Технологии и методы защиты инфокоммуникационных систем и сетей

Москва
Горячая линия – Телеком 
2021

Рекомендовано Редакционно-издательским советом 

федерального государственного бюджетного 

образовательного учреждения высшего образования 
«Московский авиационный институт (национальный 

исследовательский университет)» в качестве учебного 

пособия

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
    К26 

Р е ц е н з е н т ы: кафедра «Информационная безопасность» Государственного 

бюджетного образовательного учреждения высшего образования Московской области Технологический университет (МГОТУ); доктор техн. наук, 
профессор, начальник отделения АО «Российские космические системы»  
В. М. Ватутин 

Карпухин Е. О. 
К26     Технологии и методы защиты инфокоммуникационных систем 
и сетей. Учебное пособие для вузов. – М.: Горячая линия – 
Телеком, 2021. – 120 с.: ил. 
ISBN 978-5-9912-0896-3. 

Приведены проблемы безопасности локальной беспроводной сети 

стандартов IEEE 802.11 и пример ее защиты на основе технологии WPA3. 
Рассмотрены задачи аудита безопасности в инфокоммуникационных системах с использованием SIEM-систем. Представлены методы аутентификации пользователя как на основе парольных, так и биометрических систем. Отдельное внимание уделено технологиям единой аутентификации на 
нескольких Интернет-ресурсах. Показаны методы и средства выявления 
уязвимостей и защиты локальных сетей, а также предотвращение утечек 
информации в телекоммуникационных системах. Сделан акцент на защиту инфокоммуникационных систем от атак класса «отказ в обслуживании». Для знакомства читателей с методами и средствами надежного и 
безопасного хранения данных рассмотрена технология резервного копирования путем децентрализованного распределения файлов по устройствам. 
Особое место в пособии уделено проблемам обеспечения безопасности защищенного соединения с использованием протокола HTTPS и мобильных 
устройств в открытых сетях. Приведены методы, технологии и средства 
защиты веб-ресурсов от актуальных угроз.  

Для студентов, обучающихся по направлениям подготовки 10.03.01 – 

«Информационная безопасность», 10.05.02 – «Информационная безопасность телекоммуникационных систем», 11.03.02 и 11.04.02 – «Инфокоммуникационные технологии и системы связи». 

ББК 32.973.2-018.2я73 

Учебное издание
Карпухин Евгений Олегович 
Технологии и методы защиты инфокоммуникационных систем и сетей 
Учебное пособие для вузов

Тиражирование книги начато в 2020 г.

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами без письменного разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
©  Е.О. Карпухин

Введение

Проблемы безопасности инфокоммуникационных систем затрагивают множество составляющих — от защиты локальных сетей,
в том числе беспроводных, до внедрения методов и средств защиты на мобильные устройства и Интернет-ресурсы. Важно не только обеспечить постоянную защиту инфокоммуникационной системы
и предотвратить утечку конфиденциальной информации, но и реализовать непрерывный аудит событий безопасности, включающий
подсистемы идентификации и аутентификации, резервного копирования и так далее.
Необходимо проектировать системы, которые могут адаптироваться к различного рода атакующим воздействиям злоумышленника, наиболее опасным из которых является нарушение целостности
и доступности сетевых ресурсов, поэтому большой интерес представляют методы и технологии противодействия атакам класса «отказ
в обслуживании». Также стоит учитывать наличие уязвимостей у
тех технологий, которые используются для обеспечения безопасного информационного взаимодействия.
Наиболее ярким примером
этого являются проблемы с безопасностью протокола HTTPS и его
составляющих, которые достаточно широко используются в инфокоммуникационных системах.
Каждая глава учебного пособия посвящена решению представленных выше проблем в области информационной безопасности инфокоммуникационных систем.
Для этого в нем приведен набор
методов, технологий и средств, позволяющий противодействовать
угрозам различным составляющим инфокоммуникационной системы. Также представлены примеры, иллюстрирующие обеспечение
безопасного информационного взаимодействия в таких системах.
Безопасность локальных сетей, обычно включающих в себя беспроводной сегмент с технологией Wi-Fi, является основой при проектировании защищенных инфокоммуникационных систем. Отсутствие надежной защиты беспроводного соединения несет серьезную
угрозу всем устройствам такой сети: от серверов и рабочих станций
до интегрированных в нее мобильных устройств. Именно поэтому в
первой главе уделено внимание технологии WPA3, внедрение которой в ближайшие годы существенно улучшит безопасность беспроводных сетей стандартов IEEE 802.11.

Введение

SIEM-системы широко применяются для аудита различных составляющих инфокоммуникационной системы, что нашло отражение во второй главе данного пособия. Одной из таких составляющих
является подсистема идентификации и аутентификации пользователей, рассмотренная в третьей главе. В ней подробно описаны биометрические методы аутентификации, приведены их достоинства и
недостатки, а также варианты реализации единой аутентификации
на нескольких Интернет-ресурсах, как правило, основанной на использовании пароля, что также отображено в главе.
Особую роль в инфокоммуникационной системе играет протокол HTTPS, который используют многие прикладные процессы и
сервисы. Однако у него есть несколько слабых мест, на которые может быть успешно реализована атака. Методам и технологиям противодействия этим атакам отведена б´ольшая часть четвертой главы.
В пятой главе рассмотрены модели использования мобильных
устройств сотрудниками организации в контексте обеспечения информационной безопасности. В ней приведены угрозы информационной безопасности мобильных устройств при их интеграции в сеть
предприятия, а также технологии управления ими и обеспечения их
защиты.
Шестая и седьмая главы посвящены широко распространенным средствам обнаружения уязвимостей и противодействия сетевым атакам — сканерам уязвимостей, межсетевым экранам и системам предотвращения утечки информации. Межсетевые экраны
широко применяются для защиты инфокоммуникационных систем
от атак класса «отказ в обслуживании», разновидности и методы
противодействия которым представлены в восьмой главе.
Без надежного и безопасного хранения данных нельзя в полной мере обеспечить конфиденциальность и целостность информации в инфокоммуникационной системе. В девятой главе рассмотрена структура системы хранения данных, предъявляемые к ней
требования и технологии резервного копирования. Особое внимание уделено технологии резервного копирования путем децентрализованного распределения файлов по устройствам с использованием
peer-to-peer системы хранения данных.
Последняя глава содержит наиболее распространенные и актуальные уязвимости веб-ресурсов, приводящие к реализации атак. В
ней приведены методы, технологии и средства защиты от таких атак
с учетом широкого применения спецификации HTML5.

Защита локальной беспроводной сети
стандартов IEEE 802.11

Набор стандартов IEEE (Institute of Electrical and Electronics
Engineers) 802.11 является основой для беспроводной связи в ограниченной области (локальной сети).
802.11 является первым отраслевым стандартом для беспроводных локальных сетей WLAN.
Стандарт разработал IEEE в 1997 году. Наибольшую популярность
получили беспроводные сети стандарта IEEE 802.11b/g/n, на очереди IEEE 802.11ac и IEEE 802.11ax.
Стандарты IEEE 802.11 используют соединение по радиоканалам на следующих частотах:
• 2,4 ГГц (полоса частот 2400...2483,5 МГц);
• 5 ГГц (диапазон частот 5,180...5,240 ГГц и 5,745...5,825 ГГц).
Безопасная передача данных по сетям стандарта 802.11 обеспечивается рядом технологий и протоколов, таких как WEP, WPA,
WPA2 и WPA3, которые управляют аутентификацией пользователей, шифрованием и обеспечением целостности сетевого трафика.
Первые две из них являются устаревшими, и производители программного и аппаратного обеспечения отказываются от их поддержки [1, 2].
Стандарт WPA2 исправлял уязвимости, обнаруженные в стандарте WEP. В конце 2004 года основные проблемы безопасности сетей стандарта 802.11 были решены. В 2006 году WPA2 начал активно внедряться во все виды оборудования и стал главным требованием для всех устройств с поддержкой Wi-Fi.
Набор стандартов IEEE 802.11 рассматривает четыре варианта
аутентификации: аутентификация для систем с открытым ключом
(Open Authentication), аутентификация с общим ключом (Shared
Key Authentication), WPA2-PSK с предустановленным ключом и
WPA2-Enterprise с аутентификацией на RADIUS-сервере.
Долгое время основными способами взлома беспроводных сетей, использующих WPA2, были взлом PIN-кода при использовании
технологии WPS или атака методом полного перебора. Для защиты достаточно было отключить WPS и установить сложный пароль.
В связи с этим до недавнего времени технология WPA2 считалась

Г л а в а 1

надежной. Со временем у WPA2 были выявлены проблемы, требующие существенных изменений стандарта. Одной из них является уязвимость KRACK [3], которая предоставляет атакующим не
только возможность перехвата пакета с данными в беспроводном
соединении, но и внедрение своих. После критической уязвимости
KRACK стандарта WPA2 Wi-Fi Alliance начал разработку стандарта
безопасности WPA третьего поколения, чтобы повысить защищенность информационного взаимодействия.
Стандарт WPA3 постепенно внедряется производителями устройств, заменяя действующий стандарт WPA2. Он исправляет ранее принятые решения, которые не прошли проверку временем.
Набор технологий WPA3 имеет следующие преимущества:
• WPA3 благодаря индивидуальному шифрованию сетевых пакетов повышает конфиденциальность передаваемых пользователями данных в открытых сетях;
• встроены механизмы защиты от атаки методом полного перебора;
• внедрение облегченной настройки для устройств Интернета вещей (IoT). Теперь пользователь имеет возможность благодаря
телефону или планшету настроить параметры Wi-Fi WPA3 на
устройствах без экрана;
• внедрен модернизированный криптографический стандарт для
сетей Wi-Fi, так называемый 192-разрядный пакет безопасности [4].
Поскольку сети Wi-Fi различаются по целям использования и
требованиям безопасности, WPA3, как и WPA2, включает два профиля:
WPA3-Personal и WPA3-Enterprise.
Пользователи WPA3Personal получают надежную защиту от попыток подбора пароля,
в то время как пользователи WPA3-Enterprise теперь могут использовать протоколы безопасности более высокого уровня.
WPA3-Enterprise обеспечивает значительно более высокие требования по защите сети, предоставляя криптографические протоколы с применением минимум 192-битных ключей и криптографические инструменты для защиты данных [5]:
• 256-битный протокол GCMP-256 для шифрования;
• формирование и подтверждение ключей:
384-битный режим
HMAC с безопасным хешированием по протоколу HMACSHA384;
• обмен ключами и аутентификация: обмен ключами по протоколу ECDH и формирование цифровой подписи по алгоритму
ECDSA на 384-битной эллиптической кривой;

Защита локальной беспроводной сети стандартов IEEE 802.11
7

• устойчивое управление защитой фреймов: 256-битный протокол
проверки целостности фреймов BIP-GMAC-256.
WPA3-Personal обеспечивает лучшую защиту для пользователей, обеспечивая более надежную аутентификацию на основе паролей.
В WPA2 существует острая проблема, связанная с использованием слабых паролей. В случае если пользователь устанавливает
простой или короткий пароль на беспроводную сеть, то его с легкостью можно было найти благодаря автоматизированным атакам
с использованием словарей, например Dictionary attack или BruteForce attack. В WPA3 принимаются меры, которые позволяют препятствовать подобным атакам. Эта возможность появилась благодаря одновременной аутентификации равных SAE, которая заменяет
протокол PSK в WPA2-Personal. Эта технология устойчива к атакам
по словарю в автономном режиме, когда злоумышленник пытается
определить предустановленный ключ сети, пробуя возможные пароли без дальнейшего взаимодействия с сетью. Значительное улучшение заключается в том, что SAE не передает хеш пароля в открытом
виде [6].
В табл. 1.1 приведено сравнение технологий защиты набора
стандартов 802.11.
Проанализировав новую технологию, можно сделать вывод, что
она обеспечивает более высокий уровень защиты, ведь WPA3 поддерживает более надежный метод аутентификации SAE и поэтому
не восприимчива к атаке KRACK. Также технология обеспечивает
защиту даже при выборе ненадежных паролей, так как она противодействует атаке с применением «грубой» силы.
Таким образом, технология WPA3 является более совершенной,
надежной и удобной в использовании. Разработка WPA3 — это большой шаг на пути к совершенствованию безопасности беспроводных
сетей.
Внедрение технологии WPA3 в массы будет происходить в течение нескольких ближайших лет. Это происходит, поскольку пока
сертификация устройств для WPA3 не обязательна по правилам WiFi Alliance, а происходит по желанию производителей.
Технология WPA3 работает в двух режимах: WPA3-Enterprise
для корпоративного использования и WPA3-Personal для домашних
сетей. Однако все сети, которые используют WPA3, запрещают использование устаревших протоколов, но в то же время используют
одновременно PMF (Protected Management Frames). Иными словами, WPA3 «очищает» технологию от более слабых решений.
Со

Г л а в а 1

Таблица 1.1
Сравнение технологий защиты беспроводной сети 802.11

Технология
WEP
WPA
WPA2
WPA3
защиты

Алгоритм шифрования

RC4
RC4
AES
GCMP-256

Протокол шифрования

Статический ключ

TKIP
CCMP
OWE

Аутентификация
Общий ключ
EAP или
общий ключ

EAP или
общий ключ

SAE

Длина ключа, бит
64/128
128
256
384

Длина вектора инициализации, бит

24
48
128
–

Целостность данных

32-битный
ICV

64-битный
MIC

CRT/CBC
256-битный
BIPGMAC-256

Обмен ключами
Однократный,
вручную

PMK
PMK
ECDH и
ECDSA

Сервер аутентификации

–
Radius
Radius
Radius

Уязвимости
Не используются средства защиты от перехвата,
технология признана
небезопасной
и устаревшей

Взлом
PIN-кода при
использовании технологии WPS;
Brute Force
attack;
Dictionary
attack

Взлом
PIN-кода при
использовании технологии WPS;
Brute Force
attack;
Dictionary
attack;
KRACK

–

ответственно, через некоторое время все устройства будут обладать
защитой не ниже WPA3.
Впрочем, пока происходит сертификация устройств и длится
переход на новую технологию, WPA3 будет совместима c WPA2, так
как устройства с поддержкой технологии будут появляться постепенно.
Из-за этой совместимости устройства с WPA3 имеют возможность подключиться к сетям, использующим WPA2. Но защита
обеспечивается по WPA3 только при условии, что сеть и устройства
поддерживают наборы протоколов WPA3. Так, например, недавно
были обновлены дистрибутивы Linux. В последней версии OpenWrt
18.06.02 в программном пакете hostapd существует реализация протокола аутентификации SAE. Благодаря этому обновлению пользователи имеют возможность создавать точку доступа с WPA3 и
подключаться к ней.

Защита локальной беспроводной сети стандартов IEEE 802.11
9

Задание
Создайте защищенную беспроводную сеть Wi-Fi, используя точку доступа с прошивкой OpenWRT 18.06.2 и ноутбук (компьютер с
поддержкой стандарта 802.11) с дистрибутивом Arch Linux.
И то, и другое устройство используют дистрибутивы Linux. Все
они используют hostap для поддержки функций стандартов 802.11.
Hostap делится на два компонента:
• hostapd, позволяющий запустить точку доступа;
• wpa supplicant, который позволяет подключаться к существующим точкам доступа.
Настройки hostapd контролируются конфигурационным файлом со стандартным именем hostapd.conf. Поддержка SAE может
быть добавлена при помощи изменения ключа wpa key mgmt.
Однако OpenWRT не использует редактирование конфигурационных файлов напрямую.
Вместо этого он использует UCI (вебинтерфейс роутера), который является промежуточным звеном
между пользователем и hostapd.conf. Утилита UCI позволяет редактировать конфигурационные файлы, считывать из них информацию и сразу применять изменения. Точнее, OpenWRT анализирует /etc/config/wireless, который отвечает за конфигурацию Wi-Fi
и создает hostapd.conf.
Файл, который выполняет эту задачу, хранится в /network/services/hostapd/files/hostapd.sh.
Теперь надо найти исполняемый
файл на устройстве для запуска этого процесса. Для этого используется утилита поиска файлов по имени (find):

# find / -name hostapd.sh
/lib/netifd/hostapd.sh
/overlay/upper/lib/netifd/hostapd.sh
/rom/lib/netifd/hostapd.sh

Теперь найдем путь к hostapd.conf:

# find / -name *hostapd*.conf
/tmp/run/hostapd-phy0.conf

Используя grep, можно выделить установленный ключ конфигурации:

# grep wpa key mgmt /tmp/run/hostapd-phy0.conf
wpa key mgmt= WPA-PSK

Отредактируем /lib/netifd/hostapd.sh, чтобы добавить SAE к
этому ключу. Внутри функции hostapd append wpa key mgmt можно добавить строку

Г л а в а 1

Рис. 1.1. Файл журнала отладки

append wpa key mgmt "SAE"

Теперь мы можем выполнить /etc/init.d/network restart для запуска
скрипта.
После запуска команды ключ wpa key mgmt должен содержать
"SAE".
Теперь, для того чтобы появилась сеть Wi-Fi, остается только
установить расширенную версию wpad (wpad-mesh):

opkg install wpad-mesh

Наконец, надо перезапустить роутер. Проверка журнала отладки сообщит нам, что сеть Wi-Fi была настроена успешно (рис. 1.1):

hostapd: wlan0: interface state ACS-> ENABLED

Теперь сеть совместима с SAE.
Следующим этапом необходимо подключиться к точке доступа,
к которой была добавлена поддержка SAE. Начиная с версии 2.7,
wpa supplicant, при помощи которого производится подключение к
Wi-Fi-сети, поддерживает SAE.
Подключение к сети выполняется при помощи wpa cli — утилиты командной строки, которая может быть использована для интерактивной настройки запущенного wpa supplicant.
Далее надо выполнить подключение к сети с использованием
метода аутентификации SAE. Для начала надо включить wpa supplicant для модема (wlp1s0) и зайти в интерактивный режим wpa cli
для взаимодействия с сетью:

#wpa supplicant -B -i wlp1s0 -c /etc/wpa supplicant/
wpa supplicant.conf
#wpa-cli

Будет отображено приглашение для ввода команд (>). Для сканирования доступных беспроводных сетей используется команда scan,
для вывода результата сканирования — scan results.
Для добавления сети (в нашем случае «NIPO») необходимо добавить конфигурацию и запустить ее, а именно:
• добавляется профиль (каждая сеть нумеруется с нуля, поэтому
первая сеть имеет индекс 0);
• указывается ssid (название беспроводной сети);