بنام آنکه جان را فکرت آموخت
ارئه دهنده:فخرالدین عمربیگی
مقدمه ای برشبکه های متحرک بی سیم اقتضایی
شبکه های Ad-hoc به شبکه های آنی و یا موقت گفته می شود که برای یک منظور خاص به وجود می آیند. در واقع شبکه های بی سیم هستند که گره های آن متحرک می باشند. تفاوت
عمده شبکه های Ad-hoc با شبکه های معمول بی سیم 802.11 در این است که در شبکه های Ad-hoc مجموعه ای از گره های متحرک بی سیم بدون هیچ زیراساختار مرکزی نقطه دسترسی و یا ایستگاه پایه برای ارسال اطلاعات بی سیم در بازه ای مشخص به یکدیگر وصل می شوند.
ارسال بسته های اطلاعاتی در شبکه های بی سیم Ad-hoc توسط گره های مسیری که قبلا توسط یکی از الگوریتمهای مسیریابی مشخص شده است، صورت می گیرد. نکته قابل توجه این است که هر گره تنها با گره هایی در ارتباط است که در شعاع رادیویی اش هستند، که اصطلاحا گره های همسایه نامیده می شوند.
پروتکلهای مسیریابی بر اساس پارامترهای کانال مانند تضعیف، انتشار چند مسیره، تداخل و همچنین بسته به کاربرد شبکه به صورت بهینه طراحی شده اند. در هنگام طراحی این پروتکلها به امر تضمین امنیت در شبکه های Ad-hoc توجه نشد. در سالهای اخیر با توجه به کاربردهای حساس این شبکه از جمله در عملیاتهای نظامی، فوریتهای پزشکی و یا مجامع و کنفرانسها، که نیاز به تامین امنیت در این شبکه ها بارزتر شده است، محققان برای تامین امنیت در دو حیطه عملکرد و اعتبار پیشنهادات گوناگونی را مطرح کردند و می کنند.
شبکه های بی سیم Ad-hoc فاقد هسته مرکزی برای کنترل ارسال و دریافت داده می باشد و حمل بسته های اطلاعاتی به شخصه توسط خود گره های یک مسیر مشخص و اختصاصی صورت می گیرد. توپولوژی شبکه های Ad-hoc متغیر است زیرا گره های شبکه می توانند تحرک داشته باشند و در هر لحظه از زمان جای خود را تغییر بدهند.
وقتی گره ای تصمیم می گیرد که داده ای را برای گره مورد نظر خود بفرستد. ابتدا با انجام یک پروتکل مسیریابی پخش شونده کوتاهترین مسیر ممکن به گره مورد نظر را بدست می آورد و سپس با توجه به این مسیر داده را ارسال میکند. به هنگام به روز رسانی یا کشف مسیر مورد نظر تمام گره های واقع بر روی مسیر اطلاعات مربوط به راه رسیدن به گره مقصد را در جدول مسیریابی خود تنظیم می کنند، تا در هنگام ارسال داده از مبدا روند اجرای عملیات ارسال داده به درستی از طریق کوتاهترین مسیر ممکن انجام شود.
لزوم امنیت در شبکه های اقتضایی
شبکه های Ad-hoc نیز مانند بسیاری از شبکه های بی سیم و سیمی برای انجام و کارکرد صحیح اعمال شبکه که در اینجا شامل مسیریابی، جلورانی بسته های داده، نگهداری و به روز رسانی اطلاعات مسیریابی است، به امنیت نیازمند هستند. در واقع امنیت شرط لازم برای عملکرد درست اعمال شبکه است و بدون نبود آن تضمینی برای انجام صحیح این اعمال وجود ندارد و مهاجمان به راحتی می توانند یکپارچگی شبکه را بر هم بزنند.
سیاستی که در این راستا تدبیر می شود آن است که اعتماد کامل به گره های شبکه برای انجام اعمال حیاتی شبکه کاری عبث و بیهوده است و این رابطه اعتماد تنها در برخی از سناریوهای شبکه Ad-hoc قابل فرض است. مثلا در یک شبکه Ad-hoc که گره های آن سربازان یک گروهان باشند می توان از قبل، یعنی پیش از شروع عملیات، کلیدهای متقارن مشترک و یا کلیدهای عمومی افراد (بسته به نوع رمزنگاری متقارن یا نامتقارن) را با یکدیگر مبادله کرد. ولی مشکلات و محدودیتهای دیگری همچنان باقی می ماند. از جمله اینکه چنین شبکه ای نمی تواند امنیت را برای قرارگیری افزایشی تامین کند. چرا که گره های جدیدی که می خواهند در شبکه قرار گیرند باید به نوعی خود را به گره های دیگر معرفی کنند و احراز اصالت متقابل برای همه آنها بتواند، صورت بگیرد.
با توجه به بحثهای اخیر می توان چنین برداشت کرد که گره های شبکه Ad-hoc برای انجام مدیریت کلید به یک محیط مدیریت شده نیاز دارند. در واقع باید یک یا چند مرکز معتمد وجود داشته باشند تا گره های تازه وارد را در شبکه ثبت کنند و گره های مخرب را از شبکه خط بزنند و بدین ترتیب امنیت شبکه مورد نظر را بر اساس گره های سالم موجود تامین کنند، چرا که گره های مخرب در لیست ابطال قرار گرفته اند.
منظور از کارکرد صحیح اعمال شبکه این است که هر گره ای از شبکه به وظایف خود مبنی بر جلورانی بسته ها و مسیریابی به درستی عمل کند و در این عملیاتها به خوبی با دیگر گره ها همکاری و مشارکت کند. یعنی اینکه در نهایت اعمال شبکه بین گره ها به صورت منصفانه تسهیم شود.
با توجه به ماهیت ذاتی شبکه های Ad-hoc بسادگی می توان چنین برداشت کرد که عملکرد شبکه شدیدا وابسته به رفتار گره های شبکه می باشد. یعنی اگر گره ای وظایفش را به درستی انجام ندهد، بازده عملکرد شبکه به شدت افت میکند و تبادل اطلاعات حیاتی ممکن است به خطر افتد. بر این اساس در برخی از مدلهای پیشنهادی برای برقراری امنیت از منطق اکثریت استفاده میکنند و رفتار ناصحیح گره ها را بر اساس سابقه اعمال آنها بررسی میکنند و اگر این سابقه از یک حد آستانه مربوط به متوسط اعمال بدتر باشد رفتار گره مخرب تشخیص داده می شود. البته این تصمیم گیریها تا حدی نسبی اند و هرگز به طور مطلق نمی توان تعیین کرد که هر رفتاری که از گره ای سر میزند صحیح است یا ناصحیح.
برای پیداکردن گره خرابکار به انجام اعمالی چون ردیابی، نگهبانی و دیده بانی نیاز است که خود محتاج پردازش ارتباطاتی بالا می باشد که هم انرژی می طلبد و هم پهنای باند و حافظه. در نتیجه در شبکه های بی سیم چون Ad-hoc نمی توان از پروتکلهای شبکه های بی سیم چون BGP استفاده کرد هم از جهت محدودیت پردازش ارتباطاتی و هم از این جهت که توپولوژی شبکه دایما در حال تغییر است.
پروتکل مسیریابی AODV
پروتکل AODV نمونه ای از یک پروتکل مسیریابی بر حسب نیاز است که بر اساس مسیریاب بردار فاصله عمل میکند. نمایی از نحوه عملکرد این پروتکل در شکل 2آمده است. همانطور که در شکل 2 مشاهده می شود ابتدا گره مبدا (A) بسته درخواست مسیر خود به گره مقصد (I) را می سازد و آن را به اطراف پخش میکند.
سپس هر گره ای که در شعاع رادیویی گره مبدا باشد (گره های B و D) بسته RReq را شنود میکند و اگر بسته تکراری باشد، آنگاه آن را دور می ریزد و اگر تکراری نباشد، به جدول مسیر خود نگاه میکند. اگر مسیر تازه ای به مقصد درخواستی در جدول موجود باشد، آنگاه بسته جواب مسیر را می سازد و برای گره مبدا در یک جهت پخش میکند.
ولی اگر مسیر تازه ای وجود نداشت، آنگاه به شمارنده گره یک واحد می افزاید، بسته RReq را دوباره به همه گره- های همسایه پخش میکند و اطلاعات مبدا را برای مسیریابی معکوس ذخیره میکند.
انواع حملات بر روی شبکه های اقتضایی
حملات انجام شده بر روی شبکه های Ad-hoc را می توان از چند جنبه دسته بندی کرد. در اینجا ابتدا یک دسته بندی کلاسیک از حملات ارائه شده است و در ادامه به طور مستقل به حملات ممکن پرداخته می شود.
حملات فعالکه در آنها گره بدرفتار برای اجرای تهدید خودش باید هزینه انرژی آن را بپردازد. چنین گره ای اصطلاحا گره مخرب یا بداندیش نامیده میشود. هدف از انجام این حمله از هم گسستگی شبکه یا ضرر رساندن به گره- های دیگر است.
حملات غیرفعال که در آنها گره بدرفتار به قصد ذخیره انرژی از همکاری امتناع میکند. چنین گره ای گره خودخواه نامیده میشود. هدف از انجام این حمله کاهش عملکرد شبکه یا تقسیم شبکه با شرکت نکردن در عملیاتها است.
از دیدگاهی دیگر می توان حملات را به سه بخش زیر تقسیم کرد که هر کدام از این بخشها را می توان جزئی از حمله فعال ذکر شده در بالا نیز محسوب کرد. در واقع حمله غیرفعال می تواند به طور غیرمستقیم بر روی عملکرد شبکه تاثیر بگذارد لذا آن را به عنوان یک مورد خاص هم می توان در نظر گرفت. در عمل همواره ترکیبی از حمله فعال به همراه غیرفعال وجود دارد.
حمله به قصد تغییر بر روی پروتوکلهای فعلی قابل اعمال است چرا که پروتوکلهای فعلی هیچ حفاظتی در برابر یکپارچگی اطلاعات ندارند لذا براحتی قابل تغییرند. در نتیجه گره خرابکار می تواند یکپارچگی محاسبات مسیریابی را با تغییر بر هم بزند و بدین طریق بسته های اطلاعات صحیح را دور بریزد و پروسه را به کشف مسیر نادرست هدایت کند و یا اینکه مسیر ترافیک را طولانی کند و یا اینکه باعث ازدیاد ترافیک در یک مسیر خاص شود.
حمله به قصد جعل هویت به این صورت است که گره خرابکار اصالت خود را به گره دیگری تغییر می دهد و از آنجا که در پروتوکلهای فعلی بسته ها احراز اصالت نمی شوند، مهاجم با هویت نادرست شناخته می شود. به این حمله در امنیت شبکه اصطلاحا Spoofing گفته می شود که در اینجا مهاجم حتی می تواند تصویر توپولوژی شبکه را تغییر دهد و یا در اطلاعات مسیریابی حلقه تکرار بینهایت ایجاد کند.
حمله به قصد جعل پیام برای تولید پیامهای مسیریابی غلط توسط گره مخرب و حذف گره همسایه با ارسال خطای مسیریابی جعلی است. متاسفانه این حملات به سختی قابل تشخیص اند چرا که جاعل پیام را نمی توان براحتی شناسایی کرد و مهاجم براحتی می تواند قسمتهای مختلف پیام را به نفع خود تنظیم کند و بعد آنها را در میان شبکه پخش کند.
از انواع دیگر حملات می توان حمله DoS را نام برد که مهاجم بسته صحیح داده را به قصد گسستن مسیریابی در مسیر غلط هدایت میکند. از دیگر انواع این حمله می توان از حمله مصرف منابع نام برد که در آن حمله کننده برای اشغال پهنای باند کانال، توان محاسباتی، یا حافظه گره ها به شبکه داده بی مورد تزریق میکند.
در حمله سیاهچاله مهاجم با انتشار اخبار دروغین مسیریابی برای کوتاهترین مسیر، ترافیک شبکه را به طرف خود جذب میکند و سپس آن را دور میریزد. مدل پیشرفته تر حمله سیاهچاله حمله Grey-hole است که در آن مهاجم تنها بسته های داده را دور میریزد، ولی بسته های مسیریابی را forward میکند تا مسیر ساختگی خود را پابرجا نگاه دارد!
در حمله انحراف بلاعوض مهاجم با افزودن گره های مجازی به اطلاعات مسیریابی مسیر را بلندتر نشان میدهد.
در حمله سریع مهاجم اخبار نادرست درخواست مسیر را به سرعت در سراسر شبکه پخش میکند تا گره ها به علت تکرار پیام درخواست صحیح مسیریابی را دور بریزند.
حمله لانه کرمی به عنوان یک حمله ماهرانه تلقی می شود که در آن دو مهاجم فعال با ایجاد یک تونل ارتباط خصوصی مجازی جریان عادی حرکت پیامها را اتصال کوتاه میکنند و با این روش می توانند دو گره غیرمجاور را با هم همسایه کنند و یا از پروتکل کشف مسیر جلوگیری کنند. متاسفانه بسیاری از پروتکلهای مسیریابی مانند DSR، AODV، OLSR، و TBRPF به این حمله آسیب پذیرند.
یکی از روشهای مقابله با حمله لانه کرمی استفاده از افسار بسته که به دو صورت جغرافیایی و زمانی انجام می شود. ایده اصلی آن است که گیرنده با احراز اصالت اطلاعات دقیق مکان یا زمان به همراه تمبر زمانی متوجه سفر غیرواقعی بسته برای یک توپولوژی خاص شبکه میشود.
تهیه و تنظیم مقاله:فخرالدین عمربیگی
هیچ نظری موجود نیست:
ارسال یک نظر