Технологии и методы защиты инфокоммуникационных систем и сетей

Москва
Горячая линия – Телеком 
2021

Рекомендовано Редакционно-издательским советом 

федерального государственного бюджетного 

образовательного учреждения высшего образования 
«Московский авиационный институт (национальный 

исследовательский университет)» в качестве учебного 

пособия

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
    К26 

Р е ц е н з е н т ы: кафедра «Информационная безопасность» Государственного 

бюджетного образовательного учреждения высшего образования Москов-
ской области Технологический университет (МГОТУ); доктор техн. наук, 
профессор, начальник отделения АО «Российские космические системы»  
В. М. Ватутин 

Карпухин Е. О. 
К26     Технологии и методы защиты инфокоммуникационных систем 
и сетей. Учебное пособие для вузов. – М.: Горячая линия – 
Телеком, 2021. – 120 с.: ил. 
ISBN 978-5-9912-0896-3. 

Приведены проблемы безопасности локальной беспроводной сети 

стандартов IEEE 802.11 и пример ее защиты на основе технологии WPA3. 
Рассмотрены задачи аудита безопасности в инфокоммуникационных сис-
темах с использованием SIEM-систем. Представлены методы аутентифи-
кации пользователя как на основе парольных, так и биометрических сис-
тем. Отдельное внимание уделено технологиям единой аутентификации на 
нескольких Интернет-ресурсах. Показаны методы и средства выявления 
уязвимостей и защиты локальных сетей, а также предотвращение утечек 
информации в телекоммуникационных системах. Сделан акцент на защи-
ту инфокоммуникационных систем от атак класса «отказ в обслужива-
нии». Для знакомства читателей с методами и средствами надежного и 
безопасного хранения данных рассмотрена технология резервного копиро-
вания путем децентрализованного распределения файлов по устройствам. 
Особое место в пособии уделено проблемам обеспечения безопасности за-
щищенного соединения с использованием протокола HTTPS и мобильных 
устройств в открытых сетях. Приведены методы, технологии и средства 
защиты веб-ресурсов от актуальных угроз.  

Для студентов, обучающихся по направлениям подготовки 10.03.01 – 

«Информационная безопасность», 10.05.02 – «Информационная безопас-
ность телекоммуникационных систем», 11.03.02 и 11.04.02 – «Инфокомму-
никационные технологии и системы связи». 

ББК 32.973.2-018.2я73 

Учебное издание
Карпухин Евгений Олегович 
Технологии и методы защиты инфокоммуникационных систем и сетей 
Учебное пособие для вузов

Тиражирование книги начато в 2020 г.

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами без письменного разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
©  Е.О. Карпухин

Введение

Проблемы безопасности инфокоммуникационных систем затра-
гивают множество составляющих — от защиты локальных сетей,
в том числе беспроводных, до внедрения методов и средств защи-
ты на мобильные устройства и Интернет-ресурсы. Важно не толь-
ко обеспечить постоянную защиту инфокоммуникационной системы
и предотвратить утечку конфиденциальной информации, но и ре-
ализовать непрерывный аудит событий безопасности, включающий
подсистемы идентификации и аутентификации, резервного копиро-
вания и так далее.
Необходимо проектировать системы, которые могут адаптиро-
ваться к различного рода атакующим воздействиям злоумышленни-
ка, наиболее опасным из которых является нарушение целостности
и доступности сетевых ресурсов, поэтому большой интерес представ-
ляют методы и технологии противодействия атакам класса «отказ
в обслуживании». Также стоит учитывать наличие уязвимостей у
тех технологий, которые используются для обеспечения безопасно-
го информационного взаимодействия.
Наиболее ярким примером
этого являются проблемы с безопасностью протокола HTTPS и его
составляющих, которые достаточно широко используются в инфо-
коммуникационных системах.
Каждая глава учебного пособия посвящена решению представ-
ленных выше проблем в области информационной безопасности ин-
фокоммуникационных систем.
Для этого в нем приведен набор
методов, технологий и средств, позволяющий противодействовать
угрозам различным составляющим инфокоммуникационной систе-
мы. Также представлены примеры, иллюстрирующие обеспечение
безопасного информационного взаимодействия в таких системах.
Безопасность локальных сетей, обычно включающих в себя бес-
проводной сегмент с технологией Wi-Fi, является основой при про-
ектировании защищенных инфокоммуникационных систем. Отсут-
ствие надежной защиты беспроводного соединения несет серьезную
угрозу всем устройствам такой сети: от серверов и рабочих станций
до интегрированных в нее мобильных устройств. Именно поэтому в
первой главе уделено внимание технологии WPA3, внедрение кото-
рой в ближайшие годы существенно улучшит безопасность беспро-
водных сетей стандартов IEEE 802.11.

Введение

SIEM-системы широко применяются для аудита различных со-
ставляющих инфокоммуникационной системы, что нашло отраже-
ние во второй главе данного пособия. Одной из таких составляющих
является подсистема идентификации и аутентификации пользовате-
лей, рассмотренная в третьей главе. В ней подробно описаны био-
метрические методы аутентификации, приведены их достоинства и
недостатки, а также варианты реализации единой аутентификации
на нескольких Интернет-ресурсах, как правило, основанной на ис-
пользовании пароля, что также отображено в главе.
Особую роль в инфокоммуникационной системе играет прото-
кол HTTPS, который используют многие прикладные процессы и
сервисы. Однако у него есть несколько слабых мест, на которые мо-
жет быть успешно реализована атака. Методам и технологиям про-
тиводействия этим атакам отведена б´ольшая часть четвертой главы.
В пятой главе рассмотрены модели использования мобильных
устройств сотрудниками организации в контексте обеспечения ин-
формационной безопасности. В ней приведены угрозы информаци-
онной безопасности мобильных устройств при их интеграции в сеть
предприятия, а также технологии управления ими и обеспечения их
защиты.
Шестая и седьмая главы посвящены широко распространен-
ным средствам обнаружения уязвимостей и противодействия сете-
вым атакам — сканерам уязвимостей, межсетевым экранам и сис-
темам предотвращения утечки информации. Межсетевые экраны
широко применяются для защиты инфокоммуникационных систем
от атак класса «отказ в обслуживании», разновидности и методы
противодействия которым представлены в восьмой главе.
Без надежного и безопасного хранения данных нельзя в пол-
ной мере обеспечить конфиденциальность и целостность информа-
ции в инфокоммуникационной системе. В девятой главе рассмот-
рена структура системы хранения данных, предъявляемые к ней
требования и технологии резервного копирования. Особое внима-
ние уделено технологии резервного копирования путем децентрализованного 
распределения файлов по устройствам с использованием
peer-to-peer системы хранения данных.
Последняя глава содержит наиболее распространенные и актуальные 
уязвимости веб-ресурсов, приводящие к реализации атак. В
ней приведены методы, технологии и средства защиты от таких атак
с учетом широкого применения спецификации HTML5.

Защита локальной беспроводной сети
стандартов IEEE 802.11

Набор стандартов IEEE (Institute of Electrical and Electronics
Engineers) 802.11 является основой для беспроводной связи в ограниченной 
области (локальной сети).
802.11 является первым отраслевым 
стандартом для беспроводных локальных сетей WLAN.
Стандарт разработал IEEE в 1997 году. Наибольшую популярность
получили беспроводные сети стандарта IEEE 802.11b/g/n, на очереди 
IEEE 802.11ac и IEEE 802.11ax.
Стандарты IEEE 802.11 используют соединение по радиоканалам 
на следующих частотах:
• 2,4 ГГц (полоса частот 2400...2483,5 МГц);
• 5 ГГц (диапазон частот 5,180...5,240 ГГц и 5,745...5,825 ГГц).
Безопасная передача данных по сетям стандарта 802.11 обеспечивается 
рядом технологий и протоколов, таких как WEP, WPA,
WPA2 и WPA3, которые управляют аутентификацией пользователей, 
шифрованием и обеспечением целостности сетевого трафика.
Первые две из них являются устаревшими, и производители про-
граммного и аппаратного обеспечения отказываются от их поддерж-
ки [1, 2].
Стандарт WPA2 исправлял уязвимости, обнаруженные в стан-
дарте WEP. В конце 2004 года основные проблемы безопасности се-
тей стандарта 802.11 были решены. В 2006 году WPA2 начал актив-
но внедряться во все виды оборудования и стал главным требовани-
ем для всех устройств с поддержкой Wi-Fi.
Набор стандартов IEEE 802.11 рассматривает четыре варианта
аутентификации: аутентификация для систем с открытым ключом
(Open Authentication), аутентификация с общим ключом (Shared
Key Authentication), WPA2-PSK с предустановленным ключом и
WPA2-Enterprise с аутентификацией на RADIUS-сервере.
Долгое время основными способами взлома беспроводных се-
тей, использующих WPA2, были взлом PIN-кода при использовании
технологии WPS или атака методом полного перебора. Для защи-
ты достаточно было отключить WPS и установить сложный пароль.
В связи с этим до недавнего времени технология WPA2 считалась

Г л а в а 1

надежной. Со временем у WPA2 были выявлены проблемы, тре-
бующие существенных изменений стандарта. Одной из них явля-
ется уязвимость KRACK [3], которая предоставляет атакующим не
только возможность перехвата пакета с данными в беспроводном
соединении, но и внедрение своих. После критической уязвимости
KRACK стандарта WPA2 Wi-Fi Alliance начал разработку стандарта
безопасности WPA третьего поколения, чтобы повысить защищен-
ность информационного взаимодействия.
Стандарт WPA3 постепенно внедряется производителями уст-
ройств, заменяя действующий стандарт WPA2. Он исправляет ра-
нее принятые решения, которые не прошли проверку временем.
Набор технологий WPA3 имеет следующие преимущества:
• WPA3 благодаря индивидуальному шифрованию сетевых паке-
тов повышает конфиденциальность передаваемых пользовате-
лями данных в открытых сетях;
• встроены механизмы защиты от атаки методом полного пере-
бора;
• внедрение облегченной настройки для устройств Интернета ве-
щей (IoT). Теперь пользователь имеет возможность благодаря
телефону или планшету настроить параметры Wi-Fi WPA3 на
устройствах без экрана;
• внедрен модернизированный криптографический стандарт для
сетей Wi-Fi, так называемый 192-разрядный пакет безопаснос-
ти [4].
Поскольку сети Wi-Fi различаются по целям использования и
требованиям безопасности, WPA3, как и WPA2, включает два про-
филя:
WPA3-Personal и WPA3-Enterprise.
Пользователи WPA3-
Personal получают надежную защиту от попыток подбора пароля,
в то время как пользователи WPA3-Enterprise теперь могут исполь-
зовать протоколы безопасности более высокого уровня.
WPA3-Enterprise обеспечивает значительно более высокие тре-
бования по защите сети, предоставляя криптографические протоко-
лы с применением минимум 192-битных ключей и криптографичес-
кие инструменты для защиты данных [5]:
• 256-битный протокол GCMP-256 для шифрования;
• формирование и подтверждение ключей:
384-битный режим
HMAC с безопасным хешированием по протоколу HMAC-
SHA384;
• обмен ключами и аутентификация: обмен ключами по прото-
колу ECDH и формирование цифровой подписи по алгоритму
ECDSA на 384-битной эллиптической кривой;

Защита локальной беспроводной сети стандартов IEEE 802.11
7

• устойчивое управление защитой фреймов: 256-битный протокол
проверки целостности фреймов BIP-GMAC-256.
WPA3-Personal обеспечивает лучшую защиту для пользовате-
лей, обеспечивая более надежную аутентификацию на основе па-
ролей.
В WPA2 существует острая проблема, связанная с использова-
нием слабых паролей. В случае если пользователь устанавливает
простой или короткий пароль на беспроводную сеть, то его с лег-
костью можно было найти благодаря автоматизированным атакам
с использованием словарей, например Dictionary attack или Brute-
Force attack. В WPA3 принимаются меры, которые позволяют пре-
пятствовать подобным атакам. Эта возможность появилась благода-
ря одновременной аутентификации равных SAE, которая заменяет
протокол PSK в WPA2-Personal. Эта технология устойчива к атакам
по словарю в автономном режиме, когда злоумышленник пытается
определить предустановленный ключ сети, пробуя возможные паро-
ли без дальнейшего взаимодействия с сетью. Значительное улучше-
ние заключается в том, что SAE не передает хеш пароля в открытом
виде [6].
В табл. 1.1 приведено сравнение технологий защиты набора
стандартов 802.11.
Проанализировав новую технологию, можно сделать вывод, что
она обеспечивает более высокий уровень защиты, ведь WPA3 под-
держивает более надежный метод аутентификации SAE и поэтому
не восприимчива к атаке KRACK. Также технология обеспечивает
защиту даже при выборе ненадежных паролей, так как она проти-
водействует атаке с применением «грубой» силы.
Таким образом, технология WPA3 является более совершенной,
надежной и удобной в использовании. Разработка WPA3 — это боль-
шой шаг на пути к совершенствованию безопасности беспроводных
сетей.
Внедрение технологии WPA3 в массы будет происходить в те-
чение нескольких ближайших лет. Это происходит, поскольку пока
сертификация устройств для WPA3 не обязательна по правилам Wi-
Fi Alliance, а происходит по желанию производителей.
Технология WPA3 работает в двух режимах: WPA3-Enterprise
для корпоративного использования и WPA3-Personal для домашних
сетей. Однако все сети, которые используют WPA3, запрещают ис-
пользование устаревших протоколов, но в то же время используют
одновременно PMF (Protected Management Frames). Иными слова-
ми, WPA3 «очищает» технологию от более слабых решений.
Со-

Г л а в а 1

Таблица 1.1
Сравнение технологий защиты беспроводной сети 802.11

Технология
WEP
WPA
WPA2
WPA3
защиты

Алгоритм шифро-
вания

RC4
RC4
AES
GCMP-256

Протокол шифрова-
ния

Статиче-
ский ключ

TKIP
CCMP
OWE

Аутентификация
Общий ключ
EAP или
общий ключ

EAP или
общий ключ

SAE

Длина ключа, бит
64/128
128
256
384

Длина вектора ини-
циализации, бит

24
48
128
–

Целостность данных


32-битный
ICV

64-битный
MIC

CRT/CBC
256-битный

BIP-
GMAC-256

Обмен ключами
Однократный,
вручную

PMK
PMK
ECDH и
ECDSA

Сервер аутентификации

–

Radius
Radius
Radius

Уязвимости
Не используются 
средства 
защиты 
от перехвата,

технология 
признана
небезопасной
и устаревшей

Взлом
PIN-кода при
использовании 
технологии 
WPS;
Brute Force
attack;
Dictionary
attack

Взлом
PIN-кода при
использовании 
технологии 
WPS;
Brute Force
attack;
Dictionary
attack;
KRACK

–

ответственно, через некоторое время все устройства будут обладать
защитой не ниже WPA3.
Впрочем, пока происходит сертификация устройств и длится
переход на новую технологию, WPA3 будет совместима c WPA2, так
как устройства с поддержкой технологии будут появляться постепенно.

Из-за этой совместимости устройства с WPA3 имеют возможность 
подключиться к сетям, использующим WPA2. Но защита
обеспечивается по WPA3 только при условии, что сеть и устройства
поддерживают наборы протоколов WPA3. Так, например, недавно
были обновлены дистрибутивы Linux. В последней версии OpenWrt
18.06.02 в программном пакете hostapd существует реализация протокола 
аутентификации SAE. Благодаря этому обновлению пользователи 
имеют возможность создавать точку доступа с WPA3 и
подключаться к ней.

Защита локальной беспроводной сети стандартов IEEE 802.11
9

Задание
Создайте защищенную беспроводную сеть Wi-Fi, используя точку 
доступа с прошивкой OpenWRT 18.06.2 и ноутбук (компьютер с
поддержкой стандарта 802.11) с дистрибутивом Arch Linux.
И то, и другое устройство используют дистрибутивы Linux. Все
они используют hostap для поддержки функций стандартов 802.11.
Hostap делится на два компонента:
• hostapd, позволяющий запустить точку доступа;
• wpa supplicant, который позволяет подключаться к существующим 
точкам доступа.
Настройки hostapd контролируются конфигурационным файлом 
со стандартным именем hostapd.conf. Поддержка SAE может
быть добавлена при помощи изменения ключа wpa key mgmt.
Однако OpenWRT не использует редактирование конфигурационных 
файлов напрямую.
Вместо этого он использует UCI (веб-
интерфейс роутера), который является промежуточным звеном
между пользователем и hostapd.conf. Утилита UCI позволяет редактировать 
конфигурационные файлы, считывать из них информацию 
и сразу применять изменения. Точнее, OpenWRT анализирует /
etc/config/wireless, который отвечает за конфигурацию Wi-Fi
и создает hostapd.conf.
Файл, который выполняет эту задачу, хранится в /network/ser-
vices/hostapd/files/hostapd.sh.
Теперь надо найти исполняемый
файл на устройстве для запуска этого процесса. Для этого используется 
утилита поиска файлов по имени (find):

# find / -name hostapd.sh
/lib/netifd/hostapd.sh
/overlay/upper/lib/netifd/hostapd.sh
/rom/lib/netifd/hostapd.sh

Теперь найдем путь к hostapd.conf:

# find / -name *hostapd*.conf
/tmp/run/hostapd-phy0.conf

Используя grep, можно выделить установленный ключ конфигурации:

# 
grep wpa key mgmt /tmp/run/hostapd-phy0.conf
wpa key mgmt= WPA-PSK

Отредактируем /lib/netifd/hostapd.sh, чтобы добавить SAE к
этому ключу. Внутри функции hostapd append wpa key mgmt можно 
добавить строку

Г л а в а 1

Рис. 1.1. Файл журнала отладки

append wpa key mgmt "SAE"

Теперь мы можем выполнить /etc/init.d/network restart для запуска
скрипта.
После запуска команды ключ wpa key mgmt должен содержать
"SAE".
Теперь, для того чтобы появилась сеть Wi-Fi, остается только
установить расширенную версию wpad (wpad-mesh):

opkg install wpad-mesh

Наконец, надо перезапустить роутер. Проверка журнала отладки 
сообщит нам, что сеть Wi-Fi была настроена успешно (рис. 1.1):

hostapd: wlan0: interface state ACS-> ENABLED

Теперь сеть совместима с SAE.
Следующим этапом необходимо подключиться к точке доступа,
к которой была добавлена поддержка SAE. Начиная с версии 2.7,
wpa supplicant, при помощи которого производится подключение к
Wi-Fi-сети, поддерживает SAE.
Подключение к сети выполняется при помощи wpa cli — утилиты 
командной строки, которая может быть использована для интерактивной 
настройки запущенного wpa supplicant.
Далее надо выполнить подключение к сети с использованием
метода аутентификации SAE. Для начала надо включить wpa sup-
plicant для модема (wlp1s0) и зайти в интерактивный режим wpa cli
для взаимодействия с сетью:

#wpa supplicant -B -i wlp1s0 -c /etc/wpa supplicant/
wpa supplicant.conf
#wpa-cli

Будет отображено приглашение для ввода команд (>). Для сканирования 
доступных беспроводных сетей используется команда scan,
для вывода результата сканирования — scan results.
Для добавления сети (в нашем случае «NIPO») необходимо добавить 
конфигурацию и запустить ее, а именно:
• добавляется профиль (каждая сеть нумеруется с нуля, поэтому
первая сеть имеет индекс 0);
• указывается ssid (название беспроводной сети);