Аномалии и угрозы в беспроводных сетях при передаче 1Р-приложений
Проанализированы методы защиты информации. Показано, что традиционные средства защиты информации могут быть не эффективны в случае появления принципиально новых классов угроз и непредсказуемых аномалий, встречаемых в широкополосных беспроводных сетях. Показана необходимость разработки инновационных технологий безопасности передачи информации, с учетом необходимости защиты не только собственной сети и пользователей, но и не нарушение работы соседних сетей. Осуществлен анализ основных угроз и аномалий, характерных для беспроводных сетей. Показано, что эффективной защиты от атак типа "отказ в обслуживании" в беспроводных сетях в настоящее время не существует. Статистические методы для обнаружения нарушений в сети, основаны на сравнении статистических характеристик потока пакетов, в среднем в течение относительно короткого периода времени (локальные характеристики), с соответствующими характеристиками в течение длительного периода Ключевые слова: беспроводная сеть, времени (глобальные характеристики). Если местные характеристики сильно отличаются от соответству-
аномалии, атака, отказ в обслуживании, ющих глобальных характеристик, это указывает на аномальное поведение потока пакетов, и вполне
перегрузка сети. вероятно, попытка сканирования сети или сетевой атаки.
Шелухин О.И., зав. Кафедрой ЗИТПС
Симонян А.Г., доцент кафедры ЗИТПС
Иванов Ю.А., ведущий специалист
ООО "Инженерный Центр "ЭНЕРГОАУДИТКОНТРОЛЬ"
В последние годы наблюдаются развитие и бурный рост технологий, использующих в качестве транспорта беспроводные технологии, что привело к повсеместному распространению беспроводных сетей. Это в свою очередь привело к возникновению новых типов аномалий, характерных для беспроводных сетей. Сегодня беспроводные сети обеспечивают абонентам полноценный широкополосный доступ с мобильных устройств. Увеличение данных услуг, как и ожидалось, вызвало увеличение передаваемого трафика в радиосетях операторов. Однако, существенное увеличение вызвано передачей одинаковых пакетов, которые в свою очередь могут потреблять довольно большие ресурсы сети, в независимости от того как определенные приложения передают пакеты. В результате этого происходит неэффективное использование сети, частыми становятся неожиданные перегрузки и отключения электричества. Одним из решений таких проблем является разделение трафика и непрерывный контроль за работой сети, что позволит упростить управление сетью. Немалый спрос на беспроводные сети быстро преобразовал их в традиционные 1Р сети. Большинство мобильных устройств сегодня умеют не только работать с протоколом 1Р, но фактически используется для получения доступа к Интернету и запуска различных высокоскоростных приложений.
Быстрое развитие сетей и использующих их абонентов - от простого трафика (например, голосовой трафик) к передаче различного контента (такого как данные/голос/видео/местоположение) -требует использование высокопроизводительных беспроводных сетей широкополосного доступа с учетом минимальных вложений.
В отличие от проводной сети, при организации беспроводной связи необходимо учитывать связанные с этим риски, поскольку возможность получения несанкционированного доступа к внутренней локальной сети, имеющей конфиденциальные данные, с любого места является объектом повышенного внимания злоумышленников. Поэтому, крайне важно понимание основных достоинств и недостатков беспроводных сетей и отличие их от проводных. Преимущества беспроводных сетей очевидны [1, 4]: это быстрое развертывание, малая стоимость, мобильность и масштабируемость. Однако, особое внимание следует уделить недостаткам [2,3]:
• незарегистрированные в беспроводной сети и соответственно
потенциально небезопасные точки доступа AP (от англ. Access Points). Такие точки доступа могут представлять потенциальную угрозу безопасности всей сети. Злоумышленники могут воспользоваться слабостью или отсутствием безопасности беспроводной сети для получения доступа к локальной сети или для сбора информации с беспроводных клиентов.
• не настроенные должным образом точки доступа могут передавать уникальный идентификатор беспроводной сети SSID (от англ. Service Set Identifier), который позволяет отличать одну беспроводную сеть от другой. В настройках всех устройств, которые должны работать в одной беспроводной сети, должен быть указан одинаковый SSID. Если в настройках устройств настроена передача идентификатора SSID в эфир, то беспроводная сеть является широковещательной сетью, если SSID не передается в эфир, то нешироковещательной. Таким образом, получение этой информации позволит злоумышленникам получить доступ к сети.
• перегрузки сети. Скорость беспроводных сетей меньше по сравнению с проводными сетями, поэтому любая перегрузка в беспроводной сети влияет на производительность WLAN.
При построении беспроводных каналов связи между определенными устройствами или сетями возникает огромное число как физических, так и архитектурных проблем. Соответственно, операторы беспроводных сетей обычно обеспокоены управлением количества голосовых вызовов и времени разговора, которое поддерживается сетью радио доступа RAN (от англ. Radio Access Network). Однако при трансляции дополнительных данных по беспроводным сетям необходимо, чтобы операторы одновременно управляли и оптимизировали использование RAN (в минутах) и объема трафика (в байтах).
Данные некоторых приложений используемые на сегодняшний день не были разработаны с учетом использования их в радиосетях, в частности на участке последней мили. В результате они могут потреблять больше ресурсов RAN, даже при небольшом количестве пересылаемой информации. Это не проблема при условии бесконечности используемых ресурсов RAN. Однако, может быть так, что обычные IP приложения могут легко вызвать перегрузку определенной части сети, чувствительной к объему передаваемого трафика и/или времени передачи. Сегодня, непредсказуемый поток данных сильно влияет на производительность сети, в отличие от предсказуемых услуг передачи голоса. Поэтому для организации беспроводных технологий требуются новые решения и технологии.
Для решения этих вопросов важно понимание как контроллеры беспроводных сетей RNC (от англ. Radio Network Controller), обрат-
ные каналы и базовые станции могут перегружаться, из-за причин и воздействий каждого типа. Приложения данных, отличающиеся активностью связи, производят широкие некоррелированые изменения в объемах трафика, времени эфира и сигнальных событий.
Для отправки и получения данных, мобильные устройства должны иметь активное соединение с сетью радиодоступа. Большинство мобильных устройств, однако, не поддерживают активную ВЧ-связь с сетью, даже при наличии у них активного 1Р-адреса. Причина этого проста. Если устройство непрерывно поддерживает активную ВЧ-связь с сетью, батарея мобильного телефона разрядится в течение нескольких часов, тогда как, при нечастом соединении, мобильное устройство может оставаться в режиме ожидания несколько дней. Для экономии потребляемой энергии, устройство соединяется с ВЧ-сетью только при отправке или получении пакетов; в противном случае переходит в дежурный режим.
Каждое ВЧ-соединение потребляет ресурсы сети на всем протяжении, является ли это частью частотного спектра, мощности базовой станции, или ресурсов процессора в РЫС, в независимости от количества переданных или полученных данных. Это все должно тщательно контролироваться для избежания взаимных помех и перегрузок на участке последней мили. Чтобы увеличить срок службы аккумулятора и контролировать ресурсы сети, мобильные устройства обеспечивают активную ВЧ-связь с сетью только при необходимости отправки или получения пакетов.
Когда неработающему устройству необходимо отправить или получить данные, оно устанавливает активную ВЧ-связь с сетью используя серию из примерно 50 сигнальных сообщений. После того, как будет передан последний пакет данных, сеть прекращает соединение и устройство перейдет в дежурный режим. При необходимости отправить данные на неактивное на данный момент мобильное устройство, требуется новое соединение, и процесс сигнализации запускается снова.
Так происходит при передаче голоса. Однако, приложения передают данные способами, отличающимися от передачи голоса, следующим образом:
• непрерывно, как и в случае передачи файлов;
• равномерно;
• неравномерно (нерегулярно), как в случае и чтения абонентом различных веб-страниц. Различное использование приложениями способов передачи данных с мобильного устройства может оказать сильное влияние на ресурсы беспроводной сети. Их можно описать следующими примерами [5].
Аномальное использование сигнализации. Предположим, что в режиме ожидания таймер беспроводной сети установлен на десять секунд, а установление сессии происходит с помощью дополнительной сигнализации и отправки единственного пакета каждые 11 с. Спустя десять секунд, сессия заканчивается, поскольку больше пакетов не отправлялось, и устройство бездействует. Однако, через каж-
дые 11 секунд, т.е. спустя одну секунду после бездействия устройства, сеть заново возобновляет связь для отправки следующего пакета. За один час работы такое приложение отправляет 330 пакетов или порядка 13 КБ, потребляя по крайней мере 54 минуты срока службы аккумулятора мобильного устройства и эфирного времени при отправке 330 сигнальных событий.
Аномальное использование эфирного времени. Используется то же самое приложение, как и в предыдущем примере, за исключением, что передача производится чаще и в меньшем интервале, чем у таймера ожидания - например, каждые пять секунд. В этом случае, один пакет передаваемый каждые пять секунд, не гарантирует, что устройство не перейдет в режим ожидания и поэтому ресурсы сети активно используются мобильным устройством. За один час приложение передает 720 пакетов или 28.8 КБ, потребляет 60 минут работы аккумулятора устройства и эфирного времени, и отправляет только одно сигнальное сообщение.
Аномальное использование полосы пропускания. Беспроводная сеть предназначена для поддержки мобильных широкополосных сетей, где устройства получают и загружают данные. Однако, некоторые приложения требуют огромной полосы пропускания; например, размер видео-файла легко может превысить 1 Гб. При1.5 Мбит/с для загрузки такого видео, потребовалось бы не менее 1,5 часов непрерывных сессий ВЧ-связи. Вышеупомянутые примеры1 демонстрируют чрезвычайное изменение объемов трафика и сигнальных событий. В зависимости от таймера ожидания сети, условий загрузки и максимальной загружаемой скорости, во время потребления одного часа фактического эфирного времени ВЧ-сеть может столкнуться с передачей от15 КБ до 675 000 КБ и от1 до 330 сигнальных событий.
Типы и причины перегрузок в беспроводных сетях
Данные некоторых приложений могут оказать существенное влияние на передачу данных в беспроводной сети и в определенных случаях могут привести к ухудшению работы или к отключению сети. На рис.1 представлены! наиболее уязвимые места в структуре сети.
Приведем основные причины и последствия различных типов перегрузок.
Перегрузка контроллера радиосети (RNC). Некоторые приложения, такие как электронная почта, VPN, сканирование портов, протоколы передачи HTTP, HTTPS, SSH, VoIP, специфичные для беспроводных сетей сигналы атаки и черви вводят аномально большое количество передаваемых сигналов в сеть. Такие приложения способствуют отдельному или совокупному накоплению сигналов и даже перегрузки на контроллере радиосети, приводящих к состоянию DoS, вследствие чего новые абоненты не могут установить активную связь с сетью для отправления и получения пакетов. Такие ухудшения и состояния отключения, вследствие перегрузок контроллера, могут существовать, несмотря на то, что линия связи не загружена большим трафиком.
Перегрузка базовой станции
Рис. 1. Перегрузки в структуре беспроводной сети
Перегрузка обратного трафика. Приложения большого объема, такие как загрузка видео, P2P, протокол FTP, flood-атаки, как правило, посылают большое количество данных, что, в совокупности, может способствовать перегрузке обратной линии связи между базовой станцией, контроллером радиосети и некоторых промежуточных элементов в сети. Использование абонентами приложений с интенсивным объемом может перегрузить обратный трафик, который не предназначен для подобного интенсивного использования абонентом.
Перегрузки базовой станции (большое использование эфирного времени). Устройства, которые находятся в режиме "постоянно включен" используют аномально большое количество эфирного времени относительно передаваемого объема данных, что может сильно влиять на эффективность использования радио-ресурсов. Потребление эфирного времени может меняться от одного пакета в режиме ожидания (~32 бита в секунду) до максимальных значений загрузки в порядке нескольких Мбит/с, т.е. в диапазоне значений более чем пять порядков. Конечно, разработка передаваемых пакетов базовой станции разработано с учетом переменной полосы пропускания для абонентов, для адаптирования под нужды низко- и высокоскоростных приложений, таких, как VPN или видео, соответственно. Однако, к базовой станции, как правило, обращается конечное число активных, параллельных абонентов, независимо, сколько данных посылает каждый из них. Таким образом, абоненты характеризующиеся "малым объемом/большим эфирным временем" могут потреблять ресурсы базовой станции в том же объеме, эквивалентном абонентам "большой объем/ большое эфирное время". Постоянно включенные пользователи, использующие "большое эфирное время" нарушают законность этого предположения, поскольку каждый абонент потребляет ресурсы базовой станции больше ожидаемых, даже на низких скоростях передачи данных, например 32 бита в секунду (40 байтовый пакет, отправляемый каждые десять секунд). Таким образом, можно предположить, что базовая станция может одновременно поддерживать связь с 50 абонентами, передавая трафик со скоростью 1.5 кБит/с и привести к состоянию отказа в обслуживании DoS (от англ. Denial of Service). Приложениями использующими "большое эфирное время" с широким изменением эфирного времени являются VPN, P2P и прочее.
Внешние угрозы в беспроводных сетях
Серьезной проблемой коммуникационных сетей является возникновение внешних сетевых аномалий и угроз, которые влияют на надежность инфраструктуры. Эти угрозы вызывают существенные проблемы в работе сетей из-за их масштабного воздействия и непредсказуемого поведения. В результате не все современные методы обеспечивают достаточно своевременное или полное обнаружение этих аномалий.
Важным элементом защиты сети от нападений являются системы обнаружения вторжений. Начиная с внедрения первых коммерческих продуктов в интернете, чрезвычайно увеличилась изощренность нападений. Результатом этого является огромное количество сложных нападений, против которых должна быть защищена сеть. Это возможно только с помощью многослойной защиты, содержащей брандмауэры, фильтрацию содержимого трафика, уязвимостей и т.д. [6].
Беспроводные системы особенно восприимчивы к различным аномалиям из-за специфичного взаимодействия различных уровней OSI между собой. Первое, и наиболее очевидное, что атаки на физический уровень в проводной сети гораздо проще, чем в беспроводной сети - физический уровень это воздух, абстрактное место вокруг точки доступа. Также достаточно трудно доказать сам факт про-
ведения какой либо атаки на физическом уровне в беспроводной сети. Злоумышленник может без особого труда использовать устройство, заполняющее весь спектр на передаваемой частоте помехами и нежелательным трафиком. Даже некоторые недорогие домашние радиотелефоны могут вызывать помехи в диапазоне 2.4 Пи, на которой работают беспроводные сети стандарта 802.11Ь. На канальном уровне стека ОБІ, можно показать многочисленные пути проведения атак, которые будут гораздо менее трудны в реализации, чем такие же атаки в обымных проводных сетях.
Атаки могут поражать сети, клиентов, сервера, или операиион-ную систему маршрутизатора, или определенное приложение сервера [9]. Эти различные цели могут рассматриваться в иерархии модели ОБІ, в которой нападение на определенный уровень будет влиять на все более высокие уровни (см. рис. 2) [10].
Рис. 2. Отказ в обслуживании: зависимость и влияние уровней друг на друга
Атаки в сетях можно разделить по уровню модели OSI, на котором они реализуются. Специфичными для беспроводных сетей являются физический и канальный уровни. В таблице приведены наиболее часто используемые типы атак поражающие определенные уровни модели OSI.
Атаки в беспроводных сетях можно разделить на четыре основные категории [7, 8]:
1. Пассивная атака (от англ. passive attacks). Вид атаки, при котором происходит "подслушивание" и анализ чужого трафика. Это легко осуществимо с помощью простых и доступных инструментов, как например: обымных сетевых сканеров TCPdump или AirSnort. Пассивная атака не может быть злонамеренной и агрессивной по происхождению. Однако данный вид атак имеет очень много претензий со стороны общества. Беспроводная сеть использует общественно доступные частоты, в связи с чем пассивную атаку тяжело обнаружить. А это в свою очередь создает дополнительные проблемы, связанные с защитой беспроводной сети. Пассивные атаки реализуются с помощью следующих методов:
• полного перебора (или метод "грубой силы" от англ. brute force);
• полного перебора с помощью словаря;
• статистической корреляции.
Таблица 1
Атаки по уровням модели OSI
Многоуровневая атака
Уровень приложений
Транспортный провень
Сетевой уровень
Канальный уровень
Физический уровень
DoS, различные имитации, "человек-по-середине"
Отказы, искажение данных
Имитация сессии, SYN-flood
Черви, трояны, flooding, потребление ресурсов, атаки на обнаружение местоположения
Анализ трафика, мониторинг, нарушение МАС (802.11), уязвимость \УЕР шифрования
Помехи, перехват, подслушивание
Рис. 3. Атака типа "spoofing"
Рис. 4. Атака типа "Человек-по-середине"
Как правило, пассивная атака производится для сбора информации перед проведением следующей атаки - активной. Единственная защита против "прослушивания" в беспроводных сетях - это шифрование трафика с помощью алгоритмов WEP, VPNs, SSL, SSH, SCP и др. В зависимости от обстоятельств некоторые методы защиты будут более эффективными, чем остальные.
2. Активная атака (от англ. active attacks)
[8]. Если нападающий приобрел достаточную информацию после пассивной атаки, он может начать активную атаку против сети. Есть достаточно большое число активных атак, которые осуществляются в беспроводных сетях.
Они осуществляются с целью:
• имитации соединения (от англ. spoofing);
• несанкционированного доступа (доступ к файлам; удаление, изменение и добавление данных);
• отказа в обслуживании DoS;
• введение вредоносного программного обеспечения.
В большинстве своём spoofing-атаки направлены на то, чтобы заставить жертву отправлять трафик не легитимному получателю напрямую, а атакующему, который затем уже ретранслирует трафик дальше. При этом атакующий получает возможность модификации трафика или, как минимум, его просмотра.
В случае IP-spoofing'o преследуется другая цель — заставить жертву поверить, что трафик приходит от легитимного отправителя и поверить ему (или как минимум, пропустить его).
Наиболее распространены следующие spoofing-атаки: MAC-spoofing, ARP-spoofing, IP-spoofing и DNS-spoofing. На рис. 3 представлен пример атаки типа "spoofing".
Таким образом, нападающий может использовать несанкционированную станцию (точку доступа) и выдать её за настоящую. Чтобы защитить беспроводную сеть от несанкционированного доступа, необходима фильтрация MAC-адресов, то есть сеть будет доступна только определенным MAC адресам. Однако, независимо от использованной техники, даже при легком осуществлении фильтрации MAC адресов можно сравнительно легко изменить MAC адрес устройства.
Кроме того не имея цели перехватывать трафик, злоумышленник может создать помехи при доступе остальным пользователя к сетевым ресурсам путем проведения DoS- или flood-атак. DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений.
3. "Человек-по-середине" (от англ. man-in-the middle attacks) [7]. Для проведения атаки этого типа злоумышленнику нужен доступ к пакетам, передаваемым по сети. Для этого часто используются анализаторы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам,
для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии. Эффективно бороться с атаками типа "человек-по-середи-не"можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Однако, если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку "человек-по-середине" даже в зашифрованной среде. На рис. 4 представлен пример данной атаки типа [11].
4. Создание помех (от англ. jamming attacks). Помехи являются специальным видом DoS в беспроводных сетях. Помехи происходят, когда случайные радиочастоты создают помехи в функционировании беспроводной сети. В некоторых случаях это происходит не злонамеренно, а вызывается присутствием других устройств, как например беспроводные телефоны, которые могут работать на той же частоте, что и сеть.
Преднамеренные и злонамеренные помехи производятся, когда нападающий анализирует спектр, используемый беспроводной сетью, а затем передает мощный сигнал, чтобы создать помехи связи на обнаруженных частотах. Однако, этот тип атаки не очень распространен из-за дороговизны применяемых аппаратных средств, способных заглушить чужой сигнал и произвести атаку. Кроме того, создание помехи для сети обычно представляет собой кратковременную атаку, направленную на то, чтобы вывести из строя связь на некоторое время.
Литература
1. Reference Document. "What is a Wireless LAN" URL: http://www.wlana.ong/learn/educate1.htm.
2. AirDefense. "WLAN Security Risks" URL: http://www.airdefense.net/wlans/risks.shtm.
3. Shimonski, Robert J. "Wireless Security Primer 101" December 16, 2002 URL: http://www.windowsecurity.com/articles/Wireless_Security_Primer_101.html.
4. D. Neoh GSEC Version 1.4b Option 1, Corporate Wireless LAN: Know the risks and best practices to mitigate them.
5. Alcatel-Lucent 9900 Wireless Network Guardian: Powerful solution to classify wireless data traffic, understand wireless resource usage and improve net-
work performance. Technology white paper.
6. S. Akbar, K.Nageswara, JAChandulal Raolntrusion Detection System Methodologies Based on Data Analysis // International Journal of Computer Applications, Vol. 5- No.2, August 2010.
7. Shimonski, Robert J. "Wireless Attacks Primer" February 24, 2003 U RL: http://wwwwndowsecurity.com/articles/Wireless_Attacks_primer.html.
8. Peikari, C & Fogie, S. "Network Attacks". May 15, 2003 URL: http://www.informit.com/isapi/guide~security/seq_id~20/guide/content.asp.
9. Lupu Teodor-Grigore Main Types of Attacks in Wireless Sensor Networks. Recent Advances in Signals and Systems. Vol. 5. 2010. pp. 180-185.
10. Smih J. Denial of service : prevention, modelling and detection. PhD thesis, Queensland University of Technology. 2007.
ANOMALIES AND THREATS TO WIRELESS NETWORKS WHEN TRANSMITTING IP APPLICATIONS O.l. Sheluhin,Y.A. Ivanov, A.G.Simoniyan Abstract
In this paper methods of an information protection are analyzed. It is shown that the traditional means of information protection are not effective in case of a fundamentally new classes of wireless threats and unpredictable anomalies encountered in broadband wireless networks. The necessity of developing innovative safety technologies of information transmission in such systems is shown. The situation is complicated by the fact that it is necessary not only to protect own network and own users, but also not to break a work of the adjacent networks. The analysis of the main threats and anomalies, characteristic for wireless networks is carried out. It is shown that effective protection against attacks such as "denial of service" in the wireless networks currently does not exist. Statistical methods for detecting disturbances in the network are based on a comparison of statistical characteristics of packet flow, averaged over a relatively short period of time (local characteristics), with appropriate characteristics for an extended period of time (global characteristics).If the local characteristics are very different from the corresponding global characteristics, this indicates the anomalous behavior of the packets flow, and quite likely an attempt to scan the network or network attack.
Keywords: wireless networks, anomalies, attack, denial of service, network congestion.