RU2757108C1 - Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий - Google Patents

Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий Download PDF

Info

Publication number
RU2757108C1
RU2757108C1 RU2021106064A RU2021106064A RU2757108C1 RU 2757108 C1 RU2757108 C1 RU 2757108C1 RU 2021106064 A RU2021106064 A RU 2021106064A RU 2021106064 A RU2021106064 A RU 2021106064A RU 2757108 C1 RU2757108 C1 RU 2757108C1
Authority
RU
Russia
Prior art keywords
network
information
data transmission
wireless data
mobile devices
Prior art date
Application number
RU2021106064A
Other languages
English (en)
Inventor
Михаил Михайлович Добрышин
Денис Александрович Карелин
Дмитрий Евгеньевич Шугуров
Павел Владимирович Закалкин
Юрий Иванович Стародубцев
Илья Игоревич Чукляев
Евгений Анатольевич Чепурной
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Priority to RU2021106064A priority Critical patent/RU2757108C1/ru
Application granted granted Critical
Publication of RU2757108C1 publication Critical patent/RU2757108C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к радиотехнике, а именно к способу защиты мобильных устройств связи, входящих в беспроводные сети передачи данных, от информационно-технических воздействий. Техническим результатом является повышение защищенности конфиденциальных данных, обрабатываемых в мобильных устройствах беспроводных сетей передачи данных, за счет контроля изменения параметров, характеризующих информационно-технические воздействия в районе функционирования указанной сети, и затруднение возможности злоумышленника получить доступ к мобильным устройствам при подключении указанных мобильных устройств к точкам доступа, созданным злоумышленником, при блокировании доступа к легитимным точкам доступа. Для этого осуществляют мониторинг признаков информационно-технических воздействий, появления новых точек доступа и сопоставляют указанные факты. Изменяют порядок аутентификации в беспроводных сетях передачи данных при изменении соотношений сигнал шум и количества ошибок, а также блокируют передачи данных мобильным устройством при нарушении процедур аутентификации. 3 ил.

Description

Изобретение относится к радиотехнике, а именно к защите от радиоэлектронного подавления активными помехами и перехвата управления средств беспроводного доступа, и может быть использовано для защиты конфиденциальных данных, обрабатываемых в корпоративных сетях широкополосного беспроводного доступа.
Под информационно-техническими воздействиями (ИТВ) понимаются методы радиоэлектронной борьбы, проникновение в компьютерные сети и т.п.(Доктрина информационной безопасности Российской Федерации. Утв. Президентом РФ от 09.09.2000 г.N Пр-1895).
Под защищенностью информации понимается количественная или качественная характеристика безопасности информации, определяющая уровень требований, предъявляемых к конфиденциальности, целостности и доступности этой информации и реализуемых при ее обработке (Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения. Р 50.1.056-2005).
Под мобильным устройством связи понимаются средства обработки, хранения данных (планшетные компьютеры, смартфоны и т.п.).
Под беспроводными сетями передачи данных (БСПД) понимаются сети связи, построенные с применением технологий IEEE 802.11, 802.16, HiperLAN.
Известно изобретение «Диагностирование и разрешение сбоев беспроводной сети» (Патент RU 2543095 Опубликовано: 27.02.2015. Бюл. №6H04W 24/04 (2009.01), H04W 8/22 (2009.01)), заключающийся в том, что когда беспроводное устройство вновь добавляется в сеть беспроводной связи, содержащий этапы, на которых: вставляют информацию, ассоциированную с вновь добавленным беспроводным устройством, в управляющий кадр тестового запроса протокола связи, совместимого с IEEE 802.11, причем вставленная информация включает в себя информацию об ошибках, с которыми сталкивается беспроводное устройство в момент, когда беспроводное устройство вновь добавляется в сеть беспроводной связи; передают управляющий кадр тестового запроса, модифицированный вставленной информацией, по сети беспроводной связи в инструментальное средство диагностики; и анализируют принимаемую вставленную информацию с использованием инструментального средства диагностики и определяют причину проблемы и ассоциированное решение. Дифицированный управляющий кадр тестового запроса анализируется, чтобы определять причину проблемы и ассоциированное решение. Идентификатор базового набора служб (BSSID) сети беспроводной связи задается равным уникальному идентификатору. Анализ модифицированного управляющего кадра тестового запроса с использованием инструментального средства диагностики содержит, по меньшей мере один из следующих этапов, на которых: проверяют то, находится ли IP-адрес вновь добавленного беспроводного устройства в автоматическом IP-диапазоне, и если да, логически выводят то, что проблема состоит в том, что либо сервер протокола динамического конфигурирования хоста (DHCP) недоступен, либо фильтрация на уровне управления доступом к среде (MAC) активирована; проверяют то, существует ли отличие в номере канала или защитном фразовом пароле. Машиночитаемый носитель, на котором записана программа для обнаружения проблемы в сети беспроводной связи в момент, когда беспроводное устройство вновь добавляется в сеть беспроводной связи, причем программа содержит средства программного кода, выполненные с возможностью: вставлять информацию, ассоциированную с вновь добавленным беспроводным устройством, в управляющий кадр тестового запроса протокола связи, совместимого с IEEE 802.11, причем вставленная информация включает в себя информацию об ошибках, с которыми сталкивается беспроводное устройство в момент, когда беспроводное устройство вновь добавляется в сеть беспроводной связи; передавать управляющий кадр тестового запроса, модифицированный вставленной информацией, по сети беспроводной связи в инструментальное средство диагностики; и анализировать принимаемую вставленную информацию с использованием инструментального средства диагностики и определять причину проблемы и ассоциированное решение.
Известен способ мобильной оценка рисков (патентный документ US 2007/097896 A1 от 03.02.2015 г.) в котором, по меньшей мере, одна доступная беспроводная точка доступа идентифицируется в определенном месте, и устанавливается соединение с доступной беспроводной точкой доступа. Попытка связи с доверенной конечной точкой осуществляется через беспроводную точку доступа, и попытка связи с доверенной конечной точкой через беспроводную точку доступа контролируется для оценки риска, связанного с беспроводной точкой доступа. Результаты оценки в некоторых случаях могут быть сообщены менеджеру рисков точек доступа, и риск, связанный с будущими попытками использования беспроводной точки доступа, может быть оценен, по крайней мере частично, на основе сообщенных результатов оценки.
Известно «Устройство обнаружения атак в беспроводных сетях стандарта 802.11G» (Патент RU 2545516 от 10.04.2015 Бюл. №10 H04L 27/00 (2006.01)), заключающийся в том что устройство содержащее блок нормировки, блок выделения параметров, блок управления, первый выход которого подключен к первому входу блока нормировки, а первый вход к первому выходу блока нормировки, блок определения режима, блок принятия решения, блок хранения и сравнения MAC-адресов, счетчик повторно идущих подряд кадров, блок контроля состояния соединения, блок проверки наличия двух одинаковых MAC-адресов, блок распознавания фреймов с запросом на разрыв соединения от неподключенного пользователя, первый вход блока определения режима является информационным входом устройства, первый и второй выходы подключены соответственно к первому и второму входам блока выделения параметров, а третий выход подключен соответственно ко второму входу блока нормировки, первый выход блока выделения параметров подключен соответственно к первому входу блока распознавания фреймов с запросом на разрыв соединения от неподключенного пользователя, а выходы блока выделения параметров со второго по четвертый подключены соответственно ко входам с первого по третий блока контроля состояния соединения, пятый выход блока выделения параметров подключен ко входу счетчика повторно идущих подряд кадров, а шестой и седьмой выходы подключены соответственно ко второму и третьему входам блока хранения и сравнения MAC-адресов, на первый вход которого подается статическая информация о разрешенных адресах, первый и второй выходы блока хранения и сравнения MAC-адресов подключены соответственно к шестому и седьмому входам блока нормировки, первый выход блока контроля состояния соединения подключен ко второму входу блока распознавания фреймов с запросом на разрыв соединения от неподключенного пользователя, а второй выход блока контроля состояния соединения подключен ко входу блока проверки наличия двух одинаковых МАС-адресов, выход которого подключен к четвертому входу блока нормировки, выход счетчика повторно идущих подряд кадров подключен к пятому входу блока нормировки, выход блока распознавания фреймов с запросом на разрыв соединения от неподключенного пользователя подключен к третьему входу блока нормировки, выходы со второго по седьмой блока нормировки подключены соответственно ко входам со второго по седьмой блока принятия решения, второй и третий выходы блока управления подключены соответственно к третьему и второму входам блока определения режима, а четвертый выход блока управления подключен к первому входу блока принятия решения, выход которого подключен ко второму входу блока управления.
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному способу является «Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях» (Патент RU 2602956 C2. H04W 12/02 (2009.01), G06F 21/60 (2013.01). Опубл.: 20.11.2016 Бюл. №32. Патентообладатель: Закрытое акционерное общество «Лаборатория Касперского»). Указанный способ включает следующие этапы: определяют подключение к сетевому ресурсу через беспроводную сеть, имеющую беспроводную точку доступа; определяют уровень безопасности упомянутой беспроводной сети на основании анализа доступных на компьютерном устройстве данных об упомянутой беспроводной сети и информации о подключенной беспроводной точке доступа; в соответствии с определенным уровнем безопасности производят контроль входящего трафика, во время которого определяют тип используемого протокола для передачи трафика через упомянутую беспроводную сеть, где тип протокола определяется как безопасный или небезопасный; при определении типа протокола как небезопасный производят анализ структуры получаемых данных во входящем трафике для определения полей в структуре, которые свидетельствуют о наличии возможности ввода конфиденциальной информации, с последующим формированием образцов определенных полей; определяют в исходящем трафике попытку передачи через небезопасную сеть конфиденциальной информации, по крайней мере, для протокола, тип которого определен как небезопасный, при этом определяется только присутствие, по крайней мере, одного изменения в поле, для которого сформирован образец; определяют тип сетевого ресурса с помощью информации о совпавшем образце; производят выбор способа безопасного соединения при передаче конфиденциальной информации на основании определенного типа сетевого ресурса, на который производится передача конфиденциальной информации, с помощью правил выбора, которые сформированы согласно особенностям типов сетевых ресурсов; используют выбранный способ безопасного соединения для дальнейшей передачи исходящего трафика, содержащего конфиденциальную информацию; передают исходящий трафик, содержащий конфиденциальную информацию, по безопасному соединению.
Техническая проблема: низкая защищенность конфиденциальных данных обрабатываемых в мобильных устройствах беспроводных сетей передачи данных из-за отсутствия контроля изменения параметров характеризующих информационно-технические воздействия в районе функционирования указанной сети и возможности злоумышленника получить доступ к мобильным устройствам при подключении указанных мобильных устройств к точкам доступа созданным злоумышленником, при блокировании доступа к легитимным точкам доступа.
Техническим результатом является повышение защищенности конфиденциальных данных обрабатываемых в мобильных устройствах беспроводных сетей передачи данных за счет контроля изменения параметров характеризующих информационно-технические воздействия в районе функционирования указанной сети и затруднении возможности злоумышленника получить доступ к мобильным устройствам при подключении указанных мобильных устройств к точкам доступа созданным злоумышленником, при блокировании доступа к легитимным точкам доступа.
Техническая проблема решается за счет мониторинга признаков информационно-технических воздействий, появления новых точек доступа, сопоставлении указанных фактов, изменения порядка аутентификации в беспроводных сетях передачи данных при изменении соотношений сигнал шум и количества ошибок, а также блокировании передачи данных мобильным устройством при нарушении процедур аутентификации.
Техническая проблема решается за счет разработки способа защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий, в котором осуществляют развертывание сети беспроводного доступа путем установки основного приемо-передающего устройства [D-Link. Руководство по быстрой установке. DAP-2690 Install Guide.]; установки необходимого программного обеспечения и настройки сетевого оборудования [Универсальный пошаговый алгоритм настройки роутеров TP-Link с нуля (https://help-wifi.ru/nastrojka-routerov/tp-link/nastrojka)].
Обеспечивают подключение мобильных устройств к информационным ресурсам сети беспроводного доступа при помощи легитимной точки доступа [Универсальный пошаговый алгоритм настройки роутеров TP-Link с нуля (https://help-wifi.ru/nastrojka-routerov/tp-link/nastrojka)].
Осуществляют мониторинг признаков характеризующих ведение информационно-технических воздействий [Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)]. Система мониторинга обрабатывает данные от средств мониторинга, мобильных устройств, входящих в сеть беспроводного доступа.
Сравнивают измеренные значения параметров характеризующих информационно-технических воздействие с соответствующими допустимыми значениями.
Мобильные устройства проверяют легитимность точки доступа [Артамонов, В. А. Безопасность мобильных устройств, систем и приложений. (http://itzashita.ru/wp-content/uploads/2015/04/Bezop_mobil_Artamonov.pdf)].
Система управления сетью беспроводного доступа передает команду о поэтапном переходе с основной рабочей частоты на запасную частоту или активацию дополнительной точки доступа [Бесшовный роуминг (миграция между ТД) в wi-fi для Android клиентов (https://wi-cat.ru/wi-fi-roaming/besshovnaya-migraciya-rouming-wi-fi-dlya-android-klientov/)].
Проводят дополнительную аутентификацию между приемопередатчиком и мобильным устройством сети [Способы исправления ошибки аутентификации при подключении к wifi на ОС «Андроид» (https://vpautine.ru/planshet_smartfon /android/ oshibka-autentifikacii-pri-podklyuchenii-chto-delat)].
Согласно изобретению дополнительно вводят исходные данные, характеризующие рабочую частоту, время обнаружения системой мониторинга информационно-технических воздействий, время реакции системы управления сетью беспроводного доступа на возникновение признаков характеризующих информационно-технические воздействия, время передачи команд управления и реакции мобильного устройства на полученную команду от системы управления сетью беспроводного доступа; количество мобильных устройств и типов мобильных устройств входящих в сеть беспроводного доступа, используемые протоколы аутентификации, предоставляемые услуги связи, допустимые соотношения сигнал-шум, количество ошибок и длительность задержки для каждой предоставляемой услуги связи, значения параметров непреднамеренных помех, значения параметров искажений вносимых рельефом местности или зданием в котором размещается сеть беспроводного доступа; значения различных информационно-технических воздействий.
Рассчитывают диаграммы распространения сигнала исходя из особенностей местности [Планировщик беспроводных сетей Wi-Fi Planner PRO (https://dlink.ru/tools/wi-fi/)], на основании проведенных расчетов определяют места установки основного и резервных приемо-передатчиков сети беспроводного доступа, используемых в качестве легитимных точек доступа [Инструменты для хорошего Wi-Fi. Ekahau Pro и другие (https://habr.com/ru/post/448180/)];
Формируют модель сети беспроводного доступа, учитывающую основной и резервные приемо-передатчики, используемые в качестве легитимных точек доступа [Универсальный пошаговый алгоритм настройки роутеров TP-Link с нуля (https://help-wifi.ru/nastrojka-routerov/tp-link/nastrojka)].
Задают типы мобильных устройств входящих в сеть беспроводного доступа и их количество; предоставляемые услуги связи, протоколы аутентификации; приемо-передатчик, используемый для формирования точки доступа создаваемой злоумышленником и места их установки, источники информационно-технических воздействий и непреднамеренных помех, а также диапазон изменения информационно-технических воздействий и непреднамеренных помех.
Моделируют функционирование сети беспроводного доступа, в условиях информационно-технических воздействий и непреднамеренных помех [Обзор лучших глушилок Wi-Fi сигнала на 2021 год (IT Технологии (https://vyborok.com/category/it-tehnologii/), гаджеты (https://vyborok.com/category/it-tehnologii/gadzhetyi/))].
Измеряют время обнаружения факта информационно-технических воздействий системой мониторинга [Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)].
Измеряют время принятия решения системой управления сетью об изменении протоколов аутентификации, время изменения протоколов аутентификации при выявлении факта информационно-технических воздействий [Система мониторинга услуги ШПД wiSLA.DSL (http://www.wellink.ru/content/Architecture-of-wisla)].
Измеряют значения параметров ИТВ, при которых происходит переход мобильных устройств входящих с БСПД от легитимной точки доступа, к точке доступа, создаваемой злоумышленником, а также разрыв соединения [Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)].
Измеренные значения сохраняют в базу данных [Карпова И.П. Базы данных. Курс лекций и материалы для практических заданий. - Учебное пособие. - М.: Питер, 2013 - 240 с.].
На основании сохраненных данных определяют порядок применения различных протоколов аутентификации, количества предоставляемых услуг связи, последовательность управления предоставляемыми услугами связи и используемых протоколов сетевого взаимодействия [Шугуров Д.Е. Автоматизированная система по моделированию процедур аутентификации при удаленном взаимодействии. Д.Е. Шугуров, А.А. Юркин Свидетельство о государственной регистрации программы для ЭВМ. Номер заявки: 2016610267. Дата публикации: 09.03.2016].
При развертывании сети дополнительно устанавливают резервное приемо-передающее устройство, необходимое программное обеспечение для изменения протоколов аутентификации, средств обеспечивающих взаимодействие мобильных устройств, входящих в сеть с системой мониторинга и управления сетью; настройку сетевого оборудования, систем мониторинга и управления сетью, средств мониторинга.
Контролируют время функционирования сети, если условие выполнено, то функционирование разработанной последовательности действий заканчивается.
Система мониторинга обрабатывает и оценивает значения параметров каждого канала связи между основным приемо-передатчиком и мобильными устройствами сети [Система мониторинга услуги ШПД wiSLA.DSL (http://www.wellink.ru/content/Architecture-of-wisla)].
При выявлении признаков информационно-технических воздействий сканируют рабочий диапазон частот, с целью поиска других приемо-передатчиков [сканер Ekahau Pro 10. Как работать в Ekahau Pro. Делаем радиопланирование вместе. Часть первая «Wi-Fi в офисе» (https://comptek.ru/news/ekahau/5784)].
На основании сканирования частотного диапазона определяется наличие новых приемо-передающих устройств в районе функционирования сети [сканер Ekahau Pro 10. Как работать в Ekahau Pro. Делаем радиопланирование вместе. Часть первая «Wi-Fi в офисе» (https://comptek.ru/news/ekahau/5784)].
Рассчитывают вероятность предоставления выбранных услуг связи в условиях влияния выявленных помех.
Сравнивают рассчитанные значения влияния выявленных помех с допустимыми значениями, если уровня помех ниже допустимого, то продолжают мониторинг, если значения уровня помех превышает допустимое значение, то изменяют протокол сетевого взаимодействия [Шугуров Д.Е. Автоматизированная система по моделированию процедур аутентификации при удаленном взаимодействии. Д.Е. Шугуров, А.А. Юркин. Свидетельство о государственной регистрации программы для ЭВМ. Номер заявки: 2016610267. Дата публикации: 09.03.2016].
Измеряют значения параметров информационно-технических воздействий, влияние информационно-технических воздействий на процесс предоставления услуг связи [Басан, А. С.Исследование влияния активных сетевых атак на группу мобильных роботов/ А.С.Басан, Е.С.Басан, О.Б. Макаревич, Л.К. Бабенко// Вопросы кибербезопасности. - 2019. - №1 (29). - С.35-44].
При выявлении нового приемо-передающего устройства изменяют протокол аутентификации применяемого мобильными устройствами сети [Шугуров Д.Е. Автоматизированная система по моделированию процедур аутентификации при удаленном взаимодействии. Д.Е. Шугуров, А.А. Юркин. Свидетельство о государственной регистрации программы для ЭВМ. Номер заявки: 2016610267. Дата публикации: 09.03.2016].
Если легитимность точки доступа подтверждена, продолжается мониторинг.
Если легитимность точки доступа не подтверждена, то мобильные устройства блокирует передачу и прием данных до ввода дополнительных команд [например приложение LOCKit].
Если во время функционирования сети произошел разрыв соединения между приемопередатчиком и мобильным устройством, входящим в сеть, то восстановление соединения осуществляется при помощи нового протокола аутентификации [Шугуров Д.Е. Автоматизированная система по моделированию процедур аутентификации при удаленном взаимодействии. Д.Е. Шугуров, А.А. Юркин. Свидетельство о государственной регистрации программы для ЭВМ. Номер заявки: 2016610267. Дата публикации: 09.03.2016].
Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности конфиденциальных данных обрабатываемых в мобильных устройствах беспроводных сетей передачи данных за счет контроля изменения параметров характеризующих информационно-технические воздействия в районе функционирования указанной сети и затруднении возможности злоумышленника получить доступ к мобильным устройствам при подключении указанных мобильных устройств к точкам доступа созданным злоумышленником, при блокировании доступа к легитимным точкам доступа.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Заявленный способ поясняется чертежами:
фиг. 1 - блок-схема способа защиты мобильных устройств связи, входящих в беспроводные сети передачи данных, от информационно-технических воздействий.
фиг. 2 - структурная схема испытательной беспроводные сети передачи данных применяемой при оценке эффективности разработанного способа.
Заявленный способ поясняется последовательностью действий (фиг. 1), где в блоке 1 вводят исходные данные, характеризующие рабочую частоту; время обнаружения системой мониторинга ИТВ; время реакции системы управления сетью на возникновение признаков характеризующих ИТВ, время передачи команд управления и реакции мобильного устройства на полученную команду; количество мобильных устройств и их типов (телефон, планшет, IoT-устройства и др.) входящих с БСПД; используемые протоколы аутентификации, предоставляемые услуги связи; допустимые соотношения сигнал-шум и количества ошибок для каждой предоставляемой услуги связи; значения непреднамеренных помех (диапазон частот, вид модуляции); значения параметров искажений вносимых рельефом местности или зданием в котором размещается БСПД; значения различных ИТВ.
В блоке 2 рассчитывают диаграммы распространения сигнала исходя из особенностей местности (или здания) [Планировщик беспроводных сетей Wi-Fi Planner PRO (https://dlink.ru/tools/wi-fi/), Инструменты для хорошего Wi-Fi. Ekahau Pro и другие (https://habr.com/ru/post/448180/)].
В блоке 3 на основании проведенных расчетов определяют места установки основного и резервных приемо-передатчиков БСПД, используемых в качестве легитимных точек доступа к ресурсам единой сети электросвязи.
В блоке 4 формируют модель БСПД, учитывающую основной и резервные приемо-передатчики БСПД, используемые в качестве легитимных точек доступа; типы устройств (телефон, планшет, IoT-устройства и др.) входящих в БСПД и их количество; предоставляемые услуги связи, протоколы сетевого соединения и аутентификации; БСПД приемо-передатчик, используемый для формирования точки доступа созданных злоумышленником и места их установки, источники ИТВ и непреднамеренных помех, а также диапазон изменения ИТВ и непреднамеренных помех.
В блоке 5 моделируют функционирование БСПД, в условиях информационно-технических воздействий и непреднамеренных помех.
Измеряют время обнаружения факта информационно-технических воздействий системой мониторинга [Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)].
Измеряют время принятия решения системой управления сетью об изменении протоколов аутентификации, время изменения протоколов аутентификации при выявлении факта информационно-технических воздействий [Система мониторинга услуги ШПД wiSLA.DSL (http://www.wellink.ru/content/Architecture-of-wisla)].
Измеряют значения параметров ИТВ, при которых происходит переход мобильных устройств входящих с БСПД от легитимной точки доступа, к точке доступа, создаваемой злоумышленником, а также разрыв соединения [Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)].
Измеряют значения параметров ИТВ, влияние ИТВ на процесс предоставления услуг связи [Басан, А. С.Исследование влияния активных сетевых атак на группу мобильных роботов/ А.С.Басан, Е.С.Басан, О.Б. Макаревич, Л.К. Бабенко// Вопросы кибербезопасности. - 2019. - №1 (29). - С.35-44].
Измеренные значения сохраняют в базу данных [Карпова И.П. Базы данных. Курс лекций и материалы для практических заданий. - Учебное пособие. - М.: Питер, 2013 - 240 с.] в блоке 6.
На основании сохраненных данных в блоке 7 определяют порядок применения различных протоколов аутентификации [Шугуров Д.Е. Автоматизированная система по моделированию процедур аутентификации при удаленном взаимодействии. Д.Е. Шугуров, А.А. Юркин Свидетельство о государственной регистрации программы для ЭВМ. Номер заявки: 2016610267. Дата публикации: 09.03.2016], количество предоставляемых услуг связи, последовательность управления предоставляемыми услугами связи и используемых протоколов сетевого взаимодействия.
В блоке 8 осуществляется развертывание сети включающая: установку основного и резервного (резервных) приемо-передающих устройств; установка необходимого программного обеспечения для изменения протоколов аутентификации, сетевого взаимодействия, средств обеспечивающих взаимодействие устройств входящих в БСПД и систем мониторинга и управления БСПД; настройку сетевого оборудования, систем мониторинга и управления БСПД, средств мониторинга.
В блоке 9 осуществляется функционирование БСПД, т.е. обеспечивают подключение мобильных устройств к информационным ресурсам при помощи легитимной точки доступа.
В блоке 10 контролируют время функционирования (
Figure 00000001
) БСПД с заданным (
Figure 00000002
).
Figure 00000003
Если условие (1) выполнено, то функционирование разработанной последовательности действий заканчивается. Если условие (1) не выполнено - в блоке 11 осуществляется мониторинг признаков характеризующих ведение ИТВ [Система мониторинга услуги ШПД wiSLA.DSL (http://www.wellink.ru/content/Architecture-of-wisla), Система обнаружения атак «Форпост» (http://www.rnt.ru/ru/production/detail.php?ID=19)]. Система мониторинга обрабатывает данные от средств мониторинга, устройств входящих в сеть, а также оценивает значения параметров каждого канала связи между основным приемо-передатчиком и устройствами сети.
В блоке 12 осуществляется сравнение измеренных значений параметров характеризующих ИТВ(
Figure 00000004
) с соответствующими допустимыми значениями (
Figure 00000005
):
Figure 00000006
Если условие (2) выполнено, то продолжают мониторинг. Если условие (2) не выполнено в блоке 13 анализируют рабочий диапазон частот, с целью поиска других приемо-передатчиков [Сканер Ekahau Pro 10. Как работать в Ekahau Pro. Делаем радиопланирование вместе. Часть первая «Wi-Fi в офисе» (https://comptek.ru/news/ekahau/5784)].
В блоке 14 на основании сканирования частотного диапазона определяется наличие новых приемо-передающих устройств в районе функционирования сети. Если новых приемо-передающих устройств не выявлено, в блоке 15 система управления сетью передает команду о поэтапном переход с основной рабочей частоты на запасную частоту или активацию дополнительной точку доступа.
В блоке 16 рассчитывают вероятность предоставления выбранных услуг связи в условиях влияния выявленных помех (
Figure 00000007
) [Шорин А.О. Исследование вероятности отказов в предоставлении соединений в сотовых системах связи с учетом мобильности абонентов и замираний сигнала / Технологии информационного общества T-Comm, №10. - 2013. С.120-126.].
В блоке 17 сравнивают рассчитанные значения влияния выявленных помех с допустимыми значениями (
Figure 00000008
):
Figure 00000009
Если условие (3) выполнено, продолжают мониторинг (блок 11). Если условие (3) не выполнено, то в блоке 18 на основании определенных последовательностей действий система управления сетью дает команду на изменение протоколов сетевого взаимодействия (перестройка происходит в блоке 8).
В блоке 19 измеряют значения параметров ИТВ, влияние ИТВ на процесс предоставления услуг связи, время реакции систем мониторинга и управления сетью.
Если выявлено новое приемо-передающие устройство (блок 14), то в блоке 20 изменяют протокол аутентификации, применяемой устройством сети (на основании данных из блока 7).
В блоке 21 проводят дополнительную аутентификацию между приемопередатчиком и устройствами сети.
Если легитимность дочки доступа подтверждена (блок 22), то продолжается мониторинг (блок 11). Если легитимность точки доступа не подтверждена, в блоке 23 устройство блокирует передачу и прием данных до ввода дополнительных команд.
Если во время функционирования сети произошел разрыв соединения между приемопередатчиком и мобильным устройством, входящим в сеть (блок 24), то процесс установления соединения осуществляется в соответствии с действиями, описанными в блоках 20-23.
Оценка эффективности разработанного способа проводилась на основе испытательного стенда беспроводной сети передачи данных, структурная схема которого представлена на фигуре 2. В качестве сокращений указанных на фигуре 2, приняты следующие:
201 точка доступа 210 мобильное устройство (смартфон, ОС Android)
202 резервная точка доступа 211 мобильное устройство (смартфон, ОС Android)
203 точка доступа, созданная злоумышленником 212 мобильное устройство (смартфон, ОС Android)
204 маршрутизатор 213 мобильное устройство (смартфон, ОС Android)
205 маршрутизатор 214 мобильное устройство (смартфон, ОС IoS)
206 маршрутизатор 215 мобильное устройство (смартфон, ОС IoS)
207 почтовый сервер 216 мобильное устройство (планшетный компьютер, ОС IoS)
208 генератор помех 217 мобильное устройство (планшетный компьютер, ОС Android)
209 персональный компьютер 218 мобильное устройство (ноутбук, ОС Windows)
220 персональный компьютер 219 мобильное устройство (ноутбук, ОС Windows)
В ходе испытаний фиксировалось количество мобильных устройств обратившихся к точке доступа имитирующей злоумышленника. При проведении испытаний изменялись места размещения устройства формирования помех и места нахождения мобильных устройств.
Результаты испытаний для способа прототипа представлены в таблице 1 (фиг. 3), для заявленного способа в таблице 2 (фиг. 3). Анализ результатов испытаний, показывает, что среднее количество мобильных устройств подключившихся к точке доступа имитирующую злоумышленника при использовании заявленного способа меньше чем при использовании способа прототипа, исходя из чего следует вывод о том, что заявленный технический результат достигнут.

Claims (1)

  1. Способ защиты мобильных устройств связи, входящих в беспроводные сети передачи данных, от информационно-технических воздействий, заключающийся в том, что осуществляют развертывание беспроводной сети передачи данных путем установки основного приемопередающего устройства; установку необходимого программного обеспечения и настройку сетевого оборудования; обеспечивают подключение мобильных устройств к информационным ресурсам беспроводной сети передачи данных при помощи точки доступа; осуществляют мониторинг признаков, характеризующих ведение информационно-технических воздействий; система мониторинга обрабатывает данные от средств мониторинга, мобильных устройств, входящих в беспроводную сеть передачи данных; сравнивают измеренные значения параметров, характеризующих информационно-технические воздействия, с соответствующими допустимыми значениями; мобильные устройства проверяют легитимность точки доступа; система управления беспроводной сетью передачи данных передает команду о поэтапном переходе с основной рабочей частоты на запасную частоту или активацию дополнительной точки доступа; проводят дополнительную аутентификацию между приемопередатчиком и мобильным устройством сети, отличающийся тем, что вводят исходные данные, характеризующие рабочую частоту, время обнаружения системой мониторинга информационно-технических воздействий, время реакции системы управления беспроводной сетью передачи данных на возникновение признаков, характеризующих информационно-технические воздействия, время передачи команд управления и реакции мобильного устройства на полученную команду от системы управления беспроводной сетью передачи данных; количество мобильных устройств и типов мобильных устройств, входящих в беспроводную сеть передачи данных, используемые протоколы аутентификации, предоставляемые услуги связи, допустимые соотношения сигнал-шум, количество ошибок и длительность задержки для каждой предоставляемой услуги связи, значения параметров непреднамеренных помех, значения параметров искажений, вносимых рельефом местности или зданием, в котором размещается беспроводная сеть передачи данных; значения различных информационно-технических воздействий; рассчитывают диаграммы распространения сигнала исходя из особенностей местности; на основании проведенных расчетов определяют места установки основного и резервных приемопередатчиков беспроводной сети передачи данных, используемых в качестве точек доступа; формируют модель беспроводной сети передачи данных, учитывающую основной и резервные приемопередатчики, используемые в качестве точек доступа; задают типы мобильных устройств, входящих в сеть беспроводного доступа, и их количество; предоставляемые услуги связи, протоколы аутентификации; приемопередатчик, используемый для формирования точки доступа, созданной злоумышленником доступа, и места ее установки, источники информационно-технических воздействий и непреднамеренных помех, а также диапазон изменения информационно-технических воздействий и непреднамеренных помех; моделируют функционирование беспроводной сети передачи данных в условиях информационно-технических воздействий и непреднамеренных помех; измеряют время обнаружения факта информационно-технических воздействий системой мониторинга; измеряют время принятия решения системой управления сетью об изменении протоколов аутентификации, время изменения протоколов аутентификации при выявлении факта информационно-технических воздействий; измеряют значения параметров ИТВ, при которых происходит переход мобильных устройств, входящих с сеть, от точки доступа, созданной злоумышленником, а также разрыв соединения; измеренные значения сохраняют в базу данных; на основании сохраненных данных определяют порядок применения различных протоколов аутентификации, количества предоставляемых услуг связи, последовательность управления предоставляемыми услугами связи и используемых протоколов сетевого взаимодействия; при развертывании сети дополнительно устанавливают резервное приемопередающее устройство, необходимое программное обеспечение для изменения протоколов аутентификации средств, обеспечивающих взаимодействие мобильных устройств, входящих в сеть, с системой мониторинга и управления сетью; настройку сетевого оборудования, систем мониторинга и управления сетью, средств мониторинга; контролируют время функционирования сети, если условие выполнено, то функционирование разработанной последовательности действий заканчивается; система мониторинга обрабатывает и оценивает значения параметров каждого канала связи между основным приемопередатчиком и мобильными устройствами сети; при выявлении признаков информационно-технических воздействий сканируют рабочий диапазон частот с целью поиска других приемопередатчиков; на основании сканирования частотного диапазона определяется наличие новых приемопередающих устройств в районе функционирования сети; рассчитывают вероятность предоставления выбранных услуг связи в условиях влияния выявленных помех; сравнивают рассчитанные значения влияния выявленных помех с допустимыми значениями, если уровень помех ниже допустимого, то продолжают мониторинг, если значения уровня помех превышает допустимое значение, то изменяют протокол сетевого взаимодействия; измеряют значения параметров информационно-технических воздействий, влияние информационно-технических воздействий на процесс предоставления услуг связи, время реакции систем мониторинга и управления сетью; при выявлении нового приемопередающего устройства изменяют протокол аутентификации, применяемый мобильными устройствами сети; если легитимность точки доступа подтверждена, продолжается мониторинг; если легитимность точки доступа не подтверждена, то мобильные устройства блокируют передачу и прием данных до ввода дополнительных команд; если во время функционирования сети произошел разрыв соединения между приемопередатчиком и мобильным устройством, входящим в сеть, то восстановление соединения осуществляется при помощи нового протокола аутентификации.
RU2021106064A 2021-03-10 2021-03-10 Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий RU2757108C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2021106064A RU2757108C1 (ru) 2021-03-10 2021-03-10 Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021106064A RU2757108C1 (ru) 2021-03-10 2021-03-10 Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий

Publications (1)

Publication Number Publication Date
RU2757108C1 true RU2757108C1 (ru) 2021-10-11

Family

ID=78286281

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021106064A RU2757108C1 (ru) 2021-03-10 2021-03-10 Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий

Country Status (1)

Country Link
RU (1) RU2757108C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2809721C2 (ru) * 2022-01-31 2023-12-15 Артем Анатольевич Задорожный Способ по выявлению и локализации устройств, оказывающих негативные воздействия на пользовательские устройства системы связи lte, nr

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050235360A1 (en) * 1999-11-18 2005-10-20 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
RU2370916C1 (ru) * 2005-06-29 2009-10-20 Нокиа Корпорейшн Посредник в локальной сети для удаленно подключенного мобильного устройства, работающего в режиме пониженного энергопотребления
RU2545516C2 (ru) * 2013-07-23 2015-04-10 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Устройство обнаружения атак в беспроводных сетях стандарта 802.11g
RU2602956C2 (ru) * 2014-12-05 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
RU2612275C1 (ru) * 2015-12-09 2017-03-06 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050235360A1 (en) * 1999-11-18 2005-10-20 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
RU2370916C1 (ru) * 2005-06-29 2009-10-20 Нокиа Корпорейшн Посредник в локальной сети для удаленно подключенного мобильного устройства, работающего в режиме пониженного энергопотребления
RU2545516C2 (ru) * 2013-07-23 2015-04-10 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Устройство обнаружения атак в беспроводных сетях стандарта 802.11g
RU2602956C2 (ru) * 2014-12-05 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
RU2612275C1 (ru) * 2015-12-09 2017-03-06 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2809721C2 (ru) * 2022-01-31 2023-12-15 Артем Анатольевич Задорожный Способ по выявлению и локализации устройств, оказывающих негативные воздействия на пользовательские устройства системы связи lte, nr

Similar Documents

Publication Publication Date Title
CN107683617B (zh) 用于伪基站检测的系统及方法
EP1500206B1 (en) System and method for managing wireless devices in an enterprise
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
US8638718B2 (en) Radio base transceiver station and method of connecting the same to network
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
WO2007061167A1 (en) Wireless access point apparatus and a network traffic intrusion detection and prevention method using the same
Jang et al. Catch me if you can: Rogue access point detection using intentional channel interference
US11317277B2 (en) Method, device and system for secure connection in wireless communications networks
Fayssal et al. Anomaly-based behavior analysis of wireless network security
Bettayeb et al. IoT testbed security: Smart socket and smart thermostat
Rak et al. Systematic IoT Penetration Testing: Alexa Case Study.
RU2757108C1 (ru) Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий
KR101366622B1 (ko) 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치
Lidanta et al. Vulnerability analysis of wireless LAN networks using penetration testing execution standard: a case study of cafes in Palembang
Louca et al. A novel Evil Twin MiTM attack through 802.11 v protocol exploitation
Agarwal Rogue twin attack detection: A discrete event system paradigm approach
Dondyk et al. Denial of convenience attack to smartphones using a fake Wi-Fi access point
CN104410971A (zh) 一种无线局域网安全运行方法
Carranza et al. Comparison of wireless network penetration testing tools on desktops and raspberry Pi platforms
EP3531650B1 (en) System, method, and computer program for testing security of a device under test
Simbaña et al. Vulnerability analysis toolkit for IEEE 802.11 wireless networks: a practical approach
CN111698683A (zh) 网络安全控制方法、装置、存储介质及计算机设备
Židková et al. Security of Wi-Fi as a key factor for IoT
CN104363595A (zh) 一种无线局域网安全系统
CN117544960B (zh) 一种基于生成的自动化Wi-Fi协议模糊测试方法