Содержание к диссертации
Введение
1 Особенности сетей мобильной связи стандарта LTE как объекта защиты информации 12
1.1 Угрозы информационной безопасности в сетях мобильной связи стандарта с интегрированными фемтосотами 12
1.1.1 Источники угроз безопасности и уязвимости в сетях мобильной связи стандарта LTE с интегрированными фемтосотами 19
1.1.2 Атаки на сети мобильной связи стандарта LTE с интегрированными фемтосотами 24
1.2 Меры и средства защиты информации в сетях мобильной связи стандарта LTE с интегрированными фемтосотами 28
1.3 Анализ моделей и алгоритмов оценки эффективности средств защиты мобильных сетей связи и обоснование направлений исследования 30
1.4 Выводы по первой главе 32
2 Алгоритм оценки эффективности защиты информации сетей мобильной связи стандарта LTE 33
2.1 Анализ возможных сценариев атак в контексте оценки эффективности средств защиты сетей мобильной связи 33
2.2 Разработка риск-модели элементов сотовых сетей мобильной связи стандарта с интегрированными фемтосотами 34
2.3Алгоритм оценки эффективности защиты информации сотовых сетей мобильной связи 48
2.4 Выводы по второй главе 56
3 Аналитические риск-модели для различных структурных уровней сетей мобильной связи стандарта LTE 57
3.1..Шероятностный подход к анализу рисков LTE-сетей 57
3.2 Аналитическая риск-модель отдельных элементов и отдельной соты LTE-сети 58
3.3. Выводы по третьей главе 70
4 Алгоритм численной оценки риска реализации угроз нарушения информационной безопасности в сетях мобильной связи стандарта LTE с интегрированными фемтосотами 71
4.1 Эвристический подход к численной оценке риска 71
4.2 Четырехслойная риск-модель 77
4.3. Интегрированная метрика истории уязвимости 80
4.4 Алгоритм численной оценки риска 82
4.5 Программная реализация алгоритма 88
4.6. Выводы по четвертой главе 90
Заключение 91
Библиографический список 92
- Источники угроз безопасности и уязвимости в сетях мобильной связи стандарта LTE с интегрированными фемтосотами
- Меры и средства защиты информации в сетях мобильной связи стандарта LTE с интегрированными фемтосотами
- Разработка риск-модели элементов сотовых сетей мобильной связи стандарта с интегрированными фемтосотами
- Интегрированная метрика истории уязвимости
Источники угроз безопасности и уязвимости в сетях мобильной связи стандарта LTE с интегрированными фемтосотами
Вопросы обеспечения безопасности в сетях четвертого поколения решаются на нескольких структурных уровнях: на физическом, так называемом воздушном интерфейсе, на уровне внутренней сети оператора, а также на уровне взаимодействия различных операторов [68, 83, 109].
Рассмотрим основные разновидности атак как источники угрозы безопасности ССМС стандарта LTE с ИФ. На рис. 1.2 представлены цели атак на ССМС с ИФ. На схеме стрелками обозначены три уязвимых элемента: (а) воздушный интерфейс между мобильным устройством (UE) и фемтосотовой БС; (б) непосредственно фемтосотовая базовая станция (H(e)NB); (в) широкополосное соединение между фемтосотой и шлюзом безопасности (SecGW) [68].
Проанализируем ключевые виды атак на элементы ССМС стандарта LTE с ИФ, которые реализуются без взлома криптосистем или протоколов безопасности [109].
Атаки на воздушный интерфейс. В пассивном варианте злоумышленник прослушивает канал связи между мобильным устройством и базовой станцией; или активными - в дополнение к прослушиванию, злоумышленник вносит или оказывает воздействие на уже циркулирующий трафик. Хотя возможности активных атак существенно снижены за счет применения криптографической защиты передаваемой информации, пассивные атаки, такие как анализ трафика и отслеживание местоположения пользователей, все еще возможны [83].
Проблема защиты идентификаторов пользователей поднималась еще в ранних сетях GSM, и решение, которое было принято с тех пор, существенно не пересматривалось. Учитывая тенденцию эволюции к плоским полностью IP-ориентированным ССМС с фемтосотами продолжение применения унаследованных решений становится не целесообразным [94, 103, 53].
Фактически стандарты GSM, UMTS и LTE для защиты идентификаторов мобильных устройств в воздушном интерфейсе предлагают [68, 83, 101] использовать непригодные для редактирования временные идентификаторы (TMSI и GUTI), но капиллярное развертывание фемтосот делает эти меры недостаточными для обеспечения гарантированного уровня защиты для пользователей. TMSI (или GUTI) обычно постоянны для данного местоположения или контролируемой области, которая состоит из сотни смежных ячеек, и фемтосоты могут позволить злоумышленникам отслеживать передвижения абонентов с беспрецедентной точностью в виду особенностей используемого диапазона частот [45].
Идентификация абонента и прослеживание его маршрута передвижения являются новым классом угроз специфичным для ССМС с фемтосотами и обусловлено это уязвимостями, связанными с особенностями применяемого воздушного интерфейса [68].
Атаки на фемтосотовые базовые станции. Мобильное устройство подключено к обычной базовой станции (БС), поскольку применяются идентичные протоколы и стандарты безопасности [102]. Однако с точки зрения злоумышленника фемтосота открывает новые возможности для реализации деструктивных воздействий. Например, злоумышленнику намного легче получить доступ к фем-тосоте расположенной в помещении, чем к БС расположенной на крыше [102, 52]. Физический размер, качество материалов, более дешевые компоненты и IP интерфейс фемтосоты делают ее более уязвимой для атак обратного проектирования и несанкционированного доступа, по сравнению с традиционными, более дорогими и высококлассными БС. Поскольку шифрование пользовательских данных транслируемых через эфир прекращается на уровне фемтосоты, аппаратное вмешательство в устройство позволяет раскрыть конфиденциальную информацию ничего не подозревающего пользователя. Например, если злоумышленник деак тивирует систему Closed Subscriber Group (CSG) и тем самым заставит фемтосоту принимать всех внешних пользователей без необходимости предварительной регистрации, то он получит возможность несанкционированно анализировать их трафик. Кроме того, атаки типа подмена доверенного объекта, атаки на сетевые службы с использованием протоколов Интернет, атаки-сообщения ложного местоположения или атаки несанкционированной переконфигурация радиоаппаратуры усложняют оператору сети процесс управления интерференцией и средствами контроля питания, что неблагоприятно сказывается на качестве обслуживания [52].
Таким образом, для того, чтобы снизить вероятность реализации вредоносных манипуляций с программным обеспечением аппаратуры и перехват информации по техническим каналам, фемтосоты должны быть обеспечены доверенной контролируемой средой функционирования [94]. Однако если будут применяться методы геолокализации только по ІР-адресу, а фемтосоты санкционированы на работу только в определенных географических рамках, то атаки с ложными отчетами о местоположении все еще могут быть реализованы, поскольку для манипуляции IP-адресом фемтосоты не требуется физического вмешательства в оборудование [92].
Атаки на опорную широкополосную сеть. Крупномасштабное развертывание сравнительно недорогих фемтосот более выгодно для операторов мобильной связи по сравнению с дорогостоящей глубокой модернизацией всей системы связи. Однако утечка информации о точке доступа ядра сети в сеть Интернет имеет серьезные последствия: это провоцирует большое количество сетевых атак на операторов сотовой сети мобильной связи, таких как отказ в обслуживании (DoS) или подмена доверенного объекта.
Рассмотрим последствия раскрытия IP-адресов шлюзов безопасности в Интернет, которые необходимы большому количеству фемтосот для корректного функционирования всей системы. DoS и распределенные DoS (DDoS) атаки являются частым и хорошо известным явлением для крупных компаний предоставляющих большое количество сетевых сервисов [51, 58, 70, 85].
Меры и средства защиты информации в сетях мобильной связи стандарта LTE с интегрированными фемтосотами
Случай ЖяЗ Пусть в некоторые случайные промежутки времени могут существовать множество J потоков атак. При этом вероятность существования у-го потока (j = l,J) для разных промежутков времени одинакова и составляет величину рп] - вероятность наличия нарушителя.
На практике в LTE-сетях с ИФ имеют место все три описанных случая. Поэтому для каждой из классифицированных ранее угроз в соответствии с предложенным подходом должна разрабатываться адекватная формальная модель динамики появления соответствующих им сценариев атак.
Предложенные вероятностные показатели позволяют оценить возможность появления атак, реализующих конкретную угрозу в заданный промежуток времени при условии преодоления средств защиты.
Рассмотрим динамическую модель реализации угроз безопасности информации посредством применения некоторого сценария атак. Методический подход к формализации динамики реализации угроз в ССМС стандарта LTE с ИФ основывается на изложенном выше подходе к формальному описанию динамики возникновения атак реализующих угрозы безопасности информации [116, 118]. Суть его состоит в том, что угроза может реализоваться по одному из следующих трех вариантов: 1) сценарий атаки реализуется в течение всего времени существования угрозы; 2) сценарий атаки реализуется с момента инициализации ассоциированного с угрозой события; 3) сценарий атаки реализуется через случайный промежуток времени за который формируются условия для его реализации, например, через промежуток времени, необходимый для сбора дампа кадров необходимого для вскрытия ключа шифрования объема.
В первом варианте, поток, описывающий динамику появления однородных атак направленных на нарушение безопасности информации, прореживается со средней вероятностью реализации атак за все время ее функционирования. В этом варианте необходимо знать зависимость вероятности реализации атаки от времени в данной сотовой сети и плотность распределения вероятности длительности существования данного вида атак. В настоящее время практически отсутствует аналитический аппарат и статистические данные для определения этих величин. Для получения зависимостей вероятности реализации атаки от времени для некоторых видов угроз мог бы быть использован подход, основанный на определении среднеквадратических значений времени реализации тех или иных атак. Вместе с тем реализации некоторых атак не зависят от времени их существования.
Во втором варианте, когда атака реализуется с момента инициализации ассоциированного с угрозой события, необходимо знать динамику инициализации этого события в данной сотовой сети. При этом динамика инициализации может быть описана потоком бесконечно коротких импульсов, основной характеристикой которого является плотность распределения вероятности для случайного периода следования этих импульсов.
По аналогии могут быть получены соотношения в случаях, когда однородные атаки возникают лишь в некоторые случайные промежутки времени, при этом имеет место либо один поток однородных атак с определенной вероятностью, либо несколько потоков разнородных атак.
В третьем варианте время реализации характеризуется плотностью распределения вероятности. В этом случае, вместо периода применяется среднее значение времени реализации. Поэтому достаточно просто учесть влияние мер защиты информации путем введения дополнительного параметра, определяющего снижение интенсивности возникновения атак, если предпринимаемые меры защиты являются превентивными, либо увеличение времени, необходимого на реализацию атаки, либо уменьшение средней вероятности [109].
Если существует уже накопленная статистика появления и реализации атак на конкретные элементы сети или имеется возможность ее накопления в процессе работы, то для отдельного элемента формула (2.1) примет вид: RiSk(ui,t) = ui (PnoJt)p). Учет хронологии возникновения и реализации атак, несомненно, повышает адекватность получаемых оценок, однако, требует решения вопрос оценки ущерба от реализации атаки. В случае наличия статистики ущербов и методики численного их представления становится возможным применить классический аппарат анализа риска. Но поскольку возможность набора состоятельной статистики отсутствует, одним из вариантов может быть применение аппарата теории нечетких множеств для формирования функций принадлежности, которые позволят заменить параметры, аналитическая оценка которых затруднительна, на соответствующие численные оценки, формируемые на базе нечетких оценок экспертов.
Отсюда риск будет задаваться дискретными по времени функциями принадлежности и все расчеты могут быть выполнены для любого момента времени t. Тогда показатели риска будут уже располагаться в трехмерном пространстве (вероятность, ущерб, время). Специфика угроз безопасности ССМС стандарта LTE с ИФ и особенности нанесения ущерба при их реализации позволяет считать, что за рассматриваемый интервал времени t независимо от числа реализаций угрозы различными нарушителями ущерб U наносится только первой реализацией. Это ограничение позволяет в качестве вероятности нанесения ущерба определенной величины использовать вероятность реализации угрозы, а формулу оценки риска элемента ССМС стандарта LTE можно представить в следующем виде [46, 111]:
Разработка риск-модели элементов сотовых сетей мобильной связи стандарта с интегрированными фемтосотами
В современном мире сильно ощущается необходимость создания мобильных коммуникаций между людьми, для оперативного получения доступа к интересующей информации в независимости от их места расположения. Таким образом, крайне актуальной проблемой является создание системы обеспечивающей качественную и надежную связь в любой момент времени и в любом месте. Это важный критерий, которому отвечают только высоконадежные и эффективные беспроводные сети [55].
В связи с ростом количества пользователей мобильных и беспроводных сетей, важным требованием становится увеличение количества сетевых услуг при сохранении адекватной стоимости затрат на их реализацию. По этой причине, 3GPP разработало LTE для уменьшения времени развертывания сети и увеличения скорости передачи данных в сфере предлагаемых услуг [47]. В LTE указанные выше требования к технологии достигаются с использованием различных подходов, в частности, путем применения многоантенной передачи данных и технологии OFDM. Таким образом, целью LTE является оптимизация эффективности использования спектра частот, создание возможности для обеспечения более высокой скорости передачи данных и снижение времени развертывания сети.
Мобильные и беспроводные сети имеют уникальные особенности, которые не свойственны проводным системам [63]. Например, ограниченная пропускная способность канала, ограниченная ширина полосы и частотного спектра, шум и помехи - все это является наиболее важными усложняющими факторами в сотовых сетях. Кроме того, выход из строя различных обслуживающих элементов в сети может снизить производительность сети и стать причиной блокирования вызовов и ошибок соединения.
Проанализируем различные отказы, происходящие в архитектуре сети LTE, и оценим их влияние на предоставляемые сетевые услуги. Таким образом, в область анализа попадают единичные отказы различных элементов сетей LTE, а последствия этих отказов на услуги сети анализируются с помощью графов причинно-следственных связей.
Усложнение структур и режимов реальных систем затрудняет применение классических методов теории массового обслуживания и теории надежности ввиду возрастающей размерности решаемых задач, что особенно характерно для систем с сетевой структурой. В исследованиях посвященных данной тематике рассматриваются отказы в мобильных сетях и оптимизация их надежности. В работе [65] рассматриваются различные виды отказов в беспроводных сетях, и оценивается их влияние на производительность сети. Для каждого элемента в топологии сети рассчитываются такие параметры, как среднее время ремонта (МПК) и среднее время наработки на отказ (MTBF). Кроме того, определяется, что избыточность для узлов является одним из способов повышения надежности соединений типа точка-точка [65]. В работе [64] для анализа влияния отказов на сеть применяются три важных показателя - это показатели аварийности, продолжительность отказа и количество абонентов, которые пострадали от этих отказов. В работе [65], установлено, что основными показателями, которые влияют на производительность беспроводных сотовых систем, являются вероятность разрыва текущего вызова из-за сбоя при хэндовере и вероятность того что новый вызов будет заблокирован из-за временной недоступности свободного канала. Для того чтобы преодолеть эту проблему, были смоделированы сотовые сети с отказами и восстановлением и для представления такой системы хэндовера используется Марковская модель [65, 109].
Проанализируем еще раз архитектуру сетей LTE [65, 109] в контексте поставленной цели и выделим отличительные моменты важные для проводимого исследования. На рис.3.1а представлена архитектура мобильных сетей 3-го поколения на базе протокола IP регламентированная стандартом 3GPP Release 6. В этой архитектуре NodeB выступает в качестве базовой станции. RNC (Radio Network Controller - контроллер радиосети) управляющий элемент, контролирующий подключенные к нему базовые станции NodeB и осуществляющий функции управления радио ресурсами, некоторые функции по управлению мобильностью, а также осуществляет шифрование или расшифровку пользовательских данных, передаваемых или принимаемых с мобильного телефона пользователя. SGSN (узел обслуживания абонентов GPRS) - основной компонент по реализации всех функций обработки пакетной информации. Выполняет функции шифрования передаваемых данных, IP-пакетов маршрутизации и данных управления сеансом. GGSN - шлюз обеспечивающий маршрутизацию данных между GPRS сетью и внешними IP сетями, например Интернет.
В целях удовлетворения целей, поставленных перед LTE, в архитектуру на рис.3.1а были внесены некоторые изменения. Например, узлы SGSN, GGSN и RNC объединены в один узел для уменьшения времени разворачивания сети и предоставления услуг с более низкими ценами. Этот новый узел называется ACGW (Access Core Gateway). Архитектура показана на рис.3.16. Таким образом, количество узлов на пути пользовательских запросов уменьшается, следовательно, величина задержки и стоимость услуг снижается [109].
В архитектуре, показанной на рис.3.1, на производительность сети могут влиять отказы и неисправности различных элементов. Существуют различные подходы, которые можно использовать для локализации таких неисправностей на основе наблюдаемых симптомов [65]. Одним из таких подходов является методика моделирования дальнейшего распространения отказа (FPM), суть которой заключается в представлении существующих сбоев в системе в виде графов надежности или причинно-следственных связей [65]. В данном разделе применим граф причинно-следственных связей для того, чтобы лучше представлять причины вероятных отказов в сетях LTE.
Интегрированная метрика истории уязвимости
Методика построена таким образом, что значение Risk увеличивается, если риски сети возрастают. Показатель Risk зависит от количества устройств в сети, их настроек и варьируется в зависимости от различных сетевых топологий. Если устройств в сети становится больше, максимально достижимое значение Risk становится больше. Таким образом, если в ССМС с ИФ имеется nj ИФ и nsJa мобильных устройств, то показатель Risk будет находиться в следующем диапазоне
Однако, показатель Risk очень чувствителен к изменениям параметров пJ,nsJa,rff и nstaa, так что задача интерпретации численных значений Risk может стать затруднительной. Для упрощения интерпретации численных значений Risk, и анализа рисков в сети, предлагается таблица соответствия между численными значениями Risk и лингвистическими термами. Прежде всего, необходимо вычислить максимальный уровень риска для устройств в сети, а затем определить пороговые значения для низкого, среднего и высокого риска сети. В приведенном выше случае с nj ИФ и nsJa мобильных устройств, можно получить максимальные значения риска I(APt) = п , VI і rfj и, I(STAj) = nsata, \/\ j nsja по формуле (4.8). Если все устройства имеют максимальное значение уровня риска, то в этой ситуации предполагается, что сеть, несомненно, является ненадежной, и абсолютно небезопасной. Тем не менее, не для каждой беспроводной сети требуются такие строгие условия. Если установлены очень жесткое условие, лицо принимающее решение может игнорировать неожи данные события, и может не отслеживать в реальном времени неправильные настройки устройств. Таким образом, предлагается соответствие, приведенное в таблице 4.1, между численными значениями риска и логическими уровнями риска. Таблица соответствия отображает, как соотносятся максимальный уровень риска с количеством устройств в сети. Пороговые значения могут быть скорректированы в соответствии с опытом лица принимающего решение или сферой применения сети.
Если обнаружены новые устройства или новые настройки, необходимо обновить текущее состоянии сети. В предлагаемой методике, не требуется пересчитывать соответствующие показатели для всех устройств. Лицу, принимающему решение просто необходимо выполнить вспомогательные шаги с 1 по 5, чтобы определить уровень риска для нового устройства I(deVj), где devt - представляет собой новое устройство, вошедшее в сеть, или устройство, настройки которого были изменены. Тогда, интегральное значение риска беспроводной сети может быть получено путем повторного выполнения шага 6 предложенного алгоритма. 4.5 Программная реализация алгоритма
Предлагаемый алгоритм оценки риска реализован с помощью программного продукта. На рис.4.2 показана структура программной системы инструмента оценки рисков, состоящая из трех основных компонентов: «Анализатор файлов устройств», «Оценка рисков» и «Приложение анализа баз данных», подробно прокомментированных ниже:
Структура программной реализации алгоритма оценки рисков сети «Анализатор файлов устройств» предварительно обрабатывает файлы с перечнями настроек устройств и предоставляет параметры для модуля «Оценка риска», который вычисляет значение риска, и создает отчет об оценке риска. Как показано на рис.4.2, файл настроек устройств содержит конфигурацию каждого устройства в сети, включая тип устройства, методы шифрования, запущенные службы и т.д.; «Оценка риска», основа данного прикладного инструмента, и отвечает непосредственно за оценку риска; «Приложение анализа баз данных» отвечает за хранение экспертных оценок в базе данных и др. Оно предоставляет необходимую информацию об актуальных атаках на беспроводные сети, степени уязвимости настроек, вероятно стях раскрытия настроек системы и других уязвимостях опубликованных в открытых источниках.
В результате предложен алгоритм численной оценки и управления рисками в ССМС с ИФ, с целью предоставить лицу принимающему решение практический инструмент для контроля защищенности. Предложенный подход позволяет использовать значение показателя риска в качестве справочной информации, при анализе потенциальных угроз, вызванных некачественной настройкой системы защиты или уязвимостями программного обеспечения. Для моделирования риска беспроводных ССМС с ИФ предложена методика проектирования четырехслой-ной иерархии, а также мера для оценки риска сети на основе этой модели. Иерархия строится из показателя риска, требований к безопасности, атак и настроек системы защиты. Четыре слоя четко разделены, поэтому в случае обнаружения изменений в текущем состоянии ССМС с ИФ - повторно пересчитываются только связанные слои. Поскольку иерархия построена для отдельных элементов в сети, становится возможным эффективно добавлять или удалить иерархии в модель сети в соответствии с меняющейся топологией. Основанный на модели рисков для отдельных устройств показатель оценки риска учитывает зависимости между слоями модели и отношения между устройствами и адекватно отражает коммуникации в ССМС с ИФ. Таким образом, методика оценки риска учитывает динамику ССМС с ИФ, и результаты адекватны действительности (приложение А).
Предложенная модель и мера являются лишь эвристическими, общими показателями защищенности, но с их помощью сделан новый шаг к формальной оценке и управлению риском в ССМС с ИФ. Предлагаемый метод отражает степень надежности ССМС с ИФ путем анализа и оценки уязвимостей. Предложенный метод предоставляет собой базу для практического управления безопасностью ССМС с ИФ. Поскольку исходная информация черпается из большого количества реальных баз данных и экспертных данных, комплексная методика оценки риска должна иметь возможность регулировать расхождения между базами данных или экспертными оценками. Для изучения возможностей предложенной методики в рамках приложения к данной работе рассматриваются два примера. В первом примере, проводя практические эксперименты, демонстрируется, что значения риска, полученные с помощью предлагаемой методики адекватны реальности. Второй пример демонстрирует эффективность методики оценки риска беспроводных сетей динамически изменяющих свои параметры функционирования, что позволяет выявить отличия в анализируемых беспроводных сетях.
В первом примере, разворачивается две беспроводных сети, и оцениваются риски, которым они подвержены. Далее практически реализуется атака анализа трафика против обеих сетей, и анализируются получаемые экспериментальные результаты. Сравнение результатов оценки и эксперимента показывают, что предлагаемая методика оценки риска позволяет выделить различия в беспроводных сетях, и способна отражать реальную ситуацию. Во втором примере, конфигурация беспроводной сети рассматривается в различные моменты времени, чтобы проиллюстрировать, как предлагаемая методика отражает динамические характеристики беспроводных сетей. Пример доказывает, что предлагаемая методика позволяет эффективно определять значения риска беспроводной сети с меняющейся топологией.
