2.2. Угрозы информационной безопасности в сотовых сетях стандарта lte с интегрированными фемтосотами

В настоящее время имеется широкий спектр сведений по проблемам обеспечения безопасности беспроводных технологий, в том числе и сетей стандарта LTE [6 - 10], которые необходимо проанализировать с целью определения ключевых особенностей, учет, которых необходим в процессе проектирования архитектуры сети и выбора системы средств защиты от возможных реализаций угроз безопасности.

Одной из наиболее принципиальных особенностей проблемы защиты информации является абсолютный характер требования полноты множества угроз информационной безопасности. Каждый невыявленный или непринятый во внимание дестабилизирующий фактор может в значительной мере снизить и даже свести на нет эффективность защиты. В то же время проблема формирования полного множества угроз относится к числу ярко выраженных неформализованных проблем. Обусловлено это тем, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, многие из которых должны быть квалифицированы как дестабилизирующие.

Убедительным доказательством справедливости утверждения о неформализуемости задачи формирования полного множества дестабилизирующих факторов может служить тот факт, что в имеющихся достаточно многочисленных публикациях по проблемам защиты информации обсуждаемая задача практически даже не поставлена [11-14].

В силу неформализуемости задачи описания полного множества угроз, для защищаемой системы определяется не полный перечень угроз, а перечень классов угроз. Таким образом, первым этапом построения риск-модели является выявление и описание существующих угроз безопасности сотовым сетям мобильной связи стандарта LTE с интегрированными фемтосотами и их классификация.

В общем случае модель угрозы представляет собой набор характеристик

,

где – наименование угрозы; – описание источника угрозы; – описание уязвимости объекта, которая используется для реализации угрозы; – описание атаки как способа реализации угрозы; – описание деструктивных функций, выполняемых при реализации угрозы; – время существования угрозы; – время реализации угрозы [11,15-17].

Общая классификация возможных угроз безопасности информации для сотовых сетей мобильной связи стандарта LTE с интегрированными фемтосотами приведена на рис.2.7.

Некоторые из указанных характеристик не являются обязательными при формальном описании угроз, поэтому ограничимся тремя основными характеристиками: объектом, источником и проявлением, где [18, 11] объектом угроз являются фемтосоты сетей мобильной связи стандарта LTE, в качестве источника угроз рассмотрим антропогенный, а в качестве проявление угрозы - вид негативного воздействия (атаки), оказываемого на объект угрозы через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

В документах международных организаций по стандартизации выделено несколько способов классификации угроз безопасности систем связи, разделенных по типам, видам и категориям. Угрозы безопасности, подлежащие анализу на этапе проектирования архитектуры безопасности конкретной сотовой сети, представляют собой множество со многими элементами. Чтобы облегчить решение этой задачи, целесообразно согласно документу ETSI ETR 332 сгруппировать угрозы безопасности по категориям [2,15].

В соответствии с данными рекомендациями и общей классификацией угроз безопасности можно выделить угрозы наиболее характерные для сотовых сетей стандарта LTE с интегрированными фемтосотами и разбить их на классы.

Рис. 2.7. Схема общей классификации угроз

Вопросы обеспечения безопасности в сетях четвертого поколения решаются на нескольких структурных уровнях: на физическом, так называемом воздушном интерфейсе, на уровне внутренней сети оператора, а также на уровне взаимодействия различных операторов.

В этом разделе рассмотрим основные угрозы безопасности в сотовых сетях связи стандарта LTE с интегрированными фемтосотами.

На рис. 2.8. представлена модель угрозы для сотовой сети связи с интегрированными фемтосотами. На схеме стрелками обозначены три уязвимых элемента: (а) воздушный интерфейс между мобильным устройством (пользовательское оборудование) и фемтосотовой базовой станцией (Home (e) NodeB); (б) непосредственно фемтосотовая базовая станция; (в) широкополосное соединение между фемтосотой и шлюзом безопасности (SecGW).

Проанализируем все возможные виды атак на вышеупомянутые элементы, которые реализуются без взлома криптосистем или протоколов безопасности. Более полный список всех возможных атак и контрмер может быть найден в [19].

Атаки на воздушный интерфейс. Атаки данного вида могут быть пабсивными – злоумышленник прослушивает канал связи между мобильным устройством и базовой станцией; или активными – в дополнение к прослушиванию, злоумышленник вносит или оказывает воздействие на уже циркулирующий трафик. Хотя возможности активных атак существенно снижены за счет применения криптографической защиты передаваемой информации, пабсивные атаки, такие как анализ трафика и отслеживание местоположения пользователей, все еще возможны.

Проблема защиты идентификаторов пользователей поднималась еще в ранних сетях GSM, и решение, которое было принято с тех пор, существенно никогда не пересматривалось. Учитывая тенденцию эволюции к плоским полностью IP-ориентированным сотовым сетям связи с фемтосотами продалжать применение унаследованных решений становится категорически нельзя.

Рис. 2.8. Цели атак злоумышленников на сотовые сети с интегрированными фемтосотами: (а) воздушный интерфейс между мобильным устройством (Пользовательское Оборудование) и фемтосотовой базовой станцией (Home (e) NodeB); (б) непосредственно фемтосотовая базовая станция; (в) общественное соединение между фемтосотой и шлюзом безопасности (SecGW)

Фактически GSM, UMTS и стандарты LTE для защиты идентификаторов мобильных устройств в воздушном интерфейсе предлагают использовать непригодные для редактирования временные идентификаторы (TMSI [3] и GUTI [4]), но капиллярное развертывание фемтосот делает эти меры недостаточными для обеспечения гарантированного уровня защиты для пользователей. TMSI (или GUTI) обычно постоянны для данного местоположения (или контролируемой области), которая состоит из сотни смежных ячеек, и фемтосоты могут позволить злоумышленникам отслеживать передвижения абонентов с беспрецедентной точностью в виду особенностей используемого диапазона длин волн. Например, такие атаки слежения могут быть реализованы любопытными работодателями, чтобы контролировать посещают ли их сотрудники конкурентов, или спецслужбами с целью отслеживания местоположения людей [70].

Идентификация абонента и прослеживание его маршрута передвижения являются новым классом угроз специфичным для сотовых сетей мобильной связи с фемтосотами и обусловлено это уязвимостями, связанными с особенностями применяемого воздушного интерфейса.

Атаки на фемтосотовые базовые станции. С точки зрения мобильного устройства, оно подключено к регулярной базовой станции, то есть (e) NodeB эквивалентно фемтосотовой базовой станции, потому что протоколы и стандарты безопасности, используемые в воздушном интерфейсе, являются идентичными. Однако с точки зрения злоумышленника фемтосота открывает существенные возможности для реализации деструктивных воздействий. Так, например, намного легче вмешаться в маленькую и недорогую [20] фемтосоту расположенную в помещении, чем в большое сложное устройство, расположенное на крыше. Физический размер, качество материалов, более дешевые компоненты и IP интерфейс фемтосоты делают ее более уязвимой для атак обратного проектирования и несанкционированного доступа, по сравнению с традиционными, более дорогими и высококлассными (e) NodeB базовыми станциями. Поскольку шифрование пользовательских данных транслируемых через эфир прекращается на уровне фемтосоты, аппаратное вмешательство в устройство позволяет раскрыть конфиденциальную информацию ничего не подозревающего пользователя. Например, если злоумышленник деактивирует систему Closed Subscriber Group (CSG) и тем самым заставит фемтосоту принимать всех внешних пользователей без необходимости предварительной регистрации, то он получит возможность несанкционированно анализировать их трафик. Кроме того, атаки типа подмена доверенного объекта, атаки на сетевые службы с использованием протоколов Интернет, атаки-сообщения ложного местоположения или атаки несанкционированной переконфигурация радиоаппаратуры усложняют оператору сети процесс управления интерференцией и средствами контроля питания, что неблагоприятно сказывается на качестве обслуживания. Таким образом, для того, чтобы снизить вероятность реализации вредоносных манипуляций с программным обеспечением аппаратуры и перехват информации по техническим каналам, фемтосоты должны быть обеспечены доверенной контролируемой средой функционирования (TrE) [1]. Однако, если будут применяться методы геолокализации только по IP-адресу, а фемтосоты санкционированы на работу только в определенных географических рамках, то атаки с ложными отчетами о местоположении все еще могут быть реализованы, поскольку для манипуляции IP-адресом фемтосоты не требуется физического вмешательства в оборудование.

Атаки на опорную широкополосную сеть. Крупномасштабное развертывание сравнительно недорогих фемтосот более выгодно для операторов мобильной связи по сравнению с дорогостоящей глубокой модернизацией всей системы связи. Однако, утечка информации о точке доступа ядра сети в сеть Интернет имеет серьезные последствия: это провоцирует большое количество Интернет атак на операторов сотовой сети мобильной связи, таких как отказ в обслуживании (DoS) или подмена доверенного объекта. Рассмотрим более подробно на последствиях раскрытия IP-адресов шлюзов безопасности в Интернет, которые необходимы большому количеству фемтосот для корректного функционирования всей системы. DoS и распределенные DoS (DDoS) атаки являются частым и хорошо известным явлением для больших компаний предоставляющих большое количество сетевых сервисов [21]. Для того чтобы разработчики систем и исследователи могли точнее выявлять и реагировать на по существу различные атаки одного вида Миркович [22] предложил общую классификацию атак типа отказ в обслуживании и соответствующих средств защиты по их отличительным чертам. Если обнаружение факта реализации в настоящее время крупномасштабной DDoS атаки лучше всего выполнять на стороне жертвы, то процесс противодействия этой угрозе, как отмечают многие исследователи [23-26], эффективнее всего осуществлять распределенными мерами, не ограничиваясь только заключительной линией связи с целью злоумышленника. Причиной этому является тот факт, что механизмы противодействия являются наиболее эффективными, если они применяются на уровне непосредственных источников атаки, поскольку при фильтрации злонамеренного трафика от реальных подключений становится возможным избежать его прохождения до заключительной линии связи с целью атаки и предотвратить переполнение.

Для успешного функционирования описанных меры и решений по противодействию DoS атакам необходимо, чтобы различные провайдеры интернет-услуг имели возможность и желание сотрудничать, причем отказ в достижении соглашения может подвергнуть опасности эффективность всей системы защиты.

Для оператора сотовой сети мобильной связи это означает, что эффективная система защита от атак типа отказ в обслуживании должна охватывать не только провайдера, который обеспечивает доступ в Интернет, но также и ближайших провайдеров-конкурентов. Совместно они могли бы ограничить отказы в обслуживании в фемтосотах и шлюзах безопасности и гарантировать предоставление услуг абонентам фемтосот. Однако, для достижения сотрудничества среди провайдеров необходимо создать условия в которых все заинтересованные стороны будут иметь стимулы в совместной защите шлюзов операторов мобильной связи [69].