Файл: Исследование мер противодействия атакам на сети 5g пояснительная записка тпжа. 100502. 008 Пз выпускная квалификационная работа.docx

Сеть радиодоступа (RAN) основана на новом стандарте 5G NR (New Radio), реализующем необходимые для заданного сценария характеристики: пропускную способность, минимальные задержки или массовые подключения. Согласно концепции конвергентной архитектуры, иные сети радиодоступа (Wi-Fi, 4G-LTE) должны подключаться к единому ядру сети 5G.

Риски: большое число подключений и высокая пропускная способность увеличивают поверхность атаки. IoT-устройства менее устойчивы к взлому.

Архитектура опорной сети (ядро сети или 5G Core) основана на облачных технологиях и виртуализации сетевых функций (SDN, NFV), позволяющих создать множество независимых сегментов и поддерживать таким образом сервисы с различным набором характеристик. Сегментирование также позволяет операторам предоставлять сетевую инфраструктуру в виде сервиса для организаций.

Риски: более серьезные последствия сбоев или злоупотреблений с учетом масштаба использования.

5G предполагает активное использование технологии периферийных вычислений (MEC). Это могут быть, в частности, корпоративные приложения, работающие на сети операторов: интеллектуальные сервисы, финансовые сервисы, мультимедиа. Следует добавить, что в этом случае происходит интеграция операторских сетей 5G в корпоративную инфраструктуру.

Риски: новые возможности проникновения в корпоративные сети, размещение оборудования MEC вне защищенного периметра организации.

Централизованная инфраструктура управления сетью (O&M) усложняется за счет необходимости одновременной поддержки большого числа сервисных сегментов.

Риски: более серьезные последствия злоупотребления ресурсами и/или ошибок конфигурации O&M.

Сегментированная архитектура 5G-сети, включая МЕС и внешние сети, которая используется для описания угроз безопасности, приведена на рисунке 5.1.

Рисунок 5.1 – Сегментированная архитектура 5G-сети
В таблице 5.1 приведены наиболее значимые угрозы для каждого из главных компонентов сети 5G [4].

Таблица 5.1 – Наиболее значимые угрозы

Угрозы для RAN	Угрозы для опорной сети и сервисов оператора	Угрозы для MEC	Угрозы для инфраструктуры 5G из внешних сетей
DDoS-атаки от терминальных устройств; внедрение поддельных базовых станций; атаки на беспроводные интерфейсы – перехват, подмена пользовательских данных.	программные и аппаратные сбои элементов ядра, ошибки конфигурации; внедрение вредоносного кода или эксплуатация уязвимостей компонентов инфраструктуры; нарушение изоляции сегментов, НДС к сегменту.	физический доступ нарушителя к оборудованию; поддельное или уязвимое приложение в экосистеме; проникновение в корпоративные или операторские сети узлов MEC.	DDoS-атаки из интернета; НСД к API поставщиков сервисов; НСД к интерфейсу управления внешних сетей.

Исходя из наиболее значимых угроз сети 5G, можно сделать выявить наиболее опасные атаки:

Botnet;
DDoS-атаки;
MiTM-атака;
перехват DNS;
атаки, использующие уязвимость SIM-карт.

Выводы по пятому разделу

Наиболее значимые угрозы связаны с сетью радиодоступа (RAN), опорной сетью и сервисами оператора, с использованием технологии периферийных вычислений (MEC), с инфраструктурой 5G. Возможны следующие риски, связанные с данными угрозами, а именно:

большое число подключений и высокая пропускная способность увеличивают поверхность атаки. IoT-устройства менее устойчивы к взлому;
более серьезные последствия сбоев или злоупотреблений с учетом масштаба использования;
новые возможности проникновения в корпоративные сети, размещение оборудования MEC вне защищенного периметра организации;
более серьезные последствия злоупотребления ресурсами и/или ошибок конфигурации O&M.

Наиболее опасные атаки: Botnet, DDoS-атаки, Low and Slow, Salami, перехват DNS.

1 ... 7 8 9 10 11 12 13 14 15

Составление сценариев наиболее опасных атак

Ниже представлены сценарии наиболее опасных атак.
Сценарий атаки Botnet
Пожалуй, самым известным в настоящее время ботнетом является Mirai – программа, которая взламывает онлайн-устройства и использует их для проведения DDoS-атак [7]. Рассмотрим сценарий проведения данной атаки. Есть несколько способов реализации атаки.

По одной версии программа использует почтовые вирусы. На адрес электронной почты жертвы злоумышленник направляет письмо, содержащее вирус. Жертва открывает письмо и заносит вирус на компьютер. Затем вирус распространяется на все подключенные к нему устройства [7].

По другой версии, Mirai непрерывно сканирует IoT и заражает их, используя таблицу устанавливаемых производителем имен пользователей и паролей. Устройство остается зараженным до первой перегрузки, если пароль не был сменен, то устройство заражается снова. Получив тем или иным способом доступ к устройствам интернет вещей, Mirai создает из них ботнет [7].
Сценарий DDos-атаки
Рассмотри сценарий DDoS-атаки с низкой скоростью на основе HTTP и DDoS-атаки минимальной степени на основеTCP [41].

Slow-Headers, Slow-Body, а также Slow-Read as-saults являются примерами DDoS-атак минимальной степени на основе HTTP [42]. Этот вид атак использует слабость в существующем методе HTTP Keep-Alive, поддерживает соединение в течение длительного периода времени и постоянно потребляет ресурсы сервера, что приводит к отказу в обслуживании веб-сервера. В частности, атакующий Slow-Headers посылает незавершенный HTTP-запрос, заканчивающийся символом "rn", заставляя сервер поверить, что запрос не был удален и продолжает ждать. Наконец, количество соединений приближается к максимальной пропускной способности сервера, и новый запрос не может быть обработан, что приводит к атаке "повторный отказ в обслуживании". Атакующий с медленным телом делает запрос POST к серверу с большим значением длины содержимого. Однако сервер каждый раз выдает лишь небольшое количество байт, и ресурсы сервера истощаются, когда запросы превышают гарантированный порог. Наконец, злоумышленники Slow-Read отправляют на сервер действительные запросы на чтение огромных файлов данных, устанавливая при этом низкое значение скользящего окна TCP. Как следствие, установление канала связи между сервером и злоумышленником занимает длительное время. Когда количество соединений превышает определенный порог, услуга не может быть предоставлена [40].

Сценарий атаки MitM
Одной из основных проблем в архитектуре системы является интерфейс, отвечающий за управление сеансом, известный как SMF(Session Management Function – функция управления сеансом). SMF возможен благодаря протоколу, известному как PFCP (Packet Forwarding Protocol – протокол пересылки пакетов).

Для управления подключениями абонентов в протоколе PFCP доступны три процедуры: установление сеанса, модификация и удаление, которые устанавливают, модифицируют и удаляют туннели GTP-U на интерфейсе N3 между UPF и gNB. Тестирование интерфейса N4 выявило потенциальные сценарии атаки на установленную абонентскую сессию.

Злоумышленники могут отправить запрос на удаление или изменение сеанса, что может привести к отказу в обслуживании и, в итоге, к нарушению доступа в Интернет и перехвату веб-трафика. Другие проблемные области стандарта 5G включают функцию сетевого репозитория. NRF позволяет регистрировать и обнаруживать сетевые функции (NF) в панели управления. Хакеры могут добавить существующую NF в репозиторий, чтобы обслуживать подписчиков через контролируемую хакером NF. Это может привести к доступу к пользовательским данным.

Другой сценарий атаки основан на отсутствии авторизации в NRF, что может быть использовано для отмены регистрации критических компонентов путем удаления их соответствующих профилей NF. Это может привести к потере обслуживания абонентов [17].
Перехват DNS
Злоумышленник может воспользоваться доступом к шлюзу сети передачи данных общего пользования, который назначает DNS для пользовательских устройств, либо доступом к маршрутизатору.

Существует два способа перехвата DNS-запросов [13]:

установить DNS-сервер, подконтрольный злоумышленникам и изменить записи DNS;
скомпрометировать кэширующий сервер DNS, который обычно также находится внутри кампусной сети.

В любом случае злоумышленник изменяет запись в кэширующем сервере DNS в основной сети, чтобы перенаправить IP внутренних ресурсов на плацдарм злоумышленников и перехватить трафик в следующих атаках.

На рисунке 6.1 изображен изменённые злоумышленниками настройки DNS

Рисунок 6.1 – Изменённые злоумышленниками настройки DNS
Атаки, использующие уязвимость SIM-карт
На рисунке 6.2 представлена реализация атаки Simjacker

Рисунок 6.2 – Реализация атаки Simjacker
Атака начинается, когда на целевой телефон отправляется SMS-сообщение, которое мы называем Simjacker «Сообщение об атаке». Это сообщение об атаке Simjacker, отправленное с другого телефона, модема GSM или учетной записи отправки SMS , подключенной к учетной записи A2P, содержит ряд инструкций SIM Toolkit (STK) и специально создано для передачи на UICC/eUICC (SIM карты) внутри устройства. Чтобы эти инструкции работали, атака использует наличие определенного программного обеспечения, называемого S@T Browser, то есть на UICC. Как только UICC получает сообщение об атаке Simjacker, он использует библиотеку браузера S@T в качестве среды выполнения на UICC, где он может запускать логику на телефоне. Для основной наблюдаемой атаки код Simjacker, работающий на UICC, запрашивает местоположение и конкретную информацию об устройстве (IMEI) от телефона. Как только эта информация получена, код Simjacker, работающий на UICC, сопоставляет ее и отправляет объединенную информацию на номер получателя через другое SMS (мы называем это «сообщением с данными»), опять же, запуская логику на телефоне. Это сообщение данных представляет собой метод, с помощью которого информация о местоположении и IMEI может быть передана на удаленный телефон, контролируемый злоумышленником [43].

Во время атаки пользователь совершенно не знает, что он получил SMS с сообщением об атаке Simjacker, что информация была получена и что она была отправлена вовне в SMS-сообщении с данными - в любом почтовом ящике входящих или исходящих SMS нет никаких указаний [43].