УДК 621.391.
Р. А. Бельфер
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БЕСПРОВОДНЫХ САМОРЕГУЛИРУЮЩИХСЯ СЕТЯХ
Рассмотрены некоторые особенности угроз информационной безопасности в самоорганизующихся беспроводных сетях: MANET, сенсорных mesh-сетях, и автомобильных беспроводных сетях VANET. Особое внимание уделено анализу атак «отказ в обслуживании» (DoSj.
E-mail: [email protected]
Ключевые слова: самоорганизующиеся сети, информационная безопасность, угрозы, атаки DoS.
Одним из подходов классификации беспроводных сетей связи является деление на централизованные и самоорганизующиеся инфраструктуры. Отличительная особенность самоорганизующихся сетей SON (self-organization) — это возможность для любой пары обмениваться данными находящихся в зоне радиопокрытия узлов сети. Узлы в SON могут быть одновременно конечными хостами и маршрутизаторами. Соединение организуется на длинные расстояния с помощью специализированных протоколов маршрутизации в промежуточных узлах-маршрутизаторах. Такое соединение называется многоэтапным или многошаговым (multihop). Этапом является участие в этом соединении одного узла-маршрутизатора. О перспективном направлении создания в России самоорганизующихся сетей связи отмечалось на всероссийской конференции в 2011 г. [1].
Обеспечение информационной безопасности самоорганизующихся сетей является определяющим фактором и в то же время сложной задачей при их создании и эксплуатации. В настоящей работе рассмотрены угрозы информационной безопасности следующих самоорганизующихся сетей связи:
• мобильные целевые Ad Hoc-сети — Wireless Mobile Ad Hoc Network (MANET);
• беспроводные сенсорные сети — Wireless Sensor Network (WSN);
• беспроводные mesh-сети — Wireless Mesh Network (WMN). Эти сети называют также ячеистыми;
• автомобильные беспроводные сети — Vehicular Ad Hoc Network (VANET).
Функции самоорганизующихся сетей и область их использования. Сети MANET являются распределенной системой, состоящей
из мобильных терминалов, снабженных приемопередатчиками. Они могут организовывать временные сетевые технологии для передачи информации. В сети MANET мобильные устройства выполняют функции не только оконечных станций, но и сетевых узлов (роутеров).
Сенсорная сеть WSN — это распределенная сеть необслуживаемых миниатюрных узлов, которые осуществляют сбор данных о параметрах внешней среды и их передачу на базовую станцию посредством ретрансляции от узла к узлу с помощью беспроводной связи. Узел сети, называемый сенсором, содержит датчик, воспринимающий данные от внешней среды (собственно сенсор), микроконтроллер, память, радиопередатчик, автономный источник питания и иногда исполнительные механизмы. Возможна также передача управляющих воздействий от узлов сети к внешней среде. Для многих сенсорных сетей характерна мобильность не отдельно каждого узла (как в MANET), а отдельной группы узлов. Основное требование к протоколам сенсорных сетей — малое потребление энергоресурсов. В сенсорных сетях время их жизнедеятельности прямо зависит от решения вопросов энергопотребления узлов сети.
Mesh-сеть WMN отличается от MANET тем, что включает дополнительно отдельную опорную сеть (backbone) из маршрутизаторов, которая предоставляет ей преимущества перед MANET. Здесь опорная сеть обычно фиксированная. Она так же, как и MANET, является многошаговой (multihops) и может быть использована для быстрого развертывания в чрезвычайных ситуациях. Благодаря опорной сети mesh-сети имеют преимущества По сравнению с MANET в отношении надежности, пропускной способности, подверженности зашумлению WMN обеспечивает такие возможности, как: устойчивость сети при отказе отдельных компонентов; масштабируемость сети; увеличение зоны информационного покрытия в режиме самоорганизации; динамическая маршрутизация трафика; ретрансляция кадров между устройствами, не имеющими между собой прямой видимости.
Автомобильные беспроводные сети VANET предназначены для повышения эффективности и безопасности дорожного движения. В настоящее время при поддержке индустрии, государственных и академических институтов в мире выполняются несколько научно-исследовательских проектов, направленных на разработку и принятие стандартов таких автомобильных сетей. Основные цели использования VANET можно разделить на три группы:
1) помощь водителю (навигация, предотвращение столкновений и смена полос);
2) информирование (об ограничении скорости или зоне ремонтных работ);
3) предупреждения (послеаварийные, о препятствиях или состоянии дорог).
Причины уязвимости безопасности и угрозы в самоорганизующихся сетях. Перечислим причины уязвимости информационной безопасности самоорганизующихся сетей [2-5]:
• каналы уязвимы к прослушиванию и подмене сообщений по причине общей доступностью среды передачи, как и в любых беспроводных сетях;
• узлы не защищены от злоумышленника, который может легко изъять их из сети (обычно находятся в открытых местах) и использовать в своих целях;
• отсутствие инфраструктуры делает классические системы безопасности, такие как центры сертификации и центральные серверы, неприменимыми. Динамически изменяющаяся топология сети требует использования сложных алгоритмов маршрутизации, учитывающих вероятность появления некорректной информации от скомпрометированных узлов в результате изменения топологии сети;
• подходы к обеспечению информационной безопасности (ИБ) в мобильных самоорганизующихся сетях значительно отличаются от подходов к реализации ИБ в проводных сетях ввиду самой природы радиоканала. Связь осуществляется через беспроводную среду, таким образом, передаваемые и получаемые сигналы передаются через воздух. Следовательно, любой узел, находящийся в диапазоне источника сигнала и «знающий» частоту передачи и другие физические параметры (модуляцию, алгоритм кодировки), потенциально может перехватить и раскодировать сигнал, причем ни источник сигнала, ни получатель не будут об этом знать. В проводной сети, наоборот, такой перехват возможен, если злоумышленник физически имеет доступ к проводному каналу, что осуществить гораздо сложнее;
• в централизованных сетях злоумышленники могут анализировать трафик или всю систему на предмет подозрительного поведения и в случае необходимости принять меры безопасности. Подобный механизм невозможно реализовать в саморегулирующихся сетях, так как каждый узел в них имеет столько же привилегий, сколько и все остальные. Кроме того, как было сказано выше, эти сети не имеют четкой топологии, а напротив, каждый узел может свободно перемещаться.
Подводя итог, можно отметить, что самоорганизующиеся сети уязвимы к классическим типам атак аналогично всем беспроводным сетям, но имеют свои особенности. В связи с этим задачу злоумышленника по успешной реализации атаки легче выполнить.
Атаки на информационную безопасность. Атаки в сетях связи делятся на пассивные и активные. Пассивные атаки в самоорганизу-
ющихся сетях могут предоставить злоумышленнику возможность проанализировать трафик и извлечь важную информацию о топологии сети, маршрутизации [6]. По результатам анализа трафика злоумышленник может провести активную атаку и уничтожить некоторое количество узлов, что вызовет реконфигурацию сети и пересылку ценной информации от узла к узлу.
Активные атаки злоумышленника в саморегулирующихся сетях могут быть физическими. Примерами такой атаки могут быть: уничтожение или устранение узла из сети, непродолжительный по времени выброс электромагнитной энергии, фальсификация, повтор и изменение сообщений, отказ в обслуживании. Фальсификация может предусматривать подключение злоумышленником в сеть фальсифицированного узла. В результате могут быть реализованы различные сценарии атак. Такие узлы могут перехватывать сообщения, сохранять и пересылать дальше (повтор). Наконец, содержимое перехваченных сообщений может быть изменено до того, как оно будет доставлено адресату.
В мобильных самоорганизующихся сетях узлы могут произвольно менять свое положение в пространстве. Реализация фальсификации в них представляется более легкой, чем в сетях других типов. Механизмы самоорганизации сети работают таким образом, чтобы приспособиться к изменениям в топологии. Поскольку протоколы маршрутизации могут не иметь четкой картины сети, можно не знать, присоединился какой-либо узел к сети или нет, а если и присоединился, то является он фиктивным или нет. В сенсорных сетях фальсификация еще более вероятна, так как эти сети могут не использовать повсеместную систему идентификации. Сенсорные сети, в частности, имеют больше функций, которые более чувствительны к таким типам атак, поскольку одной из главных особенностей этих сетей является работа, основанная на коллективном сборе данных многих узлов [7].
Такие атаки, как фальсификация, повтор и изменение сообщений, могут быть направлены против конфиденциальности данных. Сфальсифицированные узлы могут заставлять другие узлы пересылать им конфиденциальные данные. Они также могут использоваться для того, чтобы получить неавторизированный доступ к системным ресурсам. Узел, который выдает себя за другой узел, может обманом вызвать пароли и логины для доступа к конфиденциальной информации, причем она будет передана ему добровольно, так как санкционированный узел будет принимать его за достоверного участника сети.
Атака типа «отказ в обслуживании» (ёета1-о1-8етсе, DoS) определяется как любое событие, которое угрожает способности сети выполнять обычные функции правильно в определенный промежуток времени. Результатом DoS-атаки может быть снижение качества обслуживания сети либо прекращение выполнения функций частью сети или полностью всей сетью.
Почти каждый сетевой сервис может быть целью DoS-атаки. Рассмотрим основные сценарии таких атак на уровнях транспортной сети связи. При этом основное внимание уделим анализу атак, нарушающих маршрутизацию и влекущих к значительному риску — последствию реализуемой угрозы.
DoS на физическом уровне. Все физические атаки, описанные выше, могут быть также классифицированы как DoS-атаки ввиду того, что они мешают сети выполнять регулярные функции. Неприятельское устройство может «забивать» полезный сигнал внутри сети, передавая свой «зловредный» сигнал на той же частоте. Этот сигнал будет добавлять шум к несущему полезному сигналу, ослабляя его и увеличивать помеху. Таким образом, соотношение сигнал/шум в несущем сигнале будет меньше, чем необходимо для правильного приема. Затор может проводиться непрерывно в какой-либо области, что мешает всем узлам этой области правильно принимать сигнал.
DoS на канальном уровне. Алгоритмы канального уровня, особенно алгоритмы получения доступа к среде (MAC), являются сильно уязвимыми для DoS-атак. В самоорганизующихся сетях используются протоколы множественного доступа с контролем несущей и предотвращением коллизий CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) [8, 9].
DoS маршрутизации. Для самоорганизующихся сетей характерны также потенциальные угрозы, реализующиеся в виде DoS-атак, направленных на нарушение легитимной работы маршрутизации. Все такие атаки можно условно разделить на два типа: атаки нарушения маршрутизации и атаки потребления ресурсов. Атаки первого типа направлены на то, чтобы вынудить протокол маршрутизации работать неправильно, перестать выполнять необходимые функции. У атак потребления ресурсов цель другая. Она заключается в увеличении потребления таких ресурсов сети, как пропускная способность канала, память, вычислительные способности и электроэнергия. Атаки обоих типов относятся к DoS-атакам. Примеры таких атак и их краткое описание приведены ниже.
1. Сфальсифицированная (spoofed), измененная (altered) или нелегитимно повторенная (replayed) информация о маршрутизации: сообщения, которыми обмениваются узлы, могут быть изменены злоумышленниками таким образом, что приведет к нарушению маршрутизации сети.
2. Атака затопления Hello (hello flood attack): нарушающий узел передает широковещательную или другую информацию достаточно мощным сигналом, показывая каждому узлу в сети, что он является их соседом (рис. 1). Когда другие узлы передают свои пакеты настоящим соседним узлам, то они не принимаются ими.
m
Рис. 1. Атака затопления Hello
3. Атака типа «червоточина» (wormhole attack): нарушающий узел может перехватывать пакеты в какой-либо точке и пересылать их другому нарушающему узлу, который находится в другой части сети, причем эта передача будет происходить вне полосы канала. Второй узел затем будет повторять передачу пакетов. Все узлы, которые будут способны услышать повторную передачу второго злоумышленного узла, будут считать, что узел, который послал пакеты первому злонамеренному узлу, является их близким соседом.
На рис. 2 приведен пример такой атаки. Узел а передает пакеты. Эти пакеты получают узлы b и w1. При этом узел b является санкционированным, а узел w1 — злоумышленным. Затем узел w1 переправляет пакет другому несанкционированному узлу w2 по каналу, который недоступен другим узлам сети, кроме враждебных. Узел w2 повторяет пересылку пакета, который доходит до узла f Пакеты, которые следуют по обычному пути, т. е. а-b-c-d-e-f, достигают узла f позже, чем те, что были переданы по «червоточине». Таким образом, пакеты, которые пришли с задержкой, будут отброшены ввиду того,
/
Рис. 2. Атака типа «червоточина»
что имеют больше шагов — хопов (hop). Атаки этого типа очень сложно обнаружить. Они могут влиять на производительность многих сетевых сервисов, таких как синхронизация во времени, локализация или синхронизация данных.
4. Обход (detour attack): атакующий может попытаться направить трафик в обход основного пути, по менее оптимальному пути или по другой части сети. Для этого могут применяться различные способы. Например, существует атака типа «даровой обход», при которой враждебный узел располагает виртуальные узлы на основном пути. Таким образом, правильный путь становится дороже с точки зрения числа хо-пов, а трафик идет в обход по пути, который выгоден злоумышленнику.
5. Сборный пункт (sink hole attack): нарушающий узел может быть с точки зрения алгоритма маршрутизации наиболее оптимальным для всех окружающих узлов. Например, нарушающий узел может рассылать сообщения маршрутизации, убеждая все соседние узлы, что он является наилучшим узлом для последующей передачи пакета на базовую станцию. Это позволяет ему стать концентратором и собирать от всех узлов его окрестности все пакеты, идущие к базовой станции, что открывает большие возможности для приведенных ниже типов атак.
6. Черная дыра (black hole attack): нарушающий узел может уничтожать все пакеты, которые он получает для последующей передачи. Атаки этого типа особенно эффективны, когда узел является одновременно сборным пунктом. Такая комбинация может быть причиной останова передачи большого объема данных.
7. Выборочная пересылка (серая дыра — gray hole attack, selective forwarding): нарушающий узел уничтожает все получаемые пакеты. Это может быть легко обнаружено соседними узлами, поэтому нарушитель может уничтожать пакеты данных выборочно, а остальные транслировать правильно.
8. Атака Сивиллы (Sybil attack): один узел представляет собой несколько узлов для других участников сети. Это является большой проблемой для протоколов маршрутизации. Кроме того, это может влиять на другие сервисы сети, такие как вычисление аномального поведения алгоритмов, основанных на голосовании, собирании, соотнесении данных и распределенном хранении информации.
9. Зацикливание (routing loop attack): атаки типа «обход» и «сборный пункт» могут применять в целях создания зацикливания для того, чтобы повысить потребление энергии и нелигитимно использовать пропускную способность, а также для того, чтобы препятствовать правильной маршрутизации.
10. Rush-атака: атакующий очень часто распространяет сообщения о запросе путей маршрута и быстро повторяет эти сообщения по всей сети. Это создает затор для других легальных запросов путей маршрута.
11. Атаки, использующие схемы обхода неработающих узлов: в некоторых алгоритмах маршрутизации существуют техники, которые позволяют избегать использования узлов с низкими показателями производительности или энергообеспечения для того, чтобы иметь больше шансов на доставку пакета. Такие схемы могут быть использованы злоумышленниками. Например, враждебный узел может посылать сообщение об ошибки для узла, который на самом деле работает хорошо. В результате протокол маршрутизации будет стараться избегать использования этого узла для последующей передачи пакета. Другим примером является зашумление конкретной связи на короткий временной интервал. За этот интервал будет сгенерироавано сообщение об ошибке, и протокол маршрутизации будет искать обходной путь, даже если эта связь уже не является зашумленной.
12. Атаки, направленные на истощение сетевых ресурсов (attacks to deplete network resources): когда узлы не являются постоянно обслуживаемыми и полагаются только на свои ограниченные ресурсы, злоумышленник может попытаться их истощить, чтобы подорвать работу сети. Для сенсорных сетей атаки такого вида могут сильно истощить источники питания узлов [10]. Стандартным методом реализации этой атаки является отправка фиктивных пакетов, обязательных для обработки.
Безопасность автомобильной беспроводной сети (VANET).
Институт IEEE работает над стандартом 802.11р для связи между автомобилями и дорожной инфраструктурой, а также для связи непосредственно между автомобилями, движущимися со скоростью до 200 км/ч на расстоянии до 1000 м. Физический и МАС-уровни основаны на IEEE 802.11а. Хотя VANET является одной из форм MANET, некоторые различия не дают возможность использовать протоколы маршрутизации MANET вследствие характерной для VANET высокой динамической природы сети, частой смены топологии сети, наличия непостоянных пользователей сети и кратковременных связей [11]. Другая особенность VANET заключается в большом числе взаимодействующих объектов в течение короткого времени. Автомобиль может устанавливать соединения с тысячами других автомобилей в зависимости от трафика, скорости и трассы.
Разрабатываемый стандарт 802.11р учитывает эту специфику и то, как она отражается на возможных угрозах информационной безопасности сети. Это относится и к атакам злоумышленника на сетевом уровне с помощью фальшивых сообщений, нарушающих маршрутизацию. Основное преимущество этого стандарта — дешевизна, обусловленная большими объемами производства, что делает внедрение более легким и ускоряет вхождение на рынок [12].
Приведем некоторые требования к информационной безопасности, сформулированные в работе [13]:
1) аутентификация — главное требование к ИБ в VANET. Это вызвано необходимостью защиты от различных сообщений, отправленных от несуществующих узлов (например, атака Сивиллы) или от узлов, выдающих себя за существующие. Атака может быть и от реального узла, когда водитель направляет фальшивые сообщения о пробке на дороге для освобождения себе пути проезда;
2) целостность сообщений, гарантирующая от приема фальшивых сообщений;
3) обеспечение невозможности для отправителя отказаться от переданных им сообщений;
4) контроль доступа, который позволяет гарантировать, что все узлы функционируют в соответствии с предоставленными им полномочиями и привилегиями;
5) конфиденциальность сообщений в случаях, связанных с подозрениями в криминале;
6) обеспечение защиты приватной информации пользователя.
СПИСОК ЛИТЕРАТУРЫ
1. Кучерявый А. Е. // Электросвязь. - 2011. - № 7. - С.17.
2. Anjou F., Mouchtaris P. Security for Wireless Ad Hoc Networks. - John Willey & Sons Ltd., 2007.
3. Cayirici E., Chunming Rong. Security in Wireless Ad Hoc and Sensor Networks. - John Willey & Sons» Ltd., 2009.
4. Akyildiz I. F., Xudong Wang. Wireless Mesh Network. - John Wiley & Sons Ltd., 2009.
5. Ping Yi, Futari Zou, Ning Liu. Survey on Security in Wireless Mesh Networks // IETE Technical Rewiew. - 2010. - Vol. 27, No. 1. - Р. 6-14.
6. Бельфер Р. А., Огурцов И. С. Анализ пассивных атак в сенсорных сетях // Тез. докл. Всерос. науч.-техн. конф. «Безопасные информационные технологии» НИИ РЛ МГТУ им. Н. Э. Баумана, 2010. - С. 16-18.
7. Бельфер Р. А., Пестова А. П. Некоторые вопросы ИБ мобильной телемедицины сетей 3G и угрозы ее безопасности: Сб. науч. тр. - М: МИФИ, 2008. -С. 128-131.
8. Молчанов Д. Самоорганизующиеся сети и проблемы их построения // Электросвязь. - 2006. - С. 24-28.
9. Таненбаум Э. Компьютерные сети. - 4-е изд. - СПб.: Питер, 2010.
10. Raymond D., Midkiff S. Effects ofDenial-of Sleep Attacs on Wireless Sensor Network MAC Protocols // IEEE Transactions on Vehicular Technology. - 2009. -Vol. 58, No. 1. - Р. 1-14.
11. Gohale V., Gosh S. K., Armband Gupta. Classification of Attacks on Wireless Mobile Ad Hoc Networks and Vehicular Ad Hoc Networks. — CRC Press, 2011. - P. 196-217.
12. Кучерявый А., Винкель А., Ярцев С. В. Особенности развития и текущие проблемы автомобильных беспроводных сетей VANET // Электросвязь. -2009. - № 1. - C. 24-28.
13. Vicas Singh Yadav, Sudip Misra, Mozaffar Afaque. Security in Vehicular Ad Hoc Networks. - CRC Press, 2011. - Р. 228-249.
Статья поступила в редакцию 19.10.2011