МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН
Некоммерческое акционерное общество
«Алматинский университет энергетики и связи»
С.В. Коньшин Е.А. Шкрыгунова
ЗАЩИТА ИНФОРМАЦИИ В БЕСПРОВОДНЫХ СЕТЯХ
Учебное пособие
Алматы 2014
УДК 004.056.5: 621.396(075.8)
ББК 32.811я73
К65 Защита информации в беспроводных сетях:
Учебное пособие/ С.В. Коньшин, Е.А. Шкрыгунова
АУЭС. Алматы, 2012. – 85 с.
ISBN 978-601-7327-25-5
В учебном пособии излагаются вопросы защиты информации в беспроводных сетях связи, основные принципы шифрования и атак.
Учебное пособие предназначено для бакалавров, обучающихся по специальности 5В071900 – Радиотехника, электроника и телекоммуникации
Ил. 25, табл. 3, библиогр. – 5 назв.
ББК 32.811я73
РЕЦЕНЗЕНТ: МУИТ, канд. тех. наук, асс. профессора С.К. Кунаков
КазНТУ, канд. тех. наук, доцент О.А. Касимов
АУЭС, канд. тех. наук, доцент И.Н.Федулина
Рекомендовано к изданию Ученым советом Алматинского университета энергетики и связи (Протокол №5 от 28.01 от 2014г.)
ISBN 978-601-7327-25-5
НАО Алматинский университет энергетики и связи, 2014 г.
Содержание
|
Введение |
4 |
|
1 Обзор технологий беспроводных сетей |
5 |
|
1.1 Описание протоколов |
5 |
|
1.2 Модель OSI |
6 |
|
1.3 Топологии |
12 |
|
1.4. Методы разделения доступа к радиоканалу |
14 |
|
2 Безопасность беспроводных сетей |
18 |
|
2.1 Шифрование |
18 |
|
2.2 Аутентификация |
25 |
|
2.3 Уязвимости и риски |
33 |
|
3 Угрозы информационной безопасности сетей стандарта IEEE 802.11 |
37 |
|
3.1 Классификация угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11 |
37 |
|
3.2. Классификация беспроводных сетей стандарта IEEE 802.11 по набору применяемых средств защиты |
39 |
|
3.3 Нарушители как источники угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11 |
43 |
|
3.4 Спектр уязвимостей беспроводных сетей стандарта IEEE 802.11 |
47 |
|
3.5 Атаки на беспроводные сети стандарта IEEE 802.11 |
51 |
|
3.6 Выводы |
65 |
|
4 Безопасность в сетях GSM |
66 |
|
4.1 Общая схема криптозащиты GSM сетей |
66 |
|
4.2 Возможные атаки |
70 |
|
5 Безопасность в GPRS |
72 |
|
5.1 Безопасность мобильной станции |
72 |
|
6 Реализация безопасности передачи информации в стандарте сотовой связи CDMA 2000 1xRTT |
81 |
|
6.1 Безопасность в CDMA сетях |
82 |
|
6.2Аутентификация |
82 |
|
6.3 Безопасность передачи голосовых данных, информации и служебных сообщений |
83 |
|
6.4Анонимность |
83 |
|
6.5 3G CDMA 2000 |
84 |
|
Список литературы |
85 |
Введение
На сегодняшний день большое развитие в области передачи данных получили беспроводные сети — сети радиосвязи. Это объясняется удобством их использования, дешевизной и приемлемой пропускной способностью. Исходя из текущей динамики развития, можно сделать вывод о том, что по количеству и распространенности беспроводные сети в скором времени превзойдут проводные сети.
Эта динамика непосредственным образом влияет на требования к защите информации в беспроводных сетях. В данной работе подробно рассматривается текущее состояние ряда протоколов беспроводной связи, дается оценка перспективам их применения и предлагаются варианты перспективных направлений исследований по обеспечению защиты информации в беспроводных сетях.
1 Обзор технологий беспроводных сетей
Данное учебное пособие посвящено обзору основных современных технологий беспроводных сетей, причем особое внимание уделено вопросам обеспечения их безопасности, так как проблема надежной защиты информации служит одним из главных сдерживающих факторов развития беспроводных сетей и систем на их основе [1].
Радиосети (беспроводные сети) обеспечивают обмен данными между локальными компьютерными сетями, когда использование традиционных кабельных технологий затруднено или нецелесообразно (дорого). Примером эффективного использования беспроводной технологии радиодоступа является обеспечение связи между сегментами локальных сетей при нехватке финансовых средств, отсутствии разрешения на проведение кабельных работ или отказе телефонной станции в аренде выделенного канала. В закрытых помещениях прокладка кабеля может оказаться невозможной из-за неразборного пола или при запрете монтажных работ.
Основой любой беспроводной сети служит ее протокол. Как правило, протокол регламентирует топологию сети, маршрутизацию, адресацию, порядок доступа узлов сети к каналу передачи данных, формат передаваемых пакетов, набор управляющих команд для узлов сети и систему защиты информации. Поэтому в данной работе особое внимание уделено краткому описанию протоколов.
1.1 Описание протоколов
Все многообразие протоколов беспроводной передачи данных можно классифицировать несколькими различными путями, выбрав в качестве основного один из параметров, например, топологию сети, скорость работы или алгоритмы безопасности. Наиболее распространенный метод классификации в технической литературе исходит из максимального радиуса действия беспроводной сети. Ниже приведена классификация рассматриваемых протоколов по порядку уменьшению радиуса [1].
- WWAN (Wireless Wide area network) – в основном это сети сотовой связи, их радиус действия составляет десятки километров. К этим сетям относятся следующие протоколы: GSM, CDMAone, iDEN, PDC, GPRS и UMTS.
- WMAN (Wireless Metropolitan Area Networks – это беспроводные сети масштаба города.
Радиус действия таких сетей несколько километров. Примером протокола этой сети служит WiMAX.
- Wireless LAN (Wireless Local Area Network; WLAN) – это беспроводная локальная вычислительная сеть. Радиус действия этого класса сетей — несколько сотен метров. К ним относятся следующие протоколы: UWB, ZigBee, Wi-Fi.
- WPAN применяются для связи различных устройств, включая компьютеры, бытовые приборы и оргтехнику, средства связи и т. д. Радиус действия WPAN составляет от нескольких метров до нескольких десятков метров. WPAN используется как для объединения отдельных устройств между собой, так и для связи их с сетями более высокого уровня.
Примером таких сетей могут служить протоколы RuBee, X10, Insteon, Bluetooth, Z-Wave, ANT, RFID.
Ниже кратко описывается каждый из рассматриваемых протоколов. Эти протоколы выбраны для анализа вследствие их широкого распространения в современных беспроводных сетях связи. Такой выбор позволяет дать обзор текущего состояния информационной безопасности в сетях беспроводной связи вне зависимости от решаемых беспроводными сетями задач.
1.2 Модель OSI
Помимо радиуса действия сетей, роль протоколов важна при определении уровней в модели OSI. Эталонная модель OSI, иногда называемая стеком OSI, предусматривает 7– уровневую сетевую иерархию, разработанную Международной организацией по стандартам (International Standardization Organization — ISO). Ниже представлено разделение уровней и решаемые на этих уровнях задачи:
1) Физический - собственно кабель или физический носитель.
2) Канальный - передача и прием пакетов, определение аппаратных адресов.
3) Сетевой - маршрутизация и ведение учета.
4)Транспортный - обеспечение корректной сквозной пересылки данных.
5) Сеансовый - аутентификация и проверка полномочий.
6) Представления данных - интерпретация и сжатие данных.
7)Прикладной - предоставление услуг на уровне конечного пользователя: почта, регистрация и т.д.
Следует отметить, что многие из рассмотренных ниже протоколов были разработаны IEEE. Группа протоколов IEEE 802.X содержит описание сетевых спецификаций и дает стандарты, рекомендации и информационные документы для сетей и телекоммуникаций.
Рекомендации IEEE связаны главным образом с двумя нижними уровнями модели OSI — физическим и канальным. Эти рекомендации делят канальный уровень на два подуровня: нижний — MAC (управление доступом к среде) и верхний — LLC (управление логическим каналом).
1.2.1 Bluetooth.
Протокол передачи информации по беспроводному каналу связи Bluetooth был разработан группой компаний Ericsson, IBM, Intel, Toshiba и Nokia. Группа разработки была создана в начале 1998 года. 20 мая 1998 года произошло официальное представление специальной рабочей группы (SIG — Special Interest Group), призванной обеспечить беспрепятственное внедрение технологии, получившей название Bluetooth.
Bluetooth обеспечивает обмен информацией между такими устройствами, как карманные и обычные персональные компьютеры, мобильные телефоны, ноутбуки, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, недорогой, повсеместно доступной радиочастоте для ближней связи. Связь этих устройств может осуществляться в радиусе от 10 до 100 метров друг от друга даже в разных помещениях.
1.2.2 UWB.
Протокол UWB был разработан альянсом компаний WiMedia, а в 2007 году этот протокол был утвержден в качестве международного стандарта ISO/IEC 26907.
WiMedia UWB является стандартом широкополосной беспроводной связи на коротких расстояниях. Протокол затрагивает аспекты взаимодействия между устройствами на физическом уровне (PHY) и подуровне доступа к среде (MAC). Максимальная скорость передачи данных между устройствами WiMedia UWB составляет 480 Мбит/с (как и у проводного USB), устройства работают в диапазоне частот от 3,1 до 10,6 ГГц. Протокол UWB конкурирует с протоколом Bluetooth.
1.2.3 ZigBee.
Протокол ZigBee — это стандарт для недорогих, маломощных беспроводных сетей с ячеистой топологией. Низкая стоимость позволяет широко применять данную технологию для беспроводного контроля и наблюдения, а благодаря малой мощности сенсоры сети способны работать долгое время, используя автономные источники питания.
Протокол был разработан альянсом компаний ZigBee. Этот альянс служит органом, определяющим для ZigBee стандарты высоких уровней; он также публикует профили приложений, что позволяет производителям исходных комплектующих выпускать совместимые продукты.
Нижние уровни для данного стандарта разработаны IEEE и определяются стандартами IEEE 802.15.4-2006.
1.2.4 Insteon.
Протокол INSTEON разработан для управления беспроводными устройствами, предназначенными для «умного дома». В протоколе предусмотрена обратная совместимость с более старым протоколом X10. Скорость передачи сигнала управления по новому стандарту гораздо выше, предусматриваются встроенные средства обнаружения ошибок и повторной передачи сигнала, а для передачи используется гибридный канал — радиосвязь и сеть электропитания. Однако, в отличие от X10, спецификации INSTEON защищены патентами и используются только его разработчиками — компанией Smarthome Technology.
1.2.5 Z-Wave.
Ячеистая сеть Z-Wave с функциями самоорганизации и самовосстановления в сочетании с гибкими инсталляционными процедурами представляет собой простое в использовании сетевое решение. Протокол Z-Wave и чип высокой степени интеграции обеспечивает невысокую стоимость без компромисса в отношении надежности или универсальности.
Реализуется совместимость приложений и устройств Z-Wave, выпущенных разными производителями.
Z-Wave поддерживает полный спектр устройств, включая устройства, питающиеся от сети переменного тока, от батарей, устройства с фиксированным расположением и перемещаемые устройства, а также устройства, выполняющие роль мостов с другими протоколами.
В технологии Z-Wave узлы делятся на три типа: контроллеры (Controllers), маршрутизирующие исполнительные механизмы (Routing Slaves) и исполнительные механизмы (Slaves). В реальной сети все типы устройств могут работать в любой комбинации.
1.2.6 ANT.
Протокол передачи данных ANT был разработан компанией Dynastream Innovations.
Данный протокол прежде всего рассчитан на компактные устройства с автономным питанием (трансиверы, использующие этот протокол, отличаются исключительно малым током потребления) для передачи относительно коротких пакетов данных. Протокол предусматривает организацию открытых и частных беспроводных сетей, в том числе сложного типа с динамической конфигурацией. Он создан на основе технологии PAN (Personal Area Network) и поддерживает слои 1–4 стека OSI (Open Systems Interconnection network model).
Типичное применение такого протокола — беспроводные датчики.
Несущая частота по протоколу ANT — 2,4 ГГц, количество частотных каналов при этом равно 125 (шаг 1 МГц в диапазоне 2400. . . 2524 МГц). Скорость передачи данных по радиоканалу (включая протокол) может составлять до 1 Мбит/с.
1.2.7 RuBEE.
RuBee (IEEE P1902.1) — протокол двухсторонней беспроводной связи в местной региональной сети с использованием длинноволнового диапазона (LW) и пакетов данных не более 128 байт. Протокол RUBee подобен протоколам серии IEEE 802, также известным как Wi-Fi (IEEE 802.11), WPAN (IEEE 802.15.4) и Bluetooth (IEEE 802.15.1). RuBee networked, работает по принципу точка-точка и является развитием стандартов RFID. RuBee предусматривает работу на низкочастотной несущей (131 кГц), позволяя использовать узлы сети с малым потреблением энергии.
1.2.8 RFID.
RFID Radio Frequency IDentification. Радиочастотная идентификация появилась более тридцати лет назад. В 1973 году Марио Кардулло и его соавторы опубликовали патент US 3713148, описывающий первый пассивный транспондер RFID (радиометку). Развитие и широкое внедрение радиочастотной идентификации долго сдерживалось отсутствием стандартизации. Но в 90-x годах прошлого века Международная Организация Стандартизации (ISO) приняла ряд стандартов в области RFID (серия стандартов ISO 18000-6).
1.2.9 X10.
X10 — это международный открытый индустриальный стандарт, применяемый для связи электронных устройств в системах домашней автоматизации. Стандарт X10 определяет методы и протокол передачи сигналов управления электронными модулями, к которым подключены бытовые приборы, с использованием обычной электропроводки или беспроводных каналов.
Стандарт X10 разработан в 1975 году компанией Pico Electronics (Шотландия) для управления домашними электроприборами. Считается, что это первый стандарт для домашней автоматизации.
1.2.10 WI-FI
Wi-Fi создан в 1991 году NCR Corporation/AT&T (впоследствии — Lucent Technologies и Agere Systems) в Нидерландах. Wireless Fidelity — «беспроводная точность» — торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11.
Обычно схема Wi-Fi сети содержит не менее одной точки доступа (так называемый режим infrastructure) и не менее одного клиента. Также возможно подключение двух клиентов в режиме «точка-точка», когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров «напрямую». Точка доступа передаёт свой идентификатор сети (SSID) с помощью специальных сигнальных пакетов на скорости 0.1 Мбит/с каждые 100 мс. Поэтому 0.1 Мбит/с — это наименьшая скорость передачи данных для Wi-Fi. Зная SSID-сети, клиент может выяснить, возможно ли подключение к данной точке доступа.
При попадании в зону действия двух точек доступа с идентичными SSID приёмник может выбирать между ними на основании данных об уровне сигнала.
1.2.11 PDC.
PDC (Personal Digital Cellular) — стандарт сотовой связи поколения 2G. Разработан ассоциацией ARIB (Association of Radio Industries and Business) в апреле 2001 года.
Используется исключительно на территории Японии. В настоящее время количество абонентов сотовой связи, работающих на данном стандарте, сократилось до 10 миллионов человек. Притом, что в период максимальной распространенности этого стандарта количество абонентов достигало 80 миллионов человек. PDC использует частотные каналы по 25 кГц с модуляцией pi/4-DQPSK с тремя временными слотами, обеспечивающими передачу со скоростью 11.2 кбит/с или 6 временными слотами со скоростью передачи 5.6 кбит/с. PDC использует два диапазона частот — 800 МГц и 1,5 ГГц.
1.2.12 IDEN.
IDEN (Integrated Digital Enhanced Networks) – технология для сетей транкинговой и сотовой связи, разработана компанией MOTOROLA в 1994 году. В основе технологии iDEN архитектура GSM, при передаче используют частотные каналы по 25 кГц, при этом для передачи данных используется часть канала шириной 20 кГц, остальное преназначено для защиты канала. Протокол получил широкое распространение во всем мире. Диапазон частот — 821–825 МГц.
1.2.13 CDMAOne.
Стандарт CDMAOne разработан в 1995 году как технологический стандарт группы ANSI. CDMAOne основан на использовании CDMA (множественного доступа с кодовым разделением).
Система CDMA IS-95 фирмы Qualcomm рассчитана на работу в диапазоне частот 800 МГц, выделенном для сотовых систем стандартов AMPS, N-AMPS и D-AMPS. (Стандарты TIA IS-19, IS-20; IS-54; IS-55, IS-56, IS-88, IS-89, IS-90, (S-553).
Последующее развитие технологии CDMA происходит в рамках технологии CDMA2000.
При построении системы мобильной связи на основе технологии CDMA2000 1Х первая фаза обеспечивает передачу данных со скоростью до 153 кбит/с, что позволяет предоставлять услуги голосовой связи, передачу коротких сообщений, работу с электронной почтой, Интернетом, базами данных, передачу данных и неподвижных изображений.
1.2.14 WIMAX.
WiMAX (Worldwide Interoperability for Microwave Access) — телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств (от рабочих станций и портативных компьютеров до мобильных телефонов). Основана на стандарте IEEE 802.16, который также называют Wireless MAN.
Название «WiMAX» было предложено WiMAX Forum — организацией, основанной в июне 2001 года для продвижения и развития технологии WiMAX. Форум описывает WiMAX как «основанную на стандарте технологию, предоставляющую высокоскоростной беспроводной доступ к сети, альтернативный выделенным линиям и DSL» Максимальная скорость — до 1 Гбит/с.
1.2.15 GSM.
GSM (от названия группы Groupe Special Mobile, позже переименован в Global System for Mobile Communications) (русск. СПС-900) — глобальный цифровой стандарт для мобильной сотовой связи с разделением частотного канала по принципу TDMA и средней степенью безопасности. Разработан под эгидой Европейского института стандартизации электросвязи (ETSI) в конце 1980-х годов.
Коммерческое использование стандарта началось в середине 1991 г., а к 1993 г. было организовано 36 сетей GSM в 22 странах. В дополнение к европейским государствам стандарт GSM выбрали многие страны Южной Африки, Ближнего и Дальнего Востока, а также Австралия. К началу 1994 г. число абонентов GSM достигло 1.3 миллиона. Термин GSM является сокращением от Global System for Mobile telecommunications — глобальная система мобильных телекоммуникаций.
GSM относится к сетям второго поколения (2 Generation), хотя на 2010 год условно находится в фазе 2,75G благодаря многочисленным расширениям (1G — аналоговая сотовая связь, 2G — цифровая сотовая связь, 3G — широкополосная цифровая сотовая связь, коммутируемая многоцелевыми компьютерными сетями, включая Интернет).
Сотовые телефоны выпускаются для 4 диапазонов частот: 850 МГц, 900 МГц, 1800 МГц, 1900 МГц.
1.2.16 GPRS.
GPRS (General Packet Radio Service — пакетная радиосвязь общего пользования) — надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных. GPRS позволяет пользователю сети сотовой связи производить обмен данными с другими устройствами в сети GSM и с внешними сетями, включая Интернет.
Передача данных разделяется по направлениям «вниз» (downlink, DL) — от сети к абоненту и «вверх» (uplink, UL) — от абонента к сети. Мобильные терминалы разделяются на классы по количеству одновременно используемых таймслотов для передачи и приёма данных. По данным за июнь 2006 г., телефоны поддерживают до 4-х таймслотов одновременно для приёма по линии «вниз» (то есть могут принимать 85 кбит/с по кодовой схеме CS-4) и до 2-х – для передачи по линии «вверх» (class 10 или 4+2).
1.2.17 UMTS.
UMTS (Universal Mobile Telecommunications System — Универсальная Мобильная Телекоммуникационная Система) — технология сотовой связи разработана Европейским Институтом Стандартов Телекоммуникаций (ETSI) для внедрения 3G в Европе. В качестве способа передачи данных через воздушное пространство используется технология W-CDMA, стандартизованная в соответствии с проектом 3GPP в качестве ответа европейских учёных и производителей на требование IMT-2000, опубликованное Международным союзом электросвязи как набор минимальных критериев для сети сотовой связи третьего поколения.
Согласно спецификациям стандарта, UMTS использует спектры частот: 1885–2025 МГц для передачи данных в режиме «от мобильного терминала к базовой станции» и 2110–2200 МГц для передачи данных в режиме «от станции к терминалу». В США по причине занятости спектра частот в диапазоне 1900 МГц сетями GSM выделены диапазоны 1710–1755 МГц и 2110–2155 МГц соответственно. Кроме того, операторы некоторых стран (например, американский AT&T Mobility) дополнительно эксплуатируют полосы частот 850 и 1900 МГц. Правительство Финляндии на законодательном уровне поддерживает развитие сети стандарта UMTS900, покрывающей труднодоступные районы страны и использующей диапазон 900 МГц (в данном проекте участвуют такие компании, как Nokia и Elisa).
1.3 Топологии
Все перечисленные беспроводные сети работают в одном или нескольких вариантах топологии. На рисунке 1.1 приведены топологии беспроводных сетей различных конфигураций [1].
1.3.1 Топология точка-точка.
Самый простой вариант организации сети из двух устройств. Как правило, узлы этой сети являются равноправными, то есть сеть одноранговая.
Эта топология характерна для Bluetooth, ANT, RFID, RuBee, PDC, WI-FI, Insteon, UWB, ZigBee и прочих.
Рисунок 1.1 - Топологии беспроводных сетей
1.3.2 Топология «Звезда».
Эта топология служит основой организации всех современных сетей связи и вычислительных сетей. Данную топологию используют протоколы WI-FI, Insteon, ZigBee, UWB, IDEN, CDMAOne, WIMAX, GSM, GPRS, UTMS.
1.3.3 Топология «многоячейковая сеть».
Многоячейковая сеть — базовая полносвязная топология компьютерных сетей и сетей связи, в которой каждая рабочая станция сети соединяется со всеми другими рабочими станциями этой же сети. Характеризуется высокой отказоустойчивостью, сложностью настройки и избыточным расходом кабеля в проводных сетях. Каждый узел имеет несколько возможных путей соединения с другими узлами, за счет этого такая топология очень устойчива. Так как исчезновение одного из каналов не приводит к потере соединения между двумя компьютерами. Эта топология допускает соединение большого количества узлов и характерна, как правило, для крупных сетей, она строится из полносвязной путем удаления некоторых возможных связей.
Топология применима для сетей с использованием протоколов UWB, WI-FI, Insteon, ZigBee, UWB, IDEN, CDMAOne, WIMAX, GSM, GPRS, UTMS.
1.3.4 Топология «кластерное дерево».
Топология «Кластерное дерево» образуется в основном в виде комбинаций вышеназванных топологий вычислительных сетей. Основание дерева вычислительной сети располагается в точке (корень), в которой собираются коммуникационные линии информации (ветви дерева).
Вычислительные сети с древовидной структурой строятся там, где невозможно непосредственное применение базовых сетевых структур в чистом виде.
1.4 Методы разделения доступа к радиоканалу
В этом разделе описаны основные методы разделения доступа к радиоканалу.
Использование этих методов доступа в современных протоколах передачи информации по беспроводным каналам связи вызвано необходимостью передавать большие объемы информации за короткий промежуток времени, поддерживать связь с несколькими абонентами в узких диапазонах частот [1].
В современных протоколах передачи данных предусматривается три основных метода разделения доступа устройств связи к радиоканалу — CDMA, FDMA, TDMA. Также существует ряд их модификаций.
1.4.1 CDMA.
Рисунок 1.2- Разделение канала в CDMA
Code Division Multiple Access (CDMA) — это другой метод доступа к каналу, который используется в мобильной телефонии третьего поколения (3G). CDMA является расширением нескольких технологий доступа, использующим уникальную схему кодирования, позволяющую нескольким пользователям одновременно общаться по одному физическому каналу. Таким образом, каждой группе пользователей предоставляется уникальный общий код, причем не может быть, чтобы в одном и том же канале работали несколько пользователей с разными кодами, и общаться и понимать друг друга может единственная группа пользователей, имеющих один и тот же код.
Основная особенность этой технологии в том, что она позволила увеличить количество сигналов для заданной частотной полосы. Первоначальный стандарт CDMA, известный так-же, как IS-95 или cdmaOne, до сих пор используется в сетях мобильной телефонии 2G.
CDMA обеспечивает более высокую по сравнению с другими методами доступа скорость передачи данных.
Чтобы продемонстрировать различия в работе трех методов разделения доступа к каналу, допустим, что в одной комнате находится две группы абонентов. Используя FDMA, члены каждой группы располагают различными частотными полосами голосовой связи, т.е. осуществляется разделение по частоте. В системе TDMA каждой группе отводится для разговора свой временной интервал, т.е. осуществляется разделение по времени. И наконец CDMA предоставляет обеим группам возможность общаться на разных языках на одинаковых частотах в одно и то же время, т.е. реализуется разделение по коду.
1.4.2 CSMA.
Carrier Sense Multiple Access (CSMA) — вероятностный сетевой протокол канального (МАС) уровня. Узел, желающий передать пакет данных, выполняет процедуру оценки чистоты канала, то есть в течение заранее заданного времени определяет уровень шума в передающей среде. Если передающая среда оценивается как чистая, узел может передать пакет данных. В противном случае, если выполняется другая передача, узел «отстраняется», то есть, прежде чем опять предпринять процедуру отправки пакета, узел ждёт определённое время.
На практике более распространена модификация этой технологии — CSMA/CD, предусматривающая контроль коллизий. Существует также технология CSMA/CA, в которой предпринимаются меры по исключению коллизий. На рисунке 1.3 представлен один кадр для метода доступа устройств в сеть CSMA.
1.4.3 TDMA .
TDMA Time Division Multiple Access — множественный доступ с разделением по времени — способ использования радиочастот, когда в одном частотном интервале находится несколько абонентов, причем для передачи разным абонентам отведены разные временные интервалы (слоты). Это приложение метода временного мультиплесирования (TDM — Time Division Multiplexing) к радиосвязи.
Таким образом, TDMA предоставляет каждому пользователю полный доступ к частотному интервалу в течение короткого промежутка времени (в GSM один частотный интервал делится на 8 временных слотов). В настоящее время TDMA является доминирующей технологией для мобильных сотовых сетей и используется в стандартах GSM, TDMA (ANSI-136), PDC.
Рисунок 1.3 - Система синхронизации и обеспечения множественного доступа к каналу CSMA
Рисунок 1.4 - Распределение каналов в TDMA
FDMA Frequency Division Multiple Access — множественный доступ с разделением каналов по частоте — способ использования радиочастот, когда в одном частотном диапазоне находится только один абонент, а разные абоненты в пределах соты используют разные частоты. Является приложением частотного мультиплексирования (FDM) в радиосвязи.
Пока начальный запрос не закончен, канал для других сеансов связи закрыт. При полном дуплексном режиме (Full-Duplex) по методу FDMA требуется два канала — один - для передачи, а другой - для приема. FDMA использовался в аналоговой связи первого поколения (1G): этот принцип реализован в стандартах AMPS, N-AMPS, NMT, ETACS (американский стандарт).
На рисунке 1.5 проводится сравнение методов разделения канала TDMA и FDMA. Можно заметить зависимость появления сигналов в канале от времени и частоты для каждого из методов разделения. В случае TDMA основной служит ось времени, в случае FDMA — ось частоты.
Рисунке 1.5 - Сравнение методов разделения радиоканала
1.4.4 OFDM.
OFDM (Orthogonal frequency-division multiplexing) — ортогональное частотное разделение каналов с мультиплексированием) является цифровой схемой модуляции, которая использует большое количество близко расположенных ортогональных поднесущих. Каждая поднесущая модулируется по обычной схеме модуляции (например, квадратурная амплитудная модуляция) на низкой символьной скорости, сохраняя общую скорость передачи данных, как и у обычных схем модуляции одной несущей в той же полосе пропускания. На практике сигналы OFDM получаются путем использования БПФ (быстрое преобразование Фурье) [1].
Все приведенные методы разделения доступа к каналу применяются в беспроводных сетях с множественным доступом. При этом сети могут иметь разную топологию.
2 Безопасность беспроводных сетей
Безопасность беспроводных сетей зависит от использования ряда технологий: шифрования, цифровой подписи, паролей, смены ключей и прочего. То, как используются эти технологии сильно влияет на уровень защищенности сети. Иногда, методика использования ранее перечисленных технологий такова, что они никак не влияют на уровень защищенности сети. Эти вопросы детально рассматриваются ниже.
2.1 Шифрование
Ниже перечислены алгоритмы шифрования, применяемые в каждой из технологий, в перечне указана технология, стандарт шифрования и его режим [1]:
- Bluetooth – E0 – ECB;
- UWB – AES – CBC;
- ZigBee – AES – CBC;
- Insteon – Rolling code system – поточное;
- Z-Wave – 3DES только в 100 серии – ECB;
- ANT – нет;
- RuBee -AES;
- RFID – Crypto1, DES – асиметричный;
- X10 – нет;
- WI-FI – RC4, AES – CBC;
- PDC – A5 – поточное;
- IDEN – A5 – поточное;
- CDMA – CMEA – ECB;
- WIMAX – 3DES, AES – ECB;
- GSM – A5 (COMP-128) – поточное;
- GPRS – GEA1, GEA2 – поточное;
- UMTS – A5 (COMP-128) KASUMI MILENAGE – поточное.
Стандарт шифрования E0. В стандарте Bluetooth применяется поточный шифр E0, построенный на базе трех линейных генераторов сдвига. Общая схема шифрования и генерации общего ключа приведена на риунке 2.1. Эта схема применяется в Bluetooth в режимах обеспечения безопасности 2 и 3. Данные режимы безопасности применяются в протоколе Bluetooth v2.0 + EDR.
В протоколе Bluetooth v2.0 + EDR (и более ранних версий, работающих в режимах безопасности 2 и 3) два устанавливающих соединение устройства одновременно получают одинаковый сеансовый ключ в случае, если пользователь установил для них одинаковый PIN. Ввод PIN-кода и установка сеансового ключа схематически представлены на рисунке 2.1.
Следует отметить, что если PIN-код короче 16 байтов, то для генерации сеансового ключа как дополнение к значению текущего PIN-кода используется BD_ADDR.
Рисунок 2.1 - Схема соединения двух устройств Bluetooth для генерации общего ключа
Основой процедуры шифрования в протоколе Bluetooth служит алгоритм потокового шифрования E0. Ключ потока суммируется по схеме XOR с битами открытого текста и передается на принимающее устройство. Ключ потока генерируется посредством криптографического алгоритма на базе линейного рекуррентного регистра (ЛРР). Функция шифрования получает следующие входные данные: главный идентификатор (BD_ADDR), 128-битное случайное число (EN_RAND), номер слота и ключ шифрования, который также инициализирует ЛРР, если шифрование включено. Номер слота, используемый в потоковом шифре, меняется с каждым пакетом, меняя тем самым инициализацию ядра шифра, другие же переменные при этом не меняются.
Ключ шифрования КС генерируется из текущего сеансового ключа и может иметь длину от 8 до 128 бит. Установление размера ключа происходит в ходе установления сеанса шифрования между устройствами. Начальный размер ключа вносится в устройство производителем, и размер его не всегда максимален.
Следует отметить, что алгоритм E0 не сертифицирован FIPS как национальный стандарт.
Имеется теоретическая оценка стойкости данного алгоритма. При атаке со знанием открытого текста требуется 238 переборов, в то время как при атаке грубой силы необходимо перебрать 2128 возможных ключей.
Шифр Диффи–Хеллмана на эллиптических кривых. В режиме обеспечения безопасности 4 по протоколу Bluetooth v2.1 + EDR используется пара ключей безопасного простого сопряжения (Secure Simple Pairing — SSP). Эта пара ключей представляет собой ключи алгоритма асиметричного шифрования Диффи–Хеллмана на эллиптических кривых. Взаимодействие двух абонентов с использованием ключей SSP показано на рисунке 8.
Данный алгоритм надежен: реализуемых на практике эффективных атак на сам алгоритм в данный момент не существует. Но имеется вероятность того, что атака окажется успешной при программной и аппаратной реализации алгоритма.
2.1.1 Стандарт шифрования AES.
Данный стандарт шифрования наиболее широко применяется для защиты беспроводных каналов передачи информации. Он используется в протоколах UWB, ZigBee, RuBee, WI-FI и WIMAX. В связи с широким распространением данного алгоритма его описание в данной работе не приводится. Если ключи генерируются на каждый сеанс надежной системой распределения секрета, эффективных атак на данный алгоритм нет [1].
Рисунок 2.2 - Порядок установления защищенного соединения
Шифр CMEA. Безопасность связи обеспечивается также применением процедур аутентификации и шифрования сообщений. В CDMA для генерации 128 бит ключа в сотовой связи используется стандартный алгоритм аутентификации и шифрования речи CAVE (Cellular Authentication Voice Encryption). Ключ называется SSD (Shared Secret Date — «общие секретные данные»). Эти данные генерируются на основе A-ключа, который хранится в мобильной станции, из полученного от сети псевдослучайного числа. Общие секретные данные (SSD) генерирует алгоритм CAVE. Они разделяются на две части: SSD-A (64 бита), предназначенную для выработки цифровой подписи (authentication signature), и SSD-B (64 бита), предназначенную для генерации ключей, используемых для шифрования речи и передачи сигнала сообщения. SSD может использоваться поставщиками услуг для местной аутентификации при роуминге. Новые общие секретные данные (SSD) могут генерироваться при перемещении мобильной станции к чужой сети или ее возвращении к домашней сети.
Рисунок 2.3 - Взаимодействие абонентов при помощи ключей SSP
2.1.2 Алгоритм Rolling code system.
Этот шифр, назваемый также KeeLoq, использует линейный рекуррентный регистр сдвига. Длина основного регистра 32 бита, длина дополнительного регистра 5 бит.
Шифрование производится побитным суммированием с ключом. Для данного алгоритма существуют эффективные атаки. Например, чтобы получить систему линейных уравнений, позволяющую восстановить начальное заполнение линейного регистра, достаточно путем прослушивания ключевой последовательности перехватить ее 216 символов.
Рисунок 2.4 - Процедура шифрования в CDMA с использованием шифра CMEA
2.1.3 Алгоритм Crypto 1.
Данный алгоритм использует комбинацию линейных и нелинейных рекуррентных регистров. Длина ключа — 48 бит [1].
В настоящий момент предлагаемые методы криптоанализа Crypto 1 позволяют восстанавливать весь ключ при перехвате его 12 бит.
Алгоритм шифрования A5. Поток данных (передаваемый на DCCH и TCH) шифруется побитно (потоковым шифром), то есть поток данных, получаемых по радиоканалу от пользователя, и поток битов ключа, сгенерированный алгоритмом A5, суммируются. Ключ шифрования — Kc.
Для многоканальных конфигураций (например, SCSD) используются различные ключи для разных каналов. Для канала .. посредством алгоритма A5 по ключу Kc вычисляется ключ Kcn, причем вычисление производится следующим образом.
Рисунок 2.5 - Алгоритм Crypto 1
Пусть BN обозначает двоичный код временного интервала n (длиной от 0 до 7) из 64 бит. Бит i ключа Kcn — Kcn(i) вычисляется по формуле:
,
где xor- побитовое суммирование;
- обозначает 32-битный циклический сдвиг.
Количество сложений определяется из условия, что lsb клоча Kc складывается посредством операции .xor с . lsb. смещенного BN.
Расшифрование производится аналогичным способом.
При шифровании с помощью алгоритма A5 каждые 4.615 мс вырабатывается последовательность из 114 шифрующих/расшифрующих битов ключа (далее блок), побитно суммируемых с битами открытого текста. Полученный посредством алгоритма A5 первый бит ключа шифрования добавляется к e0, второй — к e1 и так далее.
Для каждого канала расшифрование выполняется на стороне MS; BLOCK1 содержит 114 битов ключа шифрования и используется для шифрования и расшифрования блока BLOCK2. Поэтому алгоритм A5 должен каждые 4.615 мс выдавать два блока.
Синхронизация обеспечивается введением в A5 переменной времени COUNT, получаемой из номера кадра TDMA. Таким образом, каждый 114-битный блок, производимый алгоритмом A5, зависит только от номера кадра TDMA и ключа шифрования Kc.
COUNT содержит 22 бита, соединенных путем конкатенации параметров T1, T3 и T3.
Это входные параметры алгоритма A5. Состав переменной COUNT указан на рисунке 2.6.
Двоичное представление графа. Бит 22 – старший бит (MSB), бит 1 — младший бит (LSB) графа. T1, T3 и T2 представлены в двоичной системе. (Для определения T1, T3 и T2 см. GSM 05,02.)
Алгоритм A5 имеет два входных параметра (COUNT и Kc) и выходные параметры (BLOCK1и BLOCK2), причем используются следующие форматы:
Длина ключа Kc — 64 бита.
Длина COUNT — 22 бита.
Длина BLOCK1 — 114 битов.
Длина BLOCK2 — 114 битов.
Рисунок 2.6 - Переменная COUNT
Алгоритм A5 должен выдавать блоки BLOCK1 и BLOCK2 быстрее, чем вырабатывается один кадр TDMA, то есть за 4.615 мс.
Примечание: если фактическая длина ключа меньше 64 битов, то шифрование выполняется старшими битами ключа Kc, остальные устанавливаются в 0.
Стойкость данного шифра составляет 220, что на практике соответствует скорости взлома 3–5 минут.
Рисунок 2.7 - Расшифрование на стороне мобильной станции
2.1.4 Шифрование в iDEN.
Процедура установления защищенного соединения по протоколу iDEN идентична аналогичной процедуре в протоколе GSM, но информация об используемых криптоалгоритмах в открытых источниках отсутствует.
2.2 Аутентификация
В приводимой ниже таблице 2.1 представлены обобщенные данные по использованию процедур аутентификации в рассматриваемых протоколах. В качестве наиболее значимых параметров были определены следующие [1]:
1) Аутентификация устройств — процедура аутентификации устройств служит основным средством определения периметра беспроводной сети и легальности подключаемых узлов.
2) Аутентификация процессов — процедура, позволяющая подтвердить, что на узле сети используется доверенный (легальный) исходный код.
3) Аутентификация пакетов — процедура, позволяющая определить автора передаваемого пакета данных. Эта процедура необходима для защиты от атаки «человек-посередине».
4) Аутентификация пользователей — процедура аутентификации.
Таблица 2.1 - Данные по использованию процедур аутентификации
Аутентификация в Bluetooth. Аутентификация в протоколе Bluetooth построена по схеме «запрос-отзыв» (стратегия идентификации пользователя путём проверки правильности его реакции на непредсказуемый запрос системы). Эта схема предполагает, что запрашиваемое устройство знает секретный сеансовый ключ. В протоколе Bluetooth используется алгоритм аутентификации E1, построенный по данной схеме. Алгоритм E1 приведен на рисунке 2.8.
Рисунок 2.8 - Алгоритм аутентификации E1
Схема аутентификации с использованием алгоритма E1(SAFER+ )
Проверяемая сторона передает проверяющей 128-битное случайное число AU_RAND.
Проверяющая сторона вычисляет ответ для проверяемой, используя алгоритм E1, свой уникальный 48-битный адрес устройства BD_ADDR, сеансовый ключ и выход генератора случайных чисел AU_RAND. Для аутентификации используются только 32 старших разряда, получаемых после шифрования E1; оставшиеся 96 бит от 128-битного выхода шифра носят название Authenticated Ciphering Offset (ACO) и используются позже для генерации ключа шифрования Bluetooth.
Проверяемая сторона возвращает 32 старших бита как вычисленный ответ SRES.
Проверяющая сторона самостоятельно вычисляет значение SRES и сравнивает его с полученным значением.
Если полученные 32 бита сходятся с вычисленными, то аутентификация проходит, если не сходится – аутентификации не происходит.
2.2.1 Аутентификация в ANT.
В приведенной схеме MS обозначает мобильную станцию связи, BSS/MSC/VLR — узлы сети связи.
Алгоритм A3. Посредством алгоритма A3 вычисляется время ожидания ответа SRES по числу RAND от генератора случайных чисел, присылаемому по сети. При этом используется секретный ключ аутентификации Ki.
Рисунок 2.9 - Процедура аутентификации в протоколе ANT
На стороне MS алгоритм A3 содержится в модуле идентификации пользователей (Subscriber Identity Module).
На стороне сети эти действия реализованы в HLR или в AuC. Два входных параметра (RAND и Ki) и выходной параметр (SRES) алгоритма A3 имеют следующий формат:
- длина Ki — 128 бит;
- длина RAND — 128 бит;
- длина SRES — 32 бита.
Время работы алгоритма A3 превышает 500 мс.
2.2.2 Аутентификация в PDC.
Подсистема аутентификации в протоколе PDC реализует следующую процедуру обмена информацией между сетью и абонентом (MS).
Сеть связи высылает абоненту MS случайное число RAND.
Абонент MS вычисляет подпись для RAND под названием SRES, используя алгоритм A3 и секретный индивидуальный ключ аутентификации абонента Ki.
Абонент посылает в сеть подпись SRES.
Сеть проверяет SRES.
Вся процедура отображена на рисунке 2.10.
Рисунок 2.10 - Аутентификация устройств в протоколе PDC
2.2.3 Аутентификация в IDEN.
Процесс аутентификации происходит между абонентом MS и системой iDEN и позволяет аутентифицировать абонента MS и назначить ему права доступа к сервисам. При этом используется цифровая подпись.
Во время первоначальной регистрации абонента в сети ему в соответствие ставится IMEI и алгоритм аутентификации Ki. Базовая станция HLR использует алгоритм подписи абонента MS для генерации 32 подписей из 32 случайных чисел. После генерации эти числа заносятся в таблицу VLR.
Для аутентификации абонент посылает в VLR свой ID. ID включает в себе следующее.
Международный мобильный идентификатор оборудования IMEI (получаемый при первичной регистрации).
Международный мобильный идентификатор абонента IMSI (получаемый в процессе регистрации).
Временный мобильный идентификатор абонента TMSI (получаемый при звонках в роуминге).
IP адрес для передачи данных по сети.
VLR посылает одно из случайных чисел абоненту. Абонент запускает генератор подписи, вычисляет подпись и пересылает ее в VLR. Там она сравнивается со значениями таблицы и по результатам сравнения назначаются права доступа или дается отказ в них.
Эти действия иллюстрирует приведенный ниже рисунок.
При первом включении телефона абонент MS проходит регистрацию в системе. В процессе регистрации абонент:
- посылает свой IMEI в сеть iDEN FNE;
- получает IMSI, изданный DAP/MSC;
- получает остальные параметры сети.
Эти параметры позволяют получить доступ к основному каналу управления сети.
После получения абонентом ID системы IMEI больше в качестве идентификатора доступа не используется до тех пор, пока в мобильном телефоне не будут удалены все параметры сети.
Канал радиосвязи содержит специальную информацию согласно протоколам RLP и Mobis.
Информация об абоненте MS включает:
- международный мобильный идентификатор абонента IMSI;
- аутентификатор Ki;
- временный мобильный идентификатор абонента TMSI.
Рисунок 2.11 - Процесс аутентификации абонента
Уникальный идентификатор IMSI «домашняя сеть» выдает абоненту MS при инициализации.
Ключ аутентификации Ki служит для идентификации абонента MS путем подписания случайных чисел цифровой подписью.
Случайное число — это часть таблицы, которая используется для аутентификации MS.
Цифровые подписи — это часть таблицы, которая используется для аутентификации MS.
TMSI — это временный идентификатор абонента в роуминговых сетях, который используется для аутентификации абонента MS, пока он активен в данной сети. Этот параметр ограничивает рассылку различных пакетов сильнее, чем при использовании идентификатора IMSI. IMSI присваивается абоненту, как только он появляется в «домашней сети».
2.2.4 CCMP.
В алгоритме CCMP для проверки подлинности и целостности данных используется метод CBC-MAC.
Стандарт AES, используемый в CCMP, предусматривает работу со 128-битным ключом и 128-битным блоком. С любым блочным алгоритмом шифрования можно использовать общий режим СММ. Алгоритм CCM предусматривает два параметра (М и L), причем в CCMP используются следующие их значения:
1) M = 8 (вследствие того, что поле MIC [1] – 8-октетное [2]).
2) L = 2 (указывает на то, что длина поля составляет 2 октета, чего достаточно для хранения пакетов MPDU всех возможных длин по стандарту IEEE 802.11).
Стандарт для алгоритма СММ требует использования новых временных ключей для каждой новой сессии. Кроме того, СММ требует уникального значения Nonce для каждого кадра, защищённого конкретным выбранным временным ключом. CCMP использует для этого 48-разрядный номер пакета (PN). Повторное использование PN-номера с тем же временным ключом обнуляет все гарантии безопасности.
2.2.5 CAVE.
Функция перемешивания, использующаяся в протоколах аутентификации запрос-ответ и для генерации ключей.
Для аутентификации абонента в CDMA-сети используется вспомогательный ключ SSD_A генерируемый алгоритмом CAVE с учетом параметров A-key, ESN и RANDSSD.
Управляющее сетью устройство генерирует и рассылает открыто по эфиру случайное число RAND*, а мобильные устройства используют его как входные данные для алгоритма CAVE. Они генерируют 18-битную аутентификационную цифровую подпись (AUTH_SIGNATURE) и посылает ее на базовую станцию. В центре коммутации (Mobile services Switching Center – MSC) она сверяется с подписью, генерируемой самим MSC, для проверки легитимности абонента. Число RAND* может быть либо одинаковым для всех пользователей, либо генерироваться каждый раз заново.
Мобильное устройство и сеть ведут 6-битные счетчики вызовов, что обеспечивает возможность выявления работающих двойников: Для этого достаточно лишь контролировать соответствие значений счетчиков на телефоне и в MSC.
Секретный ключ A-key является перепрограммируемым, а в случае его изменения информация на мобильном телефоне и в HLR/AC должна быть синхронизирована. A-key может перепрограммироваться несколькими способами: на заводе, дилером в точке продаж, абонентом через интерфейс телефона, а также с помощью OTASP (Over The Air Service Provisionig). Служба OTASP использует 512-битный алгоритм согласования ключей Диффи-Хеллмана, гарантирующий достаточную безопасность. OTASP предоставляет легкий способ смены ключа A-key мобильного телефона на случай появления в сети двойника мобильного телефона. Изменение ключа A-key автоматически влечет за собой отключение услуг двойнику мобильного телефона и повторное включение услуг легитимному абоненту.
2.2.6 Пароли и ключи.
Таблица 2.2 – Пароли и ключи
Управление ключами в PDC. Ключ назначается абоненту при первом включении абонента в домашней сети. Ключ меняется с каждым сеансом путем шифрования случайного числа RAND/ SRES ключом Ki при помощи алгоритма A3. Процедура смены ключа сеанса представлена на рисунке 2.12.
В данной схеме BSS/MSC/VLR — это стационарные станции сети связи, которые управляют сетью. HLR/AuC — подвижные станции сети PDC, на которых осуществляется генерация случайных чисел RAND, хранение ключа Ki и генерация векторов аутентификации SRES.
Алгоритм управления ключами — A8 (GSM/GPRS). Использование алгоритма A8 зависит от решения оператора GSM и согласно меморандуму GSM/MoU производится по запросу.
На стороне MS алгоритм A8 содержится в SIM-карте.
На стороне сети A8 располагается совместно с A3.
Два входных параметра (RAND и Ki) и выходной параметр (Kc) алгоритма A8 должны иметь следующие форматы:
- длина Ki — 128 бит;
- длина RAND — 128 бит;
- длина Kc — 64 бита.
Рисунок 2.12 - Процедура смены ключа сеанса связи в протоколе PDC
Так как в соответствии с требованиями GSM/MoU максимальная длина ключа шифрования зафиксирована, A8 должен давать ключ требуемой длины и при необходимости расширять его до 64-битного слова, в котором младшие значащие биты равны нулю.
2.3 Уязвимости и риски
2.3.1 Уязвимости.
Ниже представлены основные уязвимости для беспроводных протоколов [1]:
1) Ключи устройства используются повторно и скомпрометированы.
2) Ключи при обмене перехватываются.
3) Слабое управление PIN-кодами.
4) Ключ для шифрования повторяется после 23,3 часа его применения (в Bluetooth).
5) Ненадежное хранение ключей.
6) Повтор попыток аутентификации.
7) Стойкость процедуры «запрос-ответ» генератора псевдослучайных чисел неизвестна.
8) Ключ изменяемой длины.
9) Главный ключ открытый.
10) Нет аутентификации пользователей.
11) Используется слабый алгоритм шифрования E0.
12) Конфиденциальность может быть нарушена, если адрес Bluetooth устройства (BD_ADDR) захватывается и связан с конкретным пользователем.
13) Аутентификация устройства построена на очень простом и слабо защищенном принципе раскрытия секрета процедуры «запрос-ответ».
14) Защита канала «точка-точка» не выполняется.
15) Очень ограниченная степень безопасности.
16) Устройства уязвимы для атак во время процесса обнаружения и подключения.
2.3.2 Риски.
Риск прослушивания. Самый существенный риск связан с пассивным прослушиванием канала третьей стороной. Существует несколько методов организации прослушивания:
1) Подслушивание абонента при громком разговоре.
2) Прослушивание при помощи закладок в помещении.
3) Перехват беспроводного соединения.
4) Перехват информации на узлах сети.
5) Перехват информации при передаче между узлами сети.
Риск кражи записей информации. Данный риск характерен для автоответчиков и телефонов с функцией диктофона. Суть данного риска заключается в возможности воровства записанной информации с носителей. В роли носителей выступают автоответчики телефонов, память диктофонов, совмещенных с телефонами, память узлов сенсорных сетей и т.д.
Анализ передаваемого потока управления. Для злоумышленника может представлять интерес любая информация о действиях пользователя:
- Время и дата разговоров и сеансов передачи данных.
- Вызываемые абоненты.
- Местоположение абонентов.
- Номера и IP адреса абонентов.
- История сеансов связи.
- Телефонная книга и перечень адресов.
- Определение местоположения.
Этот риск характерен для любого пользователя передающего устройства, находящегося в сети с промежуточными устройствами. Например, для пользователей сотовых телефонов.
Прочие риски:
- Загрузка кода. Существующие беспроводные устройства слабо защищены от загрузки программного кода и его исполнения на узлах сети. Этот код может работать в интересах третьей стороны и наносить ущерб системе передачи информации, передаваемой информации и пользователям системы.
- Восстановление удаленных сообщений. Особенности электронной памяти, используемой в современных беспроводных устройствах, таковы, что она может долго сохранять в себе ранее удаленную информацию. Это связано также с алгоритмами удаления. Как правило, разработчики программного обеспечения ограничиваются стиранием ссылок на записанную информацию или заголовков, не затирая саму информацию.
- Кражи. Одним из самых существенных рисков для узлов беспроводных сетей является риск кражи самих узлов. Это связано как с ценностью самих узлов, так и с отсутствием возможности контролировать распространение и перепродажу краденых узлов беспроводных сетей.
2.3.3 Атаки на беспроводные сети.
Для беспроводных сетей характерны следующие виды атак:
1) Отказ в обслуживании (DoS).
2) Пассивное прослушивание (eavesdropping).
3) Атака «человек-посередине» (man-in-the-middle attacks).
4) Модификация сообщений (message modification).
5) Захват ресурса (resource misappropriation).
2.3.4 Модель угроз.
Для всех представленных беспроводных технологий характерны угрозы нарушения целостности, конфиденциальности и доступности информации.
При этом вне зависимости от топологии и протокола связи пути реализации этих угроз таковы:
1) Перехват ключа шифрования при обмене между устройствами.
2) Использование старых (неизменяемых или скомпрометированных) ключей шифрования.
3) Ненадежное хранение ключей шифрования — в случае вирусной атаки или несанкционированного доступа к узлу сети можно получить ключ шифрования.
4) В ряде технологий отсутствуют или сильно урезаны процедуры аутентификации устройств, процессов, пакетов и пользователей.
5) Используются небезопасные протоколы установления соединений.
6) Стойкости используемых алгоритмов шифрования, как правило, недостаточно.
При этом следует учитывать, что в роли криптоаналитика может выступать как узел, не находящийся в сети, так и узел, являющийся ее частью.
2.3.5 Модель криптоаналитика.
Для сенсорных сетей всех типов характерна модель криптоаналитика, представленная в [11, 13]. Возможности криптоаналитика таковы:
1) Перехват сообщений и их взлом.
2) Модификации блоков данных, как в канале, так и на узлах сети.
3) Подделки авторства передаваемых блоков.
4) Повторная передача устаревших блоков данных.
5) Отказ передавать далее принятые блоки данных.
В первом случае криптоаналитик представлен «надежным, но любопытным узлом»: он принимает и передает все принятые пакеты. Но при этом копирует их и пытается взломать.
Вероятность взлома в данном случае сильно зависит от местоположения узла в сети. Чем ближе он находится к источникам данных до осуществления сетевого кодирования другими узлами, тем проще криптоаналитику получить исходное сообщение или его часть.
Модели прослушивающего криптоаналитика, приводимые в современной литературе, сводятся, как правило, к задаче восстановления исходного текста из перехватываемых сообщений из одного или нескольких (подмножества) каналов. В работах [16–18] представлено обоснование условий использования теоретически стойких систем шифрования в системах с линейным кодированием и несколькими источниками информации.
Также применима схема криптоаналитика, когда предусмотрено знание им всех передаваемых открытых текстов. В данном случае для защиты системы передачи данных используется линейное кодирование [19] с подбором коэффициентов сети.
2.3.6 Выводы.
Беспроводные сети получили широкое распространение в повседневной жизни, и динамика процесса распространения такова, что количество беспроводных сетей будет только возрастать. Ценность информации, передаваемой по беспроводным сетям, растет вместе с количеством информации и сетей.
Используемые криптографические алгоритмы и протоколы не обеспечивают необходимого уровня защиты передаваемой, хранимой и обрабатываемой информации. Причины этого заключаются в недостаточной криптографической стойкости алгоритмов шифрования к атакам, в том числе к атаке «грубой силы»; в отсутствие надежных протоколов смены и генерации ключей; в отсутствие или слабости протоколов аутентификации узлов и передаваемых информационных пакетов.
Из всех рассмотренных протоколов только протоколы Z-wave, UWB. ZigBee, Wi-Fi, Wimax обладают шифрами, в достаточной мере устойчивыми к взлому, способными противостоять атакам «грубой силы» — 3DES, AES. Все остальные протоколы располагают алгоритмами шифрования со стойкостью к взлому не более чем 238, что приблизительно равно 1011,44. Такого уровня стойкости абсолютно недостаточно. Так, вычислительная система на базе процессора Core 2Quad Q6600 выполняет до 17,6 миллиардов операций в секунду, то есть около 1010 вычислений. Для перебора всех ключей таких алгоритмов понадобится не более 15–20 минут. Для перебора ключей DES с длиной ключей 56 бит понадобится около 42 дней.
1. Для современных беспроводных систем связи необходим шифр со стойкостью к взлому не менее 292 вариантов ключей.
2. Необходима надежная схема смены симметричных ключей.
3. Необходима возможность вести широковещательную рассылку на симметричных алгоритмах.
4. Алгоритм шифрования должен максимально использовать свойства сети, топологий, устройств для обеспечения безопасности.
При этом несомненным плюсом рассмотренных протоколов следует считать возможность создания и использования криптографических протоколов на верхних уровнях протоколов передачи данных.
При создании безопасных беспроводных систем передачи данных следует уделить особое внимание возможности использования особенностей случайного и детерминированного сетевого кодирования для защиты от существующих угроз.
3 Угрозы информационной безопасности сетей стандарта IEEE 802.11
3.1 Классификация угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11
Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее [2].
Опасность - возможность чего-нибудь нежелательного - является понятием большим по объему по сравнению с понятием угрозы и дает возможность совместить последнее с риском, как в организационном, так и правовом аспектах, т.к. опасность - это состояние, при котором риск превышает предельно допустимую величину.
Опасность может быть определена как состояние, в котором находится объект безопасности вследствие появления угрозы. Отличие между ними заключается в том, что опасность является свойством объекта безопасности, а угроза - свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз безопасности.
Одной из наиболее принципиальных особенностей проблемы защиты информации является абсолютный характер требования полноты множества угроз информационной безопасности. Каждый невыявленный или не принятый во внимание дестабилизирующий фактор может в значительной мере снизить и даже свести на нет эффективность защиты. В то же время проблема формирования полного множества угроз относится к числу ярко выраженных неформализованных проблем. Обусловлено это тем, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, многие из которых должны быть квалифицированы как дестабилизирующие.
Убедительным доказательством справедливости утверждения о неформализуемости задачи формирования полного множества дестабилизирующих факторов может служить тот факт, что в имеющихся достаточно многочисленных публикациях по проблемам защиты информации обсуждаемая задача практически даже не поставлена [2].
В силу неформализуемости задачи описания полного множества угроз, для защищаемой системы определяется не полный перечень угроз, а перечень классов угроз. Таким образом, первым этапом в процессе анализа риска информационной безопасности является классификация возможных угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11.
Особенности технологии разработки беспроводных сетей, связанные с передачей беспроводного трафика по радиоканалу, являются источником угроз информационной безопасности, несвойственных проводным технологиям. Поэтому при реализации беспроводных сетей традиционные методы защиты, используемые в проводных сетях, должны дополняться мероприятиями по нейтрализации специфических беспроводных угроз [63].
В документах международных организаций по стандартизации выделено несколько способов классификации угроз безопасности систем связи, разделенных по типам, видам и категориям. Угрозы безопасности, подлежащие анализу на этапе проектирования архитектуры безопасности конкретной беспроводной сети, представляют собой множество со многими элементами, что предопределяет сложность при выборе мер защиты от угроз. Чтобы облегчить решение этой задачи, целесообразно согласно документу ETSI ETR 332 сгруппировать угрозы безопасности по категориям.
В соответствии сданными рекомендациями угрозы можно классифицировать следующим образом:
а) угрозы нарушения конфиденциальности;
- нарушение конфиденциальности информации путем перехвата беспроводного трафика;
- несанкционированный доступ к информации и сервисам сегментов проводных сетей, с которыми работает пользователь, используя беспроводной доступ;
- раскрытие параметров беспроводной сети или сегментов проводных сетей, с которыми работает пользователь, используя беспроводной доступ, за пределами контролируемой зоны;
- разглашение информации о настройках системы защиты беспроводной сети;
б) угрозы нарушения целостности:
- искажение циркулирующей в сети информации;
- уничтожение информации пользователя или информации, хранимой в сегментах проводных сетей, с которыми работает пользователь, используя беспроводной доступ;
- рассылка пакетов не по адресу, потеря пакетов, неверная сборка пакетов, их подмена;
- вмешательство в работу точек доступа;
- разрушение собственного программного обеспечения точек доступа;
в) угрозы нарушения доступности:
- вмешательство в процесс обмена сообщениями по сети;
- блокирование принимаемых, или передаваемых сообщений на уровне пользователей или точек доступа;
- внедрение несанкционированного беспроводного трафика;
- вывод из строя точки доступа вместе со всеми присоединенными пользователями;
- уменьшение скорости работы, неадекватная реакция на команды оператора;
г) специфические угрозы:
- несанкционированное, анонимное использование трафика Интернет;
- противоправные анонимные действия от имени пользователя беспроводной сети;
- хищение клиентских устройств или точек доступа с целью получения информации о настройках системы защиты беспроводной сети;
- установка несанкционированных точек доступа и клиентских сетевых карт;
- несанкционированное изменение настроек средств защиты беспроводной сети;
- несанкционированное подключение к беспроводной сети;
- ошибки персонала;
- отказы беспроводного оборудования.
Угроза как явление характеризуется объектом, источником и проявлением. В нашем случае:
а) объект угрозы - это беспроводные сети стандарта IEEE 802.11;
б) источниками угроз являются нарушители;
в) проявление угроз характеризуется видом негативного воздействия (атаки), оказываемого на объект угрозы через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Таким образом, необходимо последовательно рассмотреть все компоненты составляющие понятие угроза.
3.2 Классификация беспроводных сетей стандарта IEEE 802.11 по набору применяемых средств защиты
Рассмотрим беспроводные сети стандарта IEEE 802.11 как объект угроз информационной безопасности и проведем их классификацию по конфигурации используемых средств защиты.
Для беспроводных сетей стандарта 802.11 все средства и методы защиты можно разделить на три типа [2]:
а) средства и методы аутентификации;
б) средства криптографической защиты передаваемых данных;
в) дополнительные средства защиты.
К средствам и методам аутентификации относятся:
- базовая аутентификация (открытая аутентификация, аутентификация с совместно используемым ключом, аутентификация по МАС-адресу);
- аутентификация с использованием общих PSK-ключей;
- аутентификация по IEEE 802. IX и протоколу EAR (Extensible Authentication Protocol) с использованием RADIUS-сервера.
К средствам и методам криптографической защиты относятся:
- шифрование с использованием статических WEP-ключей;
- шифрование с использованием протокола TKIP;
- применение улучшенного алгоритма шифрования (AES).
К дополнительным средствам защиты, не предусмотренным производителями оборудования, можно отнести:
- создание виртуальных частных сетей (VPN);
- применение системы обнаружения атак (IDS).
Таким образом, беспроводные сети можно классифицировать по набору применяемых средств защиты приведенных в таблице 2.1, причем можно выделить две подгруппы:
а) сети, использующие систему обнаружения атак (IDS);
б) сети, неиспользующие систему обнаружения атак (IDS).
Таблица 3.1 - Классификация беспроводных сетей стандарта IEEE 802.11по набору применяемых средств защиты
Дадим краткую характеристику каждому классу беспроводных сетей, приведенных в таблице 3.1.
1. Полностью открытые беспроводные сети. В настоящее время существует большое количество полностью открытых беспроводных сетей, в которых не используются средства криптографической защиты, нет фильтрации MAC адресов, не закрыты ESSID, отсутствует фильтрация протоколови существует возможность управления точкой доступа непосредственно из сети. Причина существования сетей такого вида обусловлена безответственностью пользователей и системных администраторов, не настроивших надлежащим образом параметры встроенных средств защиты. В силу своей высокой уязвимости, сети данного вида наиболее часто подвержены атакам со стороны нарушителей.
2. Беспроводные сети, использующие базовую аутентификацию.
Беспроводные сети данного вида являются более защищенными, поэтому их иногда называют закрытыми. Применяемые средства защиты не являются непреодолимыми для нарушителя. Отключение широковещательной передачи ESSID не исключает возможности его раскрытия нарушителем, в виду того, что в действительности идентификатор удаляется не из всех административных фреймов. Например, во фреймах с запросами на повторную аутентификацию и повторное присоединение идентификатор беспроводной сети присутствует, что является существенной уязвимостью сетей данного класса.
Фильтрация MAC адресов также уязвима для квалифицированного нарушителя, которому достаточно проанализировать сетевой трафик и выяснить, какие MAC адреса встречаются. После выхода пользователя из сети нарушитель может присвоить своему сетевому адаптеру его MAC адрес и присоединиться.
Сети, использующие систему обнаружения атак в качестве дополнительного средства защиты, будут менее уязвимы, в виду того, что в ряде случаев данная система позволяет информировать администратора сети о факте атаки.
Применение фильтрации протоколов в некоторых специфических случаях, когда пользователи беспроводной сети ограничены в своих действиях, может быть достаточно эффективным. Но на рынке представлено недостаточно точек доступа, в которых корректно реализована фильтрация протоколов, причем обычно это дорогие устройства высокого класса, что также ведет к увеличению уязвимости сети.
3. Беспроводные сети с WEP-шифрованием. Беспроводные сети данного класса в дополнение к средствам базовой аутентификации используют протокол шифрования WEP как средство криптографической защиты. Протокол WEP позволяет осуществлять обмен информацией между пользователями в зашифрованном виде, что затрудняет возможность нарушения несанкционированным пользователем конфиденциальности передаваемых данных.
В протоколе WEP выявлен ряд уязвимостей, позволяющих нарушителю получить ключ шифрования, но если нарушитель не в состоянии взломать WEP, то вмешаться в работу сети он может, только проводя DoS-атаки на уровни ниже того, на котором реализован этот протокол.
4. Беспроводные сети, применяющие протокол TKIP (WPA) и аутентификацию с использованием общих PSK-ключей. Протокол ТКIР из стандарта 802.11i устраняет существующие уязвимости протокола WEP и в настоящее время считается эффективным криптографическим средством защиты. В сетях данного класса наряду с протоколом TKIP применяется средство аутентификации с использованием предварительно разделенных ключей (Preshared Key PSK). Хотя на клиентском хосте может быть свой PSK, но в большинстве реализаций используется один PSK на каждый ESSID, так как в протоколе WEP, в отличие от WEP, PSK применяется не для шифрования данных, а для порождения пары временных ключей (Transient Key PTK) для каждого защищенного протоколом TKIP соединения.
Беспроводные сети данного класса не используют протокол 802.1х для распределения и ротации ключей TKIP. К ним относятся сети с устаревшим необновленным беспроводным оборудованием и программно-аппаратным обеспечением, не способным поддержать стандарт 802.1х, вследствие чего они могут быть подвержены атакам методом полного перебора или по словарю.
5. Беспроводные сети, применяющие протокол TKIP (WPA) и аутентификацию по протоколам IEEE 802.1х и ЕАР. В сетях данного класса ключи TKIP генерируются, распределяются и ротируются с помощью протокола 802.1х или RADIUS. В данном случае попытки взломать ключи TKIP малоэффективны, однако, существует возможность атаковать односторонние системы аутентификации 802.1х, в которых используется протокол ЕАР MD5. Однако у такой атаки ограниченное применение, поскольку современные реализации 802.1х поддерживают взаимную (клиент сервер и сервер клиент) аутентификацию, а к протоколу ЕАР MD5 прибегают только в крайнем случае.
Если в реализации стандарта 802.1х задействованы протоколы EAP-TLS, EAP-TTLS или ЕАР-РЕАР, то взлом сетей, использующих данный стандарт, маловероятен, и нарушитель может применить толькоDoS-атаки, методы социальной инженерии или атаки со стороны проводной сети на сервер сертификатов.
6. Беспроводные сети, применяющие улучшенный алгоритм шифрования AES и аутентификацию с использованием общих PSK-ключей. AES - улучшенный алгоритм шифрования, используемый в качестве альтернативы алгоритму RC4 протоколов TKIP и WEP.
AES не подвержен известным атакам и предлагает более высокий уровень шифрования, чем TKIP и WEP. AES - крайне защищенный криптографический алгоритм: текущие исследования показывают, что для взлома AES-ключа требуется 2120 операций. Таким образом, беспроводные сети, использующие данный алгоритм, являются наименее уязвимыми к атакам взлома ключа шифрования. Вместе с шифрованием в сетях данного класса применяется система аутентификации с использованием предварительно разделенных ключей (Preshared Key PSK).
7. Беспроводные сети, применяющие улучшенный алгоритм шифрования AES и аутентификацию по протоколам IEEE 802.1х и ЕАР. В беспроводных сетях данного класса ключи для улучшенного алгоритма шифрования AES генерируются, распределяются и ротируются с помощью протокола 802.1х или RADIUS, что позволяет сети противостоять всем известным на сегодняшний день атакам на алгоритм шифрования.
8. Беспроводные сети, использующие виртуальные частные сети, как механизм защиты. В беспроводных сетях данного класса осуществляется шифрование данных на отправляющем конце и дешифрирование на принимающем, протокол организует туннель, в который не могут проникнуть данные, не зашифрованные должным образом. Дополнительную безопасность может обеспечить шифрование не только самих данных, но и сетевых адресов отправителя и получателя. Чаще всего для построения VPN применяется протокол Point-to-Point Tunneling Protocol (РРТР) или различные реализации протокола IPSec.
VPN отвечает двум условиям: конфиденциальность и целостность.
Однако VPN не является устойчивой к DoS- или DDoS-атакам и не может гарантировать доступность на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов.
3.3 Нарушители как источники угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11
В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и в не её внешние источники. Далее будут рассмотрены антропогенные источники угроз, свойственные беспроводным сетям стандарта IEEE 802.11.
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства [2].
Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (если это возможно), либо точнее определить требования к системе защиты отданного вида нарушений или преступлений.
Существует ряд причин, по которым нарушитель выбирает для взлома беспроводные сети стандарта IEEE 802.11:
1) Беспроводная сеть для злоумышленника более уязвима, чем обычная проводная, так как вопрос физического доступа к трафику решается наличием недорогого радиооборудования. Стоимость комплекта оборудования для подключения к сети (беспроводной адаптер и, при необходимости, внешняя антенна) редко превышает 100 долларов.
Подключение же к проводной сети требует проникновения на территорию объекта или применения высокотехнологичного специального оборудования для съема информации, которое, к тому же, не поступает в свободную продажу.
2) Мировые производители абонентского беспроводного оборудования для частных домашних сетей и небольших компаний пока не смогли предложить простые и легкие механизмы защиты от стороннего проникновения.
3) При взломе беспроводных сетей доступ оказывается анонимным, и нарушителя трудно проследить. При взломе проводных сетей, если атакующий заходит со своей учетной записью, полученной от сервис-провайдера, его координаты можно легко проследить.
При взломе же беспроводных сетей сервис-провайдер не участвует, а след ведет к атакованной и скомпрометированной беспроводной сети. Даже если вблизи этой сети и найден человек с ноутбуком или машина с антенной, то вину нарушителя будет сложно доказать. А если до или после атаки нарушитель изменил МАС-адрес своей сетевой платы для беспроводного доступа и удалил все программы и данные, связанные с атакой, то доказать его вину практически невозможно.
4) Нарушитель, присоединившийся к плохо спроектированной сети, часто оказывается прямо в проводной сети за корпоративным межсетевым экраном и видит перед собой в качестве возможных целей множество не защищенных сервисов. Администратор может вообще не позаботиться о безопасности внутренней сети, считая, что безопасность целиком и полностью определяется настройками межсетевого экрана, защищающего периметр.
Можно выделить следующие основные мотивы нарушений:
- безответственность (непреднамеренные ошибки, неосознанные, немотивированные действия, халатность);
- самоутверждение;
- корыстный интерес (желание приобрести материальные ценности);
- конкурентная борьба;
- сведение личных счетов;
- политические мотивы;
- религиозные мотивы;
- любопытство.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности сети может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в сети информации.
Даже если сеть имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.
Учитывая вышеописанные мотивы, разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%.
Среди внутренних нарушителей можно выделить следующие категории:
1) Администраторы, сотрудники служб ИБ, обладающие знаниями о структуре сети и систем защиты, а также доступом в контролируемую зону.
2) Прикладные и системные программисты. Обладают глубокими знаниями в области компьютерных технологий, знаниями структуры сети, имеют доступ в контролируемую зону, но обладают меньшими привилегиями и правами, чем администраторы сети.
3) Непосредственные пользователи и операторы беспроводной сети, технический персонал по обслуживанию зданий и вычислительной техники, вспомогательный персонал и временные работники.
Необязательно обладают глубокими знаниями в области компьютерных технологий, но имеют частичный или полный доступ в контролируемую зону, а также потенциально могут выяснить структуру сети.
Группу внешних нарушителей могут составлять:
1) Любопытствующие. Чаще всего использует готовые компьютерные программы, доступные в сети Интернет, для реализации угроз через давно известные уязвимости. Их действия больше носят экспериментальный характер, т.е. они занимаются этим ради забавы и самоутверждения, они не стремятся получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Такие взломщики обычно не представляют серьезной угрозы беспроводным сети и могут оказать услугу, публично известив об обнаруженных небезопасных сетях, что заставит заинтересованных лиц обратить внимание на имеющиеся проблемы.
2) Охотник за бесплатным трафиком сети Интернет. К данной категории относятся распространители рекламы, торговцы пиратскими программами, а также люди, которых привлекает возможность использовать сеть Интернет без материальных затрат. Останавливаются при наличии средств защиты, отличных от базовых.
Имеют представление о принципах функционирования сети и обладают знаниями по преодолению минимальных средств защиты.
3) Группа взломщиков. Они достаточно скованы в своих финансовых возможностях. Не обладают вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных организаций, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть с Интернет. Они хорошо знают, как вторгаться в чужие сети и компьютеры, знакомы с теоретической и практической радиофизикой, вследствие чего их трудно поймать.
Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты сети. Спектр их действий - от подделки суммы на счете (модификация данных) до получения или уничтожения критичных данных по заказу. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа.
4) Конкуренты. Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Они могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего агента.
Среди целей могут быть: блокирование функционирования информационной системы конкурента, подрыв имиджа, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней.
Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер.
5) Враждебно настроенные бывшие служащие. Их действия против бывшей компании носят намеренный характер, и в этом большая опасность. Мотивами обычно являются обида и личная неприязнь.
Такие сотрудники опасны, так как, во-первых, действуют умышленно, во-вторых, имеют представление об устройстве и структуре сети, а также систем защиты. Степень опасности зависит от квалификации сотрудника, Но и при невысоком уровне ущерб может быть большим, если нелояльный сотрудник действует в связке с внешним противником.
3.4 Спектр уязвимостей беспроводных сетей стандарта IEEE 802.11
Угрозы как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации [2].
Уязвимости, присущие беспроводным сетям стандарта IEEE 802.11, неотделимы от них и обуславливаются недостатками процесса функционирования, свойствами архитектуры сети, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).
Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.
Каждой угрозе могут быть сопоставлены различные уязвимости.
Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
Для беспроводных сетей стандарта IEEE 802.11; характерны следующие виды уязвимостей:
1) уязвимости, обусловленные средой передачи и диапазоном рабочих частот стандарта IEEE 802.11;
2) уязвимости системы аутентификации;
3) уязвимости криптографических протоколов;
4) уязвимости используемого программного обеспечения;
5) уязвимость, обусловленная человеческим фактором;
Рассмотрим подробнее каждый из этих видов;
1) Диапазон рабочих частот стандарта IEEE 802.11 является не лицензируемым. В диапазоне рабочих частот 2,4 ГГц работают некоторые модели радиотелефонов, бытовые устройства, протокол Bluetooth, которые создают помехи. Все стандарты IEEE 802.11 подвержены влиянию следующих явлений, связанных со средой передачи:
- помехи от других источников, в частности, от передатчиков, работающих на той же частоте, обертоны от других радиоэлектронных станций, шум от силовых устройств;
- многолучевые эффекты при прохождении листвы деревьев, находящиеся в сильной зависимости от ветра;
- влияние прочих препятствий.
Помимо проблем связанных с распространением радиоволн, среда передачи определяет следующую проблему. Информация, циркулирующая в беспроводных сетях, подвержена перехвату. Это объясняется тем, что переносчиком информации являются радиоволны.
Т.е. для перехвата информации злоумышленнику достаточно иметь недорогой набор устройств, аналогичный комплекту оборудования пользователя беспроводной сети.
2) Основными системами аутентификации в беспроводных сетях являются базовая аутентификация, аутентификация с использованием общих PSK-ключей, аутентификация по стандарту IEEE 802.1х и протоколу ЕАР.
Уязвимости системы аутентификации складываются из следующих составляющих:
- Уязвимость открытой аутентификации. Открытая аутентификация не позволяет точке радиодоступа определить, является ли абонент легитимным или нет. Это становится серьезной брешью в системе безопасности в том случае, если в беспроводной сети не используется шифрование.
- Проблемы идентификатора беспроводной сети. Идентификатор ESSID регулярно передается точками радиодоступа и любой сторонний наблюдатель в состоянии определить ESSID с помощью анализатора трафика протокола IEEE 802.11. Некоторые точки радиодоступа позволяют запретить широковещательную передачу ESSID. Однако и в этом случае ESSID можно легко определить путем захвата кадров, посылаемых точками радиодоступа.
- Уязвимость аутентификации с общим ключом. Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования специального сообщения, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрования его ответа на специальное сообщение и сравнения его с отправленным оригиналом. Наблюдатель может принять как нешифрованное специальное сообщение, так и то же самое сообщение, но уже в шифрованном виде, приведенном на рисунке 3.1. Шифрование WEP производится путем выполнения побитовой операции «исключающее ИЛИ» над текстом сообщения и ключевой последовательностью, в результате чего получается зашифрованное сообщение.
Важно понимать, что выполнение побитовой операции «исключающее или» над зашифрованным сообщением и ключевой последовательностью имеет результатом текст исходного сообщения.
Таким образом, наблюдатель может легко вычислить сегмент ключевой последовательности путем анализа кадров в процессе аутентификации абонента.
Стандарт IEEE802.11 требует передачи МАС-адресов абонента и точки радиодоступа в открытом виде. В результате этого в беспроводных сетях, использующих аутентификацию по МАС-адресу, нарушитель может подменить свой МАС-адрес на легитимный.
Рисунок 3.1 - Уязвимость аутентификации с общим ключом
3) В настоящий момент из всех криптографических протоколов, применяемых при организации беспроводной сети, уязвимости найдены только в протоколе WEP.
В качестве алгоритма шифрования WEP применяется потоковый шифратор RC4. Стандартом не оговорены шаги, которые следует предпринять, чтобы обеспечить ввод случайных элементов (ключа и IV), усложняющих ключевой поток. Поэтому поставщики обычно реализуют методы с избыточными ключами и значениями IV, что снижает сложность ключевого потока.
Ключевой поток алгоритма шифрования RC4 есть длинная последовательность псевдослучайных байтов, которые используются для получения шифр-текста, путем выполнения логической операции «исключающее ИЛИ» над символами текстового сообщения. Если взломщик располагает ключевым потоком, с помощью которого было зашифровано сообщение, то для восстановления текстового сообщения достаточно выполнить обратную логическую операцию.
Рассмотрим выявленные в настоящий момент уязвимости протокола шифрования WEP:
1) В стандарте 802.11 не указан метод, с помощью которого '''10ЖН0 было бы предоставить каждому пользователю свой ключ, поэтому во многих организациях все пользователи работают с одним ключом. Этот ключ хранится в каждом компьютере и устройстве.
Если взломщик получит секретный ключ для одного устройства, он будет обладать ключом для всех устройств в сети.
2) Вектор IV есть случайное общедоступное число длиной не более 24 разрядов. Если в организации используется один секретный ключ, необходимо задействовать все возможные значения IV; в противном случае ключевой поток будет избыточным и менее устойчивым к попыткам взлома. Уникальность каждого ключевого потока обеспечивается случайной природой вектора IV. Но в стандарте IEEE 802.11 для значения IV отведено всего 24 разряда (224 возможных варианта). Это говорит о том, что все уникальные значения будут исчерпаны быстрее, чем за один день, поэтому значения ключа IV и ключевые потоки придется использовать повторно, что приводит к уменьшению времени необходимого взломщику для получения всего множества ключевых потоков.
3) Основные недостатки WEP связаны с генерацией значений вектора инициализации IV. В идеале все пакеты должны иметь разные значения IV и, следовательно, разные значения ключевого потока.
Тогда любые попытки собрать и отслеживать подобную информацию были бы связаны со слишком большим объемом вычислений для современного уровня развития техники. Но в стандарте IEEE 802.11 не содержатся требования того, чтобы каждый пакет имел иное значение IV, и нет метода для вычисления случайных значений IV.
4) Секретный ключ шифрования WEP может быть вычислен с использованием определенных кадров, пассивно собранных в беспроводной локальной сети. Причиной уязвимости послужила реализация в WEP метода планирования ключей алгоритма потокового шифрования RC4. Некоторые векторы инициализации дают возможность установить побайтовый состав секретного ключа, применяя статистический анализ. Подобная уязвимость делает шифрование с использованием WEP неэффективным.
5) Уязвимость, обусловленная отсутствием действенных средств контроля целостности сообщений. Принимающая сторона не в состоянии распознать факт модификации содержимого кадра в процессе передачи по общедоступному радиоканалу. Более того, значение ICV, предусмотренное стандартом для контроля целостности сообщений, вычисляется с помощью функции CRC32 (контроль с помощью циклического 32-битного избыточного кода). Если взломщик сможет нарушить функционирование механизма CRC, изменив некоторые разряды в сообщении, то ему удастся изменить исходное текстовое сообщение, и принимающий компьютер не обнаружит подмены. С другой стороны, взломщик может перенаправить трафик, если он перехватит данные во время передачи и изменит IР-адрес отправителя, то любые ответы на запрос этого пакета будут направлены взломщику, а не законному адресату.
6) В алгоритме, фактически принятом в качестве стандарта для генерирования 40-битового WEP ключа многими производителями беспроводного оборудования, выявлен ряд уязвимостей. Изначально строка пароля сворачивается в 32-разрядное число, что уменьшает размер пространства ключей с 240 до 232 бит. Это случайное число служит начальным значением для генератора псевдослучайных чисел, который порождает все четыре 40-битовых WEP ключа, используемых в сети. Хотя теоретически длина цикла в пространстве сгенерированных ключей равна 232, но из-за особенностей способа получения значений от генератора реальная периодичность сокращается до 224, т.е. затравка х порождает те же ключи, что и затравка х+224. Метод сворачивания строки пароля в 32-разрядное число таков, что старший бит каждого из четырех байтов, наверняка, равен нулю. Сочетание всех этих уязвимостей приводит к тому, что алгоритм может породить всего 221 уникальных наборов WEP ключей, соответствующих затравкам в диапазоне от 0 до 0x1000000, в которых сброшены биты в позициях 0x80, 0x8000 и 0x800000;
7) Некоторые старые карты 802.11b используют одно и то же значение вектора инициализации IV или начинают отсчитывать номера IV с 0 при каждой инициализации карты и увеличивают ровно на 1. Это весьма существенно уменьшает время, необходимое для взлома WEP.
Драйверы беспроводных устройств разрабатываются без надлежащего внимания к безопасности, и новые функции добавляются в спешке ради конкуренции, поэтому код часто изобилует ошибками и небезопасен. В настоящее время существует множество инструментов, позволяющих использовать уязвимость драйверов беспроводных адаптеров. Один из них во многих средах драйверов способен вызывать переполнение карт беспроводной сети кадрами 802.11.
Если пакеты вызывают сбой работы драйвера, нарушитель получает возможность выполнить неавторизованный код.
Функция автопоиска беспроводных сетей в операционных системах Windows 2000 и Windows ХР без SP2, позволяет нарушителю включить уязвимый компьютер в файлообменную сеть и получить доступ к информации на жестком диске, что является угрозой конфиденциальности и целостности информации пользователя.
Уязвимость, обусловленная человеческим фактором, проявляется в нежелании или неумении пользователей беспроводных сетей защититься от несанкционированного доступа. Примером уязвимости данного вида может служить потеря одного сетевого интерфейса и несвоевременное извещение администратора. Результатом такой утери или преднамеренного хищения может стать беспрепятственный доступ злоумышленника к беспроводной сети. Пользователи также могут преднамеренно сообщить злоумышленнику ключ шифрования, структуру и настройки безопасности беспроводной сети.
3.5 Атаки на беспроводные сети стандарта IEEE 802.11
Атакой на телекоммуникационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы [2].
Атака включает в себя следующие этапы: предварительные действия перед атакой или сбор информации, реализация атаки и завершение атаки. Обычно, когда говорят об атаке, то подразумевают именно второй этап. Сбор информации и завершение атаки в свою очередь также могут являться атакой и могут быть разделены на три этапа.
Сбор информации - это основной этап. Именно эффективность работы злоумышленника на данном этапе является залогом успешности атаки. В первую очередь выбирается цель атаки и собирается информация о ней. Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату.
В зависимости от полученной информации преследуемого результата на втором этапе выбирается атака, дающая наибольший эффект. Этапом завершения атаки является заметание следов со стороны злоумышленника, возвращающие атакованную систему в исходное, предатакованное состояние.
При проведении атак на беспроводные сети характерна следующая последовательность действий:
1) изучение сети и ее зоны покрытия;
2) планирование методики осмотра места развертывания и проведения атаки;
3) сбор, подготовка и конфигурирование оборудования и программного обеспечения, необходимых для выполнения запланированных действий;
4) осмотр места развертывания сети, определение ее границ и уровня сигнала вдоль периметра;
5) анализ трафика в сети и преодоление обнаруженных мер противодействия;
6) подключение к беспроводной сети и анализ ее структуры, а также структуры возможного проводного сегмента;
7) пассивный анализ трафика от хостов и оценка безопасности протоколов, используемых как в беспроводной сети, так и в проводном сегменте;
8) проведение активных атак против представляющих интерес хостов;
9) выход в Интернет или другую сеть через обнаруженные шлюзы и проверка возможности передачи файлов с компьютера взломщика или на него.
Рассмотрим последовательно атаки соответствующие описанным ранее видам уязвимостей беспроводных сетей стандарта IEEE 802.11.
3.5.1 Атаки с использованием уязвимости среды передачи и диапазона рабочих частот.
Атаки данного вида характеризуются высокой вероятностью реализации, а во многих случаях они реализуемы всегда, ввиду особенностей передачи информации в беспроводных сетях через эфир [2].
Основным параметром, определяющим эффективность применения атак данного вида, является расстояние до атакуемого объекта, а также существенное влияние оказывает наличие в конструкции помещения, где развернута сеть экранирующих материалов.
1. Атаки, эксплуатирующие настройки некоторых параметров канального уровня в сетях IЕЕЕ 802.11, например, режима экономии энергии и обнаружения виртуальной несущей (протокол RTS/CTS).
В атаках на настройку режима экономии энергии злоумышленник подменяет устройство клиента, который находится в спящем режиме, и следит за появлением кадров, накапливаемых точкой доступа для жертвы. Как только злоумышленник забирает кадры, точка доступа очищает буфер. Таким образом, настоящий клиент никогда не получит предназначенные ему кадры.
Злоумышленник может подделать кадры с картой индикации трафика, посылаемые точкой доступа. Они сообщают клиентам в спящем режиме о том, что для них поступили новые данные для того, чтобы вывести их из спящего режима. Если злоумышленнику удастся заставить клиента в спящем режиме убедиться в том, что никаких новых данных на точке доступа нет, то клиент так и не выйдет из этого режима. Тем временем, накопив слишком много невостребованных пакетов, точка доступа будет вынуждена отбросить их, иначе произойдет переполнение буфера. Такую атаку реализовать труднее, поскольку злоумышленнику придется как-то перекрыть настоящим Т1М-кадрам путь к хостам-жертвам.
Злоумышленник может подделать кадры-маяки, в которых установлено поле TIM или АТ1М-кадры в одноранговых беспроводных сетях, чтобы заставить хосты выходить из спящего режима даже тогда, когда для них нет никаких данных. Тем самым режим экономии энергии отключается, вследствие чего аккумулятор клиентского хоста садится быстрее.
2. DoS-атаки, используемые как один из этапов проникновения в сеть или для реализации угроз доступности путем глушения устройств беспроводной сети. Как уже отмечалось ранее, из-за природы радиоволн как носителя информации и в силу структуры базовых протоколов стандарта IEEE 802.11 беспроводные сети невозможно защитить от DoS-атак на физический уровень и от некоторых DoS-атак на канальный уровень.
Рассмотрим основные виды DoS-атак:
1) Атаки на физический уровень, или тушение. В качестве устройства глушения может выступать специально сконструированный передатчик или беспроводная клиентская карта высокой мощности или даже точка доступа, затопляющая выбранные каналы несанкционированным трафиком. Для затопления можно воспользоваться любой программой, генерирующей кадры IEEE 802.11. Основной недостаток атак на физический уровень с точки зрения нарушителя - это необходимость располагать передатчик или приемник максимально близко к атакуемой сети, иначе атака не достигнет нужного эффекта.
2) Затопление фальшивыми фреймами с запросами на прекращение сеанса и отсоединение. Такие атаки, являются наиболее известными и чаще других применяются против сетей IEEE 802.11.
Как и в случае с глушением, противопоставить этому почти нечего.
Разработчики стандарта IEEE 802.11i обсуждали возможность «аутентифицированной деаутентификации». Но эта идея не получила практического воплощения. Для генерирования потока фреймов с запросами на прекращение сеанса и отсоединение есть различные инструменты. Самым разрушительным из них является программа Voidll, так как в нее заложены уже готовые сценарии массивного или выборочного затопления по списку.
Обобщением атаки путем затопления фреймами с запросами на прекращение сеанса и отсоединение являются атаки с последовательностью фреймов. Например, сначала посылаются фреймы с запросами на прекращение сеанса или отсоединение, а затем поток поддельных ответов на пробные запросы и маяков, содержащих подложную информацию о точке доступа (ESSID, канал), к которой надо присоединиться, Если в сети применяется протокол IEEE 802.1х, то фрейм EAP-Failure может предотвратить цепочку «{прекращение сеанса (отсоединение)}+{поддельные ответы на пробные запросы}».
Такая атака гарантирует, что хост-жертва будет выброшена из сети и вряд ли сможет повторно присоединиться. Станет ли поток подложных фреймов с ответами на пробные запросы причиной проблем с повторным присоединением - зависит от того, отдает ли программно-аппаратное обеспечение беспроводной карты атакуемого хоста приоритет пассивному или активному сканированию.
3) Атаки с помощью поддельных неправильно сформированных кадров аутентификации. При реализации этой атаки посылаются модифицированные поддельные кадры с запросом на аутентификацию.
В отправляемом кадре указаны адрес точки доступа в качестве получателя адрес атакуемого клиента в качестве отправителя, неизвестный тип алгоритма, а порядковый номер и код состояния установлены равными 0xFFFF. В результате атаки точка доступа посылает атакуемому клиенту кадр с ответом «Получен кадр аутентификации с неожиданным порядковым номером транзакции» (код 0х000Е). Поэтому клиент перестает быть аутентифицированным точкой доступа.
4) Заполнение буферов точки доступа, предназначенных для обработки запросов на присоединение и аутентификацию. Во многих точках доступа не реализована защита против переполнения этих буферов. В случае отправки чрезмерного количества запросов на соединение происходит аварийная ситуация, что справедливо и для программных точек доступа. В некоторых приложениях реализовано затопление фреймами с запросами на присоединение и аутентификацию с хостов со случайными МАС-адресами. Можно вместо этого присоединиться к точке доступа и быстро менять MAC адрес интерфейса, с которого соединение было установлено, что также приведет к аварийной ситуации.
5) А таки путем удаления кадров. Идея этой атаки состоит в том, чтобы изменить контрольную сумму CRC32 перехваченного кадра и таким образом заставить принимающий хост отвергнуть его. В это же время атакующий посылает поддельный кадр АСК отправителю с подтверждением успешного принятия кадра. В результате искаженный кадр удаляется и не посылается повторно. Поскольку аутентификация всех кадров CSMA/CA в силу ограниченности ресурсов невозможна, то для предотвращения такой атаки ничего нельзя сделать.
Для того, чтобы изменить CRC, атакующий может попытаться послать искаженный кадр одновременно с настоящим отправителем или сгенерировать шум в тот момент, когда отправитель посылает последние четыре байта кадра. Именно реализация надежного метода искажения CRC является самой важной частью атаки. Обнаружить атаку или защититься от нее очень проблематично.
6) DoS-атаки против сетей, в которых реализовано обнаружение виртуальной несущей. Злоумышленник может затопить сеть запросами на передачу, установив в них большое значение поля «длительность передачи», и тем самым зарезервировать физический носитель для своего трафика, закрыв другим хостам доступ к каналу связи. Сеть будет переполнена кадрами «готов к передаче», посылаемыми в ответ на каждый кадр запроса на передачу. Хосты в беспроводной сети будут вынуждены последовать указанию и прекратить передачу.
7) DoS-атаки, основанные на затоплении фреймами типа EAPOL-Start. Нарушитель может попытаться вывести из строя точку доступа, затопив ее фреймами типа EAPOL-Start. Чтобы избегать такой атаки, нужно ограничить объем ресурсов, выделенных для приема фреймов EAPOL-Start.
8) DoS-атаки, основанные на циклическом переборе всех идентификаторов ЕАР. Взломщик может вывести из строя точку доступа, захватив все пространство идентификаторов ЕАР (0-255). Идентификатор ЕАР должен быть уникален только в пределах одного порта 802.1х, поэтому у точки доступа нет причин отказывать в последующих соединениях, как только пространство идентификаторов исчерпано. Тем не менее некоторые точки доступа поступают именно так.
9) DoS-атаки против клиентов, основанные на подделке фреймов ЕАР Failure. В спецификации ЕАР требуется, чтобы претендующие на аутентификацию клиенты могли использовать альтернативные признаки успешной или неудачной аутентификации в рамках IEEE 802.1х. Претендент, получающий фрейм ЕАР Failure от фальшивого аутентификатора не в рамках описанной в стандарте 802.1х процедуры обмена, должен его игнорировать. Если настоящая аутентифицирующая точка доступа желает удалить претендующего на вход клиента, она должна сначала послать ЕАР Failure, а затем фрейм с запросом на отсоединение. Нарушитель может имитировать такую ситуацию.
10) DoS-атаки с использованием неправильно сформированных фреймов ЕАР. Атака вызывает крах сервера в результате посылки пакета EAP-TLS, не содержащего ни длины TLS-сообщения, ни данных.
3.5.2 Атаки на систему аутентификации.
Атака на фильтрацию МАС-адресов. Преодоление фильтрации МАС-адресов происходит следующим образом:
- анализ сетевого трафика для выяснения встречающихся МАС-адресов;
- ожидание выхода хоста из сети и присвоение его МАС-адреса:
Возможно и одновременное нахождение в одной (разделяемой) сети с хостом, при этом необходимо отключить протокол ARP на своем интерфейсе и отказаться от межсетевого экрана;
- наблюдение за отправлением в сеть информации со своего компьютера, чтобы хост-жертва не посылал слишком много пакетов и сообщений о недоступности порта по протоколу ICMP во избежание срабатывания системы IDS.
Злоумышленник может самостоятельно отключить хост-жертву, для этого он выбирает хост, который в данный момент не генерирует трафик, и посылает ему кадр с запросом на отсоединение, подменив свой МАС-адрес адресом точки доступа. Одновременно подготавливает вторую клиентскую карту, задав для нее МАС-адрес хоста-жертвы и другие параметры, необходимые для присоединения к сети. При этом, применяя DoS-атаку при помощи непрерывного потока запросов на разрыв соединения.
Атака на фильтрацию протоколов. Фильтрация протоколов применима в весьма специфических ситуациях, когда пользователи ограничены в своих действиях, например, могут ходить только на корпоративный сайт по протоколу HTTPS или посылать почту по протоколу S/MIME.
Атаки против сетей, защищенных фильтрацией протоколов, направлены главным образом на разрешенный безопасный протокол (например, протокол SSHvI). Атакующий может получить некоторую информацию о том, как обойти SSH-трафик (например, выявить попытки аутентификации или узнать длину передаваемых паролей и команд в трафике по протоколам SSHvI и SSHv2). Хотя основные сетевые операционные системы сейчас поддерживают протокол SSHv2, но для захода на маршрутизаторы и некоторые межсетевые экраны по-прежнему можно воспользоваться только SSHvI.
Для преодоления фильтрации протоколов злоумышленник также использует атаку методом полного перебора, Хотя взлом методом полного перебора оставляет следы в протоколах, но для атакующего беспроводную сеть это не имеет значения, поскольку найти его и подвергнуть наказанию все равно достаточно сложно. Минусом является то, что взлом полного перебора может потребовать много времени.
Атака «человек посередине». В коммутируемых проводных сетях атаки «человек посередине» часто используются для перехвата трафика. Сети стандарта IEEE 802.11 - это сети общего пользования среднего размера, и, преодолев шифрование, злоумышленник может прослушивать все пакеты в сети, даже не присоединяясь к ней. Поместив себя между двумя беспроводными хостами, злоумышленник получает возможность вставлять команды в трафик, которым обмениваются между собой эти хосты. Если же выдать себя за точку доступа или беспроводной мост, то можно проводить атаки с перехватом соединений и внедрением трафика на большое количество хостов.
Одно из конкретных применений атак «человек посередине» состоит в том, чтобы установить фальшивую точку доступа и атаковать односторонние системы аутентификации IEEE 802.1х, в которых используется протокол EAP-MD5. Чтобы провести такую атаку, фальшивая точка доступа должна также выступать в роли фальшивого RADIUS-сервера и предоставлять обманутым клиентским хостам подложные «верительные грамоты» в виде положительного ответа на запрос об аутентификации. Однако у такой атаки ограниченное применение, поскольку современные реализации IEEE 802.1х поддерживают взаимную (клиент-сервер и сервер-клиент) аутентификацию, а к протоколу EAP-MD5 прибегают только в крайнем случае.
Атаки «человек посередине» на беспроводные сети можно провести путем подделки DNS, злонамеренного изменения кэша протокола ARP. Атаковать таким образом можно физический и канальный уровень модели OSI. Атака «человек посередине» на физический уровень сводится к глушению существующей точки доступа и предложению вместо нее собственной с чистым и сильным сигналом, причем ее рабочий канал должен отстоять, по крайней мере, на 5 каналов от атакуемой точки доступа. Для глушения можно использовать специальное устройство или использовать DoS-атаки.
Параметры фальшивой точки доступа (ESSID, WEP МАС) должны соответствовать параметрам настоящей. Атака на уровень 2 заключается в затоплении сети поддельными запросами на прекращение сеанса или отсоединение с целью заставить хост жертву покинуть канал связи с настоящей точкой доступа. Обычно это более глушение. Нарушитель может провести атаку одновременно на уровни 1 и 2, чтобы достичь максимального эффекта. Большинство современных клиентских карт обнаружат новую фальшивую точку доступа на канале, отличном от текущего, и автоматически присоединение к настоящей точке доступа затруднительно или невозможно. Однако, если на клиентской карте установлено, что она должна работать на конкретной частоте, то вероятность реализации атаки «человек посередине» сильно снижается, так как для этого необходимо на том же канале создать сигнал значительно более высокого уровня, чем у настоящей точки доступа. Такая атака, скорее всего, выродится в DoS-атаку из-за радиопомех.
Для проведения атаки «человек посередине» не всегда необходимо размещать точку доступа, иногда нарушитель может инициировать отключение выбранного клиентского хоста и выдать себя за него для точки доступа и всей остальной сети. Эта задача значительно проще из-за того, что у клиентского хоста уровень EIRP, скорее всего, ниже, поэтому не требуется конфигурировать свой хост как точку доступа, а достаточно имитировать IP и МАС-адрес жертвы. Быстрая атака «человек посередине» против единственного хоста вряд ли вызовет жалобы со стороны пользователя и не оставит следов в протоколах. Кроме того, расстояние до клиентской машины может быть меньше, чем до точки доступа.
Существует два способа реализации атаки «человек посередине»: с помощью аппаратной и программной точки доступа, в качестве которой выступает специальным образом сконфигурированная клиентская карта. Перехватить соединение и внедрить данные, манипулируя сетевым интерфейсом машины перехватчика несколько проще, чем заставлять аппаратную точку доступа в режиме репитера маршрутизировать весь трафик через подключенный к Ethernet атакующий хост. Оптимальное решение состоит в том, чтобы сконфигурировать точку доступа на клиентской карте нарушителя.
Вторую карту можно использовать для глушения или генерирования фреймов, чтобы нейтрализовать настоящую точку доступа. Для обеспечения нужной функциональности может оказаться необходимым, чтобы эти карты работали под управлением разных драйверов или имели разных производителей. У такой атаки есть варианты, например, использование двух объединенных мостом клиентских карт, работающих в режиме точки доступа, или двух ноутбуков.
В последнем случае один эмулирует работу точки доступа, а с другого проводится DoS-атака.
Рассмотрим возможность проведения атаки на физический уровень.
Есть два возможных способа провести успешную атаку такого рода:
1) Управление сетью связано ограничениями на уровень мощности выпущенными государственными органами. В то же время злоумышленники могут и пренебречь ими и превысить допустимые значения выходной мощности. Например, злоумышленник может воспользоваться клиентской PCMCIA-картой с мощностью передатчика 23 Дбм (200 мВт) и антенной с высоким коэффициентом усиления (скажем, тарелкой или решетчатой антенной 24 Дбм). Уровень мощности достигнет 45 Дбм, что эквивалентно 31,62 Вт. Это гораздо больше разрешенной в большинстве беспроводных сетей мощности 1 Вт.
2) Предполагается, что хосты 802.11 присоединяются к точке доступа на основе значения базового коэффициента ошибки. На практике это сводится к уровню сигнала и отношению «сигнал-шум» в предположении, что все остальные параметры (например, ESSID и ключ WEP) правильны. Теоретически появление фальшивой точки доступа с очень высоким уровнем мощности должно заставить хосты в беспроводной сети присоединиться именно к этой, а не к настоящей точке доступа. Но многие хосты стараются присоединиться к той же точке доступа, с которой установили ассоциацию раньше, а изменят частоту лишь в том случае, когда старый канал сильно зашумлен. Такие правила выбора точки доступа обычно встраиваются в программно-аппаратное обеспечение карты. В некоторых случаях можно вручную указать, должен ли хост присоединяться к точке доступа с наибольшим отношением «сигнал-шум» или нет. Разумеется, беспроводные сети с мобильными клиентами более уязвимы для атак «человек посередине» на физическом уровене, поскольку мигрирующие хосты должны присоединяться к точке доступа на базе ее отношения «сигнал-шум». Тем не менее, по вышеописанным причинам такие атаки не слишком надежны и могут проводиться лишь в дополнение к атакам на канальный уровень путем затопления кадрами с запросами на прекращение сеанса и отсоединение.
Если сочетать атаки на уровни 1 и 2, это может привести к лучшему результату. В этом случае, наряду с попыткой присоединения хостов к фальшивой точке доступа за счет более мощного излучения, осуществляется одновременное затопление канала легальной точки доступа шумом.
Специфический случай возникает, когда беспроводная точка доступа или сервер аутентифицирует пользователей через Web-интерфейс, как часто делают беспроводные публичные точки доступа. В таком случае пользователь доверяет появившейся Web-странице с приглашением ввести имя и пароль. Если подделать эту страницу, то ничего не подозревающий пользователь введет свои аутентификационные данные, которые станут доступны нарушителю.
Если нарушитель способен присоединиться к публичной точке доступа или уже является нелегальным пользователем, то он может запустить сначала DоS-атаку на верхние уровни протоколов, чтобы отключить её, используя, например, затопление SYN-пакетами. Многие точки доступа не справляются с интенсивным трафиком и выходят из строя. Одновременно фальшивая точка доступа присоединит пользователей и перехватит их имена и пароли.
Улучшенную атаку по словарю или метод полного перебора можно применить против протокола Cisco EAP-LEAP, так как в нем используются пароли пользователей, а не сертификаты хостов Такая улучшенная атака против EAP-LEAP представляет серьезную угрозу для беспроводных сетей, безопасность которых зависит от LЕAР. Атака основана на том факте, что в EAP-LEAP применяется протокол MS-CHAPV2 для аутентификации пользователей, который наследует уязвимости MS-CHAPv2, в том числе и передачу паролей пользователей в открытом виде, выбор слабого DES-ключа для шифрования запроса и ответа и отсутствие начального значения в хранимых NT-свертках.
Атака против EAP-LEAP реализуется следующим образом:
а) вычисляется длинный список МВ4-сверток паролей;
б) перехватываются фреймы с запросом и ответом;
в) из фреймов извлекается запрос, ответ и имя пользователя;
г) на основе ответа вычисляются два последних бита МВ4-свертки;
д) реализуется атака по словарю на свертку с учетом известных битов.
Рассмотрим работу процедуры запрос-ответ в LEAP. Сначала аутентифицирующая сторона (точка доступа) посылает случайный 8-битовыи запрос претенденту (клиентскому хосту). Претендент использует МВ4-свертку пароля аутентификации для генерирования трех различных ключей DES. Каждый из этих ключей применяется для шифрования полученного запроса, и шифр-текст (всего 3x64=192 бит) возвращается аутентифицирующей стороне в виде ответа. Аутентифицирующая сторона проверяет ответ и посылает фрейм, содержащий признак успешно или неудачно завершившейся аутентификации.
В каждом обмене запросом и ответом по протоколу LEAP обязательно имеется пять нулей, из-за чего третий ключ DES оказывается слабым. Учитывая, что запрос известен, то для вычисления оставшихся двух ключей DES требуется меньше секунды. Проблема в том, что третий дефектный ключ DES позволяет вычислить два последних бита NT-свертки, поэтому атакой по словарю или методом полного перебора нужно вскрыть всего 6 байт, причем вычисление МВ4-свертки выполняется быстро и не требует много ресурсов.
3.5.3 Атаки на криптографические протоколы.
Пассивные сетевые атаки - статистический метод вычисления ключа. Секретный ключ шифрования WEP может быть вычислен с использованием определенных кадров, пассивно собранных в беспроводной сети. Причиной уязвимости послужила реализация в WEP метода планирования ключей алгоритма потокового шифрования RC4. Некоторые векторы инициализации ,так называемые «слабые» векторы, дают возможность установить побайтовый состав секретного ключа, применяя статистический анализ. Для загруженной беспроводной сети возможность определения секретного ключа длиной 40 и 128 битов после анализа всего лишь четырех миллионов кадров эквивалентна приблизительно четырем часам работы, после чего ключ шифрования станет известен пассивному наблюдателю [2].
Подобная уязвимость делает шифрование с использованием WEP неэффективным, лишая его криптографической стойкости. Использование динамических секретных ключей шифрования WEP решает проблему лишь частично, для полного устранения уязвимости требуется способ усиления самого ключа.
Активные сетевые атаки - индуктивное вычисление ключа. Индуктивное вычисление секретного ключа шифрования WEP представляет собой процесс воздействия на беспроводную сеть для получения определенной информации и относится к классу активных сетевых атак. При потоковом шифровании выполняется двоичное сложение по модулю два исходного сообщения с ключевой последовательностью с целью получения шифрованного сообщения. Этот факт лег в основу данной атаки.
Высокая эффективность атаки индуктивного вычисления ключа, предпринимаемой сторонним наблюдателем в беспроводной сети IEЕЕ 802.11, объясняется отсутствием действенных средств контроля целостности сообщений. Принимающая сторона не в состоянии распознать факт модификации содержимого кадра в процессе передачи по общедоступному радиоканалу. Таким образом, в отсутствие механизмов контроля целостности сообщений беспроводные сети подвержены активным атакам с манипуляцией битами и повторным использованием вектора инициализации.
Повторное использование вектора инициализации представляет собой сетевую атаку в беспроводной сети, существующую в разновидностях (одна из которых описана ниже (смотреть рисунок 3.2).
- злоумышленник многократно отправляется абоненту беспроводной сети по проводной сети сообщение известного содержания прослушивает радиоканал связи абонента с точкой радиодоступа и собирает кадры, предположительно содержащие шифрованное сообщение;
- злоумышленник вычисляет ключевую последовательность, применяя операцию «исключающее или» к предполагаемому шифрованному и известному нешифрованному сообщениям;
- злоумышленник вычисляет ключевую последовательность для пары вектора инициализации и секретного ключа, породившей ключевую последовательность, вычисленную на предыдущем шаге.
Рисунок 3.2 - Повторное использование вектора инициализации
После того как ключевая последовательность вычислена для кадров некоторой длины, она может быть получена любого размера, как описано ниже (смотреть рисунок 3.3).
- злоумышленник создает кадр на один байт длиннее, чем длина уже известной ключевой последовательности (пакеты ICMP «echo request» идеальны для этих целей, ибо точка радиодоступа вынуждена на них отвечать);
- злоумышленник увеличивает длину ключевой последовательности на один байт;
- значение дополнительного байта выбирается случайным образом из 256 возможных;
- если предполагаемое значение дополнительного байта ключевой последовательности верно, то будет получен ожидаемый ответ от точки радиодоступа, в данном примере это ICMP «echo reply»;
- процесс повторяется до тех пор, пока не будет подобрана ключевая последовательность требуемой длины.
Рисунок 3.3 - Получение ключевой последовательности
Манипуляция битами. Манипуляция битами преследует ту же цель, что и повторное использование вектора инициализации, и опирается на уязвимость вектора контроля целостности кадра ICV. Пользовательские данные могут различаться от кадра к кадру, в то же самое время многие служебные поля и их положение внутри кадра остаются неизменными. Злоумышленник манипулирует битами пользовательских данных внутри L2-кадра с целью искажения LЗ-пакета.
Процесс манипуляции состоит в следующем (смотреть рисунок 3.4):
- злоумышленник пассивно наблюдает кадры беспроводной сети и с помощью средств анализа трафика протокола IEEE 802.11;
- злоумышленник захватывает кадр и произвольно изменяет биты в поле данных протокола 3-го уровня;
- злоумышленник модифицирует значение вектора контроля;
- злоумышленник передает модифицированный кадр в беспроводную сеть;
- принимающая сторона (абонент либо точка радиодоступа вычисляют значение вектора контроля целостности кадра ICV для полученного модифицированного кадра);
- принимающая сторона сравнивает вычисленное значение вектора ICV с имеющимся в полученном модифицированном кадре;
- значения векторов совпадают, кадр считается неискаженным и не отбрасывается;
- принимающая сторона деинкапсулирует содержимое кадра» обрабатывает пакет сетевого уровня;
- поскольку манипуляция битами происходила на канальном уровне, контрольная сумма пакета сетевого уровня оказывается неверной;
- стек протокола сетевого уровня на принимающей стороне генерирует предсказуемое сообщение об ошибке;
- злоумышленник наблюдает за беспроводной сетью в ожидании зашифрованного кадра с сообщением об ошибке;
- злоумышленник захватывает кадр, содержащий зашифрованное сообщение об ошибке и вычисляет ключевую последовательность, как это было описано ранее для атаки с повторным использованием вектора инициализации.
Рисунок 3.4 -Атака с манипуляцией битами
Вектор ICV находится в шифрованной части кадра. С помощью следующей процедуры злоумышленник манипулирует битами шифрованного вектора ICV и таким образом обеспечивает корректность самого вектора для нового, модифицированного кадра (смотреть рисунок 3.5).
Некоторые обстоятельства, например: шум, ненадежный канал, события прекращения сеанса или отсоединения - могут увеличить объем зашифрованного WEP трафика, циркулирующего в беспроводной сети. Одно из таких обстоятельств - присутствие каналов, на которых работает протокол с установлением постоянных соединений. Если канал ненадежен или внезапно пропадает, то сегменты данных будут повторяться, пока пакет не дойдет до получателя. Число пакетов, необходимых для передачи необходимого объема данных, возрастает, а вместе с ним и число фреймов со слабыми IV. Чтобы решить проблему плохого качества связи, администратор может уменьшить размер фрейма, как рекомендуется в руководствах по беспроводным сетям, но одновременно это приведет к увеличению числа посылаемых фрагментов, и в
Рисунок 3.5 - Модифицирование ICV за счет побитовой обработки
каждом из которых будет вектор IV. Такие типичные для высокочастотной связи проблемы, как распространение сигнала по нескольким путям, активные помехи и скрытые узлы, обычно и становятся причиной уменьшения размера фрейма.
Еще одна причина, по которой пропадание канала приводит к генерации избыточного трафика, это обновление маршрутных таблиц. Рассмотрим протокол маршрутизации, зависящий от состояния канала, например, OSPF, который работает в беспроводной сети. Если пропадет канал к одному из маршрутизаторов, то последует лавина уведомлений о состоянии канала, поставляющих алгоритму Дейкстры новые данные. В ситуации, когда каналы к назначенному и резервному маршрутизаторам пропадают одновременно, происходит выбор маршрутизаторов, а, следовательно, еще больше пакетов и векторов IV. Протоколы типа вектор расстояние, например RIP и IGRP, не дают преимуществ, они не только постоянно генерируют большие объемы сетевого трафика, но в случае пропадания канала начинают передавать интенсивный поток обновлений.
Рассмотренные примеры подтверждают тот факт, что DoS атаки на первый и второй уровень беспроводной сети являются следствием атак типа «человек посередине» и могут быть частью более широкого плана вторжения в сеть и свидетельствовать о попытке ускорить взлом WEP.
3.5.4 Атаки на используемое программное обеспечение.
Драйверы беспроводных устройств разрабатываются без надлежащего внимания к безопасности, и новые функции добавляются в спешке ради конкуренции, поэтому код часто изобилует ошибками и небезопасен. Атаку можно осуществить, находясь в зоне действия сети общего пользования и ожидая, пока там окажется нужная машина. Даже если она не подключена к беспроводной сети, ее можно атаковать в течение сеанса низкоуровневого прослушивания, который выполняет большинство сетевых карт в поисках сети, к которой можно подключиться.
3.5.5 Атаки, обусловленные человеческим фактором.
Некоторые беспроводные локальные сети, использующие для обеспечения информационной безопасности программное обеспечение, основанное на WPA, могут быть взломаны [2]. Угрозе подвержены сети, владельцы которых используют короткие пароли или пароли, состоящие из распространенных фраз. Большинство программных реализаций WPA с целью упростить вход в сеть, строят криптографический ключ для шифрования на основе введенной пользователем фразы и сетевого имени машины, которое является общедоступным. Затем информация, зашифрованная этим ключом, свободно передается по сети. Потенциальному мошеннику достаточно перехватить несколько зашифрованных пакетов и произвести их анализ с помощью метода словарной атаки - в ходе нее из специального словаря, содержащего огромные количества разнообразных словосочетаний, по очереди, либо в другом, осмысленном порядке, выбираются фразы, которые компьютер автоматически преобразовывает в пароль и пробует на зашифрованных пакетах. Вскрыв пароль, злоумышленник может подключиться к сети вместо взломанного им пользователя, а также может свободно просматривать передаваемую этим пользователем информацию.
Таким образом, результатом рассмотренных выше атак может быть перехват конфиденциальной или целостности информации, циркулирующей в сети; несанкционированный доступ к данным пользователей беспроводной сети; или нарушение доступности ресурсов сети. Получив доступ, пусть и с минимальными полномочиями, злоумышленник может оставить в локальной сети вирус, который, при слабой защите сетевой среды, способен проникнуть к учетным записям пользователей с более высокими полномочиями. Получив такие данные, вирус способен отослать их на указанный ящик электронной почты. После этого сеть может подвергнуться заражению вирусами второго эшелона: если целью является не кража данных или нарушение работы сети, то компьютеры, особенно с прямым и постоянным Интернет-соединением, могут использоваться для проведения DoS-атак на сторонние сети.
3.6 Выводы
В ходе выполнения работы определен спектр угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11, классифицированный в соответствии с документами международных организации по стандартизации.
Беспроводные сети рассмотрены как объекты угроз информационной безопасности и проведена их классификация по конфигурации используемых средств защиты. Выявлены основные типы нарушителей, которые ввиду своей мотивации могут осуществить деструктивные воздействия на рассматриваемые сети. Описаны группы уязвимостей характерных для беспроводных сетей стандарта IEEE 802.11, а также основные атаки, осуществляемые нарушителями для реализации конкретной угрозы путем использования некоторой уязвимости. Полученные результаты являются основой для 'построения риск-модели беспроводных сетей стандарта IEEE 802.11.
4 Безопасность в сетях GSM
Стандарты сетей GSM изначально разрабатывались с учетом необходимости защиты данных, передаваемых по радиоканалу, а также обеспечения процедуры аутентификации [3]. Принципы и алгоритмы обеспечения безопасности GSM Консорциум оставил в тайне и никогда их не публиковал. Тем не менее, некоторые алгоритмы и спецификации стали доступны широкой общественности, и в них были выявлены серьезные недостатки. Общая схема построена таким образом, что атаке могут подвергнуться многие части GSM сети, а не только конкретный телефон. Несмотря на то что стандарты GSM разрабатывались для обеспечения защиты от несанкционированного доступа и прослушивания, схема безопасности оказалась неспособна это обеспечить.
4.1 Общая схема криптозащиты GSM сетей
Криптозащита GSM сетей основывается на разделяемой между SIM и HLR секретной информации. Этой секретной информацией является Ki – секретный 128-битный ключ, который хранится в SIM и HLR и используется для генерации 32-битного отзыва (SRES) на случайный пароль (RAND) в процедуре аутентификации, а также для выработки 64-битного сессионного ключа (Kc), который используется для шифрования данных в радиоканале. При первом появлении MS в сети HLR предоставляет MSC пять троек, которые содержат случайный пароль (RAND), отзыв на этот пароль (SRES), сгенерированный при помощи секретного ключа (Ki), а также сессионный ключ (Kc) , полученный из Ki. Каждая из троек используется только для одной сессии связи с MS и MSC. После 5 сессий MSC запрашивает у HLR новый набор из 5 троек [3].
Когда MS впервые появляется в области данного MSC, MSC посылает RAND из одной из троек, относящихся к данной MS. MS вырабатывает SRES при помощи А3 алгоритма, используя полученный RAND и Ki, хранящийся в SIM. MS отсылает SRES, и, если он совпадает с тем SRES, который содержится в данной тройке, то процедура аутентификации считается пройденной успешно.
Далее MS генерирует сессионный ключ Кс, при помощи алгоритма А8, используя уже полученный RAND и имеющийся Ki. Базовая станция (BTS), используемая для связи с данной MS, получает необходимый Kc у MSC. С этого момента радиоканал становится шифрованным.
Рисунок 4.1 - Общая схема криптозащиты GSM сетей
Каждый кадр передаваемого по радиоканалу трафика кодируется своей 114-битной ключевой последовательностью. Эта последовательность генерируется при помощи алгоритма А5. Алгоритм А5 инициализируется сессионным ключом и номером передаваемого кадра, таким образом, для каждого кадра получается собственная последовательность. Это означает, что дешифрование одного звонка возможно только, если аналитик знает Кс и номер кадра. Один и тот же Кс используется, пока MSC не инициирует процедуру аутентификации заново, при этом будет сгенерирован новый Кс. На практике один и тот же Кс может использоваться несколько дней, так как аутентификация является необязательной процедурой в начале звонка и производится нечасто. Надо так же отметить, что шифрованным в GSM сетях является только радио-канал, а между базовыми станциями данные передаются в открытом виде.
4.1.1 А3 Алгоритм аутентификации.
А3 используется для генерации отзыва SRES на случайный пароль RAND, получаемый от MSC. На входе А3 передаются RAND (128 бит) и Кi (128 бит), на выходе получают SRES (32 бита) [3].
Практически все операторы GSM в мире используют алгоритм COMP128 в качестве А3 и А8 алгоритмов. СОРМ128 был утвержден GSM Consortium как опорный для А3 и А8. Есть пара операторов, которые используют другие, но тоже известные, алгоритмы.
На самом деле, СОМР128 на выходе генерирует 128-битную строку, но как SRES используются только первые 32 бита.
4.1.2 Алгоритм генерации сессионного ключа А8.
Алгоритм А8 в GSM сетях используется для генерации сессионного
ключа. На вход подают Ki и RAND, на выходе получают 64-битный Кс. BTS получает его от MSC, который в свою очередь получает от НLR. HLR способен генерировать Кс, т.к. знает RAND (который он же и генерирует) и секретный ключ Ki, который он получает при подключении пользователя и создании SIM карты. Новый сессионный ключ генерируется, в случае, если MSC инициирует процедуру аутентификации.
Как было сказано, СОМР128 используется большинством GSM сетей в качестве А3 и А8. Таким образом, СОМР128 генерирует SRES и Кс за один проход. Для Кс используются последние 54 бита выходной последовательности СОМР128, но алгоритм А5 требует 64-битного ключа. Его получают из уже сгенерированных 54 бит и 10 нулевых бит, которые приписывают в конец. Таким образом, ключ имеет эффективную длину 54 бита. Это сделано во всех реализациях А8, где используется СОМР128, и, судя по всему, сделано умышленно.
Алгоритмы А3 и А8 «зашиты» в SIM карте. Это позволяет оператору сотовой связи самому решить, какие именно алгоритмы будут использоваться в его сетях в качестве А3 и А8, и не зависеть от производителей оборудования и других операторов. При этом проблем с аутентификацией в «гостевых» сетях не возникает, т.к. местная сеть получает уже готовые RAND, SRES и Kc от HLR «домашней» сети, которой, в свою очередь, известны Ki и конкретные реализации А3 и А8.
4.1.3 Алгоритм шифрованиЯ радиоканала А5.
Алгоритм А5, применяемый для шифрования данных передаваемых по радиоканалу, является потоковым алгоритмом шифрования. Схема шифрования инициализируется сессионным ключом Кс и номером передаваемого кадра. Один и тот же сессионный ключ используется на протяжении всего звонка, но номера кадра кадров меняются, таким образом, перед передачей очередного кадра схема инициализируется заново, и для каждого кадра генерируется своя уникальная ключевая последовательность.
Основным элементом схемы шифрования алгоритма А5 является линейный регистр сдвига с обратной связью (Linear Feedback Shift Register – LFSR). Как видно на схеме, LSFR представляет собой регистр сдвига, в котором значение вытесняемого бита зависит от предыдущих состояний и определяется конфигурацией обратных связей.
Рисунок 4.2 - Схема линейного регистра сдвига с обратной связью
При удачном выборе конфигурации обратных связей, LSFR может генерировать псевдослучайную последовательность, функция автокорреляции и спектральная плотность которой позволяет использовать ее в качестве псевдошума.
Схема алгоритма А5 используемого в европейских странах содержит 3 LSFR различной длинны (19, 22, 23 бита), суммарной длинной в 64 бита. Для получения очередного бита ключевой последовательности, выходы всех регистров складываются по модулю 2. Все 3 регистра имеют управление сдвигом, т.е. можно запретить сдвиг по очередному сигналу тактового генератора. Управление сдвигом происходит по среднему биту. Сдвиг происходит, если значение среднего бита регистра совпадает с преобладающим значением средних битов всех 3 регистров. К примеру, если значения средних битов 0, 0 и 1, то сдвиг будет произведен только у 1 и 2 регистров, а если 1, 0 и 1, то у 1 и 3. Таким образом, по крайней мере, 2 из 3 регистров сдвигаются на каждом шаге.
Рисунок 4.3 - Схема алгоритма А5
Регистр инициализируется сессионным ключом Кс иномером кадра. Сначала бит за битом загружается 64-битный Кс. После чего последние значащие биты ключа в каждом регистре складываются по модулю 2. При отключенном управлении сдвигом производят сдвиг и загружают еще раз 64 бита Кс. Далее загружают 22 бита номера кадра, но уже при включенном управлении сдвигом. После того, как регистры были таким образом инициализированы, производят 100 шагов и полученную последовательность отбрасывают. Следующие 228 бит составляют выходную ключевую последовательность, первые 114 бит которой используют для шифрования кадра от MS к BTS, а остальные 114 - обратно от BTS к MS. Для шифрования следующего кадра, схема инициализируется заново, и процесс повторяется.
Кроме этой схемы алгоритма А5, были также разработаны и другие. Основная причина в том, что данную схему посчитали слишком стойкой для поставок на Ближний Восток, в страны восточной Европы и Россию. «Оригинальный» А5 был переименован в А5/1. Другие алгоритмы стали обозначать А5/х. А5/0 предполагает вообще отсутствие шифрования, А5/2 –более слабый чем 5/1 (имеет стойкость 216 против 254. О других вариантах А5 достоверных сведений нет, как, впрочем, и подтверждения того, что они успешно применяются.
4.2 Возможные атаки
Как и в любой системе шифрования в системе безопасности GSM наибольший интерес представляет её стойкость к дешифрованию, особенно, если, по крайней мере, один из алгоритмов уже «взломан» [3].
Перехват и дешифрование данных передаваемых по радиоканалу в реальном времени на данный момент пока еще представляется затруднительным, но существующие виды атак позволяют производить дешифрование за приемлемое время и без значительных затрат.
4.2.1 Атака А5 прямым перебором.
Стойкость алгоритма А5 при атаке «грубой силой» – 254 (последние 10 бит Кс - нули) и прослушивание в реальном времени не представляется возможным при разумных затратах. Можно только записать звонок и дешифровать его позже.
Если мы имеем чип класса Pentium III, который содержит примерно 20 миллионов транзисторов, а для реализации одного набора LSFR схемы шифрования алгоритма А5 требуется 2000, то в одном чипе можно организовать примерно 10000 реализаций А5. При тактовой частоте 600 МГц, если каждая реализация А5 выдает 1 бит за такт, и необходимо сгенерировать 100+114+114 бит, можно проверять 2 миллиона ключей в секунду. Пространство ключей в 254 требует для перебора 900000 секунд или приблизительно 250 часов при одном чипе. Атака может быть оптимизирована отбрасыванием целых классов ключей после первого «плохого» бита ключевой последовательности. Задача легко распараллеливается, чем можно сильно сократить время дешифрования.
4.2.2 Атака А5 на основе известного текста.
Атака на основе известного открытого текста позволяет уменьшить стойкость алгоритма А5 о 245. Целью криптоаналитика является определение начального состояния всех LSFR по известной ключевой последовательности. Аналитик должен для этого знать 64 бита ключевой последовательности, которые можно получить, зная шифротекст и соответствующий ему открытый текст. Эту информацию можно извлечь из GSM кадров, которые содержат много постоянной, известной информации, например, заголовки кадров. Требуемые 64 бита не всегда могут быть получены, но 32 или 48 бит обычно становятся известны.
4.2.3 Другие виды атак.
В шифрованном виде информации передаются только по радиоканалу, а по сети SS7, используемой операторами GSM, звонки и служебная информация передаются в открытом виде. Таким образом, получив доступ к сети оператора злоумышленник может не только прослушивать текущие звонки, но и получает возможность доступа к HLR, где хранятся Ki абонентов, к счастью, HLR обычно более серьезно защищен [3].
Наиболее желаемой информацией является, конечно же Ki, который хранится в SIM карте и HLR. Имея компьютер, SmartСard reader, саму SIM карту и соответствующее программное обеспечение, можно клонировать SIM карту, это займет около 8 часов. Скорость определяется в основном скоростью работы SIM карты. Существует также теоретическая возможность получения Ki без физического доступа к SIM карте, но это сопряжено с некоторыми трудностями: необходимо иметь специальное оборудование, а также достаточно долго находиться недалеко от взламываемого телефона.
В заключение можно сказать, что система защиты сетей GSM имеет серьезные недостатки на многих уровнях защиты, т.к. имеет бреши в различных частях сети оператора GSM. Саму схему нельзя признать удачной. Даже если применять стойкие алгоритмы шифрования, вся система все равно не защищена от различных «социальных» сценариев, например если злоумышленник работает в компании-операторе.
Остается надеяться, что в следующем поколении цифровых сетей связи все это будет исправлено, а пока если вы хотите надежной защиты от прослушивания – применяйте дополнительное шифрование.
5 Безопасность в GPRS
Можно выделить следующие фрагменты GPRS-сети, на безопасность которых необходимо обратить соответствующее внимание [4]:
- безопасность мобильной станции;
- безопасность соединения между мобильной станцией и узлом обслуживания SGSN;
- безопасность данных в процессе их передачи по сети GPRS;
- безопасность данных в процессе их передачи между различными операторами GPRS услуг;
- безопасность данных в процессе их передачи в сети открытого доступа, например, Internet.
Эталонная модель GPRS представлена ниже на рисунке 5.1.
Рисунок 5.1 - Эталонная модель GPRS
5.1 Безопасность мобильной станции
Безопасность мобильного телефона (мобильной станции – MS) складывается из двух составляющих – SIM (Subscriber Identity Module) карта и сам телефон [4].
SIM карта – это модуль идентификации абонента, в ней хранится информация о сервисах предоставляемых абоненту независимо от типа используемого оборудования. Она содержит:
- идентификатор IMSI(International Mobile Subscriber Identity). Он состоит из 3 элементов:
- трехразрядный код страны;
- двухразрядный код сети;
- десятиразрядный код абонента MSIN ( Mobile Subscriber Identity Number).
- собственный индивидуальный ключ аутентификации Ki (копия его храниться в AuC (Authentication Center) связанный с регистром нахождения (Home Location Register) мобильной станции);
- алгоритм генерации ключей шифрования A8;
- алгоритм аутентификации A3;
- PIN код.
Алгоритм А5 наряду с IMEI (International Mobile Equipment Identity) включен в состав программного обеспечения телефона и обеспечивает его защиту [4].
5.1.1 Безопасность телефона обеспечивается механизмами алгоритма шифрования A5. Уникальным 14 разрядным международным идентификатором аппаратуры мобильной связи (IMEI), который однозначно идентифицирует телефон. Узнать его можно набрав на телефоне комбинацию *#06#. Если высвеченное число не совпадает с тем, что указано на задней крышке телефона, то телефон взломан. Именно такие номера хранятся в реестре EIR. Данный реестр имеет три списка IMEI:
- «белый» список, содержит идентификаторы всех разрешенных аппаратов;
- «серый» , содержит идентификаторы всех не запрещенных аппаратов, но используемых для различных целей, например, тестирования;
- «черный», содержит идентификаторы всех запрещенных аппаратов.
Итак, IMEI , IMSI – независимы между собой. IMEI идентифицирует мобильный терминал, а IMSI – абонента.
5.1.2 Безопасность соединения мобильной станции с узлом SGSN.
В процессе подключения мобильной станции между ней и узлом SGSN происходит выбор версии используемого в дальнейшем алгоритма шифрования GPRS-A5. В сетях GPRS используются алгоритмы семейства A5 – GEA 1 и GEA2 , GEA3 (после разработки A5/3) [4].
5.1.3 Безопасность данных в процессе их передачи по сети GPRS.
Все данные между узлами поддержки (SGSN, GGSN) передаются с помощью специального протокола GTP (GPRS Tunelling Protocol) , который инкапсулирует в себя любые пользовательские протоколы, например, HTTP, Telnet, FTP, и др. По умолчанию, GTP-трафик не шифруется.
5.1.4 Безопасность в процессе взаимодействия с различными операторами GPRS услуг.
Безопасность осуществляется с помощью устройств, называемых граничными шлюзами (Border Gateway – BG) .
BG может быть использован в качестве security gateway (SG). SG - это система, которая функционирует как коммутационный шлюз между внешними недоверительными системами и доверительными хостами в своей собственной подсети. Он также предоставляет безопасные сервисы для доверенных хостов, когда они общаются с внешними недоверенными системами. В случаях, если такой шлюз предоставляет сервисы по поручению одного или нескольких хостов в доверенной подсети, шлюз несет ответственность за установление именно безопасного соединения. В этом случае только такой шлюз использует Аuthentication Header (AН) и/или ESP сервисы между шлюзами и внешними системами. В таких окружениях шлюз, который получает IP пакет, содержащий IP ESP, должен добавить соответсвующую аутентификацию, включая соответствие (которое содержится в Security Association ) или внешние метки такие, как IPSO (IP Security options), для расшифрованных пакетов которые они передают их доверенному хосту, которое является пунктом конечного назначения. В средах, использующих такие шлюзы, они должны предоставлять основанную на IP пакетную фильтрацию неавторизованных пакетов. Этот шлюз защищает оператора от атак, связанных с подменой адреса. Настройка такого шлюза включает в себя создание правил, разрешающих входящий/исходящий пользовательский трафик, данные биллинговой системы, аутентификацию роуминговых абонентов и т.п.
Кроме этого, межсетевой экран Firewall, если он установлен на пограничном узле или узле GGSN, повышает защищенность сети оператора от возможных несанкционированных действий.
5.1.5 Безопасность в процессе взаимодействия с Internet.
Основные механизмы безопасности реализованы на узле GGSN, в состав которого входит межсетевой экран, который определяет тип входящего GPRS - трафика. Его задача также защитить мобильную станцию от атак внешних хакеров. Для этого используется трансляция адресов (network address translation). Все остальные механизмы защиты , это например, аутентификация при помощи серверов RADIUS , защита трафика с помощью IPSec и др [4].
Связь через сеть передачи общего пользования(PDN) имеет отличие от предыдущих, потому что оно больше не использует интерфейс Gp. Интерфейс Gi определяет соединение между GPRS backbone и PDN. Соединение двух GPRS backbon\ов (the GPRS Backbone - это сеть реализованная путем соединения GSN, управляемых одним оператором).
5.1.6 Процесс подключения мобильной станции.
Упрощенно процесс подключения абонента, желающего воспользоваться услугами GPRS, выглядит так:
1) MS посылает запрос на получение доступа к сети, который содержит ряд параметров (IMSI и др).
2) Узел SGSN, получив такой запрос, проверяет наличие аутентифицирующей данного абонента информации в своей базе. Если такая информация то SGSN есть, то посылает запрос в реестр HLR , который возвращает аутентификационный триплет.
3) Полученное случайное число передается на мобильную станцию, которая на его основе вырабатывает ключ шифрования и ключ аутентификации. Так как, индивидуальные ключи, хранящиеся в реестре HLR и на мобильной станции совпадают, то и ключи шифрования и аутентификации также должны совпадать.
4) После идентификации абонента осуществляется идентификация оборудования, которое посылает на SGSN идентификатор IMEI. Узел SGSN в свою очередь проводит проверку данного оборудования по реестру EIR.
5) После аутентификации абонента и оборудования происходит процедура определения местоположения абонента (используются реестры HLR и VLR), после этого происходит завершение процедуры подключения MS к GPRS. Если MS не смогла пройти аутентификацию, то SGSN посылает на нее сообщение AttachReject.
5.1.7 Ключи и триплеты
Когда соединение устанавливается с мобильной станцией (MS), Serving GPRS Support Node (SGSN) информирует и берет во владение аутентификационную процедуру. SGSN запрашивает IMSI и использует его для определения регистра нахождения станции. SGSN передает IMSI и свой собственный регистр HLR (Home Location Register), это информирует сеть о текущем положении MS, когда соединение осуществляется с ним. Если HLR получает ее, подписчик IMSI обращается к аутентификационному Центру и запрашивает ключ шифрования Ki. Этот ключ используется вместе со случайным числом в качестве параметра в алгоритме A3 для распознавания подписи или подписания ответа. AuC похожим образом использует Ki и случайное число в качестве параметра в алгоритмеA8 для вычисления ключа шифрования Kc для кодирования канала, по которому передается трафик. Случайное число, подписанный ответ и Kc составляют тройню (триплет) для мобильной станции, которую используют для дальнейшего шифрования.
5.1.8 Характеристики различных алгоритмов.
Три алгоритма определено:
Алгоритм A3 – Аутентификационный алгоритм. Его цель – предоставить аутентификацию мобильного подписчика. A3 вычисляет ожидаемый ответ SRES от случайного вызова RAND посланного сетью. Для этих вычислений A3 использует аутентификационный ключ Ki. На стороне абонента А3 содержится в Simкарте. В сети он поддерживается в аутентификационном центре, который является подразделением HLR. Два входных параметра имеют следующий формат:
- Длина ключа - 128 бит;
- Длина RAND - 128 бит.
Алгоритм A5 – алгоритм шифрования/дешифрования. Этот алгоритм используется как в мобильной станции, так и в SGSN. Шифрование происходит перед модуляцией и после интерливинга. Во время TDMA, используемых в системе, полезная информация разделяется на блоки по 114 бит. Затем каждый блок вставляется нормальный пакет (burst) и передается. Для шифрования алгоритм A5 каждые 4.615 мс (время прохождения фрейма) производится последовательность из 114 битов шифрования/дешифрования, называемых блоками (BLOCK). Дешифрование: А5 производит последовательность из 114 битов и первый бит добавляется к шифротексту (кодированному сообщению) и так далее. Для каждого слота расшифровка происходит на стороне мобильной станции с первым блоком (BLOCK1) и шифрование при помощи второго блока (BLOCK2). Аналогично, на стороне сети BLOCK1, используется для шифрования, а второй BLOCK2 - для дешифрования. Тем самым, А5 должен производить дважды 114 бит, каждые 4.615 мс. Шифрование начинается, когда приходит подтверждение соответствия от MS, используя синхронизацию, которая была выбрана в BSC. Синхронизация тем самым гарантируется переменной открытого времени, COUNT, полученной из LLC. Таким образом, блок из 114 бит, полученный А5 зависит только от LLC frame number, ключа шифрования Kc. Нижеследующий рисунок суммирует все вышесказанное.
Рисунок 5.2 - Алгоритм A5 – алгоритм шифрования/дешифрования.
Несколько алгоритмов шифрования созданы, но только один из них будет использоваться при аутентификации. Например, 2 входных параметра (COUNT и Кс) и выходные параметры (BLOCK 1 & BLOCK 2) алгоритма A5 имеют следующий формат:
- длина Kc – 64 бит;
- длина COUNT – 22 бита;
- длина BLOCK1 – 114 бит;
- длина BLOCK2 – 114 бит.
Алгоритм A8 – генератор ключа шифрования. На стороне MS, он содержится в SIMкарте. В сети он располагается наряду с протоколом А3. Два входных параметра (RAND & Ki) и выходной параметр (Kc) A8 соответствуют следующему формату:
- Длина Ki – 128 бит.
- Длина RAND – 128 бит.
- Длина Kc – 64 бита.
Так как индивидуальный ключ имеется не только у абонента, но и хранится в реестрах HLR и VLR, то и абонент, и оборудование сети создают одинаковый ключ.
5.1.9 Аутентификация.
HLR передает значение триплета в SGSN и значение случайного числа, потом посылается мобильной станции [4]. Вдобавок SGSN предоставляет выбор алгоритма шифрования (различные версии алгоритма A5 доступны) и синхронизацию для начала шифрования. Мобильная станция после получения случайного числа вычисляет другие числа для триплета (подписанный ответ и Kc), используя алгоритм А3 и A8. Подписанный ответ отсылается обратно в SGSN и сравнивается с тем, который посылался HLR. Любые дальнейшие процессы не предпринимаются перед подписанием ответа, вычисленным HLR и хранящимся в SGSN , сравненный с вычисленным в мобильнике.
5.1.10 Аутентификационная процедура.
1) Если SGSN не имеет первоначально хранящегося аутентификационного триплета, IMSI поcылается в HLR. HLR дает Authentication Triplets, который включает RAND, SRES и Kc.
2) SGSN посылает аутентификационный запрос (RAND. Начало шифрования, алгоритм шифрования A5. MS отвечает (SRES). Успешная аутентификация подписчика означает, что ответ совпадает с подписью в SGSN, присланной HLR.
5.1.11 Encoding.
Если аутентификация подписчика успешная, то потом идет шифрование. Информация и сигнализация сливаются в канале между мобильными станцией и SGSN, используя:
1) алгоритм шифрования A5 и синхронизацией специфицированной SGSN;
2) ключ Kc в качестве параметра.
5.1.12 IP Security (коротко).
Безопасность не предоставляется в GTP(GPRS Tunnel protocol). GPRS Tunnel protocol - просто способ туннелирования пакетов от источника к последней точке. Безопасность может быть предоставлена оператором между граничным шлюзом (Border Gateway) в различных GPRS сетях. Механизм отвечающий за безопасность, – IP Security. Ipv4 не предоставляет возможностей безопасностей, кроме как опционного метки безопасности. Ipv6 предоставляет ряд возможностей, в частности, Ipv6 включает свойства, поддерживающие аутентификацию и защиту. Эти свойства также могут быть включены в Ipv4. Имеются 2 заголовка, которые используются для предоставления безопасных сервисов в Ipv4 и Ipv6. Эти заголовки “IP Authentication Header (AH)” и “IP Encapsulating Security Payload (ESP)” заголовки. Есть несколько способов, в которых эти механизмы IP безопасности могут использоваться. IP AH создан, чтобы предоставить интеграцию и аутентификацию без конфиденциальности к датаграмме. Недостаток конфиденциальности гарантирует, что использование AH будет широко доступно, даже в расположениях, где экспорт, импорт или использование шифрования для предоставления конфиденциальности используется. AH поддерживает безопасность между двумя или более хостами, между двумя или более шлюзами, хостами или шлюзами и набором костов или шлюзов. IP ESP разработан для предоставления интеграции, аутентификации и конфиденциальности IP датаграммам. ESP поддерживает безопасность между двумя или более хостами, между хостом или шлюзом и набором хостов и/или шлюзов.
5.1.13 Authentication header.
Это механизм для предоставления надежной интеграции и аутентификации для дейтаграмм. Он также может зависеть от того какой криптографический алгоритм используется и как происходит работа с ключами. Например, алгоритм RSA [4].
Конфиденциальность и защита от анализа трафика не обеспечивается AH. Пользователи, которые хотят обеспечить себе это, должны использовать ESP. AH может появиться после любого другого заголовка, который проверяется на каждом скачке и перед любым другим заголовком. Ipv4 и Ipv6 - заголовки непосредственно предшествующие AH, будут содержать значение 51 в своем следующем поле заголовка. Пример Ipv6(смотреть рисунок 5.3).
Рисунок 5.3 – Формат прокола Ipv6
Аутентификационная информация, поддерживаемая IP AH, обычно вычисляется, используя алгоритм профиля сообщения (например, MD5). Только алгоритмы, которые считаются криптографически сложными, используются для IP AH. При получении пакета, содержащий IP AH, получатель сначала использует Destination Address и SPI значение для определения правильного безопасного соединения. Получатель сравнивает на соответствие информационное поле полученный информационный пакет, и он принимается, если совпадает.
5.1.14 Encapsulating SecurityPayload.
ESP – это механизм для предоставления интеграции и конфиденциальности для IP датаграмм. Ниже приведен пример зашифрованная Ipv4 датаграмма или Ipv6 пакет.
Рисунок 5.4 - Зашифрованная Ipv4 датаграмма
Есть два режима использования ESP.
- Туннельный режим, инкапсулирует всю IP датаграмму в ESP.
- Транспортный режим, инкапсулирует фрейм транспортного уровня (UDP, TCP) вESP. Только в этом режиме аутентификация применяется ко всему пакету, но только сегмент транспортного уровня защищен механизмом шифрования.
5.1.15 The GPRS Backbone.
The GPRS Backbone - это сеть, реализованная путем соединения GSN, управляемых одним оператором. Путь, по которому информация посылается через эту шину, был определен GPRS Tunnel Protocol (GTP). Информацией обмениваются между несколькими SGSN или между SGSN и GGSN, но в обоих случаях эти GSN принадлежат одной шине (backbone) [4].
Этот случай должен быть рассмотрен отдельно от соединения различных backbon\ов, в то время как GPRS backbone может иногда рассматриваться как доверительная подсеть. Но соединение нескольких GPRS backbone так не может рассматриваться. Способ, который может гарантировать безопасность только, что рассматривался. AH & ESP - основные способы предоставления безопасности. Но наиболее частая ситуация – это соединение нескольких единичных GPRS backbon\ов.
5.1.16 Security over the Gi interface.
Рисунок 5.5 – Соединение с PDN
Как показано на рисунке 5.5, соединение с PDN проходит через шлюз GGSN и не через BG, как это имело место для Gp. GGSN конвертирует GTP, в один из тех, которые используется в PDN. BG не имеет такой функциональности, он просто передает пакеты, которые получает. Тем не менее, мы можем использовать GGSN в качества безопасного шлюза.
Также мы должны использовать Firewall для обеспечения безопасности. GPRS оператор должен также решить использовать другие протоколы основанные на двустороннем соглашении. Функция отражения (Screening) имеющаяся в GPRS сети и имеет три уровня.
Screening – находиться за пределами стандарта GPRS , лишь скажу что поддерживаются следующие типы
- Network controlled;
- Subscription controlled.
6 Реализация безопасности передачи информации в стандарте сотовой связи CDMA 2000 1xRTT
Сотовая связь появилась в нашей жизни совсем недавно и за короткий срок успел превратиться из неслыханной роскоши в незаменимое средство связи, развиваясь буквально на глазах. Аналоговым стандартам первого поколения 1G пришли на смену цифровым стандартам второго поколения 2G, которые вскоре эволюционировали в 3G, обеспечивающие более высокие скорости передачи данных. Не за горами уже и высокоскоростной 4G, позволяющий передавать даже потоковое видео. [5].
В связи с тем, что вся передаваемая информация в сотовой телефонии посылается через радиоканал, любой, обладающий соответствующим оборудованием, может прослушивать все телефонные разговоры, ведущиеся в зоне приема без опасения быть обнаруженным. При проектировке ранних систем сотовой телефонии обеспечению безопасности уделялось не так много внимания в связи с тем, что высокая цена необходимого для прослушивания оборудования делала его экономически нецелесообразным. Когда же подобные устройства стали широко распространенными и доступными по цене, проблему попытались решить с помощью создания соответствующей законодательной базы. Но введение правовых норм ситуации не изменило, и проектировщики систем для решения проблемы были вынуждены все в большей и большей степени обращаться за помощью к криптографии и, как оказалось, не зря. Криптографические методы являются одним из самых очевидных и эффективных способов предотвращения несанкционированного доступа к каналам связи и дублирования аппаратов, и вскоре они заслуженно нашли применение во всех последующих стандартах. В 1992 году рабочая группа TR-45 ассоциации промышленности средств связи (Telecommunications Industry Association – далее упоминающаяся как TIA) разработала TIA92 - стандарт интеграции криптографических технологий в системы сотовой телефонии следующих поколений, который был модернизирован с созданием TIA95. Стандарт TIA95 описывает четыре криптографических примитива для использования в системах цифровой сотовой связи Северной Америки:
1) CAVE – функция перемешивания, использующаяся в протоколах аутентификации «запрос-ответ» и для генерации ключей.
2) повторяющаяся XOR маска, налагающаяся на голосовые данные для обеспечения безопасности их передачи.
3) ORYX – потоковый шифр, предназначенный для использования в услугах беспроводного доступа к данным.
4) CMEA (Control Message Encryption Algorithm) – простой блоковый шифр, использующийся для шифрования служебных сообщений.
С появлением стандартов сотовой связи второго поколения (TDMA/CDMA-IS-41) операторы получили возможность улучшить безопасность своих сетей за счет использования более криптостойких алгоритмов шифрования и других средств.
6.1 Безопасность в CDMA сетях
pПротоколы, обеспечивающие безопасность передачи информации в CDMA-IS-41 сетях, являются одними из лучших в индустрии. Кроме того, сам CDMA стандарт по своему построению делает перехват сигнала и его расшифрование очень сложной и дорогостоящей задачей, доступной, фактически, только государственным спецслужбам [5].
Криптографические протоколы стандарта CDMA основываются на 64-битном аутентификационном ключе (A-key) и серийном номере мобильного телефона – Electronic Serial Number (ESN). Для аутентификации абонента при регистрации мобильного телфона в сети, а также последующей генерации вспомогательных подключей, для обеспечения конфиденциальности передачи голосовых данных и кодированных сообщений используется случайное двоичное число RANDSSD, генерируемое аутентификационным центром реестра собственных абонентов (далее упоминающийся как HLR/AC - Home Location Register/Authentification Center). A-key запрограммирован в мобильном телефоне и хранится в аутентификационном центре сети. CDMA использует стандартизованный алгоритм шифрования CAVE (Cellular Authentification and Voice Encryption ) для генерации 128 битного подключа SSD ( Shared Secret Data). A-key, ESN и генерируемое сетью случайное число RANDSSD подаются на вход CAVE генерирующего SSD. SSD состоит из двух частей: SSD_A, используемой для создание аутентификационной цифровой подписи, и SSD_B, используемой при генерации ключей для шифрования голосовых данных и служебных сообщений. SSD может быть передан гостевой сети при роуминге абонента для обеспечения локальной аутентификации. Новый SSD может быть сгенерирован при возвращении абонента в домашнюю сеть или смене гостевой сети в роуминге.
6.2.Аутентификация
Как было уже сказано, для аутентификации абонента в CDMA сети используется вспомогательный ключ SSD_A, генерируемый CAVE алгоритмом из A-key, ESN и RANDSSD.
Сеть генерирует и рассылает открыто по эфиру случайное число RAND*, мобильные устройства, регистрирующиеся в сети, используют его как входные данные для CAVE алгоритма, генерирующего 18-битную аутентификационную цифровую подпись (AUTH_SIGNATURE), и посылает его на базовую станцию. Эта цифровая подпись u1089 сверяется в центре коммутации (далее упоминается как MSC - Mobile services Switching Center) с подписью генерируемой самим MSC для проверки легитимности абонента. Число RAND*может быть как одним и тем же для всех пользователей, так и генерироваться каждый раз новое (использование конкретного метода определяется оператором). Первый случай обеспечивает очень быструю аутентификацию.
И мобильный телефон и сеть ведут 6-битные счетчики вызовов, что обеспечивает возможность детектирования работающих двойников: для этого достаточно лишь контролировать соответствие значений счетчиков на телефоне и в MSC.
Секретный ключ A-key является перепрограммируемым, в случае его изменения информацияна мобильном телефоне и в HLR/AC должна быть синхронизирована. A-key может быть перепрошит несколькими способами: на заводе, дилером в точке продаж, абонентом через интерфейс телефона, а также с помощью OTASP ( over the air service provisionig ). OTASP передачи используют 512 битный алгоритм согласования ключей Diffie-Hellman’а, гарантирующий достаточную безопасность. OTASP обеспечивает легкий способ смены A-key мобильного телефона на случай появления в сети двойника мобильного телефона. Изменение A-key автоматически повлечет за собой отключение услуг двойнику мобильного телефона и повторное включение услуг легитимному абоненту. Таким образом, как можно было заметить, секретность A-key является важнейшей компонентой безопасности CDMA системы.
6.3 Безопасность передачи голосовых данных, информации и служебных сообщений
Мобильный телефон использует вспомогательный подключ SSD_B и CAVE алгоритм для генерации Private Long Code Mask ( унаследованную от TDMA сетей ), 64-битного подключа CME (Cellular Message Encryption Algorithm) key и 32-битного DATA-key [5]. Private Long Code Mask используется как мобильным телефоном, так и сетью для изменения характеристик Long Code Mask. Этот модифицированный Long Code используется для шифрования голосовых данных, что повышает секретность их передачи. Private Long Code Mask не шифрует информацию, она просто заменяет известные величины, используемые в кодировке CDMA сигнала секретными величинами, известными только мобильному телефону и сети. Таким образом подслушивание u1088 разговоров без знания Private Long Code Mask является чрезвычайно сложной задачей.
6.4Анонимность
CDMA сеть поддерживает назначение мобильному телефону временного идентификатора мобильного абонента TMSI (Temporary Mobile Station Identifier) для его представления в процессе передачи информации по эфиру между мобильным телефоном и сетью. Эта функция еще более затрудняет сопоставление передаваемых данных конкретному абоненту.
6.5 3G CDMA 2000
В сотовых стандартах третьего поколения (3G) используются еще более криптоустойчивые протоколы обеспечения безопасности системы, включающие использование 128-битного секретного и аутентификационного ключей [5]. В сетях третьего поколения стандарта CDMA 2000 для хэширования и проверки достоверности используется Secure Hashing Algorithm-1 (SHA-1), для шифрования сообщений – Advanced Encryption Standard (AES Rijndael). Также для всех следующих версий после CDMA 2000 Release C будет использоваться AKA (Authentification and Key Agreement), протокол для аутентификации и согласования ключей. AKA протокол вместе с алгоритмом Kasumi будет использоваться и в WCDMA-MAP сетях для шифрования и проверки достоверности сообщений.
В настоящее время оборудование стандарта CDMA является самым новым и самым дорогим, но в то же время самым надежным и самым защищенным. Технологические решения и стойкие криптографические протоколы, нашедшие применение в этом стандарте, обеспечивают высокий уровень конфиденциальности сетей, построенных на его основе. Подслушать из эфира разговор можно, но стоимость и сложность оборудования способного на такое, значительно выше, чем для других стандартов. Причем дело усугубляется тем, что при незначительном удалении от БС мощность излучаемая телефоном крайне низка, поэтому подслушивающий должен u1085 находиться в непосредственной близости от объекта наблюдения, а при значительном удалении от БС вообще непонятно, через какую БС работает телефон. Сообщение, появившееся в новостной ленте сайта ixbt.com, о развертывании сети стандарта CDMA 20001xRTT поверх старых сетей оператора МСС является лишь подтверждением достоинств этого стандарта.
Список литературы
1. Обзор технологий беспроводных сетей. А.И.Колыбельников. Труды МФТИ. Том 4 №2 – М.: МФТИ, 2012.
2. Щербаков В.Б., Ермаков С.А. Безопасность беспроводных сетей IEEE 802.11. – М.: РадиоСофт, 2010.
3. Безопасность в сетях GSM. С.А. Платоненков. – М.: ФРТК МФТИ, 2003.
4. Лукацкий Алексей, Научно-инженерное предприятие "Информзащита" Опубликовано в журнале "Мобильные системы", №2, 2003
5. Меррит М., Полино Д. Безопасность беспроводных сетей./ Пер. с англ. А.В. Семенова. – М.: Компания АйТи, ДМК Пресс, 2004, - 288 с.
Сергей Владимирович Коньшин
Елена Александровна Шкрыгунова
Зашита информации в беспроводных сетях
Учебное пособие
Редактор Л.Т. Сластихина
Св. тем. план 2012 г., поз. 24
Сдано в набор_______________
Формат 60х84 1/16
Бумага типографская №2
Уч.-изд. лист.-5,3. Тираж 100 экз. Заказ 601. Цена 2650 тенге.
Подписано в печать ___________
Копировально-множительное бюро
Некоммерческого акционерного общества
"Алматинский университет энергетики и связи"
050013, Алматы, Байтурсынова, 126