.2023).
Квасников Андрей Андреевич студент, kvas.andr@mail.ru, Россия, Тула, Тульский государственный университет,
Научный руководитель: Борзенкова Светлана Юрьевна, канд. техн. наук, доцент, tehnol@rambler.ru, Россия, Тула, Тульский государственный университет
PROTECTING WIRELESS NETWORKS FROM THREATS A.A. Kvasnikov
The article discusses the problem of protecting wireless networks, identifies threats and methods of their elimination. Wireless network technologies for receiving and transmitting information based on IEEE
802.11 standards occupy an important place. However, it is worth noting that the high level of threats leads to the need to look for protection methods that allow systemically ensuring information security.
Key words: wireless network, local area network, Internet, connection, router, data.
Kvasnikov Andrey Andreevich, student, kvas.andr@mail.ru, Russia, Tula, Tula State University,
Scientific supervisor: Borzenkova Svetlana Yuryevna, candidate of technical sciences, docent, tehnol@rambler.ru, Russia, Tula, Tula State University
УДК 004.056.52
DOI: 10.24412/2071-6168-2023-3-509-515 ПРОБЛЕМЫ ИДЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Д.Ю. Чекмарев, С.Ю. Борзенкова
В статье рассматривается проблема идентификации пользователей в информационных системах. Рассмотрены основные виды и методы идентификации и аутентификации, возможные способы аутентификации, функции программно-аппаратных средств идентификации. Произведены анализ научно-исследовательских работ в данной тематике, оценка средств идентификации и аутентификации, проедено обобщение возможных для использования, средств идентификации и аутентификации, с указанием преимуществ и недостатков каждого из перечисленных. А также рассмотрены проблемы имеющихся материалов, научно-исследовательских трудов и, в целом, методов, использующихся для идентификации пользователей в информационных системах.
Ключевые слова: идентификация, аутентификация, информационная система, методы аутентификации.
В настоящее время информационные технологии и системы, средства защиты информационных систем стремительно и постоянно развиваются, появляются новые уязвимости, появляются новые подходы к «обману» системы, получения доступа к данным и системам нелегитимных пользователей, а также устаревают подходы к защите и противодействию несанкционированного доступа. В связи с чем пользователям и лицам, ответственным за защиту информации и информационных систем, необходимо постоянно следить за возникающими проблемами, за новыми подходами к идентификации и за тем, как можно избежать ошибок и проблем в данном направлении. В связи с описанным выше, можно считать целью данной работы обобщение настоящих подходов к идентификации и аутентификации в информационных системах, выявление основных недостатков этих подходов и методов, а также анализ имеющихся работ, какие проблемы в них заложены и какие направления развития этой сферы имеют перспективные значения.
Идентификация пользователя - распознавание пользователя компьютерной системы на основании ранее заданного описания. Идентификация имеет целью определение полномочий пользователя (права доступа к данным и выбора режима их использования).
Аутентификация пользователя - процедура проверки прав пользователя на доступ к информации или на выполнение определенных действий.
Идентификация позволяет пользователю назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает ("проверка подлинности").
Аутентификация бывает односторонней и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.
Способы аутентификации можно разделить на три группы:
- Основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию. Это парольная аутентификация и аутентификация на основе модели «рукопожатия».
- Основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (пластиковая карта с идентифицирующей пользователя информацией и т п) - программно-аппаратные методы.
- Основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мыши и т п).
