CC BY
130
I ПОДХОДЫ К ОБЕСПЕЧЕНИЮ АНОНИМНОСТИ В КОМПЬЮТЕРНЫХ СЕТЯХ
Мушиц Станислав Игоревич, Москва, МГТУ им. Н. Э. Баумана,
E-mail: [email protected] Павлов Веселин Милков, София (Болгария),
E-mail: [email protected]
В данной статье рассматриваются подходы к организации анонимности в компьютерных сетях, которые защищают личность клиента от злоумышленников, находящихся в любой точке в пределах сети, включая Интернет-провайдера пользователя. Одним из таких подходов является применение протокола Dovetail. Одна из его основных задач состоит в том, чтобы предоставить защиту, не включая прокси прикладного уровня в передаче данных. Данный протокол содержит систематический механизм для измерения топологической анонимности. Приведены исследования его конфиденциальности и эффективности посредством масштабного интернет-моделирования на АС уровне.
Ключевые слова: компьютерные сети, протокол, анонимность.
APPROACHES TO ENSURE ANONYMITY I IN A COMPUTER NETWORK |
Stanislav Mushits, Bauman MSTU, Moscow E-mail: [email protected] Veselin Pavlov, Sofia (Bulgaria)
E-mail: [email protected]
In this article we consider approaches which provide anonymity in the computer networks and protect identity of a client from an attacker located in any point of the network, including Internet Service Provider. One of this approaches is using Dovetail protocol. One of its main goals is to provide protection and anonymity without using application layer proxy in transmitting the data. This protocol has systematic mechanism for measuring topological anonymity. We consider research of its confidentiality and efficiency by using large-scale internet modeling on AS level.
Keywords: computer network, protocol, anonymity.
Введение
В каждом пакете передаваемых данных по сети содержится IP адрес отправителя. Получив его, злоумышленник может уникально идентифицировать его самого, его активность в интернете, отслеживать подключения к различным сервисам и частично раскрыть географическое и сетевой месторасположение.
Современные системы, обеспечивающие анонимность, создают дополнительный слой на 3 уровне протокола, который производит последовательную передачу и смену IP адресов, чтобы скрыть IP отправителя. Есть альтернативное решение
Подходы к обеспечению анонимности в компьютерных сети
этой проблемы -сетевой уровень не должен раскрывать личность пользователя. Вместо этого, управление учетными данными осуществляется на более высоких уровнях сетевой модели.
В настоящее время зарубежными авторами проводится анализ протоколов NGI(next-generation internet). Одним из них является протокол Dovetail[5], который предотвращает идентификацию отправителя и получателя злоумышленником. Также Dovetail предоставляет защиту от наблюдений злоумышленниками, находящимися в местной сети и от непроверенного Интернет-провайдера.
Анонимность
Используя терминологию Пфицмана и Хансена [1], система должна обладать свойством несвязываемости между отправителем и получателем, обозначающем, что сетевое расположение отправителя и получателя невозможно точно определить никому, кроме отправителя. Это подразумевает, что устройства сети, обладающие достаточной информацией об отправителе, не обладают информацией о получателе и наоборот. Разработанная система ограничивает идентифицирующие возможности сетевого уровня, такие как сетевой идентификатор и расположение сети, или топографическая анонимность [2]. Протокол не предназначен для защиты пакетных данных, которые находятся на верхних уровнях и поэтому, не являются предметом данной работы.
Производительность и практичность
Любая система, обеспечивающая анонимность, должна маршрутизировать трафик достаточно быстро, чтобы получить широкое распространение среди пользователей. Рассматриваемый протокол представляет собой легковесную систему, в которой все коммуникации для установленного соединения остаются внутри инфраструктуры сети и происходят на сетевом уровне взаимодействия. Также данный протокол не требует значительного лишнего трафика, не нарушает настоящие договоренности между клиентами и провайдерами и не требует значительных затрат провайдера на модификацию оборудования.
Модель атаки
Выбор модели атаки на системы анонимности является сложной задачей, так как злоумышленик может быть различным для разных пользователей и его возможности заранее не известны.
Рассматривается активный локальный злоумышленик. Под активным подразумевается, что в дополнение к пассивному мониторингу злоумышленник может инициировать подключение и нарушать нормы протокола для соединения, в ко-ротом он работает. Локальный подразумевается как ограниченный одной автономной системой. АС - это уровень, на котором информация о маршрутизации и политика являются общедоступными. Таким образом, подвергнутая риску без-опасноть одного маршрутизатора может затронуть несколько маршрутизаторов, контролируемых той же АС.
Целью является защита от следующих возможных злоумышленников: местные киберпреступники, отправляющий интернет-провайдер, получающий интернет-провайдер, любая АС, любой узел, содействующий операциям данного протокола, и сам получатель.
УДК 004.728.4
Маршрутизация, контролируемая отправителем
В маршрутизации, контролируемой отправителем, составитель пакетов данных имеет некий контроль над маршрутом, используя информацию о маршруте, которая хранится в пакете данных. В одних протоколах оправитель имеет влияние на маршрут, но не полный контроль; в других оптравитель явно определяет принятый им маршрут.
Маршрутизация Pathlet
Маршрутизация pathlet является одним из примеров маршрутизации, контролируемой отправителем. Каждое устройсвто в рамках сети определяет некоторое количество виртуальных узлов (vnodes) и объявляет участок пути, который проходит через эти виртуальные узлы. Для отправления пакета источник создаёт список из соседних path^t^, определяющих предпологаемый маршрут, и включает его в заголовок пакета. Каждый pathlet представляет собой Forwarding ID (FID) переменной длинны. FID является индексом vnode^ в таблице переадресаций. Когда vnode получает пакет, он удаляет первый FID и использует его как индекс в его таблице переадресаций, чтобы определить какому звену цепи нужно отправить пакет. Таким образом, маршрутизация pathlet перекладывает ответственность за создание сетевого маршрута с инфраструктуры сети на конечных host^, создающих трафик. Это обеспечивает возможность изменения информации о маршруте лишь тогда, когда изменяется сам маршрут, а не при каждой отправке пакета.
Системы анонимности с низкой задержкой
Текущие анонимные системы с низким временем отклика могут быть охарактеризованы либо как централизованные, либо как распределённые. Централизованные системы пропускают весь трафик через анонимизирующий прокси-сервер, который должен быть надёжным. Распределённые системы накладывают дополнительную сеть поверх третьего уровня протокола и поэтому требуют нескольких IP-передач, чтобы доставить каждый пакет от отправителя к получателю.
Легковесная анонимность и конфиденциальность
В статье„Легковесная анонимность и конфиденциальность"[2] предложен протокол, который основан на пакетном режиме пересылки. В этом режиме информация, необходимая для доставки пакета, сохраняется в самом пакете. Для установления соединения отправитель создает пакет, содержащий последовательность автономных областей (ADs), описывающих маршрут. После того как каждая AD получила пакет, она шифрует свои собственные инструкции маршрутизации с помощью приватного симметричного ключа и пересылает пакет далее к следующей AD. После установления таким образом соединения конечные устройства могут обмениваться данными с помощью результирующего зашифрованного заголовка.
Проектирование анонимности сетевого уровня
Для предоставления широко применяемой системы анонимности необходимо, чтобы протокол сетевого уровня предоставлял две следующие возможности:
• Отклонение от кратчайшего пути. Это обеспечивает невозможность для злоумышленника измерить длину пути за счет постоянной ее изменяемости.
Подходы к обеспечению анонимности в компьютерных сети
• Разделение информация о маршрутизации между несколькими полями передаваемого пакета, которые могут быть защищены по отдельности, обеспечивает большую защиту от получения доступа к информации от отправителе и вычислении его местоположения.
Маршрутизация, контролируемая отправителем может совместить обе эти возможности: отправитель может выбирать любой маршрут, в том числе не кратчайший, а также составить маршрут из отдельных инструкций для каждого устройства на заданном маршруте. Dovetail построен на протоколе маршрутизации pathlet [3].
Сетевая модель
Предлагается использовать четкое разделение при маршрутизации на границах автоматизированной системы (АС). Каждая АС должна предоставлять минимальный набор vnode'ов и ра^1е^ов, необходимых для удовлетворения политики маршрутизации. Такое разделение позволяет уменьшить размер информации для маршрутизации, предоставляемой конечному хосту, а также сохранить гибкость внутренней политики маршрутизации. АС, расположенные рядом, обмениваются информацией о маршрутизации для того, чтобы создать сетевую топологию.
Рассмотрим два типа политики маршрутизации в Интернете, которые отражают отношения между АС. Также существует АС-клиенты, которые платят АС-провайдеру за передачу данных, и АС-пиры, которые передают данные бесплатно. Первый тип - valley-free routing, при котором АС передает данные, только если эти данные отправлены или будут получены клиентом. Второй тип - loose valleyfree, при котором АС позволяет передавать трафик между пирами, что позволяет не платить за услуги, предоставляемые данным АС, при условии, что пиры предоставляют взаимные условия для данного АС.
Для обеспечения повышенной анонимности, Dovetail полагается на достаточную часть АС, использующих политику loose valley-free или другие политики, которые менее строгие, чем valley-free routing.
Создание маршрута
Рассмотрим процесс создания маршрута протоколом Dovetail. Он выбирает случайным образом какой-либо vnode сторонней АС, который в дальнейшем называется сопоставитель, которым может являться конкретный vnode, либо функциональность, предоставляемая сервисом провайдера. Учетные данные vnode^, которые желают действовать как сопоставители могут быть частью информации маршрутизации.
Отправитель шифрует учетные данные получателя, используя публичный ключ для сопоставителя и создавая головной участок пути до сопоставителя, который в свою очередь затем создает хвостовой участок путь до получателя. В этом случае, интернет-провайдер отправителя знает только учетные данные сопоставителя, но не получателя. Сопоставитель же знает учетные данные получателя, но не может идентифицировать отправителя.
Для повышения анонимности, сопоставитель не должен участвовать в обмене данными между отправителем и получателем. Для этого сопоставитель пересекает головной и хвостовой участки в некотором vnode, который называется dovetail. Отправитель шифрует учетные данные dovetail и передает их сопоставителю для
УДК 004.728.4
включения в хвостовой участок. Dovetail обнаруживает пересекающиеся условия маршрутизации и объединяет два участка пути, замыкая петлю и исключая из нее сопоставителя.
Выбор участка маршрута
Механизм маршрутизации для каждого участка пути основывается на принципе разнообразия путей, при котором доступно большое количество возможных путей между отправителем и получателем. Когда хост создает участок пути, он имеет широкий выбор доступных путей, имеющих различную стоимость, где стоимость - это число раз, когда путь меняет АС. Другие метрики, такие как задержка или пропускная способность, могут быть также включены в протокол. Выбор случайного пути из равновероятного множества путей может раскрыть информацию об этом распределении, такую как наиболее частую стоимость выбираемого участка пути, и, следовательно, выдавая информацию о топологии. Вместо этого, dovetail использует подход диапазона стоимостей: сначала выбирается стоимость пути, а затем из всех путей с выбранной стоимостью случайно выбирается один.
Атака на анонимность
Главная информация, доступная в результате пассивной атаки в сети является стоимость пути к отправителю и получателю, а также предыдущая и последующая АС в пути. Кроме этого Dovetail предоставляет следующие меры защиты от сетевых атак:
• Каждое соединение включает в себя определенный отправителем временный ключ. При смене ключа создается новый зашифрованный текст, включаемый в заголовок пакета, предотвращая возможность ассоциировать множественные соединения по одному и тому же маршруту как соединения от отправителя.
• Dovetail включает в заголовок пакета хэш всего пути и любое изменение в выбранном пути вызовет нарушение зашифрованного текста во всех сегментах. Это предотвращает возможность создания множественных соединений и поиск совпадений в заголовке передаваемого пакета.
• Выбор сопоставителя производится случайным образом, что предотвращает возможность получения множественных соединений от отправителя злоумышленнику, находящемуся в конкретном vnode одного из сопоставителей.
• Все vnode, включенные в маршрут могут получить учетные данные получателя, причем знание об отправителе не зависит от его удаленности от конкретного vnode. Следовательно, злоумышленник не получит большее количество информации от отправителе или получателе, располагаясь в разных участках пути.
Также возможны следующие типы успешных сетевых атак:
• Раскрытие содержимого передаваемого пакета. Для предотвращения атаки необходимо использовать протокол более высокого уровня для шифрова-ния.[4]
• Сопоставитель может намеренно маршрутизировать все соединения через определенный ИП, что позволит идентифицировать любых отправителей в АС ИП. Для предотвращения атаки необходимо контролировать список доверенных сопоставителей.
Подходы к обеспечению анонимности в компьютерных сети
Анализ анонимности
В результате пассивной атаки злоумышленник, наблюдающий за созданием маршрута может завладеть учетными данными получателя, предшествующего АС и может измерить стоимость сегмента пути до отправителя. Рассмотрим возможный набор учетных данных отправителя и получателя, доступных при успешной пассивной атаке злоумышленнику.
Учетные данные отправителя известны Интернет-провайдеру отправителя. Злоумышленник, расположенный в головном участке пути может использовать знания о предыдущей и последующих АС и стоимости пути от отправителя для того, чтобы сократить число возможных отправителей. При расположении злоумышленника в сопоставителе или дальше число возможных вариантов отправителя достаточно велико.
Учетные данные получателя известны каждой АС, расположенной на хвостовом участке пути. Злоумышленник, расположенный между отправителем и dovetail, может вычислить стоимость пути от его АС до получателя, используя обратный путь от получателя.
Таким образом, места, в которых доступна информация об отправителе, не имеют информации о получателе и наоборот. Самым уязвимым местом при этом является dovetail АС, но этого можно избежать, если эта АС появится в головном участке только один раз.
Атака по времени
Каждый потенциальный отправитель может использовать один из многих тысяч возможных маршрутов до получателя, и каждый из этих путей имеет свое распределение задержек. Совмещение этих распределений значительно расширяет диапазон возможного времени ответа и, соответственно препятствует способности злоумышленника идентифицировать участников соединения при помощи анализа времени ответа.
Атаки на доступность соединения и цельность данных
Протокол Dovetail обеспечивает следующие возможные атаки на доступность соединения и цельность данных и меры защиты от них:
• Сопоставитель может быть перегружен постоянным отправлением большого количества запросов, но сопоставители распределены по сети и недоступность одного сопоставителя не влияет на работу остальных.
• Злоумышленник может попытаться перегрузить конкретный vnode на пути соединения, но этого можно избежать, ограничив максимальное число соединений через данный vnode.
• Для защиты данных от возможной модификации следует использовать протокол более высокого уровня.
• Если качество связи ухудшается до какого-то определенного уровня, эта ситуация рассматривается как сбой, за которым следует переподключение с поиском нового маршрута.
УДК 004.728.4 Вывод
В работе [5] были рассмотрены подходы к организации анонимности в компьютерных сетях, представлен Dovetail, протокол маршрутизации NGI, и продемонстрировано, что он является рабочим решением в обеспечении анонимности на сетевом уровне. Накладные расходы увеличиваются приблизительно в 2.5 раза по сравнению с самым коротким маршрутом, при этом обеспечивается почти полная анонимность по отношении к злоумышленику. Также были продемонстрированы ключевые аспекты целесообразности и эффективности развития этого направления компьютерной безопасноти.
Литература (References)
1. A terminology for talking about privacy by data minimization [Internet resource]: spec. publ. / Pfitzmann A., Hansen, M. - Access http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_ v0.34.pdf - 2014 г.
2. LAP: Lightweight anonymity and privacy [Internet resource]: spec. publ. / Hsiao H.C., Kim T.J., Perrig A., Yamada A., Nelson S.C., Gruteser M., Meng W. - Access http://www.cs.cmu.edu/~xia/ resources/Documents/LAP-oakland12.pdf - 2014 г.
3. Tor metrics portal: Users [Internet resource]: report / The Tor Project, Inc. - Access https:// metrics.torproject.org/users.html - 2014 г.
4. Internet Key Exchange Protocol Version 2 RFC 5996 Internet Key Exchange Protocol Version 2 [Internet resource]: standart/ Kaufman C., Homan P., Nir Y., Eronen P. - Access: https://www. ietf.org/rfc/rfc5996.txt - 2014 г.
5. Dovetail: Stronger Anonymity in Next-Generation Internet Routing [Internet resource]: spec. publ. / Sankey J., Wright M. - Access: https://www.petsymposium.org/2014/papers/Sankey. pdf - 2014 г.
