Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Безпека бездротових самоорганізуючих мереж — це стан захищеності інформаційного середовища бездротових самоорганізованих мереж.
Особливості бездротових самоорганізованих мереж
- загальне середовище передачі даних
- всі вузли мережі спочатку рівноправні
- мережа є самоорганізована
- кожен вузол виконує роль маршрутизатора
- топологія мережі може вільно змінюватися
- в мережу можуть вільно входити нові й виходити старі вузли.
Джерела вразливостей в бездротових самоорганізованих мережах
- Уразливість каналів до прослуховування і підміни повідомлень, у зв'язку з загальною доступністю середовища передачі, як і в будь-яких бездротових мережах.
- Незахищеність вузлів від зловмисника, який легко може отримати один вузол в розпорядження, оскільки зазвичай вони не перебувають у безпечних місцях, таких як сейфи.
- Відсутність інфраструктури робить класичні системи безпеки, такі як центри сертифікації та центральні сервери, непридатними.
- Топологія, яка динамічно змінюється вимагає використання складних алгоритмів маршрутизації, що враховують ймовірність появи некоректної інформації від скомпрометованих сайтів або в результаті зміни топології.
Модель загроз
Пасивна атака на протокол маршрутизації
Склад атаки: прослуховування пакетів, посланих у відповідності з протоколом маршрутизації.
Переваги атаки: практично неможливо виявити, складно захиститися від таких атак.
Цілі: отримання інформації про взаємодію між вузлами з виявленням їх адрес, про зразкове розташування вузлів, про мережеву топологію.
При пасивних атаках порушується конфіденційність, проте доступність і цілісність залишаються недоторканими.
Чорна діра
Склад атаки: використання протоколу маршрутизації для перенаправлення пакетів, що йдуть від або до цільового вузла, через певний вузол.
Мета: ця атака може використовуватися для проведення згодом інших атак, таких як: викидання пакетів або людина посередині.
Чорна діра погіршує доступність, так як після неї починають застосовуватися неоптимальні маршрути. Конфіденційність порушується внаслідок того, що зловмисник має можливість прослуховувати весь цільовий трафік. Також чорна діра дозволяє зловмисникові порушити цілісність переданої інформації.
Переповнення таблиці маршрутизації
Склад атаки: створення маршрутів до неіснуючих вузлів.
Мета: переповнення таблиці маршрутизації протоколу, яке б запобігло створення нових маршрутів.
Дана атака може використовуватися в зв'язці з іншими атаками для запобігання зміни маршрутів. Вона завдає шкоди доступності через те, що маршрутні таблиці починають зберігати неактуальну інформацію. Але вона має силу тільки над запобіжними протоколами маршрутизації, які намагаються дізнатися маршрутну інформацію до того, як це необхідно, і то не над усіма.
Егоїстичність
Склад атаки: схильність сайту не надавати послуги іншим, наприклад, послугу маршрутизації.
Мета: зберегти власні ресурси, наприклад, заряд батареї.
Проблема егоїстичності вузлів нова й особливо актуальна для самоорганізованих мереж, так як вузли належать різним адміністративним доменам. Дана атака негативно впливає на доступність.
Жадібність
Склад атаки: схильність вузла використовувати спільні ресурси більше інших, наприклад середовище передачі даних.
Мета: задовольнити власні потреби без урахування збитковості положення інших вузлів.
По суті, жадібність і егоїстичність — дві сторони однієї монети. Дана атака негативно впливає на доступність.
Випробування безсонням
Склад атаки: підвищення потужності роботи цільового вузла шляхом примушення його здійснювати додаткові дії.
Мета: витратити енергію цільового вузла, які є в запі його джерела живлення.
Побічним ефектом випробування безсонням є порушення доступності. Для здійснення цієї атаки можуть бути використані інші, наприклад чорна діра, для направлення великого трафіку на цільовий сайт.
Виявлення місця розташування
Склад атаки: посилка маршрутних повідомлень, які б приводили до отримання деякої інформації про топологію мережі.
Мета: відновлення топології прилеглої мережі або відновлення ланцюжка вузлів, розташованих на маршруті до цільового вузла, шляхом аналізу отриманої інформації.
При наявності інформації про розташування деяких вузлів, можна обчислити приблизне розташування інших. Дана атака порушує конфіденційність.
Спуфінг
Склад атаки: підробка ідентифікації.
Мета: змусити інші вузли вважати вузол, що проводить атаку, не тим, чим він є насправді.
Успішно провівши атаку, зловмисник отримує можливість проводити які-небудь дії від чужого імені, тим самим порушується конфіденційність.
Постановка перешкод
Склад атаки: «засмічення» каналу передачі даних сторонніми шумами.
Мета: зробити неможливим передачу даних через цей канал.
Дана атака порушує доступність.
Модель порушника
«Хуліган»
Мотивації: відсутні.
Цілі: пожартувати над оточуючими, отримати порцію адреналіну від здійснення незаконних дій.
Характер дій: діє спонтанно, схильна застосовувати легкоздійснені атаки, які не вимагають великих витрат часу, здебільшого це DoS-атаки або атаки на загальновідомі уразливості, зазвичай використовує готовий софт, що здійснює атаку.
«Студент»
Мотивації: поява інтересу й отримання нової інформації про протоколах, уразливість і т. ін.
Цілі: перевірити свої можливості і здібності.
Характер дій: намагається діяти так, щоб дії не мали негативних наслідків для кого-небудь і, по можливості, були б не помічені.
Кваліфікований порушник
Мотивації: отримання особистої вигоди.
Цілі: отримання конфіденційної інформації має важливе значення (наприклад, паролі, номери рахунків і т. ін.), здійснення яких-небудь дій від чужого імені (з метою розкриття конфіденційної інформації, здійснення провокації і т. ін.).
Характер дій: всі дії цілеспрямовані, використовує уразливості в повній мірі, намагається приховати сліди або направити розслідування по хибному шляху.
Група порушників
Мотивації і Цілі: аналогічні «кваліфікованому порушникові».
Характер дій: атаки здійснюються групою з метою використовувати уразливості до наявності більш ніж одного скомпрометованого вузла.
Заходи захисту
Схеми аутентифікації
TESLA — протокол передавання аутентифікації повідомлень маршрутизації. У цьому протоколі всі вузли вибирають довільний початковий ключ KN, генерують по ньому ланцюжок ключів, шляхом повторного обчислення однобічної геш-функції (KN-1 = H[K, N]). Тепер для аутентифікації будь-якого отриманого значення, потрібно обчислити значення цієї ж геш-функції від нього і перевірити чи збігається воно з попереднім відомим достовірним значенням в ланцюжку.
Відомі методи підвищення безпеки
Доступність серверів через деяку кількість вузлів
Доступність серверів, що надають сервіси, які забезпечують безпеку в мережі, такі як центри сертифікації, через деяку кількість вузлів, забезпечить доступність сервісу навіть у разі, коли невелика частина цих вузлів буде скомпрометована.
Схема поділу секрету
Для забезпечення стійкості до збоїв серверів, зазвичай застосовують такі механізми, як репліковані сервера і кворумні системи, але вони підвищують ймовірність розкриття секрету, внаслідок компрометації одного з серверів. Схема розподілу секрету між серверами бореться з цією проблемою таким чином, що секрет може бути відновлений тільки у випадку, якщо достатня кількість часток секрету буде отримана з серверів. Для цих цілей можна використовувати розподілену криптосистему.
Оновлення часткою секрету
Розділення секрету не захищає від зловмисника, який пересувається від сервера до сервера, атакуючи, компрометуючи і контролюючи їх, так як через деякий час він зможе зібрати достатню кількість інформації, щоб відновити секрет. Створення серверами нового, незалежного набору часток і заміна ними старого, рятує ситуацію, оскільки нові частки не можуть бути зіставлені зі старими для розкриття секрету. Для розкриття секрету зловмисникові потрібно буде скомпрометувати достатню кількість серверів між двома послідовними оновленнями часток.
Оновлення часток може бути узагальнене і на той випадок, коли нові частки будуть розподілені між іншим набором серверів і, можливо, навіть з іншою конфігурацією. Це узагальнення дозволяє сервісу адаптуватися до випадків, коли певні сервера скомпрометовані перманентно, або коли сервіс виявляється в більш недружній обстановці.
Підтримка різних шляхів
Для підтримки досяжності слід знаходити і підтримувати різні шляху між двома вузлами, щоб невелика кількість скомпрометованих сайтів не змогла підірвати всі шляхи.
Виявлення маршрутів шляхом передачі повідомлень
Навіть захищений протокол виявлення маршрутів, який запобігає спробі обману скомпрометованими вузлами, нічого не зможе вдіяти, якщо скомпрометовані вузли скооперуються під час виявлення маршрутів, однак при передачі повідомлень обчислити їх через їх некоректну роботу буде легко.
Схема ймовірнісної безпечної маршрутизації
Ця схема полягає в тому, що для кожного призначення вузол підтримує імовірнісний розподіл по всіх сусідах. Цей розподіл засновано на відносній ймовірності того, що даний сусід передасть і в кінцевому рахунку доставить повідомлення до адресата. На кожному хопі повідомлення передається конкретному сусідові з якоюсь ймовірністю, ґрунтуючись на ймовірнісному розподілі досяжності сайту. Таким чином підтримуються різні шляхи. Також передача повідомлень сама по собі забезпечує відгук для коригування імовірнісного розподілу. Наприклад, підписане підтвердження про доставку повідомлення буде позитивним відгуком про досяжності по шляху, по якому його відправляли. Таким чином схема є самокорегованою.
Див. також
Примітки
- (PDF). Архів оригіналу (PDF) за 11 серпня 2017. Процитовано 24 квітня 2018.
Посилання
- (англ.)
- Report on a Working Session on Security in Wireless Ad Hoc Networks [ 11 серпня 2017 у Wayback Machine.](англ.)
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Bezpeka bezdrotovih samoorganizuyuchih merezh ce stan zahishenosti informacijnogo seredovisha bezdrotovih samoorganizovanih merezh Informacijna bezpeka Kriteriyi ocinki informacijnoyi bezpeki Cilisnist Dostupnist Konfidencijnist Sposterezhnist Nevidmovnist Normativni dokumenti COBIT ITIL ISO IEC 27001 2013 Zabezpechennya Politika SUIB KSZI SZI Zahist informaciyi Tehnichnij zahist informaciyi Inzhenernij zahist informaciyi Kriptografichnij zahist informaciyi Organizacijnij zahist informaciyi prOsoblivosti bezdrotovih samoorganizovanih merezhzagalne seredovishe peredachi danih vsi vuzli merezhi spochatku rivnopravni merezha ye samoorganizovana kozhen vuzol vikonuye rol marshrutizatora topologiya merezhi mozhe vilno zminyuvatisya v merezhu mozhut vilno vhoditi novi j vihoditi stari vuzli Dzherela vrazlivostej v bezdrotovih samoorganizovanih merezhahUrazlivist kanaliv do prosluhovuvannya i pidmini povidomlen u zv yazku z zagalnoyu dostupnistyu seredovisha peredachi yak i v bud yakih bezdrotovih merezhah Nezahishenist vuzliv vid zlovmisnika yakij legko mozhe otrimati odin vuzol v rozporyadzhennya oskilki zazvichaj voni ne perebuvayut u bezpechnih miscyah takih yak sejfi Vidsutnist infrastrukturi robit klasichni sistemi bezpeki taki yak centri sertifikaciyi ta centralni serveri nepridatnimi Topologiya yaka dinamichno zminyuyetsya vimagaye vikoristannya skladnih algoritmiv marshrutizaciyi sho vrahovuyut jmovirnist poyavi nekorektnoyi informaciyi vid skomprometovanih sajtiv abo v rezultati zmini topologiyi Model zagrozPasivna ataka na protokol marshrutizaciyi Sklad ataki prosluhovuvannya paketiv poslanih u vidpovidnosti z protokolom marshrutizaciyi Perevagi ataki praktichno nemozhlivo viyaviti skladno zahistitisya vid takih atak Cili otrimannya informaciyi pro vzayemodiyu mizh vuzlami z viyavlennyam yih adres pro zrazkove roztashuvannya vuzliv pro merezhevu topologiyu Pri pasivnih atakah porushuyetsya konfidencijnist prote dostupnist i cilisnist zalishayutsya nedotorkanimi Chorna dira Sklad ataki vikoristannya protokolu marshrutizaciyi dlya perenapravlennya paketiv sho jdut vid abo do cilovogo vuzla cherez pevnij vuzol Meta cya ataka mozhe vikoristovuvatisya dlya provedennya zgodom inshih atak takih yak vikidannya paketiv abo lyudina poseredini Chorna dira pogirshuye dostupnist tak yak pislya neyi pochinayut zastosovuvatisya neoptimalni marshruti Konfidencijnist porushuyetsya vnaslidok togo sho zlovmisnik maye mozhlivist prosluhovuvati ves cilovij trafik Takozh chorna dira dozvolyaye zlovmisnikovi porushiti cilisnist peredanoyi informaciyi Perepovnennya tablici marshrutizaciyi Sklad ataki stvorennya marshrutiv do neisnuyuchih vuzliv Meta perepovnennya tablici marshrutizaciyi protokolu yake b zapobiglo stvorennya novih marshrutiv Dana ataka mozhe vikoristovuvatisya v zv yazci z inshimi atakami dlya zapobigannya zmini marshrutiv Vona zavdaye shkodi dostupnosti cherez te sho marshrutni tablici pochinayut zberigati neaktualnu informaciyu Ale vona maye silu tilki nad zapobizhnimi protokolami marshrutizaciyi yaki namagayutsya diznatisya marshrutnu informaciyu do togo yak ce neobhidno i to ne nad usima Egoyistichnist Sklad ataki shilnist sajtu ne nadavati poslugi inshim napriklad poslugu marshrutizaciyi Meta zberegti vlasni resursi napriklad zaryad batareyi Problema egoyistichnosti vuzliv nova j osoblivo aktualna dlya samoorganizovanih merezh tak yak vuzli nalezhat riznim administrativnim domenam Dana ataka negativno vplivaye na dostupnist Zhadibnist Sklad ataki shilnist vuzla vikoristovuvati spilni resursi bilshe inshih napriklad seredovishe peredachi danih Meta zadovolniti vlasni potrebi bez urahuvannya zbitkovosti polozhennya inshih vuzliv Po suti zhadibnist i egoyistichnist dvi storoni odniyeyi moneti Dana ataka negativno vplivaye na dostupnist Viprobuvannya bezsonnyam Sklad ataki pidvishennya potuzhnosti roboti cilovogo vuzla shlyahom primushennya jogo zdijsnyuvati dodatkovi diyi Meta vitratiti energiyu cilovogo vuzla yaki ye v zapi jogo dzherela zhivlennya Pobichnim efektom viprobuvannya bezsonnyam ye porushennya dostupnosti Dlya zdijsnennya ciyeyi ataki mozhut buti vikoristani inshi napriklad chorna dira dlya napravlennya velikogo trafiku na cilovij sajt Viyavlennya miscya roztashuvannya Sklad ataki posilka marshrutnih povidomlen yaki b privodili do otrimannya deyakoyi informaciyi pro topologiyu merezhi Meta vidnovlennya topologiyi prilegloyi merezhi abo vidnovlennya lancyuzhka vuzliv roztashovanih na marshruti do cilovogo vuzla shlyahom analizu otrimanoyi informaciyi Pri nayavnosti informaciyi pro roztashuvannya deyakih vuzliv mozhna obchisliti priblizne roztashuvannya inshih Dana ataka porushuye konfidencijnist Spufing Sklad ataki pidrobka identifikaciyi Meta zmusiti inshi vuzli vvazhati vuzol sho provodit ataku ne tim chim vin ye naspravdi Uspishno provivshi ataku zlovmisnik otrimuye mozhlivist provoditi yaki nebud diyi vid chuzhogo imeni tim samim porushuyetsya konfidencijnist Postanovka pereshkod Sklad ataki zasmichennya kanalu peredachi danih storonnimi shumami Meta zrobiti nemozhlivim peredachu danih cherez cej kanal Dana ataka porushuye dostupnist Model porushnika Huligan Motivaciyi vidsutni Cili pozhartuvati nad otochuyuchimi otrimati porciyu adrenalinu vid zdijsnennya nezakonnih dij Harakter dij diye spontanno shilna zastosovuvati legkozdijsneni ataki yaki ne vimagayut velikih vitrat chasu zdebilshogo ce DoS ataki abo ataki na zagalnovidomi urazlivosti zazvichaj vikoristovuye gotovij soft sho zdijsnyuye ataku Student Motivaciyi poyava interesu j otrimannya novoyi informaciyi pro protokolah urazlivist i t in Cili pereviriti svoyi mozhlivosti i zdibnosti Harakter dij namagayetsya diyati tak shob diyi ne mali negativnih naslidkiv dlya kogo nebud i po mozhlivosti buli b ne pomicheni Kvalifikovanij porushnik Motivaciyi otrimannya osobistoyi vigodi Cili otrimannya konfidencijnoyi informaciyi maye vazhlive znachennya napriklad paroli nomeri rahunkiv i t in zdijsnennya yakih nebud dij vid chuzhogo imeni z metoyu rozkrittya konfidencijnoyi informaciyi zdijsnennya provokaciyi i t in Harakter dij vsi diyi cilespryamovani vikoristovuye urazlivosti v povnij miri namagayetsya prihovati slidi abo napraviti rozsliduvannya po hibnomu shlyahu Grupa porushnikiv Motivaciyi i Cili analogichni kvalifikovanomu porushnikovi Harakter dij ataki zdijsnyuyutsya grupoyu z metoyu vikoristovuvati urazlivosti do nayavnosti bilsh nizh odnogo skomprometovanogo vuzla Zahodi zahistuShemi autentifikaciyi TESLA protokol peredavannya autentifikaciyi povidomlen marshrutizaciyi U comu protokoli vsi vuzli vibirayut dovilnij pochatkovij klyuch KN generuyut po nomu lancyuzhok klyuchiv shlyahom povtornogo obchislennya odnobichnoyi gesh funkciyi KN 1 H K N Teper dlya autentifikaciyi bud yakogo otrimanogo znachennya potribno obchisliti znachennya ciyeyi zh gesh funkciyi vid nogo i pereviriti chi zbigayetsya vono z poperednim vidomim dostovirnim znachennyam v lancyuzhku Vidomi metodi pidvishennya bezpekiDostupnist serveriv cherez deyaku kilkist vuzliv Dostupnist serveriv sho nadayut servisi yaki zabezpechuyut bezpeku v merezhi taki yak centri sertifikaciyi cherez deyaku kilkist vuzliv zabezpechit dostupnist servisu navit u razi koli nevelika chastina cih vuzliv bude skomprometovana Shema podilu sekretu Dlya zabezpechennya stijkosti do zboyiv serveriv zazvichaj zastosovuyut taki mehanizmi yak replikovani servera i kvorumni sistemi ale voni pidvishuyut jmovirnist rozkrittya sekretu vnaslidok komprometaciyi odnogo z serveriv Shema rozpodilu sekretu mizh serverami boretsya z ciyeyu problemoyu takim chinom sho sekret mozhe buti vidnovlenij tilki u vipadku yaksho dostatnya kilkist chastok sekretu bude otrimana z serveriv Dlya cih cilej mozhna vikoristovuvati rozpodilenu kriptosistemu Onovlennya chastkoyu sekretu Rozdilennya sekretu ne zahishaye vid zlovmisnika yakij peresuvayetsya vid servera do servera atakuyuchi komprometuyuchi i kontrolyuyuchi yih tak yak cherez deyakij chas vin zmozhe zibrati dostatnyu kilkist informaciyi shob vidnoviti sekret Stvorennya serverami novogo nezalezhnogo naboru chastok i zamina nimi starogo ryatuye situaciyu oskilki novi chastki ne mozhut buti zistavleni zi starimi dlya rozkrittya sekretu Dlya rozkrittya sekretu zlovmisnikovi potribno bude skomprometuvati dostatnyu kilkist serveriv mizh dvoma poslidovnimi onovlennyami chastok Onovlennya chastok mozhe buti uzagalnene i na toj vipadok koli novi chastki budut rozpodileni mizh inshim naborom serveriv i mozhlivo navit z inshoyu konfiguraciyeyu Ce uzagalnennya dozvolyaye servisu adaptuvatisya do vipadkiv koli pevni servera skomprometovani permanentno abo koli servis viyavlyayetsya v bilsh nedruzhnij obstanovci Pidtrimka riznih shlyahiv Dlya pidtrimki dosyazhnosti slid znahoditi i pidtrimuvati rizni shlyahu mizh dvoma vuzlami shob nevelika kilkist skomprometovanih sajtiv ne zmogla pidirvati vsi shlyahi Viyavlennya marshrutiv shlyahom peredachi povidomlen Navit zahishenij protokol viyavlennya marshrutiv yakij zapobigaye sprobi obmanu skomprometovanimi vuzlami nichogo ne zmozhe vdiyati yaksho skomprometovani vuzli skooperuyutsya pid chas viyavlennya marshrutiv odnak pri peredachi povidomlen obchisliti yih cherez yih nekorektnu robotu bude legko Shema jmovirnisnoyi bezpechnoyi marshrutizaciyi Cya shema polyagaye v tomu sho dlya kozhnogo priznachennya vuzol pidtrimuye imovirnisnij rozpodil po vsih susidah Cej rozpodil zasnovano na vidnosnij jmovirnosti togo sho danij susid peredast i v kincevomu rahunku dostavit povidomlennya do adresata Na kozhnomu hopi povidomlennya peredayetsya konkretnomu susidovi z yakoyus jmovirnistyu gruntuyuchis na jmovirnisnomu rozpodili dosyazhnosti sajtu Takim chinom pidtrimuyutsya rizni shlyahi Takozh peredacha povidomlen sama po sobi zabezpechuye vidguk dlya koriguvannya imovirnisnogo rozpodilu Napriklad pidpisane pidtverdzhennya pro dostavku povidomlennya bude pozitivnim vidgukom pro dosyazhnosti po shlyahu po yakomu jogo vidpravlyali Takim chinom shema ye samokoregovanoyu Div takozhInformacijna bezpeka Nesankcionovanij dostup Zapobigannya vitokivPrimitki PDF Arhiv originalu PDF za 11 serpnya 2017 Procitovano 24 kvitnya 2018 Posilannya angl Report on a Working Session on Security in Wireless Ad Hoc Networks 11 serpnya 2017 u Wayback Machine angl