Интеллектуальное блокирование
как элемент информационной безопасности в беспроводных сетях

В настоящее время наблюдается бурное развитие сотовой связи и беспроводных сетей передачи информации. Развертывание сотовой связи на¬чалось в 1980-х гг., а беспроводных сетей. несколько позже. Поначалу сотовая связь предназначалась, главным образом, для передачи речи, то есть заменяла обычную телефонию, сделав ее мобильной. Постепенно она перешла в цифровую форму с различными схемами доступа, основанными на разделении между станциями таких параметров, как пространство, время, частота и код. Сейчас наиболее распространены си¬стемы второго (2G) и третьего (3G) по¬колений, использующие временное TDMA и кодовое CDMA разделения. В частности, это стандарты второго поко¬ления GSM и IS-95, а также ряд стандартов третьего поколения CDMA2000, WCDMA.
 
Системы подвижной связи третьего поколения (3G) называются UMTS (универсальной системой подвижной связи), они совместимы с сотовыми сетями второго поколения (2G) и работа¬ют совместно с действующей сетью GSM. Поскольку UMTS нацелена на предоставление мультимедийных услуг, в ней активно используются IP-протоко-лы, а также всевозможные цифровые технологии, нашедшие применение в Интернете. С точки зрения исключения доступа из закрываемой зоны по радиоканалу нас интересует физический уровень, на котором общаются базовая стан¬ция и абонент мобильной сети, поэтому в дальнейшем речь будем вести лишь о радиоинтерфейсе стандарта WCDMA (широкополосный доступ с кодовым разделением каналов).
 
В этой схеме доступа все передатчики передают сигналы на одной и той же частоте, в одно и то же время, но с разными кодами, используя шумоподобные сигналы (ШПС). При передаче посред¬ством ШПС спектр исходного сообщения расширяется во много раз, поэтому данный метод еще называют методом расширения спектра сигнала посредством прямой последовательности (DSSS - Direct Sequence Spread Spec¬trum). Одним из преимуществ такого уплотнения является повышенная защищенность и скрытность передачи дан¬ных: без знания кода невозможно получить сигнал, а в ряде случаев и обнару¬жить его присутствие.

 
Развитие беспроводных сетей

В последнее время бурное развитие наблюдается и в сфере беспроводных сетей для фиксированного и мобильного беспроводного доступа. Среди множества стандартов и технологий можно вы¬делить персональные беспроводные сети (например, IEEE 802.15.1 – Bluetooth), локальные беспроводные сети передачи данных (IEEE 802.11 – Wi-Fi) и региональные (IEEE 802.16 – WiMax). Это, прежде всего, VoIP через точки доступа Wi-Fi (или Skype) и WiMAX. Организация по стандартизации IEEE утвердила стандарт WiMAX для мобильных устройств еще в конце 2005 г. WiMAX является многообещающей технологией беспроводной связи следующего поколения, так как имеет высокую пропускную способность и большую область покры¬тия. Пиковая скорость, обеспечиваемая этой технологией, достигает 20 Мбит/с, а средняя – от 1 до 4 Мбит/с. Некоторые сторонники WiMax считают, что технология сможет в будущем вытеснить городские сети Wi-Fi. Пропускная способность сотовой сети по-прежнему сильно ограничена. Сегодняшние сети 3G, включая технологии EDGE в GSM и 1xEV-DO в CDMA2000 ("Скайлинк" в России) позволяют реально достичь скорости передачи данных порядка лишь 400–700 кбит/с.
 
Очевидна тенденция сращивания двух направлений беспроводной передачи данных, включающих, с одной стороны, сотовую связь и беспроводные сети, с другой – наглядное представление, о чем дает приводимая на рисунке диа¬грамма (источник WiMAX Forum).
 
Надо отметить, что беспроводной доступ также использует шумоподобные сигналы. Так, например, в сетях Wi-Fi метод уплотнения основан на механизме мультиплексирования посредством ор¬тогональных несущих (OFDM – Orthogonal Frequency Division Multiplexing). Его суть состоит в том, что весь досту¬пный частотный диапазон разбивается на достаточно много поднесущих. Одному каналу связи (приемнику и передатчику) назначают для передачи несколько таких несущих, выбранных из всего множества по некоторому закону. Передача ведется одновременно по всем поднесущим.


Механизмы обеспечения безопасности в беспроводной сети Wi-Fi
 
Рассмотрим механизмы обеспечения безопасности в беспроводных сетях на примере Wi-Fi. В ходе работы над стандартом IEEE 802.11 было принято решение включить набор служб обеспечения безопасности, которые могли бы усложнить задачу злоумышленника получить доступ к передаваемой информации. Для этого был предусмотрен набор алго¬ритмов под названием WEP, предназначенных для шифрования пакетов данных.
 
Однако допущенные разработчиками ошибки позволили разработать эффективные алгоритмы доступа к переда¬ваемой информации. Так, усовершен¬ствованная атака FMS (Fluhrer, Mantin, Shamir) позволяет получить ключи шифрования, перехватив трафик, передаваемый в сети в течение нескольких минут или часов в зависимости от интенсивности обмена информацией. Причем при увеличении длины ключа время взлома увеличивается линейно.
 
Для улучшения стойкости алгоритма шифрования разработчиками стандарта впоследствии было принято решение создать новую спецификацию WPA (Wi-Fi Protected Access – защита доступа к Wi-Fi). Выбранные для WPA эл¬ементы – это криптонабор TKIP (Tem¬poral Key Integrity Protocol – протокол целостности временных ключей), методы аутентификации и управления ключами на базе стандарта IEEE 802.1X. Расширенный стандарт WPA2 включает также новую схему шифрования на ос¬нове алгоритма AES.
 
 
Атаки на схему WPA
 
В настоящее время известно несколько атак на схему WPA с помощью активных методов, например, использование фальшивой точки доступа. Для проведения атаки необходимо между двумя бес¬проводными узлами поместить устройство, формирующее фреймы 802.11, и вставлять специальные команды в трафик, которым они обмениваются между собой. Так, фальшивая точка доступа может выступать в роли фальшивого серве¬ра аутентификации и предоставлять клиентам ложные ответы на запросы об аутентификации. Предварительно необхо¬димо отключить клиента от существую¬щей точки доступа. Для этого можно заглушить существующую точку более сильным сигналом или заблокировать канал избыточным трафиком.
 
Понятно, что помимо криптозащиты для закрытия каналов утечки через Wi-Fi можно лишить несанкционированный абонентский терминал или фальшивый Hot Spot возможности вступить в связь. Это можно сделать достаточно эффективно, используя интеллектуальное блокирование беспроводного доступа или системы сотовой связи, воздействуя на источник, находящийся внутри блокируемой зоны или пространства.
 
Вернемся к проблемам как безопасности компьютерных сетей, так и инфор¬мационной безопасности объекта в це¬лом. Очевидно, что при широком подходе к проблеме закрытие доступа с объекта во внешние сети, как и проникновение из этих сетей в информационную структуру объекта являются первооче¬редной задачей службы информационной безопасности. Закрытие радиокана¬лов шумовыми сигналами практически исключено, так как придется забивать пол-эфира. Да и эффективность таких действий неконтролируема и ничтожна.


 
 
"Радиосервис": подход и разработки
 
Компания "Радиосервис", имея богатый опыт в интеллектуальном блокировании сотовой связи внутри заданной зоны или пространства, продолжает работать в данном направлении. Уже созданы и выпускаются серийно интеллектуальные блокираторы сотовой связи 3G RS jamminiSL для стандарта CDMA2000 и RS jammini UMTS для стандарта WCDMA. Завершена разработка и готовятся к серийному производству системы интеллектуального блокирования беспроводного доступа стандартов WiFi и WiMAX. Вся выпускаемая компанией аппаратура имеет встроенные коммуникационные контроллеры и может объединяться в единую сеть, например, CAN или LAN.

Поставленная выше задача обеспечения информационной безопасности должна решаться комплексно, то есть с учетом общего контроля эфирной обстановки в заданной зоне и с обязательным контролем общей эффективности системы на удаленном управляющем компьютере. Такой подход компания "Радиосервис" исповедует уже в течение нескольких лет, являясь эксклюзивным производителем встроенных и распределенных систем радиоконтроля и интеллектуального блокирования сотовой телефонии и беспроводного доступа.
 
 
Интеллектуальное блокирование
 
Еще раз отметим, что компания "Радиосервис" при разработке систем радиомониторинга и подавления нежелательных сигналов основывается на принципах интеллектуального блокирования. При этом интеллектуальность системы понимается в следующих смыслах:
 
• обеспечивается полный контроль за выходом в эфир любых радиосредств, включая сотовые телефоны, причем диапазоны сотовой связи и беспроводного доступа контролируются панорамными приемниками;
 
• сигнал блокирования является направленным, то есть блокирует только обнаруженный передатчик на его рабочей частоте, а в случае сотовой телефонии подавляет сигнал базы, адресованный именно тому абоненту, который предпринимает попытки установить связь;
 
• блокирующий сигнал минимален по мощности, имеет импульсную структуру и безвреден для здоровья, так как его воздействие на человека гораздо слабее, чем воздействие непосредственно абонентского терминала;
 
• эффективность блокирования находится под постоянным контролем на управляющем компьютере.
 
Многолетний опыт создания систем радиоконтроля, в том числе многоканальных, и разработки интеллектуальных блокираторов для различных стандартов связи и широкополосного доступа позволил инженерам компании успешно объединить радиомониторинг и подавление несанкционированных передач в единую задачу, решаемую распределенными и встроенными радиосистемами с единым управлением и связанными алгоритмами работы.

 
Дополнительно:

Блокирование сотовой связи, Bluetooth и Wi-Fi
Средства радиоэлектронного подавления
Поиск подслушивающих устройств с передачей по радиоканалу
Каталог оборудования компании Радиосервис