Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
Скачать 80.07 Kb.
|
16. Защита LTE беспроводных сетейЗащита на уровне доступа На уровне пользовательских доменов На уровне приложений На уровне отображения и конфигурации Разработчики мобильной технологии LTE все же позаботились о ее защите несколько больше, чем разработчики Интернета. Поэтому можно надеяться, что мобильная сеть будет более надежна и безопасна, чем Всемирная паутина. В LTE используется почти такая же модель безопасности, как и в ранних версиях мобильной связи. Хотя архитектура сети несколько изменилась, общие принципы защиты остались прежними. Если в предыдущих версиях мобильной сети за безопасность отвечал RNC, то теперь его нет, а защита возложена на базовые станции, которые стали более интеллектуальными. По сообщениям экспертов МТС (МТС – Мобильные телесистемы – оператор сотовой связи России), все функции защиты в LTE объединены стандартом и подразумевают защиту на нескольких уровнях. Предусмотрена защита на уровне доступа к сети, на уровнях сетевого и пользовательского доменов, на уровне приложений и уровне отображения и конфигураций. Каждый из этих уровней предполагает аутентификацию и авторизацию всех устройств, чего нет в Интернете. Хотя каждое устройство в IP-сети имеет свой адрес, а часто еще и уникальный идентификатор MAC, его достаточно легко изменить и подделать. Однако технология LTE предусматривает использование не только IP-адреса, но и системы распространения ключей шифрования для всех устройств, подключенных к сети. В результате для всех взаимодействий в мобильной сети есть возможность безопасного обмена ключевой информацией и установления шифрованного канала связи между ними. В LTE сохраняются и методы аутентификации пользователей по привязке к карте USIM, как в традиционной мобильной связи: пользователь может заблокировать доступ к телефону по PIN-коду. Василий Сахаров, руководитель отдела информационной безопасности компании «Демос», отмечает, что в LTE от GSM и UMTS наследуются схемы протокола аутентификаиции EAP, в которые добавлены новые алгоритмы, более длинные ключи и расширенная иерархия PKI. Предусмотрены и новые функциональные возможности для новых сценариев, включающих межмашинное взаимодействие (М2М) и однократную аутентификацию (SSO). Кроме того, предусмотрена защита от несанкционированных соединений поверх мультимедийной IP-сети IMS. Вполне возможно, что используемая в мобильной связи более жесткая система аутентификации позволит навести порядок и в Интернете. 17. Угрозы и уязвимости Wi-Fi – сетейПрямые угрозы Радиоканал передачи данных, используемый в Wi-Fi потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации. В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны. Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Само по себе блокирование канала не является опасным, так как обычно Wi-Fi сети являются вспомогательными, однако блокирование может представлять собой лишь подготовительный этап для атаки "человек посередине", когда между клиентом и точкой доступа появляется третье устройство, которое перенаправляет трафик между ними через себя. Такое вмешательство позволяет удалять, искажать или навязывать ложную информацию. Чужаки Чужаками (RogueDevices, Rogues) называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: точки доступа (включая программные), сканеры, проекторы, ноутбуки с обеими включёнными интерфейсами и т.д. Имперсонация и IdentityTheft Имперсонация авторизованного пользователя - серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и их несложно подделать, а подделав - как минимум снизить пропускную способность сети, вставляя неправильные кадры, а разобравшись в алгоритмах шифрования - устраивать атаки на структуру сети (например, ARP-spoofing). Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе 802.1x не являются абсолютно безопасными. Некоторые механизмы (LEAP) имеют сложность взлома схожую со взломом WEP. Другие механизмы, EAP-FAST или PEAP-MSCHAPv2 хотя и надёжнее, но не гарантируют устойчивость к комплексной атаке. Отказы в обслуживании Атаки направлены на нарушение качества функционирования сети или на абсолютное прекращение доступа пользователей. В случае Wi-Fi сети отследить источник, заваливающий сеть "мусорными" пакетами, крайне сложно - его местоположение ограничивается лишь зоной покрытия. К тому же есть аппаратный вариант этой атаки - установка достаточно сильного источника помех в нужном частотном диапазоне. Источник: https://bibliofond.ru/view.aspx?id=725189. |