Kasutaja tarvikud

Lehe tööriistad


sissetungi-tuvastamise-susteem

Sissetungi tuvastamise süsteem

Sissetungi tuvastamise süsteemid jälgivad võrguliiklust ja püüavad anomaaliate ning mustrite põhjal avastada ründeid. Võimalikeks ohumärkideks on näiteks tundmatu saatja või saaja aadressiga paketid ja ebakorrapära pakettide järjenumbrites. Juhul, kui rakendus kasutab APS kihi sisus ajatemplit, siis selle järsud erinevused võivad samuti viidata võimalikule ründele [11]. Tuvastamaks võimalikult palju ründeid peab raadiovõrgu tarbeks loodud IDS olema suuteline jälgima ka eetris toimuvat. Paljude rünnete avastamisel mängib olulist rolli sõnumite tegeliku saatja tuvastamine.

Sissetungi tuvastamise süsteemid, mis on suutelised määrama sõnumi tegelikku saatjat, on võimelised avastama ründeid, mida viiakse läbi võõraste saatjate abil. Võimalikule ohule viitab näiteks see, kui mitu erinevat raadiot kasutavad väljasaadetud sõnumites sama saatja aadressi või üks raadio saadab välja mitmete erinevate saatja aadressidega sõnumeid. Meetodeid, mille põhjal saatja tegelikku identiteeti leida, on pruugitud alates Vietnami sõjast [10]. Enamasti on need kasutusel sõjanduses ja nende sisu on rangelt salastatud, kuid leidub ka akadeemilisi uurimistöid, mida IDSi loomisel kasutada.

Kõige lihtsam viis saatja identifitseerimiseks statsionaarsete sõlmedega võrgus on mõõta vastuvõetava signaali tugevust (received signal strength indicator; edaspidi RSSI). Kui ühe saatja MAC aadressiga pakettide puhul see järsult muutub, on alust arvata, et võrgus toimetab valeidentiteeti kasutav seade. RSSI väärtus on sõltuv keskkonnamõjudest, sealhulgas ka võrgu territooriumil olevate objektide asukoha muutustest. Kasutades RSSI info kogumiseks mitut võrgu territooriumil hajusalt paigutatud seadet, muutub mõõtetulemus usaldusväärsemaks. Paraku on ründajal võimalik korraga mitut suundantenni kasutades antud meetodit ära petta [16].

Igal raadiosaatja omab unikaalset raadiomeetrilist karakteristikut, mis ei sõltu kasutatavast kanalist ega vastuvõtjast [11]. Erinevused on selgelt tuvastatavad ka ühe tootja samal tootmisliinil valmistatud seadmetel. Unikaalsuse põhjustavad väikesed erinevused riistvaras – nii muunduris, võimendis kui ka antennis. Iseenesest on võimalik tootmise täpsust tõsta ja saavutada kõigil seadmetel väga sarnane karakteristik, kuid see suurendab märkimisväärselt kulusid [10].

Üks võimalikest saatjatuvastusmeetoditest on võrrelda saatja sisselülitamise järgselt tekkivat hüpet signaalis (transient signal). Selle signaali karakteristik on iga saatja puhul ainulaadne [28]. Paraku on sellise signaali hüppe kestus on vaid mõnisada nanosekundit, mistõttu selle hõivamine on keeruline ja meetod praktikas raskesti kasutatav [11].

WiFi seadmete identiteedi tuvastamise tarbeks on välja töötatud meetod PARADIS (passice radiometric device identification system) [10]. Iga vastuvõetud paketi saatja tegelik identiteet leitakse paketi normaliseeritud sageduse, amplituudi ja faasi erinevuste, I/Q (in-phase, quadrature; sünfaas, kvadratuur) komponentide nihke ning sünkroniseerimise korrelatsiooni põhjal [10]. Meetodi autorid viisid läbi testi, kus kasutasid 130 WiFi seadet, mis kõik olid pärit samalt tootjalt. Leiti, et kõigil seadmetel on unikaalne PARADIS meetodiga arvutatav karakteristik. Sama meetodit saab kasutada ka ZigBee seadmete identiteedi tuvastamisel.

Uurimistööd on tehtud ka ühe alternatiivse meetodi kohta, mis kasutab karakteristiku tarbeks vähem parameetreid [11]. Ideaalis on QPSK modulatsioonis faasinihe kahe konstellatsiooni (constellation) vahel 90 kraadi, kuid praktikas võimendab iga saatja sünfaasset ja kvadratuurset faasi erinevalt. Selle tagajärjel tekkivat kraadinihet saab mõõta ja kui sellele lisada juurde veel vastuvõetud signaali sageduse erinevus spetsifikatsioonijärgsest sagedusest, saab neist kahest konstrueerida saatjaid eristava karakteristiku.

Karbitoote kujul ZigBee IDSe töö koostamise ajal turul ei leidunud, pole ka teada, et keegi taolist toodet kommertseesmärkidel arendaks. Süsteemi piisava kriitilisuse korral tuleb IDS ise luua. Pakutud meetoditest on kõige odavam ja lihtsam luua võrguliikluse (MAC ja kõrgemad kihid) anomaaliate põhjal ründeid tuvastavat IDSi. Samuti on RSSI mõõtmise võimekus olemas igal ZigBee võrgusõlmel, mis võib oma naabri järsust signaalitugevuse muutusest IDSile teada anda. Raadiomeetriliste karakteristikute uurimine nõuab spetsiaalriistvara, näiteks umbes 700€ maksvat Ettus B200 raadiot või analoogset seadet. IDSi tarkvara välja töötamine on samuti kulukas, seega tuleb enne võimeka IDSi loomist kaaluda, kas turvariskide võimalikul realiseerumisel tekkiv kahju on suurem kui IDSi hind.

Viimati muudetud 2015-05-20 Mait Peekma

Lehekülje tarvikud