CC BY
88
ПРЕДОТВРАЩЕНИЕ WORMHOLE АТАК В БЕСПРОВОДНЫХ СЕТЯХ С ПОМОЩЬЮ ПАКЕТНЫХ МЕТОК
И.Ю. Иващук Научный руководитель - к. т.н., доцент А.В. Птицын
Рассмотрены атаки на беспроводные сети, действующие по принципу червя. Приведена классификация подобных атак на основе методики их реализации. Для предотвращения подобных атак вводятся понятия географических и временных меток, которые ограничивают дальность передачи пакетов в сети.
Введение
В беспроводных сетях свободной конфигурации (так называемых ad-hoc сетях) требования, предъявляемые к безопасности, являются одними из основополагающих. Перспективы развития подобных сетей все больше привлекают к себе внимание широкого круга пользователей. Большинство предыдущих исследований в этой области было сфокусировано на проблемах маршрутизации и коммуникации между узлами сети в доверенной среде. В то же время большинство приложений работает во враждебной окружающей среде и, соответственно, предъявляет серьезные требования к безопасности.
В рамках данной статьи будут рассмотрены wormhole (действующие по принципу червя) атаки, которые представляют серьезную угрозу для беспроводных сетей. Суть данного вида атак заключается в том, что атакующая сторона прослушивает весь трафик сети, записывает его и передает по виртуальному каналу узлу-соучастнику, расположенному на достаточном отдалении, который уже непосредственно передает информацию в сеть. Причем передаваться может не полностью весь трафик, а отдельные пакеты или даже отдельные биты этого пакета. Это чрезвычайно негативно сказывается на протоколах маршрутизации, которые используются в сети, потому что становится практически невозможно построить правильные маршруты между узлами, находящимися на расстоянии более одного либо двух «прыжков».
Для защиты беспроводных сетей от подобных атак введем понятие пакетных меток. Под этим мы будем понимать некоторый служебный маркер, который добавляется в пакет и накладывает ограничения на максимально возможную дальность его передачи. Различают два вида подобных меток: географические и временные. Прежде, чем приступать к рассмотрению средств защиты от атак, действующих по принципу червя, рассмотрим сами атаки, вернее их классификацию.
Классификация атак, действующих по принципу червя
Wormhole атаки на беспроводные сети стали настолько распространены, что уже появилось несколько видов их классификации. Одна из них рассматривает подобные атаки с точки зрения их развертывания в сети.
По средствам инкапсуляции пакетов. Используются в сетях, которые строят свои таблицы маршрутизации на протоколах, основывающихся на поиске наикратчайшего пути между конечными точками. При развертывании подобной сети первым этапом является построение самой таблицы маршрутизации. Для этого все узлы широковещательно рассылают специальные служебные сообщения. Когда любой узел в сети получает такое сообщение, то он его обрабатывает и высылает узлу-отправителю свой ответ на него. На основе этих ответов и строится таблица маршрутизации. Наилучшим маршрутом считается тот, который составляет наименьшее число «прыжков» до требуемого узла. Один из способов двум узлам-злоумышленникам принять участие в маршрутизации пакетов - это создать иллюзию того, что маршрут через них является наикратчайшим, хотя на самом деле они могут находиться в разных концах сети.
Рассмотрим, как это происходит. Пусть узлы А и В хотят найти наикратчайший маршрут между собой. Для этого узел А широковещательно рассылает служебные запросы в сеть. Предположим, что в этой же сети находятся два злонамеренных узла Х и Y. Когда узел Х получает подобный запрос от узла А, он инкапсулирует его и по туннелю, существующему между узлами Х и Y через другие узлы, передает своему «напарнику». Узел Y, в свою очередь, распаковывает пакет и возвращает его в сеть так, чтобы его смог получить узел В. Особо следует отметить, что при инкапсуляции пакета счетчик «прыжков», имеющийся в каждом пакете, не возрастает, хотя при туннелиро-вании он и обрабатывается узлами, располагающимися между Х и Y. Поэтому зачастую для узла В этот маршрут будет казаться самым выгодным, хотя на самом деле это не так.
Все беспроводные сети, в которых используются протоколы маршрутизации на основе метрик расстояния между узлами, уязвимы к данному классу атак, действующих по принципу червя. Это, пожалуй, самые тривиальные wormhole атаки для реализации в сети, так как узлам, участвующим в ней, совсем не обязательно знать какие-либо криптографические ключи либо иметь в своем распоряжении дополнительные ресурсы, такие как высокомощный передатчик сигнала.
Один из самых простых способов для предотвращения подобных атак - это использование в сети протоколов маршрутизации, основывающихся на других метриках при построении маршрутов, например, на быстроте ответа на запрос о маршрутизации, таких как ARAN (AuthenticatedRouting for Adhoc Networks) [1].
С использование внеполосного канала передачи сигнала. Этот класс атак основывается на том, что между двумя злоумышленными узлами существует внеполос-ный высокоскоростной канал. Соответственно, маршрут, который пройдет через подобный туннель, будет короче и быстрее по сравнению с маршрутами через легитимные узлы. Он более сложен в реализации, так как для организации подобной атаки необходимо дополнительное оборудование.
С использование высокомощных передатчиков. Для реализации этого класса атак злоумышленный узел при получении широковещательного сообщения передает его на другом энергетическом уровне, который значительно выше по сравнению с уровнем, принятым в сети, поэтому другие узлы не могут его использовать. Любой узел, который слышит высокомощную широковещательную передачу, ретранслирует сигнал сразу же напрямую получателю. При использовании подобного метода значительно возрастают шансы атакующей стороны, что необходимый маршрут между источником и приемником будет проложен через скомпрометированный узел даже без участия так называемого узла-соучастника.
Самый простой способ противостоять данной атаке - это измерение мощности принимаемого сигнала каждым узлом в сети, в этом случае беспроводные узлы независимо друг от друга смогут определить, была ли передача легитимной или нет.
С использованием ретрансляции пакетов. В данном классе wormhole атак узел-злоумышленник ретранслирует пакеты между двумя удаленными узлами, чтобы убедить их, что они являются соседями. Данная атака может быть реализована даже одним скомпрометированным узлом. Взаимодействие большего количества узлов на атакующей стороне может привести к тому, что беспроводные интерфейсы, находящиеся на расстоянии нескольких «прыжков» друг от друга, будут считать себя соседствующими. Противостоять подобным атакам можно лишь программными средствами, например, с помощью внедрения специальных протоколов аутентификации пакетов между узлами.
С использованием девиации протоколов. Некоторые протоколы маршрутизации, например ARAN (Authenticated Routing for AdHoc Networks), строят таблицу маршрутизации, основываясь на минимальной задержке при передаче пакета, а не на кратчайшем расстоянии между узлами. Причем при получении пакета-запроса узел
ретранслирует его в сеть через случайный промежуток времени. Это связано с широковещательной природой передачи в сеть подобных запросов, отсюда возникает требование к уменьшению коллизий на MAC уровне. Узел, участвующий в проведении атаки, может ретранслировать пакеты-запросы в сеть вообще без задержек. Это делается для того, чтобы пакет от узла-злоумышленника пришел первым, и маршрут между узлами проходил именно через него.
Суммируя все сказанное, составим таблицу, в которой приведены основные требования для реализации разных классов беспроводных атак, действующих по принципу червя [2].
Название класса атаки Минимальное количество скомпрометированных узлов для проведения атаки Специальные требования
Пакетная инкапсуляция Два Отсутствуют
Внеполосной канал Два Внеполосный канал
Высокомощная передача Один Высомощный передатчик
Ретрансляция пакетов Один Отсутствуют
Девиация протоколов Один Отсутствуют
Таблица. Требования для реализации wormhole атак по классам
Пакетные маркеры
Для нахождения и предотвращения подобных атак в сети существует достаточно много различных методик - как аппаратных (использование направленных антенн), так и программных (использование протоколов аутентификации, например TrueLink). Рассмотрим одну из методик, основывающуюся на добавлении в информационный пакет специального маркера, который накладывает некоторые ограничения на дальность распространения пакета. Как уже упоминалось выше, существует два вида подобных маркеров: географические и временные. Географические метки подтверждают тот факт, что получатель пакета находится в пределах зоны действия его отправителя. Временные же метки вводят в пакет его время жизни, в соответствии с которыми и ограничивается расстояние для его передачи, так как пакет не может передвигаться в сети быстрее скорости света. Оба вида этих меток помогают предотвратить wormhole атаки, так как они позволяют получателю пакета определить, прошел ли пакет большее расстояние, чем то, которое позволяет ему маркер.
Географические метки
Для введения такого понятия, как географические метки, каждый узел должен знать свое местоположение, а все узлы рассматриваемой сети должны обладать примерно синхронизированными между собой часами.
Когда узел формирует пакет для передачи другому узлу, он включает в него координаты своего расположения ps и время, когда этот пакет был отослан ts. При получении пакета взаимодействующим узлом он сравнивает эти значения со своим расположением pr и временем, когда он получил данный пакет tr. Если часы между отправителем и получателем синхронизированы с точностью ±Д, а v является верхним пределом возможной скорости передачи любого из узлов в сети, то узел-получатель может вычислить предельное расстояние между отправителем и самим собой dsr.
Основываясь на временных метках ts и tr, максимальной допустимой ошибке при определении местоположения узла S и непосредственно на местоположениях узла-отправителя и узла-получателя pr и ps соответственно, максимально возможное рас-
стояние между двумя узлами при передаче сообщения можно представить в следующем виде:
dsr <|p -Pr\\ + 2v•(( -ts +A) + S.
Стандартная схема цифровой подписи или другие подобные методы для аутентификации могут быть использованы для того, чтобы узел-получатель мог корректно ау-тентифицировать в полученном пакете географическую либо временную метку. Этот подход близок к тому, который описывается в [3].
Но при определенном стечении обстоятельств накладываемые ограничения на дальность передачи информационных пакетов не всегда могут предотвратить wormhole атаку. Это может произойти в том случае, если между двумя узлами, которые находятся в радиусе передачи друг друга, расположена какая-либо непреодолимая преграда. В сетях, которые используют местоположения узлов для генерации географических меток, можно исключить подобные случаи. Для этого каждый узел должен знать модель прохождения собственного сигнала. Тогда узел-получатель сможет определить любое возможное местоположение узла-отправителя (сигнал будет распространяться на следующую величину 5 + v(tr - ts + 2Л) ).
Временные метки
Для генерации временных меток все узлы в сети должны обладать точно синхронизированным временем, причем максимальное отклонение не должно превышать величины Л. Значение параметра Л должно быть известно также всем узлам и не должно превышать нескольких микросекунд или даже сотен наносекунд. Такой высокий уровень синхронизации может быть достигнут с помощью GPS [4] или атомных часов. Но стоит отметить, что подобное оборудование не является неотъемлемой частью беспроводной сети. Это связано с тем, что оно довольно-таки недешево, а также энерго- и ресурсоемко. Это требование значительно ограничивает сферу применения временных меток, но в то же время атаки, действующие по принципу червя, являются далеко не тривиальными и могут нанести непоправимый вред работоспособности сети, что оправдывает подобные затраты.
Для использования временных меток узел-отправитель при отправке пакета включает в него время отправки ts; при получении пакета узел-получатель сравнивает это время со временем получения пакета tr. При этом можно определить, как долго шел пакет, основываясь на значениях времени передачи и скорости света.
Еще один способ использовать временные метки - это включать в пакет его время жизни, после истечения которого узел-получатель не будет принимать подобные пакеты. Также, основываясь на максимальном радиусе передачи пакета и скорости света, узел-отправитель вычисляет время жизни пакета, и эта величина включается в пакет как смещение относительно времени отправки пакета. Как и в случае с географическими метками, можно использовать цифровую подпись либо любой другой протокол аутентификации, чтобы узел-получатель смог корректно аутентифицировать временную метку в полученном пакете. Очевидно преимущество географических меток над временными, так как их применение не нуждается в точной синхронизации времени между узлами сети.
Введем величину 5'(t), которая будет определять максимально допустимую ошибку при определении местоположения узла за некоторое время t. По определению 5'{t) < 25 . При достаточно малом значении t значение 5'{t) будет тоже достаточно мало, так как алгоритм для определения местоположения узла должен учитывать физические ограничения по скорости беспроводных узлов. Если мы предположим, что один из узлов находится в точке pi и р2 соответственно в момент времени tj и t2, то он является злонамеренным при выполнении следующего условия
h - a I -¿1t2 - ti ß >v
t -11 | 2 'l|
Любой узел в сети по полученным двум пакетам сможет определить легитимность узла-отправителя и с помощью широковещательных сообщений сообщить другим узлам о злонамеренных действиях одного их них. Любой узел, получивший такое сообщение, идентифицирует его отправителя, а затем анализирует само сообщение. Если не было найдено никаких отклонений, то впоследствии он широковещательно отправляет его в сеть, но уже от своего имени. Чтобы избежать при такой рассылке широковещательного шторма, каждый узел обладает так называемым «черным списком», каждая запись в котором содержит адрес узла и время существования этой записи. Когда узел получает сообщение о странном поведении одного из узлов сети, он проверяет, существует ли уже запись об этом в его черном списке. Если она уже есть, то увеличивается предельное время существования данной записи и широковещательные сообщения не рассылаются. Если же при проверке совпадение не находится, то в черный список добавляется новая запись и осуществляется широковещательная рассылка.
Неявная проблема при использовании временных меток заключается в том, что при использовании ассоциативных MAC протоколов узел-отправитель может и не знать точного времени отправки пакета. Например, при использовании MAC протоколов стандарта IEEE 802.11 узел-отправитель сможет узнать время отправки пакета только в пределах одного такта времени (т.е. не ранее, чем за 20 мкс до непосредственной отправки).
На генерацию цифровой подписи с использование малоэффективного шифра, как, например, на основе алгоритма RSA с 1024-битным ключом, может потребоваться чуть ли не в три раза больше времени, чем один такт (т.е. порядка уже 10 мс). В то же время существует два подхода, которые могут уменьшить влияние времени задержки при генерации цифровой подписи: увеличение значения минимально возможного такта времени либо использование более эффективных схем для создания цифровой подписи, например схемы Шнайера [5].
Анализ безопасности при применении маркеров
Пакетные метки позволяют узлам убедиться в том, что взломщик, реализующий wormhole атаку, не распространяет сигнал дальше, чем это возможно. При использовании географических меток узлы также могут определить, туннелируется ли сигнал через имеющиеся препятствия, например горы, которые являются преградой на пути распространения радиосигнала.
Со временем любые атаки становятся все более сложными и изощренными, и уже недостаточно включать в пакет географическую или временную метку, чтобы выявить атаку, действующую по принципу червя. Если узел-отправитель является злоумышленником, то он может запросто подменить необходимый маркер в пакете. Это может привести к тому, что узел-получатель не сможет определить, был ли туннелирован пакет перед этим или нет. Для защиты маркеров в пакете вводятся различные криптографические примитивы, которые и позволяют получатель аутентифицировать не только легитимность пришедшего пакета, но и легитимность содержащейся в нем географической либо временной метки.
Сравнение географических и временных меток
Временные метки намного более эффективны для защиты беспроводной сети от wormhole атак, особенно при введении специального протокола TIK (Tesla with Instant Key disclosure) [6]. Если же с этих позиций посмотреть на географические метки, то
они предъявляют не такие жесткие требования к механизму аутентификации, что в результате приводит к увеличению как циркулирующей в сети служебной информации, так и нагрузки на сеть в целом.
Преимущество географических меток заключается в том, что они используют модель распространения радиосигнала, что позволяет с их помощью обнаруживать туннели даже при наличии помех в сети. Также, как уже неоднократно упоминалось выше, географические метки не требуют точной синхронизации времени по сравнению с временными. В частности, временные метки не могут быть использованы, если максимальная дальность передачи сигнала менее с А, где с - скорость света, а А - максимальная ошибка при синхронизации времени. В то же время географические метки могут быть использованы, даже если максимальная дальность передачи - менее 2уА , где V - максимальная скорость перемещения любого узла.
Чтобы оценить практичность использования географических меток, введем рассмотрим пример. Пусть дальность передачи сигнала у любого узла равна 300 м, максимальная скорость движения узла 50 м/с, относительная ошибка при определении местоположения узла 3 м и ошибка при синхронизации времени 1 мс. Соответственно 1г - ts < 2мс, так как время распространения сигнала не превышает 1 мс, как и ошибка при синхронизации времени. Отсюда получаем:
< |р - Рг\ + 100м/с ■ 2мс + 3м = |р - рг|| + 3,2м .
Так как |р - рг|| не может превышать 3 м, как следует из первоначальных условий, то эффективный диапазон передачи сигнала любого интерфейса в сети уменьшается до 6,2 м.
При сравнении эффективности использования географических и временных меток мы сопоставляем расстояние между двумя узлами при передаче для одного и второго подходов: <|\р:! - рг|| + 2v■((r - ts + А) + 8 - для географических меток;
< с ■ (г - ts + А) - для временных меток. Мы вводим величину тах для обозначения
с
максимального времени распространения сигнала. Из этого следует, что максимальная
(й Л й
ошибка при его определении составляет 8+ 2v тах + 2А\ + 8 = 23 + ^А + 2v тах -
I с ) с
для географических меток; 2сА - для временных меток.
V
Поэтому географические метки наиболее эффективны при 8< сА- 2vА--йтах.
с
Учитывая, что V много меньше с, и исходя из имеющийся вычислительной мощности и пропускной способности сети, географические метки следует использовать в том случае когда 8 < с А, а временные - при 8 > сА [7].
Заключение
В данной статье представлены сравнительно мощные wormhole атаки, которые могут привести к серьезным последствиям для протокола маршрутизации в ad-hoc сетях. Также эти атаки могут быть реализованы в других классах беспроводных сетей, например, в беспроводных системах контроля доступа. Чтобы выявить и впоследствии предотвратить атаки, действующие по принципу червя, были разработаны пакетные метки. Они бывают двух видов - географические и временные - и ограничивают максимальную дальность передачи информационного пакета. Также для улучшения качеств временных меток был разработан протокол TIK, который позволяет осуществить мгновенную аутентификацию полученного пакета.
Географические метки немного менее эффективны по сравнению с временными, так как для них необходима широковещательная аутентификация, но зато подобные метки можно применять в сетях, в которых невозможно реализовать точную синхронизацию времени. Доминирующим фактором при использовании географических меток является возможность точного нахождения местоположения узла, потому что движение любого узла в сети очень незначительно относительно скорости света.
Литература
1. Johnson D.B., Maltz D.A., Broch J. The dynamic source routing protocol for multihop
wireless ad-hoc networks. - Addison-Wesley, 2001. - 569 p. 2 . Khalil I., Bagchi S., Shroff N.B. LiteWorp: a lightweight countermeasure for the worm-hole attack in multihop wireless networks // Dependable System and Networks. - 2006. -Vol. 1. - Р. 612-621.
3. Desmedt Y. Major security problems with the «Unforgeable» (feige) fiat-shamir proofs of identity and how to overcome them // Proceedings of the 6th worldwide computer congress on computer and communications security and protection. - 1998. - Vol.3. - p. 147-149.
4. Clark T. Totally accurate clock synchronization. - Maryland: Greenbelt, 2002. - Р. 247.
5. Schnorr C.P. Efficient signature generation by smart-cards // Journal of cryptology. -2001. - Vol. 4. - Р. 161-174.
6. Perrg A., Canatti R., Tygar D., Song D. Efficient authentication and signature of multicast streams over lossy channels // Proceedinds of the IEEE symposium on research in security and privacy. - 2000. - Vol. 5. - Р. 56-73.
7. Hu Y-C., Perrig A., Johnson D.B. Wormhole attacks in wireless networks // IEEE design & test of computers. - 2004. - Vol. 24. - Р. 370-396.
