Безпека в бездротових системах самоорганізованих мережах

Інформаційна безпека

Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

п о р

Безпека бездротових самоорганізуючих мереж — це стан захищеності інформаційного середовища бездротових самоорганізованих мереж.

• загальне середовище передачі даних
• всі вузли мережі спочатку рівноправні
• мережа є самоорганізована
• кожен вузол виконує роль маршрутизатора
• топологія мережі може вільно змінюватися
• в мережу можуть вільно входити нові й виходити старі вузли^[1].

• Уразливість каналів до прослуховування і підміни повідомлень, у зв'язку з загальною доступністю середовища передачі, як і в будь-яких бездротових мережах.

• Незахищеність вузлів від зловмисника, який легко може отримати один вузол в розпорядження, оскільки зазвичай вони не перебувають у безпечних місцях, таких як сейфи.

• Відсутність інфраструктури робить класичні системи безпеки, такі як центри сертифікації та центральні сервери, непридатними.

• Топологія, яка динамічно змінюється  вимагає використання складних алгоритмів маршрутизації, що враховують ймовірність появи некоректної інформації від скомпрометованих сайтів або в результаті зміни топології^[1].

Склад атаки: прослуховування пакетів, посланих у відповідності з протоколом маршрутизації.

Переваги атаки: практично неможливо виявити, складно захиститися від таких атак.

Цілі: отримання інформації про взаємодію між вузлами з виявленням їх адрес, про зразкове розташування вузлів, про мережеву топологію.

При пасивних атаках порушується конфіденційність, проте доступність і цілісність залишаються недоторканими.

Склад атаки: використання протоколу маршрутизації для перенаправлення пакетів, що йдуть від або до цільового вузла, через певний вузол.

Мета: ця атака може використовуватися для проведення згодом інших атак, таких як: викидання пакетів або людина посередині.

Чорна діра погіршує доступність, так як після неї починають застосовуватися неоптимальні маршрути. Конфіденційність порушується внаслідок того, що зловмисник має можливість прослуховувати весь цільовий трафік. Також чорна діра дозволяє зловмисникові порушити цілісність переданої інформації^[1].

Склад атаки: створення маршрутів до неіснуючих вузлів.

Мета: переповнення таблиці маршрутизації протоколу, яке б запобігло створення нових маршрутів.

Дана атака може використовуватися в зв'язці з іншими атаками для запобігання зміни маршрутів. Вона завдає шкоди доступності через те, що маршрутні таблиці починають зберігати неактуальну інформацію. Але вона має силу тільки над запобіжними протоколами маршрутизації, які намагаються дізнатися маршрутну інформацію до того, як це необхідно, і то не над усіма.

Склад атаки: схильність сайту не надавати послуги іншим, наприклад, послугу маршрутизації.

Мета: зберегти власні ресурси, наприклад, заряд батареї.

Проблема егоїстичності вузлів нова й особливо актуальна для самоорганізованих мереж, так як вузли належать різним адміністративним доменам. Дана атака негативно впливає на доступність.

Склад атаки: схильність вузла використовувати спільні ресурси більше інших, наприклад середовище передачі даних.

Мета: задовольнити власні потреби без урахування збитковості положення інших вузлів.

По суті, жадібність і егоїстичність — дві сторони однієї монети. Дана атака негативно впливає на доступність.

Склад атаки: підвищення потужності роботи цільового вузла шляхом примушення його здійснювати додаткові дії.

Мета: витратити енергію цільового вузла, які є в запі  його джерела живлення.

Побічним ефектом випробування безсонням є порушення доступності. Для здійснення цієї атаки можуть бути використані інші, наприклад чорна діра, для направлення великого трафіку на цільовий сайт.

Склад атаки: посилка маршрутних повідомлень, які б приводили до отримання деякої інформації про топологію мережі.

Мета: відновлення топології прилеглої мережі або відновлення ланцюжка вузлів, розташованих на маршруті до цільового вузла, шляхом аналізу отриманої інформації.

При наявності інформації про розташування деяких вузлів, можна обчислити приблизне розташування інших. Дана атака порушує конфіденційність^[1].

Склад атаки: підробка ідентифікації.

Мета: змусити інші вузли вважати вузол, що проводить атаку, не тим, чим він є насправді.

Успішно провівши атаку, зловмисник отримує можливість проводити які-небудь дії від чужого імені, тим самим порушується конфіденційність.

Склад атаки: «засмічення» каналу передачі даних сторонніми шумами.

Мета: зробити неможливим передачу даних через цей канал.

Дана атака порушує доступність.

Мотивації: відсутні.

Цілі: пожартувати над оточуючими, отримати порцію адреналіну від здійснення незаконних дій.

Характер дій: діє спонтанно, схильна застосовувати легкоздійснені атаки, які не вимагають великих витрат часу, здебільшого це DoS-атаки або атаки на загальновідомі уразливості, зазвичай використовує готовий софт, що здійснює атаку.

Мотивації: поява інтересу й отримання нової інформації про протоколах, уразливість і т. ін.

Цілі: перевірити свої можливості і здібності.

Характер дій: намагається діяти так, щоб дії не мали негативних наслідків для кого-небудь і, по можливості, були б не помічені.

Мотивації: отримання особистої вигоди.

Цілі: отримання конфіденційної інформації має важливе значення (наприклад, паролі, номери рахунків і т. ін.), здійснення яких-небудь дій від чужого імені (з метою розкриття конфіденційної інформації, здійснення провокації і т. ін.).

Характер дій: всі дії цілеспрямовані, використовує уразливості в повній мірі, намагається приховати сліди або направити розслідування по хибному шляху.

Мотивації і Цілі: аналогічні «кваліфікованому порушникові».

Характер дій: атаки здійснюються групою з метою використовувати уразливості до наявності більш ніж одного скомпрометованого вузла^[1].

TESLA — протокол передавання аутентифікації повідомлень маршрутизації. У цьому протоколі всі вузли вибирають довільний початковий ключ K_N, генерують по ньому ланцюжок ключів, шляхом повторного обчислення однобічної геш-функції (K_N-1 = H[K_{, N}]). Тепер для аутентифікації будь-якого отриманого значення, потрібно обчислити значення цієї ж геш-функції від нього і перевірити чи збігається воно з попереднім відомим достовірним значенням в ланцюжку.

Доступність серверів, що надають сервіси, які  забезпечують безпеку в мережі, такі як центри сертифікації, через деяку кількість вузлів, забезпечить доступність сервісу навіть у разі, коли невелика частина цих вузлів буде скомпрометована.

Для забезпечення стійкості до збоїв серверів, зазвичай застосовують такі механізми, як репліковані сервера і кворумні системи, але вони підвищують ймовірність розкриття секрету, внаслідок компрометації одного з серверів. Схема розподілу секрету між серверами бореться з цією проблемою таким чином, що секрет може бути відновлений тільки у випадку, якщо достатня кількість часток секрету буде отримана з серверів. Для цих цілей можна використовувати розподілену криптосистему^[1].

Розділення секрету не захищає від зловмисника, який пересувається від сервера до сервера, атакуючи, компрометуючи і контролюючи їх, так як через деякий час він зможе зібрати достатню кількість інформації, щоб відновити секрет. Створення серверами нового, незалежного набору часток і заміна ними старого, рятує ситуацію, оскільки нові частки не можуть бути зіставлені зі старими для розкриття секрету. Для розкриття секрету зловмисникові потрібно буде скомпрометувати достатню кількість серверів між двома послідовними оновленнями часток.

Оновлення часток може бути узагальнене і на той випадок, коли нові частки будуть розподілені між іншим набором серверів і, можливо, навіть з іншою конфігурацією. Це узагальнення дозволяє сервісу адаптуватися до випадків, коли певні сервера скомпрометовані перманентно, або коли сервіс виявляється в більш недружній обстановці.

Для підтримки досяжності слід знаходити і підтримувати різні шляху між двома вузлами, щоб невелика кількість скомпрометованих сайтів не змогла підірвати всі шляхи.

Навіть захищений протокол виявлення маршрутів, який запобігає спробі обману скомпрометованими вузлами, нічого не зможе вдіяти, якщо скомпрометовані вузли скооперуються під час виявлення маршрутів, однак при передачі повідомлень обчислити їх через їх некоректну роботу буде легко.

Ця схема полягає в тому, що для кожного призначення вузол підтримує імовірнісний розподіл по всіх сусідах. Цей розподіл засновано на відносній ймовірності того, що даний сусід передасть і в кінцевому рахунку доставить повідомлення до адресата. На кожному хопі повідомлення передається конкретному сусідові з якоюсь ймовірністю, ґрунтуючись на ймовірнісному розподілі досяжності сайту. Таким чином підтримуються різні шляхи. Також передача повідомлень сама по собі забезпечує відгук для коригування імовірнісного розподілу. Наприклад, підписане підтвердження про доставку повідомлення буде позитивним відгуком про досяжності по шляху, по якому його відправляли. Таким чином схема є самокорегованою^[1].

• Інформаційна безпека
• Несанкціонований доступ
• Запобігання витоків

• Безпека маршрутизації в бездротових Ad Hoc мережах. Протоколи SRP, ARAN.
• Ariadne: A Secure On-Demand Routing Protocol for Ad Hoc Networks(англ.)
• Report on a Working Session on Security in Wireless Ad Hoc Networks [Архівовано 11 серпня 2017 у Wayback Machine.](англ.)