UNIVERZITET U SARAJEVUFAKULTET ZA SAOBRAAJ I KOMUNIKACIJE
SEMINARSKI RAD IZ PREDMETA:Mobilni komunikacijski sistemi Tema
rada: Sigurnost u mobilnim 3G komunikacijama
Predmetni nastavnik:Prof.dr. Himzo Bajri
Asistent:
Student:Leme Benjamin
Broj indeksa:6316
Usmjerenje:KT
Godina studija:III
Rezultat rada:
Datum: juni, 2015.
Sadraj
Uvod3Trea generacija - 3G4Arhitektura 3G-a6Sigurnost u mobilnim
3G komunikacijama8Mehanizam za proveru autentinosti i
ustanovljavanje kljua (aka)8Zatita integriteta podataka10KASUMI
algoritam11Sigurnosne prijetnje u UMTS mreama12ETSI TS 133 102
V7.1.0 Universal Mobile Telecommunications System (UMTS); 3G
security; Security architecture (3GPP TS 33.102 version 7.1.0
Release 7)15Sigurnosne karakteristike16Sigurnost aplikacija
(sigurna komunikacija izmeu USIM i mree)16Sigurnosni mehanizmi
mrenog pristupa16Mehanizmi sigurnosti aplikacija (Sigurnost
mobilnog IP-a)173rd Generation Partnership Project; Technical
Specification Group SA WG3; A Guide to 3rd Generation Security (3G
TR 33.900 version 1.2.0)17Suprostavljanje predvienim napadima na
3G17Mreni problemi sigurnosna politika18Elementi mrene sigurnosti u
interkonekcijama19Zakljuak20Popis slika21Literatura22
Uvod
Celularne komunkacije su vaan dio naeg svakodnevnog ivota. Osim
to mobilni telefon koristimo za glasnovnu komunikaciju, u mogunosti
smo da prenosimo poruke, pristupamo internetu i slino. Kako sam
beini prenos ima odreena ogranienja u odnosu na icu time je i tee
pruiti neke sigurnosne karakteristike kao autentifikacija,
integritet i povjerljivost. 3G mrea ima paketsko komutirano jezgro
koje je spojeno na internet pa je tako ranjivo na nove vrste napada
kao to su DoS, virusi, crvi i sl.Pitanju sigurnosti u 3G mreama je
posveena velika panja od samog poetka razvoja. Da bi se zadrala
kompatibilnost unazad, u mreama tree generacije raeno je po
principu poboljanja i unapreenja sigurnosti mrea druge generacije
kao i uvoenja novih i snanijih mehanizama zatite.
Trea generacija - 3G
3G je skraenica za treu generaciju mobilne telefonije. U osnovi
3G sistem daje veoma irok spektar novih mogunosti mobilnoj stanici.
3G dozvoljava istovremeni prenos govora, podataka, teksta, slika,
audio i video podataka. Imajui ovo u vidu, umjesto termina 3G
telefoni, bolje je rei 3G ureaji.[footnoteRef:1] [1:
http://bs.wikipedia.org/wiki/3G]
U treoj generaciji se upotrebljva preusmjeravanje paketa za
prijenos podataka te je omoguena VoIP (eng. Voice over Internet
Protocol) tehnologija proces digitaliziranja i slanja glasovnih
podataka putem Interneta i drugih podatkovnih mrea to dovodi do
smanjenja trokova telefoniranja i vee fleksibilnosti rada. Naglasak
na potrebama korisnika (poveanje brzine i koliine prijenosa
podataka).Sam 3G sistem omoguava: Mobilni pristup internetu velikim
brzinama Veliku ponudu zabave razliitih tipova (gledanje filmova,
slianje muzike) Praenje video konferencija (od sada u ureajima
postoji kamera) Mobilni oping (m-komerc)Informacije o putovanjima:
zakrenje na putevima, polasci aviona, autobusa, vozova i metroa. U
sluaju da se neko izgubi vrlo lako moe odrediti svoju tanu
poziciju. I naravno ureaj e uvek sluiti kao telefonOno to odlikuje
3G ureaje je takozvani globalni roming, tj. Mogunost koritenja 3G
ureaja bilo gdje u svijetu. To je jedan od glavnih principa na
kojima je bazirana 3G telefonija. Sigurnost koritenja 3G ureaja je
veoma vaan aspekt. Gubitak ureaja mora biti naznaen mrei u najkraem
roku. Ovo se moe rijeiti na osnovu PIN koda ili prenosivih smart
kartica.Mali prenosivi multifunkcionalni ureaj mora u odreenom
periodu raditi bez prestanka tako da njegovo napajanje mora biti
zasnovano na punjivim baterijama visokog kapaciteta. WCDMA beini
interfejs, koji se takoe naziva i UMTS zemaljski radio pristup
(UTRA), razvijen od strane drutva za projekat mobilne telefonije
tree generacije (3GPP). 3GPP ima za cilj da uskladi i do detalja
standardizuje sline predloge od strane ETSI, ARIB, TTC, TTA i T1.
WCDMA (Wideband Code-Division Multiple-Access) je jedna od glavnih
tehnologija za implementaciju mobilnih sistema tree generacije.
Baziran je na tehnologiji beinog pristupa, propisanoj 1999. godine
od strane ETSI Alpha group.Standardi u 3G-u; UMTS CDMA2000 WCDMA
TD-SCDMA UMTS (eng. Universal Mobile Telecommunications System) je
jedan od najee koritenih standarda tree generacije. Izgraen je na
konceptu koji je zapoeo GSM i zbog toga veina mobilnih ureaja
takoer podrava i GSM (dualno koritenje istog ureaja rezultira
hibridnom mreom 3GSM, ime se naglaava povezanost UMTS-a s GSM
tehnologijom). Najvanije karakteristike: omoguuje prijenos podataka
teoretskim brzinama do 2 Mb/s, dok su realne brzine puno nie, do
384 kbit/s, no i to je dvostruko bre od EDGE, odnosno etverostruko
bre od GPRS tehnologije velike brzine prijenosa koje prua se
uglavnom koriste za pristup Internetu te zadovoljavaju potrebe
prosjenog korisnika kombinacija interneta i mobilnih mrea dovodi do
novih komunikacijskih rjeenja (npr. video pozivi) i omoguuje
prijenos govora, podataka i multimedije. UMTS koristi dva razliita
suelja za beinu komunikaciju: MAP jezgru GSM-a skupinu pretvaraa
govora u digitalni signal i obratno uz komprimiranje signala
Dakle, koristi jezgrenu mreu GSM/GPRS standarda no ima potpuno
drugaiju radijsko pristupnu mreu: koristi sistem irokopojasnog
viestrukog pristupa sa kodnom raspodjelom (Wideband Code Division
Multiple Access, WCDMA) umjesto viestrukog pristupa sa vremenskom
raspodjelom (Time Division Multiple Access, TDMA) koji se koristio
u GSM/GPRS mreama. Telefoni koji podravaju UMTS dizajnirani su tako
da se jednostavno prebacuju s mobilne mree jedne drave na mobilnu
mreu druge drave (roaming usluga).
Arhitektura 3G-a
Evolucija jezgrenih mobilnih sistemskih komponenti, diktirana je
2G/3G/4G pristupnim rjeenjima, te servisnim izvedbama koje se na
takvim pristupima mogu plasirati. U tom smislu, bitan generacijski
skok je svakako dodavanje paketske komutacione domene u jezgro
mobilne mree sa pojavom GPRS/EDGE-a u 2G izvedbi. U daljnjim
generacijama se paketski domen, konstantno nadograuje u pravcu
podrke viegeneracijskim 3GPP pristupima, te naprednim funkcijama
potrebnim za nove servise. Meutim, pored ovog nunog trenda razvoja
jezgra, postoje i trendovi voeni All-IP konceptom, te FMC (Fixed
Mobile Convergence) strategijom razvoja. Uvoenjem All-IP koncepta u
jezgro mobilne mree, do tada SS7 bazirani interfejsi migriraju u IP
izvedbe, smanjuje se broj vorova na putu paketa, izravnava se
arhitektura mree i smanjuje kanjenje, te uvode napredni IP bazirani
mehanizmi obrade paketa na korisnikoj putanji, to sveukupno
rezultuje poveanjem performansi jezgra mobilne mree. Bitno je
naglasiti da All-IP koncept u mobilnim mreama, nije proces samo
pukog uvoenja dotadanjih IP rjeenja kakva su egzistirala u fiksnim
paketskim okolinama, ve proces dorade tih IP osnova za upotrebu u
mobilnim okolinama uvaavajui karakteristinosti mobilnog prenosa.
Fiksno mobilna konvergencija, u jezgro mobilnih mrea uvodi dodatni
evolutivni skok, paketsko jezgro se translira u unaprijeeno
paketsko jezgro (Enhanced Packet Core) koje agregira sve
irokopojasne pristupe, 3GPP bazirane i ne-3GPP bazirane, u
jedinstvenu komutacionu ravan.Kljuni trend razvoja servisnih domene
je uvoenje Internet multimedijskog podsistema IMS (Internet
Multimedia Subsystem), a na njegovoj osnovi i fiksno mobilne
konvergencije servisa, te brodkasting tehnologije. Sa tog aspekta
cilj je omoguavanje jedinstvenih servisa, kroz IP replike
naslijeenih te potpuno novih kroz IMS i TV mogunosti, nezavisno od
tehnologije pristupa, te korisnikog ureaja, a u skladu sa
maksimalnim kvalitetom pruanja. Ovo direktno namee konvergenciju
jezgrenih funkcija, poput jedinstvenog tarifiranja i obrauna,
jedinstvene autorizacije i autentifikacije za servis, te uvodi
procese rezervacije i garancije kvaliteta pruenog servisa u
mobilnim uslovima. Dodatna vana pojava koja je povezana sa razvojem
servisne okoline, je otvaranje operatorskih domena ka vanjskim
davaocima sadraja. Dosadanja interfejsna rjeenja nisu bila
standardizovana, ve namjenski pravljena za pojedini kanal pristupa
te pojedinu funkciju ili karakteristina za pojedinog operatora ili
njihovog vendora. Poevi od Rel 99, UMTS izvedba koja se mogla i
komercijalno implementirati, predstavljala je jezgreni pomak u
smislu dodavanja podrke za dual access 2G i 3G. Interfejsi u jezgru
i u radio pristupnoj mrei su i dalje ATM bazirani, a vre se pomaci
u performansama unutar GSM tj. GPRS/EDGE pristupnih
mrea.[footnoteRef:2] [2: Signalizacioni sistemi u mobilnim elijskim
mreama, prof.dr. Mesuh Hadiali, doc.dr. Jasmina Barakovi Husi]
Slika 1 Arhitektura 3G mree
Sigurnost u mobilnim 3G komunikacijama
Sigurnosnu arhitekturu u UMTS-u ini 5 dijelova: siguran pristup
mrei sigurnost u mrenom domenu sigurnost u korisnikom domenu
sigurnost u aplikacionom domenu vidljivost i mogunost
konfigurisanja sigurnosnih karakteristika.
Posljednjim specifikacijama UMTS-a (Release 5) koje je 3GPP
izdala 2000. god. predloen je potpuni prelazak na IP multimedijalne
mree. Sa razvojem IPv6 i ve poznatim problemima bezbednosti na
internetu i u raunarskim mreama, kao i odgovorima na njih u vidu
algoritama, mrenih barijera (firewalls) i odgovarajuih zatita koje
se mogu primjeniti u IP multimedijalnim mreama, ostaje kritian
jedino bezbjedan pristup mrei. Njemu je posveena i najvea panja u
3G mreama.
Mehanizam za proveru autentinosti i ustanovljavanje kljua
(aka)
Pri uspostavljanju konekcije izmeu korisnika i uslune mree vri
se provjera autentinosti svakog od uesnika u konekciji, pomou
tajnog kljua K, duine 128 bita, koji je poznat i dostupan samo
korisnikom USIM-u i centru za proveru autentinosti (AuC) u
korisnikovom domaem okruenju (HE). Mehanizam za provjeru se sastoji
iz zahtjev/odgovor protokola koji je identian sa provjerom
autentinosti korisnika u GSMu i protokola za ustanovljavanje kljua
povezanog sa jednoprolaznim protokolom za proveru autentinosti mree
na osnovu broja sekvence, ime je omogueno da jedan uesnik provjeri
identitet drugog bez otkrivanja tajne lozinke koja je poznata
uesnicima.
Slika 2 Provera autentinosti i ustanovljavanje kljua
Vektor autentinosti AV koji generie AuC, se sastoji iz sljedeih
pet parametara: sluajnog broja RAND, duine 128 bita, oekivanog
odgovora XRES, promenljive duine izmeu 32 i 128 bita, kljua za
ifrovanje CK, duine 128 bita, kljua integriteta IK, duine 128 bita
i oznake autentinosti AUTN, koja u sebi sadri kod autentinosti
poruke MAC, duine 64 bita.
Zatita integriteta podataka
Po uspostavljanju konekcije i zavretku procedure za odreivanje
sigurnosnog reima rada, nad svim signalnim porukama se vri zatita
integriteta, kao to je prikazano na slici 3.Slika 3 Izraunavanje
koda integriteta poruke MAC-I i oekivanog koda XMAC-I
Slika 4 Izraunavanje koda integriteta poruke MAC-I i oekivanog
koda XMAC-I
Parametri koji se koriste pri izraunavanju koda integriteta su:
klju integriteta IK, vrijednost brojaa sekvence integriteta
COUNT-I, sluajan broj koji je generisan od strane mree FRESH,
smijer u kome se alje poruka i sama poruka.
Za izraunavanje se koristi algoritam za zatitu integriteta f9
(predloen Kasumi algoritam). Izraunati kod integriteta MAC-I se
zatim dodaje poruci i alje putem radio veze. Po prijemu poruke,
primalac rauna oekivani kod integriteta XMAC-I, na isti nain kao i
poiljalac, i poredi ga sa MAC-I da bi provjerio integritet poruke.
FRESH parametar slui da zatiti mreu od ponovnog slanja signalnih
poruka od strane korisnika. Pri uspostavljanju konekcije, RNC na
sluajan nain generie vrijednost FRESH i alje je korisniku. Nadalje
se ta vrijednost FRESH-a dodaje svim signalnim porukama (sa strane
korisnika i sa strane mree) prije izraunavanja koda integriteta,
ime se korisnik sprijeava od upotrebe starog MAC-I (tj. stare
poruke). Pri promjeni uslunog mrenog radio centra (SRNC), novi SRNC
generie novu vrijednost FRESH, i alje je korisniku zajedno sa novim
privremenim identitetom.[footnoteRef:3] [3:
http://www.telfor.rs/telfor2004/radovi/S-12-3.PDF]
KASUMI algoritam
3G mree pruaju veu sigurnost nego njihov prethodnik 2G.
Omoguavajui korisnikoj opremi (UE) da autentifikuje mreu na koju je
spojena, korisnik moe biti siguran da je to stvarna mrea a ne njena
interpretacija. 3G mree koriste KASUMI block chipper umjesto starog
A5/1 stream chipera. Ali je i kod KASUMI-a pronaeno nekliko
nedostataka.[footnoteRef:4] [4:
http://en.wikipedia.org/wiki/3G]
KASUMI je block chiper (deterministiki algoritam) koji se
koristi kod UMTS, GSM i GPRS mobilnih komunikacijskih sistema. Kod
UMTS-a se koristi u algoritmima za povjerljivost (f8) i integritet
(f9) sa imenima UEA1 i UIA1. KASUMI je dizajniran za 3GPP da se
koristi u UMTS sigurnosnim sistemima.[footnoteRef:5] [5:
http://en.wikipedia.org/wiki/KASUMI]
Slika 5 Izgled KASUMI ciphera
KASUMI algoritam je specificiran u 3GPP tehnikim
specifikacijama. To je block cipher sa 128-bit kljuem i 64-bit
ulazom i izlazom. 128-bit klju K je podjeljen u osam 16-bit
podkljueva Ki:
KASUMI algoritam procesuira 64-bit rijei u dvije 32-bit
polovine, lijeva (Li) i desna (Ri). Ulazna rije je povezana i da
desnom i sa lijevom polovinom.
U svakom koraku desna polovina je XOR-ovana sa izlazom funkcije
nakon kojeg se polovine mijenjaju:
Sigurnosne prijetnje u UMTS mreama
Sigurnost GSM/GPRS mrea je umjerenog nivoa. Prije pojave GPRS
iUMTSprotokola, GSM mree su korisnicima pruale dovoljnu sigurnosnu
zatitu. Pojavom GPRS i UMTS tehnologija koje su se ili nadograivale
ili su osmiljene tako da budu kompatibilnesa GSM sistemom, poveale
su se brzine prenosa i kapacitet komunikacijskihkanala. Takoe,
poveao se broj usluga koji se nudi korisnicima, kao to je prenos
multimedijalnog sadraja. Uprkos reavanju nekih sigurnosnih
problema, sigurnosne prijetnje jo uvek postoje i napadai stalno
smiljaju nove naine napada.Uspjeni napadi na mobilnu mreu ukljuuju
: prislukivanje i/ili lano predstavljanje, oponaanje mree,
preuzimanje kontrole nad dijelom sistema, brisanje ili slanje lanih
signala, kraa korisnikihpodataka.Uspjean napad podrazumeva da
napada posjeduje posebno prilagoen mobilni ureaj i/ili baznu
stanicu (odailja).
Napada moe izvesti napad uskraivanja usluga slanjem posebno
oblikovanih zahtjeva za odjavom ili obnovom poloaja mobilnog ureaja
iz podruja u kojem se korisnik ne nalazi. Ukoliko izvodi napad s
ovjekom u sredini, napada se upotrebom prilagoenog mobilnog ureaja
ili bazne stanice ubaci izmeu mree i korisnika. Mobilni korisnici
se identifikuju upotrebom privremenih identiteta, no postoje
sluajevi kada mrea trai korisnika da poalje svoj pravi identitet u
obliku jasnog teksta. Napadi koje napada moe izvesti u ovoj
situaciji su: pasivna kraa identiteta napada ima prilagoeni mobilni
ureaj i pasivno eka pojavu nove registracije ili ruenje baze
podataka jer se u tim sluajevima od korisnika trai da poalje svoje
podatke u istom tekstu. aktivna kraa identiteta napada ima
prilagoenu temeljnu stanicu stoga podstie korisnika da se prikljui
na njegovu stanicu. Zatim ga trai da mu poalje IMSI.
Napada se moe maskirati i pretvarati da je pravamobilna mrea. To
moe uiniti na sljedee naine: Ukidanjem enkripcije izmeu korisnika i
napadaa napada s prilagoenom baznom stanicom podstie korisnika na
prijavu na njegovu lanu stanicu i kada korisnik koristi usluge
stanice, opcijakriptovanjanije ukljuena. Ukidanjem enkripcije izmeu
korisnika i prave mree u ovom sluaju tokom uspostave poziva
mogunosti kriptovanja mobilnog ureaja su promjenjene i mrei se ini
kao da postoji razlika izmeu algoritma kriptovanja i autentikacije.
Nakon toga mrea moe odluiti uspostaviti nekriptovanu vezu. Napada
prekida vezu i lano se predstavlja mrei kao korisnik.
Napada moe izvesti napad lano se predstavljajui kao obian
korisnik: Upotrebom ugroenog autentikacijskog vektora napada s
prilagoenim mobilnim ureajem i ugroenim autentikacijskim vektorom
oponaa korisnika prema mrei i ostalim korisnicima. Prislukivanjem
postupka autentikacije napada s prilagoenim mobilnim ureajem
koristi podatke koje je dobio prislukivanjem. Otimanjem odlaznih
pozivau mreama s iskljuenom enkripcijom. Otimanjem dolaznih
pozivakod kojih je iskljuena enkripcija.
Slika 6 Prenos podataka od poiljatelja do primatelja
ETSI TS 133 102 V7.1.0 Universal Mobile Telecommunications
System (UMTS); 3G security; Security architecture (3GPP TS 33.102
version 7.1.0 Release 7)
Pregled sigurnosne arhitekture 3G-a
Slika 7 Pregled sigurnosne arhitekture 3G-a
Definisano je pet sigurnosnih grupa. Svaka od grupa se susree sa
razliitim prijetnjama i obavlja sljedee aktivnosti: Network acces
security (I): set sigurnosnih postavki koje pruaju korisniku
siguran pristup 3G uslugama i koje posebno tite od napada na
pristpni link; Network domain security (II): set postavki koje
omoguavaju vorovima u domeni provajdera da sigurno razmjenjuju
signalne podatke; User domain security (III): set postavki koje
osiguravaju pristup mobilnoj stanici; Aplication domain security
(IV): set postavki koje omoguavaju aplikacijama u korisnikom i
provajderskom dijelu da sigurno razmjenjuju poruke; Visibility and
configurability of security (V): set postavki kojeomoguavaju
korisniku da se sam informie da li je data sigurnosna postavka u
funkciji ili nije;
Sigurnosne karakteristike
Omoguene su sljedee sigurnosne karakteristike za povjerljivost
korisnikog identiteta: User identity confidentiality: imovina
(IMSI) koja trajnom korisniku kojem se usluga dostavlja ne moe biti
prislukivana putem radio linka; User location confidentiality:
imovina koja vlastitom ili gostujuem korisniku u odreenoj zoni ne
moe biti prislukivana putem radio linka; User intraceability;
imovina koja napadau ne moe pomoi da odredi da li se usluge
dostavljaju odreenom korisniku putem prislukivanja radio linka;
Sigurnost aplikacija (sigurna komunikacija izmeu USIM i
mree)
USIM aplikacijski paket je specificiran u TS 31.111, omoguava
operatorima ili treem licu da kreira aplikacije za USIM (slino kao
SIM aplikacijski paket u GSM-u). Postoji potreba za osiguranjem
poruka koje su poslane preko mree do aplikacije u USIM-u, sa nivoom
sigurnosti odabranim od strane mrenog operatera ili provajdera
aplikacije.Sigurnosne karakteristike za USIM aplikacije su
implementirane grupom mehanizama opisanim u TS 23.048.
Sigurnosni mehanizmi mrenog pristupa
Ovi mehanizmi omoguavaju identifikaciju korisnika na radio
pristupnom linku putem privremenog mobilnog pretplatnikog
identiteta (TMSI). TMSI ima lokalni znaaj samo u lokalnom okruenju
ili ruting okruenju u kojem su korisnici registrovani. Izvan tog
okruenja trebao bi da bude zajedno sa Local Area Identification
(LAI) ili Routing Area Identification (RAI) da bi se izbjegle
nejasnoe. Veza izmeu trajnog i privremenog korisnikog identiteta se
uva u Registru Gostujuih korisnika (VLR).TMSI kada je mogue, se
koristi da identifikuje korisnika na pristupnom putu, zahtjev za
lokacijom, zahtjev za uslugom i slino.
Mehanizmi sigurnosti aplikacija (Sigurnost mobilnog IP-a)
Uvoenje funkcionalnosti mobilnog IP-a za krajnje korisnike u 3G
nema uticaja na sigurnosnu arhitekturu za 3G.Mobilni IP terminali
mogu biti opremljeni sa sigurnosnim funkcijama nezavisno od 3G
mrenog sigurnosnog pristupa kako bi onoguili sigurnosne funkcije
izvan 3G mree.3G mree, koje podravaju mobilne IP servise, bi rebale
da podravaju nerazdvojive sigurnosne funkcije.Sa druge strane, 3G
mrena sigurnosna arhitektura ne bi trebala da utie ili smanjuje
mobilne IP mogunosti.
3rd Generation Partnership Project; Technical Specification
Group SA WG3; A Guide to 3rd Generation Security (3G TR 33.900
version 1.2.0)
Suprostavljanje predvienim napadima na 3G
Mnoga od sigurnosnih poboljanja potrebnih za 2G sisteme u
napravljeni da bi se suspostavili napadima koji nisu predvieni u 2G
sistemima. Ovo ukljuuje i napade koji su, ili e biti mogui, sada
ili ubrzo zbog toga to napadai imaju pristup novoj opremi te novim
raunarskim mogunostima a i fizika sigurnost za neke mrene elemente
je upitna.Da bi bio u mogunosti izvriti napad napada mora
posjedovati jedau ili vie sljedeih sposobnosti: Prislukivanje
(Eavesdropping) ovo je sposobnost da napada prislukuje signalne ili
podatkovne konekcije povezane sa korisnikom. Predstavljanje kao
korisnik (Impersonation of a user) Ova sposobnost se odnosti da
napada alje signalne ili paketske podatke na mree kako bi pokuao
uvjeriti mreu da su ti podaci zapravo od korisnika. Predstavljanje
kao mrea (Impersonation of the network) Ova sposobnost se odnosi da
napada alje signalne ili paketske podatke korisniku kako bi pokuao
uvjeriti korisnika da su ti podaci zapravo od mree. ovjek u sredini
(Man-in-the-middle) Ova sposobnost se odnosti da se napada postavi
izmeu mete i mree te da ima sposobnost da prislukuje, mijenja,
brie, ponavlja signalne i korisnike poruke. Ugroavanje
autentifikacijskih vektora na mrei Napada posjeduje Vektor za
ugroavanje autentifikacije, koji moe da sadri ifrirane i kljueve za
integritet. Ovi podaci se mogu dobiti napadom na mrene vorove ili
presretanjem signalnih poruka na mrenim linkovima.
Prva sposobnost je najlaka za ostvariti dok su ostale mnogo
kompleksnije i zahtjevaju vee investicije od napadaa. Tako da
ukoliko korisnik ima neku od navedenih sposobnosti veoma je mogue
da ima i ostale sa liste. Prve dvije sa liste su priznate u
dizajniranju 2G sistema. 3G sigurnost bi trebala da osjeti svih pet
tipova napada.
Mreni problemi sigurnosna politika
Pristupna kontrolna politika sa obzirom na 3GPP mrene elemente
bi trebala biti dosljedna optoj politici kontrole pristupa. U
osnovi pravila bi se trebala odnostiti na:1. U dobijanju korisnikog
pristupa za 3GPP mrene elemente ili podrane IT sisteme potrebno je
sljediti sljedee principe: Svaki zaposlenik bi trebao da ima
pristup onim resursima koji su mu neophodni za obavljanje posla
Princip pozitivne pristupne kontrole bi trebao biti primjenjen, to
znai da je zaposlenik autorizovan da izvri one operacije za koje je
dobio nadlenost Pravo pristupa resursima bi trebalo dobiti samo
onda kada je to potrebno te da ovlast prestaje kada nije vie
potrebno za izvrenje zadataka
2. Zaposlenici bi trebali da imaju odgovornost to se tie
kontrole pristupa i kontrole skladitenja. Komponente za davanje
pristupa ne bi trebale biti pohranjene zajedno sa raunarima sa
kojih se pristupa mrenim elementima ili IT sistemima.
3. Svaki korisnik za dati sistem treba obezbjediti da
identifikatorima (korisniko ime, log-in name) koje je unikatno za
taj radni okvir ili kompaniju. Principi se odnose na:
Korisniki identifikator ne bi trebao biti umjean u izdavanje
dozvole Identifikacija ne bi trebala davati nikakae indikacije za
korisnike dozvole u sistemu Koritenje grupne identifikacije bi
trebala biti mogua samo u izuzetnim situacijama
Davanje potpune ili djelimino velike ovlasti pristupa resursima
bi trebala biti ograniena ili strogo kontrolisana.
Elementi mrene sigurnosti u interkonekcijama
3GPP mreni elementi moraju pruiti sredstva za udaljeno
upravljanje, odravanje i komunikaciju sa IT sistemima (npr biling
sistem). Obino se korporativne raunarske mree koriste u ove svrhe.
Ovo omoguuje manje trokove infrastrukture ali ima i sigurnosne
prijetnje za 3GPP entitete. Ako se ne bi primjenila sigurnost,
obino svaki korisnik korporativne mree moe pokuati pristupiti
udaljeno na 3GPP mreni element, ukoliko zna negovu mrenu adresu.Kao
princip, 3GPP mreni elementi bi trebali biti razdvojeni, barem
logiki od korporativne raunarske mree. Svaki korisnik treba dobiti
korisniko ime i ifru da bi mogao pristupiti mrenom elementu.
Odgovarajue aplikacije i sistemske prijave bi trebale da budu
odravane, pregledane i zatiene.Udaljeni pristup mrenim entitetima
bi trebao biti zatien od prislukivanja i napada na sesije.
Zakljuak
Iz seminarskog rada se moe zakljuiti da je postignut prilino
dobar nivo zatite podataka u 3G mreama. Takoer, sigurnosne mjere u
3G mreama se mogu lako mijenjati i unaprjeivati u skladu sa uoenim
potrebama. Na alost, jedan tip napada ne moe biti sprijeen
odbijanje servisa, napad koji je do sada posebno pogaao sajtove na
internetu. Napada moe lako zaguiti mreu lanim zahtjevima ili
izmjenom podataka onemoguiti uspostavljanje konekcije. Nemogunost
ostvarenja konekcije je moda bezbjednija po pitanju zatite podataka
od kompromitovane konekcije, ali korisnik ne moe obaviti eljene
poslove, ime i sama zatita gubi smisao. Jedan od kljunih faktora za
uspijeh mobilne tehnologije je mogunost pruanja poboljane
funkcionalnosti koja se moe uporediti sa fiksnim mreama. Uz to,
razvijene su napredne i dalekosene mree koje omoguuju korisnicima
laku dostupnost podataka, brze i efikasne komunikacije i
jednostavan pristup Internetu. Usluge 3G mrea nude poboljanu
funkcionalnost mobilnih ureaja i neometan tok podataka. Takve su
usluge svakodnevica i mogue je rei sa sigurnou da e pruioci usluga
nadograditi postojee strukture tako da podravaju nove tehnologije.
U tom postupku potrebno je paziti na pojavu sigurnosnih nedostataka
koji su vezani upravo uz nadogradnju usluga. Postojea zatita je
dovoljno dobra za stare tehnologije, pa je s nadogradnjom sistema
potrebno nadograditi i obnoviti zatitu mobilnih sistema. Pruitelji
usluga moraju prilagoditi sigurnosne mjere razvoju tehnologije i
sprijeiti napadae od ugroavanja dostupnosti mree, besprjekornosti
podataka i povjerljivosti informacija. Iako sigurnost 3G mrea
oznaava veliki korak naprijed u odnosu na prole generacije, jo uvek
postoje sigurnosni propusti koje treba rijeiti u budunosti. Mobilni
ureaji i mree su se ponudom usluga pribliili funkcionalnostima
raunara. Korisnici svih mobilnih ureaja, a pogotovo tree i etvrte
generacije, trebaju biti svjesni sigurnosnih prijetnji koje se
javljaju upotrebom mobilnih tehnologija i primjeniti mjere
zatite.
Popis slika
Slika 1 Arhitektura 3G mree7Slika 2 Provera autentinosti i
ustanovljavanje kljua9Slika 3 Izraunavanje koda integriteta poruke
MAC-I i oekivanog koda XMAC-I10Slika 4 Izraunavanje koda
integriteta poruke MAC-I i oekivanog koda XMAC-I10Slika 5 Izgled
KASUMI ciphera11Slika 6 Prenos podataka od poiljatelja do
primatelja14Slika 7 Pregled sigurnosne arhitekture 3G-a15
Literatura
Signalizacioni sistemi u mobilnim elijskim mreama, prof.dr.
Mesuh Hadiali, doc.dr. Jasmina Barakovi Husi ETSI TS 133 102 V7.1.0
Universal Mobile Telecommunications System (UMTS); 3G security;
Security architecture (3GPP TS 33.102 version 7.1.0 Release 7)
3rd Generation Partnership Project; Technical Specification
Group SA WG3; A Guide to 3rd Generation Security (3G TR 33.900
version 1.2.0)
Internet: http://bs.wikipedia.org/wiki/3G
http://sr.wikipedia.org/wiki/Zloupotreba_GSM_telekomunikacija
http://en.wikipedia.org/wiki/3G
http://www.telfor.rs/telfor2004/radovi/S-12-3.PDF
http://en.wikipedia.org/wiki/KASUMI
21