ПРЕДЛОЖЕНИЯ ПО ЗАЩИТЕ БЕСПРОВОДНЫХ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ ОТ КОМПЬЮТЕРНЫХ АТАК, НАПРАВЛЕННЫХ НА ПОДМЕНУ ДОВЕРЕННОГО ПОЛЬЗОВАТЕЛЯ
Д.Е. Шугуров, к.т.н., Академия ФСО России, [email protected]; М.М. Добрышин, к.т.н., Академия ФСО России, [email protected].
УДК 004.942_
Аннотация. Анализ порядка организации работы беспроводных сетей передачи данных выявил, что злоумышленники способны подменить процедуры обмена пользовательского мобильного устройства и станции или внедрить в тракт нелегитимную базовую станцию для хищения или подмены конфиденциальных данных. В статье рассмотрено предложение защиты мобильного устройства при его взаимодействии с базовой станцией в условиях компьютерных атак типа «человек посередине».
Ключевые слова: беспроводная сеть передачи данных; информационная безопасность; компьютерная атака типа «человек посередине»; мониторинг безопасности узла связи.
SECURITY PROPOSALS FOR WIRELESS DATA NETWORKS FROM COMPUTER ATTACKS AIMED AT SPOOFING A TRUSTED USER
Dmitry Shugurov, Candidate of Technical Sciences, Academy of the FSO of Russia; Mikhail Dobryshin, Candidate of Technical Sciences, Academy of the FSO of Russia.
Annotation. Analysis of the order of organization of wireless data transmission networks revealed that attackers are able to replace the exchange procedures of a user's mobile device and a station or introduce an illegitimate base station into the tract to steal or substitute confidential data. The article discusses the proposal to protect a mobile device when it interacts with a base station in the face of «man-in-the-Middle» computer attacks.
Keywords: wireless data transmission network; information security; «Man-in-the-Middle» computer attack; monitoring the security of the communication node.
В настоящее время использование смартфонов сводится не только для телефонных разговоров, но и передачи файлов и различных мультимедийных данных и по своему функционалу приближено к ПЭВМ. При этом характер передаваемых данных с использованием мобильных устройств носит ограниченный характер и, как правило - это персональные (личные) данные. Этот фактор и является определяющим для злоумышленника, который намерен получить личные и персональные данные, которые хранит, обрабатывает и передает мобильное устройство. Вектор угроз, направленный на беспроводные сети связи, а точнее на его компоненты такие как, мобильное устройство, базовая станция, программное обеспечение, приложения, протоколы обмена данными, используемые средством связи, достаточно широк. Наиболее сложным, но в тоже время максимально эффективным в реализации нарушения конфиденциальности, целостности и доступности является внедрение нарушителем поддельной базовой станции [1-3].
При этом реализуются следующие основные категории компьютерных атак (КА) типа «человек посередине» (MiTM): перехват взаимодействия абонента и
базовой станции связи; отслеживание местоположения абонента; реализация отказа в предоставлении связи.
Для каждой из КА MiTM со стороны злоумышленника существует предварительный этап, который характеризуется сбором статистики о нахождении абонента(ов), базовых легитимных станциях и их технических характеристиках [47].
Перехват взаимодействия абонента и базовой станции связи реализуется посредством подмены аутентифицирующей информации, взлома или отключения шифрования, а также снижения протокола обслуживания, смены приоритета и внедрения поддельной станции.
Отслеживание местоположения абонента для злоумышленника сводится к двум задачам: нахождения области (географического положения) местоположения и определении GP^-координат.
Реализация отказа в предоставлении связи. Данная атака характеризуется наличием подменной станции в зоне обслуживания и подсоединенного к ней мобильного устройства. Первый вид реализация атаки со стороны нарушителя заключается в понижении протокола облуживания путем посылки ложных сообщений, которые переводят мобильное устройство в неработоспособное состояние. Второй вид атаки заключается в создании злоумышленником белого шума на рабочих частотах мобильного устройства, в результате чего происходит отказ в обслуживании. Третий вид данной атаки заключается в реализации злоумышленником запрета, какой-либо услуги путем навязывания ложных команд от поддельной станции.
Рассматривая статистику в области реализации угроз информационной безопасности ведущей компанией Positive Technologies (3 квартал 2021 г.), можно отметить, что наряду с атакуемыми веб-ресурсами (21%), атакам подвержены и мобильные устройства частных лиц (20%), что объясняется достаточно значимой областью действий для злоумышленника в нарушении конфиденциальности, целостности и доступности услуг беспроводной связи [1].
В настоящее время в России существует 9 операторов беспроводной связи, которые могут быть подвержены угрозам информационной безопасности. По данным Берлинской исследовательской лаборатории по изучению безопасности беспроводных сетей к основным угрозам информационной безопасности относятся: перехват трафика, подмена абонента, подмена трафика, отслеживание абонента [1, 2, 8].
В явном виде в известных отчетах и работах, посвященных обеспечению информационной безопасности беспроводных сетей передачи данных (БСПД) не указаны методы КА MiTM, но можно предположить, что внедрение подложной станции со стороны злоумышленника является достаточно опасной. И соответственно защита от таких компьютерных атак является актуальной задачей.
В рамках решения задачи устранения поддельной станции и возможных КА MiTM с ее стороны сформулированная последовательность поясняется последовательностью действий (рис. 1), где в блоке 1 вводят исходные данные, характеризующие рабочую частоту; время обнаружения системой мониторинга КА MiTM; время реакции системы управления сетью на возникновение признаков, характеризующих КА MiTM; время передачи команд управления и реакции мобильного устройства на полученную команду; количество мобильных устройств и их типов (телефон, планшет, /oT-устройства и др.), входящих в беспроводную сеть передачи данных (БСПД); используемые протоколы аутентификации; предоставляемые услуги связи (УС); допустимые соотношения сигнал-шум и
количества ошибок для каждой предоставляемой УС; значения непреднамеренных помех (диапазон частот, вид модуляции); значения параметров искажений, вносимых рельефом местности или зданием, в котором размещается БСПД; значения различных КА MiTM. На рис. 1 представлена последовательность действий по защите сети передачи данных от КА MiTM.
Рисунок 1
В блоке 2 рассчитывают диаграммы распространения сигнала, исходя из особенностей местности (или здания) (планировщик беспроводных сетей Wi-Fi Planner PRO).
В блоке 3 на основании проведенных расчетов определяют места установки основного и резервных приемо-передатчиков БСПД, используемых в качестве легитимных точек доступа к ресурсам единой сети электросвязи.
В блоке 4 формируют модель БСПД, учитывающую основной и резервные приемо-передатчики БСПД, используемые в качестве легитимных точек доступа; типы устройств (телефон, планшет, IoT-устройства и др.), входящих в БСПД и их количество; предоставляемые УС, протоколы сетевого соединения и аутентификации; БСПД приемо-передатчик, используемый для формирования точки доступа созданных злоумышленником и места их установки; источники КА
MiTM и непреднамеренных помех, а также диапазон изменения КА MiTM и непреднамеренных помех.
В блоке 5 моделируют функционирование БСПД в условиях информационно-технических воздействий и непреднамеренных помех [9-12].
Измеряют время обнаружения факта КА MiTM системой обнаружения атак.
Измеряют время принятия решения системой управления сетью об изменении протоколов аутентификации, время изменения протоколов аутентификации при выявлении факта информационно-технических воздействий (система мониторинга ШПД wiSLA.DSL).
Измеряют значения параметров КАMiTM, при которых происходит переход мобильных устройств, входящих с БСПД от легитимной точки доступа к точке доступа, создаваемой злоумышленником, а также разрыв соединения (СОА).
Измеряют значения параметров КА MiTM, влияние КА MiTM на процесс предоставления УС.
Измеренные значения сохраняют в базу данных в блоке 6.
На основании сохраненных данных в блоке 7 определяют порядок применения различных протоколов аутентификации, количество предоставляемых УС, последовательность управления предоставляемыми УС и используемых протоколов сетевого взаимодействия.
В блоке 8 осуществляется развертывание сети, включающее: установку основного и резервного (резервных) приемо-передающих устройств; установку необходимого программного обеспечения для изменения протоколов аутентификации, сетевого взаимодействия, средств обеспечивающих взаимодействие устройств входящих в БСПД, систем мониторинга и управления БСПД; настройку сетевого оборудования, систем мониторинга и управления БСПД, средств мониторинга.
В блоке 9 осуществляется функционирование БСПД, т.е. обеспечивают подключение мобильных устройств к информационным ресурсам при помощи легитимной точки доступа.
В блоке 10 контролируют время функционирования (£функц) БСПД с
заданным временем (tзадан).
¿функц> ^ (1)
Если указанное условие выполнено, то функционирование разработанной последовательности действий заканчивается. Если условие не выполнено - в блоке 11 осуществляется мониторинг признаков, характеризующих ведение КА MiTM. Система мониторинга обрабатывает данные от средств мониторинга устройств, входящих в сеть, а также оценивает значения параметров каждого канала связи между основным приемо-передатчиком и устройствами сети.
В блоке 12 осуществляется сравнение измеренных значений параметров, характеризующих КА MiTM (Рп) [13] с соответствующими допустимыми
значениями (Ридоп ):
Р < Рдоп (2)
п п У у
Если условие выполнено, то продолжают мониторинг. Если условие не выполнено - в блоке 13 анализируют рабочий диапазон частот с целью поиска других приемо-передатчиков.
В блоке 14 на основании сканирования частотного диапазона определяется наличие новых приемо-передающих устройств в районе функционирования сети. Если новых приемо-передающих устройств не выявлено, в блоке 15 система управления сетью передает команду о поэтапном переходе с основной рабочей частоты на запасную частоту или активацию дополнительной (легитимной) точки доступа.
В блоке 16 рассчитывают вероятность предоставления выбранных УС в условиях влияния выявленных помех (Рсш (/)) [12].
В блоке 17 сравнивают рассчитанные значения влияния выявленных помех с допустимыми значениями (Р^" )) :
Рш (0 ^ Сп (3)
Если условие выполнено, то продолжают мониторинг (блок 11). Если условие не выполнено, то в блоке 18 на основании определенных последовательностей действий система управления сетью дает команду на изменение протоколов сетевого взаимодействия (перестройка происходит в блоке 8).
201- точка доступа;
202 - резервная точка доступа;
203 - точка доступа, созданная злоумышленником; 204-206 - маршрутизатор; 207 - почтовый сервер;
Рисунок 2
52
208 - генератор помех;
209, 220 - персональный компьютер (ОС Windows); 210-213 - мобильное устройство (смартфон, ОС Android); 214, 215 - мобильное устройство (смартфон, ОС IoS);
216 - мобильное устройство (планшет, ОС IoS);
217 - мобильное устройство (планшет, ОС Android); 218, 219 - мобильное устройство (ноутбук, ОС Windows).
В блоке 19 измеряют значения параметров КА MiTM, ее влияние на процесс предоставления УС, время реакции систем мониторинга и управления сетью [14].
Если выявлено новое приемо-передающие устройство (блок 14), то в блоке 20 изменяют протокол аутентификации, применяемой устройством сети (на основании данных из блока 7).
В блоке 21 проводят дополнительную аутентификацию между приемопередатчиком и устройствами сети. Если подлинность точки доступа подтверждена (блок 22), то продолжается мониторинг (блок 11).
Если подлинность точки доступа не подтверждена, в блоке 23 устройство блокирует передачу и прием данных до ввода дополнительных команд.
Если во время функционирования сети произошел разрыв соединения между приемопередатчиком и мобильным устройством, входящим в сеть (блок 24), то процесс установления соединения осуществляется в соответствии с действиями, описанными в блоках 20-23.
Оценка эффективности разработанного способа проводилась на основе испытательного стенда беспроводной сети передачи данных, структурная схема которого представлена на рис. 2.
В ходе испытаний фиксировалось количество мобильных устройств, обратившихся к точке доступа, имитирующей злоумышленника. При проведении испытаний изменялись места размещения устройства формирования помех и места нахождения мобильных устройств.
Результаты испытаний для способа прототипа представлены в табл. 1 (количество мобильных устройств, подключенных к точке доступа, созданной злоумышленником при использовании известных решений) для рассмотренного способа в табл. 2. Анализ результатов испытаний показывает, что среднее количество мобильных устройств, подключившихся к точке доступа, имитирующую злоумышленника при использовании данного способа меньше, чем при использовании известных решений.
Таблица 1._
Вариант размещения устройства формирования помех Вариант размещения мобильных уст ройств
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Среднее значение
1. 3 0 1 2 1 6 4 3 2 5 2,7
2. 3 2 6 3 5 1 4 1 1 1 2,7
3. 0 6 6 4 3 5 5 0 1 2 3,2
4. 1 6 0 2 3 2 4 3 3 4 2,8
5. 4 2 0 5 0 2 1 1 1 4 2
6. 4 4 5 2 2 5 5 2 4 0 3,3
7. 4 2 2 4 5 5 6 5 0 6 3,9
8. 6 4 2 0 5 4 6 4 6 2 3,9
9. 2 2 2 6 2 4 6 2 0 5 3,1
10. 5 3 3 0 1 5 1 1 5 5 2,9
Среднее значение 3,05
Таблица 2.
Вариант размещения устройства формирования помех Вариант размещения мобильных уст эойств
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Среднее значение
1. 0 2 1 0 2 2 0 1 0 0 0,8
2. 2 0 1 0 0 0 1 0 2 1 0,7
3. 0 0 1 1 2 0 1 1 2 1 0,9
4. 0 0 2 2 2 0 1 0 2 1 1
5. 1 2 2 0 2 0 1 2 0 0 1
6. 1 2 0 1 2 1 1 1 1 1 1,1
7. 1 2 0 1 1 0 0 1 2 1 0,9
8. 1 0 2 2 2 2 2 0 0 0 1,1
9. 2 0 1 0 0 2 0 2 2 2 1,1
10. 1 0 2 1 0 1 2 1 0 1 0,9
Среднее значение 0,95
Заключение
Таким образом, сформулированное предложение позволит оператору связи снизить риск возникновения угрозы внедрения поддельной базовой станции. Данное решение также может быть использовано и в целях безопасности корпоративной сети, имеющей собственную беспроводную сеть. Решение защиты мобильных устройств позволит пользователям доверять используемой сети, где реализована система защиты и предупреждения появления ложной станции. Предложение реализовано в патенте РФ на изобретение [15].
Литература
1. Gotta Catch 'Em All: Understanding How IMSI-Catchers Exploit Cell Networks. Отчет лаборатории по исследованию угроз в беспроводных сетях Берлин. Threat Lab. 2019 г. С. 24 https://www.eff.org/wp/gotta-catch-em-all-understanding-how-imsi-catchers-exploit-cell-networks.
2. Добрышин М.М. Особенности применения информационно-технического оружия при ведении современных гибридных войн // I-methods, 2020. - Т. 12. - № 1. - С. 1-11.
3. Смирнов Е. В. Методика оценки политической значимости угроз объекту критической информационной инфраструктуры на примере объекта инфокоммуникаций // Экономика и качество систем связи, 2020. - № 2 (16). - С. 49-56.
4. Добрышин М.М. Моделирование процессов деструктивных воздействий на компьютерную сеть связи с применением компьютерной атаки типа «человек посередине» // Телекоммуникации, 2019. - № 11. - С. 32-36.
5. Максименко В. Н., Беседина А. С., Суптеля М. Ю. Моделирование системы мониторинга и управления рисками в сетях мобильной связи // Экономика и качество систем связи, 2020. - № 1 (15). - С. 48-57.
6. Гуцын Р.В., Добрышин М.М., Реформат А.Н. Оценка защищенности элементов компьютерной сети от сетевой атаки «человек посередине» // В сборнике: Проблемы технического обеспечения войск в современных условиях. Труды II межвузовской научно-практической конференции, 2017. - С. 40-43.
7. Бабаев Н. В. Развертывание Wi-Fi сегмента на базе научно-образовательного центра // Экономика и качество систем связи, 2020. - № 3 (17). - С. 14-23.
8. Операторы сотовой связи в России и их характеристика безопасности. https://gsmmap.org/.
9. Анисимов В. Г., Гречишников Е. В., Белов А. С., Скубьев А. В., Добрышин М. М. Способ моделирования процессов управления и связи на распределенной территории / Патент на изобретение RU 2631970, 29.09.2017. Заявка № 2016144636 от 14.11.2016.
10. Анисимов В. Г., Анисимов Е. Г., Гречишников Е. В., Белов А. С., Орлов Д. В., Добрышин М. М., Линчихина А. В. Способ моделирования и оценивания эффективности процессов управления и связи / Патент на изобретение RU 2673014 С1, 21.11.2018. Заявка № 2018103844 от 31.01.2018.
11. Макаров В.Н., Гречишников Е.В., Шугуров Д.Е., Добрышин М.М., Ремизов Ю.А. Способ моделирования сетевой атаки типа «человек посередине» / Патент на изобретение RU 2645294 С1, 19.02.2018. Заявка № 2016144639 от 14.11.2016.
12. Добрышин М.М., Закалкин П.В., Гуцын Р.В., Кочедыков С.С. Программа расчета способности сети связи функционировать при воздействии сетевой атаки функционировать при воздействии сетевой атаки типа «человек посередине» Свидетельство о регистрации программы для ЭВМ RU 2019610010, 09.01.2019. Заявка № 2018664424 от 17.12.2018.
13. Добрышин М. М., Диденко П. М. Оценка защищенности беспроводных сетей связи // В сборнике: Радиотехника, электроника и связь («РЭиС-2013»). Сборник докладов II Международной научно-технической конференции. ОАО "ОНИИП". 2013. - С.155-160.
14. Гречишников Е.В., Зубачев А.Б., Сазыкин А.М., Добрышин М.М., Берлизев А.В. Предложения по повышению быстродействия распределенной системы мониторинга компьютерных сетей, интегрированных в единую сеть электросвязи // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму, 2017. - № 3-4 (105-106). - С. 24-29.
15. Добрышин М.М., Карелин Д.А., Шугуров Д.Е., Закалкин П.В., Стародубцев Ю.И., Чукляев И.И. Чепурной Е.А. Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий. Патент на изобретение RU 2757108 С1, 11.10.2021. Заявка 2021106064, от 10.03.2021.