CC BY
0
УДК 004.056
ОБЗОР ТЕХНОЛОГИЙ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ФУНКЦИОНИРОВАНИЯ IOT-УСТРОЙСТВ
В. А. Фомичева, Н.Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева, Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: nelli.korneeva53@mail.ru
Основное внимание уделяется рассмотрению особенностей Zigbee-сети, угрозам и атакам на IoT-устройства, а также практической реализации мер обеспечения безопасности таких устройств.
Ключевые слова: Zigbee-сеть, сетевая безопасность, угрозы и атаки, вейвлет-анализ.
OVERVIEW OF SECURITY TECHNOLOGIES FOR THE OPERATION
OF IOT DEVICES
V.A. Fomicheva, N.Y. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: nelli.korneeva53@mail.ru
The main focus is paid to the features of the Zigbee network, threats and attacks on iOS devices, as well as the practical implementation of security measures for such devices.
Keywords: Zigbee-network, threats and attacks, network security, wavelet analysis.
Введение. Обеспечение информационной безопасности является одной из наиболее актуальных проблем из области информационных технологий на сегодняшний день. В современном мире актуализируются решения Интернета вещей (IoT-сетей), задача обеспечения информационной безопасности в которых также имеет достаточно актуальный и основополагающий характер. В данной статье рассматривается обзор особенностей функционирования IoT-устройств, угрозы и возможные атаки на данные устройства, а также предложения по защите IoT-устройств.
Zigbee-сеть. Сеть Zigbee - технология, которая основана на радио стандарте IEEE 802.15.4 и предназначена для стандартизации маломощных M2M устройств разных производителей. Сети ZigBee, в отличие от других беспроводных сетей передачи данных, полностью удовлетворяют перечисленные требования в энергопотреблении, радиусу действия и безопасности, отказоустойчивости, взаимной совместимости и взаимодействии с моделью OSI [1].
В технологии Zigbee реализована криптографическая защита данных (AES 128-бит), конечные устройства отличаются низким энергопотреблением (работа от обычной батарейки АА и ААА до трех лет), устройства сети имеют относительно невысокую стоимость, работает в нескольких частотных диапазонов (868 МГц, 915 МГц и 2,4 ГГц), но с низкой скоростью передачи данных (порядка 250 кбит/с) и со средней скоростью передачи полезных данных, в зависимости от загрузки сети и числа ретрансляций - от 5 до 40 кбит/с [2].
(Секция «Информационная безопасность»
Классы атак на Zigbee-сеть. Угрозы безопасности на сети, работающие на 21§Ьее, разделяются на: атаки, основанные на неправильной реализации (определенная комбинация вариантов выбора функций протокола делает сеть уязвимой) и атаки, основанные на недостатках самого протокола.
Среди атак неправильной реализации выделяют следующие угрозы [3]:
1) небезопасное хранение ключей передачи сети, что повышает компрометацию ключа как отдельного 1оТ-устройства, так и всей сети в целом;
2) небезопасная передача ключей по сети при инициализации нового устройства, что дает возможность компрометации всей сети;
3) ошибки в настройке параметров управления доступом, что при сбое устройства позволяет скомпрометировать сеть и внести изменения в списки управления доступом;
4) предсказуемая частота опроса конечных 1оТ-устройств (датчиков), что позволяет распределить избыточную информацию и привести к неработоспособности системы.
Среди атак в связи с недостатками протокола 21§Ьее выделяют следующие угрозы [3]:
1) использование значений ключей ссылок по умолчанию, что при подключении новых 1оТ-устройств позволяет собрать данные необходимые для ограничения функциональности сети;
2) неидентифициорованные пакеты подтверждения (АСК), что позволяет произвести атаку типа «человек посередине»;
3) недостатки механизма СБМА/СА, что позволяет произвести ВБоБ-атаки и нарушить связь между устройствами сети;
4) использование недостаточных и медленных методов защиты от сетевых помех, что позволяет взять под контроль частотный канал работы сети;
5) отсутствие механизмов защиты от ВБоБ-атак за счет либо максимального увеличения счетчика кадров, либо заполнения сети сообщениями (проведение широковещательной атаки), либо при изменении таблиц маршрутизации для перенаправления всего фиктивное устройство, либо при повторном использовании ключа ссылки для передачи данных между 1оТ-устройствами.
Рекомендации по защите Zigbee-сети. Согласно международным стандартам №8Т и Е№8А предлагаются следующие категории защиты 21§Ьее-сетей [4-5]:
1) обеспечение организационных мер обеспечение безопасности 1оТ-устройств (создание политики безопасности, правовых и нормативных документов);
2) использование протоколов и механизмов, которые включают функции обеспечения безопасности;
3) обеспечение конфиденциальности передачи данных и сети в целом;
4) обеспечение надежности системы (использование механизмов, предотвращающих возникновение сбоев и повреждений системы, механизмов самовосстановления после сбоя, автономной работы);
5) использование механизмов идентификации и аутентификации;
6) использование криптографической защиты;
7) обеспечение мониторинга и аудита системы (регулярный мониторинг для проверки поведения устройств, обнаружения вредоносных программ, ошибок целостности, а также проведение периодических проверок и тестов на проникновение).
Таким образом, вопросы мониторинга могут быть решены по-разному. Один из проверенных механизмов - мониторинг сетевого трафика при помощи систем обнаружения вторжений. Но, поскольку, системы обнаружения вторжений для 1оТ-сетей ресурсозатратны в связи с тем, что для внедрения СОВ требуется к каждому 1оТ-устройству устанавливать дополнительный датчик СОВ для сбора информации, предлагается использование математического инструмента вейвлет-анализа. При помощи вейвлет-анализа при внедрении
этого механизма на IoT-устройство можно отследить начавшуюся DDoS-атаку и передать информацию на главный микроконтроллер сети и среагировать и ограничить DDoS-атаку.
Выводы. В данной статье рассмотрена Zigbee-сеть, которая представляет открытый стандарт беспроводной связи для различных систем автоматизации, для которой существуют разные классы атак для нарушения конфиденциальности, целостности, доступности сети. Среди таких классов: неправильная реализация Zigbee-сети, ее устройств и правил передачи, а также недостатки самого протокола для беспроводной передачи информации между устройствами. Проанализировав международные стандарты NIST и ENISA, были выделены основные рекомендации по защите беспроводных сетей, такие как: обеспечение организационных мер обеспечения безопасности, использование механизмов криптографии, мониторинга и аудита и т.д. Один из вариантов реализации на практике защиты IoT-устройств - класс устройств систем обнаружения вторжений. Использование СОВ в сетях IoT-устройств ресурсозатратно, поэтому предложено использование математического инструмента вейвлет-анализа.
Библиографические ссылки
1. Three Practical Attacks Against ZigBee Security: Attack Scenario Definitions, Practical Experiments, Countermeasures, and Lessons Learned [Электронный ресурс]. URL: https://www.researchgate.net/publication/276272068 Three Practical Attacks Against ZigBee Se curity Attack Scenario Definitions Practical Experiments Countermeasures and Lessons Learn ed (дата обращения: 01.04.2022).
2. Технологии и протоколы Интернета вещей [Электронный ресурс]. URL: https://azure.microsoft.com/ru-ru/overview/internet-of-things-iot/iot-technology-protocols/ (дата обращения: 01.04.2022).
3. Zigbee security [Электронный ресурс] URL: https://research.kudelskisecurity.com/ 2017/11/21/zigbee-security-basics-part-3/ (дата обращения: 01.04.2022).
4. Технологии Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks [Электронный ресурс]. URL: https://nvlpubs.nist.gov/nistpubs/ir/2019/ NIST.IR.8228.pdf (дата обращения: 01.04.2022).
5. Baseline Security Recommendations for IoT [Электронный ресурс]. URL: https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot (дата обращения: 01.04.2022).
© Фомичева В. А., Паротькин Н. Ю., 2022
