Безпека в бездротових системах самоорганізованих мережах
Безпека бездротових самоорганізуючих мереж — це стан захищеності інформаційного середовища бездротових самоорганізованих мереж.
Особливості бездротових самоорганізованих мереж[ред. | ред. код]
- загальне середовище передачі даних
- всі вузли мережі спочатку рівноправні
- мережа є самоорганізована
- кожен вузол виконує роль маршрутизатора
- топологія мережі може вільно змінюватися
- в мережу можуть вільно входити нові й виходити старі вузли[1].
Джерела вразливостей в бездротових самоорганізованих мережах[ред. | ред. код]
- Уразливість каналів до прослуховування і підміни повідомлень, у зв'язку з загальною доступністю середовища передачі, як і в будь-яких бездротових мережах.
- Незахищеність вузлів від зловмисника, який легко може отримати один вузол в розпорядження, оскільки зазвичай вони не перебувають у безпечних місцях, таких як сейфи.
- Відсутність інфраструктури робить класичні системи безпеки, такі як центри сертифікації та центральні сервери, непридатними.
- Топологія, яка динамічно змінюється вимагає використання складних алгоритмів маршрутизації, що враховують ймовірність появи некоректної інформації від скомпрометованих сайтів або в результаті зміни топології[1].
Модель загроз[ред. | ред. код]
Пасивна атака на протокол маршрутизації[ред. | ред. код]
Склад атаки: прослуховування пакетів, посланих у відповідності з протоколом маршрутизації.
Переваги атаки: практично неможливо виявити, складно захиститися від таких атак.
Цілі: отримання інформації про взаємодію між вузлами з виявленням їх адрес, про зразкове розташування вузлів, про мережеву топологію.
При пасивних атаках порушується конфіденційність, проте доступність і цілісність залишаються недоторканими.
Чорна діра[ред. | ред. код]
Склад атаки: використання протоколу маршрутизації для перенаправлення пакетів, що йдуть від або до цільового вузла, через певний вузол.
Мета: ця атака може використовуватися для проведення згодом інших атак, таких як: викидання пакетів або людина посередині.
Чорна діра погіршує доступність, так як після неї починають застосовуватися неоптимальні маршрути. Конфіденційність порушується внаслідок того, що зловмисник має можливість прослуховувати весь цільовий трафік. Також чорна діра дозволяє зловмисникові порушити цілісність переданої інформації[1].
Переповнення таблиці маршрутизації[ред. | ред. код]
Склад атаки: створення маршрутів до неіснуючих вузлів.
Мета: переповнення таблиці маршрутизації протоколу, яке б запобігло створення нових маршрутів.
Дана атака може використовуватися в зв'язці з іншими атаками для запобігання зміни маршрутів. Вона завдає шкоди доступності через те, що маршрутні таблиці починають зберігати неактуальну інформацію. Але вона має силу тільки над запобіжними протоколами маршрутизації, які намагаються дізнатися маршрутну інформацію до того, як це необхідно, і то не над усіма.
Егоїстичність[ред. | ред. код]
Склад атаки: схильність сайту не надавати послуги іншим, наприклад, послугу маршрутизації.
Мета: зберегти власні ресурси, наприклад, заряд батареї.
Проблема егоїстичності вузлів нова й особливо актуальна для самоорганізованих мереж, так як вузли належать різним адміністративним доменам. Дана атака негативно впливає на доступність.
Жадібність[ред. | ред. код]
Склад атаки: схильність вузла використовувати спільні ресурси більше інших, наприклад середовище передачі даних.
Мета: задовольнити власні потреби без урахування збитковості положення інших вузлів.
По суті, жадібність і егоїстичність — дві сторони однієї монети. Дана атака негативно впливає на доступність.
Випробування безсонням[ред. | ред. код]
Склад атаки: підвищення потужності роботи цільового вузла шляхом примушення його здійснювати додаткові дії.
Мета: витратити енергію цільового вузла, які є в запі його джерела живлення.
Побічним ефектом випробування безсонням є порушення доступності. Для здійснення цієї атаки можуть бути використані інші, наприклад чорна діра, для направлення великого трафіку на цільовий сайт.
Виявлення місця розташування[ред. | ред. код]
Склад атаки: посилка маршрутних повідомлень, які б приводили до отримання деякої інформації про топологію мережі.
Мета: відновлення топології прилеглої мережі або відновлення ланцюжка вузлів, розташованих на маршруті до цільового вузла, шляхом аналізу отриманої інформації.
При наявності інформації про розташування деяких вузлів, можна обчислити приблизне розташування інших. Дана атака порушує конфіденційність[1].
Спуфінг[ред. | ред. код]
Склад атаки: підробка ідентифікації.
Мета: змусити інші вузли вважати вузол, що проводить атаку, не тим, чим він є насправді.
Успішно провівши атаку, зловмисник отримує можливість проводити які-небудь дії від чужого імені, тим самим порушується конфіденційність.
Постановка перешкод[ред. | ред. код]
Склад атаки: «засмічення» каналу передачі даних сторонніми шумами.
Мета: зробити неможливим передачу даних через цей канал.
Дана атака порушує доступність.
Модель порушника[ред. | ред. код]
«Хуліган»[ред. | ред. код]
Мотивації: відсутні.
Цілі: пожартувати над оточуючими, отримати порцію адреналіну від здійснення незаконних дій.
Характер дій: діє спонтанно, схильна застосовувати легкоздійснені атаки, які не вимагають великих витрат часу, здебільшого це DoS-атаки або атаки на загальновідомі уразливості, зазвичай використовує готовий софт, що здійснює атаку.
«Студент»[ред. | ред. код]
Мотивації: поява інтересу й отримання нової інформації про протоколах, уразливість і т. ін.
Цілі: перевірити свої можливості і здібності.
Характер дій: намагається діяти так, щоб дії не мали негативних наслідків для кого-небудь і, по можливості, були б не помічені.
Кваліфікований порушник[ред. | ред. код]
Мотивації: отримання особистої вигоди.
Цілі: отримання конфіденційної інформації має важливе значення (наприклад, паролі, номери рахунків і т. ін.), здійснення яких-небудь дій від чужого імені (з метою розкриття конфіденційної інформації, здійснення провокації і т. ін.).
Характер дій: всі дії цілеспрямовані, використовує уразливості в повній мірі, намагається приховати сліди або направити розслідування по хибному шляху.
Група порушників[ред. | ред. код]
Мотивації і Цілі: аналогічні «кваліфікованому порушникові».
Характер дій: атаки здійснюються групою з метою використовувати уразливості до наявності більш ніж одного скомпрометованого вузла[1].
Заходи захисту[ред. | ред. код]
Схеми аутентифікації[ред. | ред. код]
TESLA — протокол передавання аутентифікації повідомлень маршрутизації. У цьому протоколі всі вузли вибирають довільний початковий ключ KN, генерують по ньому ланцюжок ключів, шляхом повторного обчислення однобічної геш-функції (KN-1 = H[K, N]). Тепер для аутентифікації будь-якого отриманого значення, потрібно обчислити значення цієї ж геш-функції від нього і перевірити чи збігається воно з попереднім відомим достовірним значенням в ланцюжку.
Відомі методи підвищення безпеки[ред. | ред. код]
Доступність серверів через деяку кількість вузлів[ред. | ред. код]
Доступність серверів, що надають сервіси, які забезпечують безпеку в мережі, такі як центри сертифікації, через деяку кількість вузлів, забезпечить доступність сервісу навіть у разі, коли невелика частина цих вузлів буде скомпрометована.
Схема поділу секрету[ред. | ред. код]
Для забезпечення стійкості до збоїв серверів, зазвичай застосовують такі механізми, як репліковані сервера і кворумні системи, але вони підвищують ймовірність розкриття секрету, внаслідок компрометації одного з серверів. Схема розподілу секрету між серверами бореться з цією проблемою таким чином, що секрет може бути відновлений тільки у випадку, якщо достатня кількість часток секрету буде отримана з серверів. Для цих цілей можна використовувати розподілену криптосистему[1].
Оновлення часткою секрету[ред. | ред. код]
Розділення секрету не захищає від зловмисника, який пересувається від сервера до сервера, атакуючи, компрометуючи і контролюючи їх, так як через деякий час він зможе зібрати достатню кількість інформації, щоб відновити секрет. Створення серверами нового, незалежного набору часток і заміна ними старого, рятує ситуацію, оскільки нові частки не можуть бути зіставлені зі старими для розкриття секрету. Для розкриття секрету зловмисникові потрібно буде скомпрометувати достатню кількість серверів між двома послідовними оновленнями часток.
Оновлення часток може бути узагальнене і на той випадок, коли нові частки будуть розподілені між іншим набором серверів і, можливо, навіть з іншою конфігурацією. Це узагальнення дозволяє сервісу адаптуватися до випадків, коли певні сервера скомпрометовані перманентно, або коли сервіс виявляється в більш недружній обстановці.
Підтримка різних шляхів[ред. | ред. код]
Для підтримки досяжності слід знаходити і підтримувати різні шляху між двома вузлами, щоб невелика кількість скомпрометованих сайтів не змогла підірвати всі шляхи.
Виявлення маршрутів шляхом передачі повідомлень[ред. | ред. код]
Навіть захищений протокол виявлення маршрутів, який запобігає спробі обману скомпрометованими вузлами, нічого не зможе вдіяти, якщо скомпрометовані вузли скооперуються під час виявлення маршрутів, однак при передачі повідомлень обчислити їх через їх некоректну роботу буде легко.
Схема ймовірнісної безпечної маршрутизації[ред. | ред. код]
Ця схема полягає в тому, що для кожного призначення вузол підтримує імовірнісний розподіл по всіх сусідах. Цей розподіл засновано на відносній ймовірності того, що даний сусід передасть і в кінцевому рахунку доставить повідомлення до адресата. На кожному хопі повідомлення передається конкретному сусідові з якоюсь ймовірністю, ґрунтуючись на ймовірнісному розподілі досяжності сайту. Таким чином підтримуються різні шляхи. Також передача повідомлень сама по собі забезпечує відгук для коригування імовірнісного розподілу. Наприклад, підписане підтвердження про доставку повідомлення буде позитивним відгуком про досяжності по шляху, по якому його відправляли. Таким чином схема є самокорегованою[1].