Upload File

sigurnost u mobilnim 3g komunikacijama

27
UNIVERZITET U SARAJEVU FAKULTET ZA SAOBRAĆAJ I KOMUNIKACIJE SEMINARSKI RAD IZ PREDMETA: Mobilni komunikacijski sistemi Tema rada: Sigurnost u mobilnim 3G komunikacijama Predmetni nastavnik: Prof.dr. Himzo Bajrić Asistent: Student: Lemeš Benjamin Broj indeksa: 6316 Usmjerenje: KT Godina studija: III Rezultat rada:

Upload: benjamin-lemes

Post on 14-Sep-2015

263 views

Category:

Documents


8 download

Report

DESCRIPTION

Sigurnost u Mobilnim 3G Komunikacijama

TRANSCRIPT

UNIVERZITET U SARAJEVUFAKULTET ZA SAOBRAAJ I KOMUNIKACIJE

SEMINARSKI RAD IZ PREDMETA:Mobilni komunikacijski sistemi Tema rada: Sigurnost u mobilnim 3G komunikacijama

Predmetni nastavnik:Prof.dr. Himzo Bajri

Asistent:

Student:Leme Benjamin

Broj indeksa:6316

Usmjerenje:KT

Godina studija:III

Rezultat rada:

Datum: juni, 2015.

Sadraj

Uvod3Trea generacija - 3G4Arhitektura 3G-a6Sigurnost u mobilnim 3G komunikacijama8Mehanizam za proveru autentinosti i ustanovljavanje kljua (aka)8Zatita integriteta podataka10KASUMI algoritam11Sigurnosne prijetnje u UMTS mreama12ETSI TS 133 102 V7.1.0 Universal Mobile Telecommunications System (UMTS); 3G security; Security architecture (3GPP TS 33.102 version 7.1.0 Release 7)15Sigurnosne karakteristike16Sigurnost aplikacija (sigurna komunikacija izmeu USIM i mree)16Sigurnosni mehanizmi mrenog pristupa16Mehanizmi sigurnosti aplikacija (Sigurnost mobilnog IP-a)173rd Generation Partnership Project; Technical Specification Group SA WG3; A Guide to 3rd Generation Security (3G TR 33.900 version 1.2.0)17Suprostavljanje predvienim napadima na 3G17Mreni problemi sigurnosna politika18Elementi mrene sigurnosti u interkonekcijama19Zakljuak20Popis slika21Literatura22

Uvod

Celularne komunkacije su vaan dio naeg svakodnevnog ivota. Osim to mobilni telefon koristimo za glasnovnu komunikaciju, u mogunosti smo da prenosimo poruke, pristupamo internetu i slino. Kako sam beini prenos ima odreena ogranienja u odnosu na icu time je i tee pruiti neke sigurnosne karakteristike kao autentifikacija, integritet i povjerljivost. 3G mrea ima paketsko komutirano jezgro koje je spojeno na internet pa je tako ranjivo na nove vrste napada kao to su DoS, virusi, crvi i sl.Pitanju sigurnosti u 3G mreama je posveena velika panja od samog poetka razvoja. Da bi se zadrala kompatibilnost unazad, u mreama tree generacije raeno je po principu poboljanja i unapreenja sigurnosti mrea druge generacije kao i uvoenja novih i snanijih mehanizama zatite.

Trea generacija - 3G

3G je skraenica za treu generaciju mobilne telefonije. U osnovi 3G sistem daje veoma irok spektar novih mogunosti mobilnoj stanici. 3G dozvoljava istovremeni prenos govora, podataka, teksta, slika, audio i video podataka. Imajui ovo u vidu, umjesto termina 3G telefoni, bolje je rei 3G ureaji.[footnoteRef:1] [1: http://bs.wikipedia.org/wiki/3G]

U treoj generaciji se upotrebljva preusmjeravanje paketa za prijenos podataka te je omoguena VoIP (eng. Voice over Internet Protocol) tehnologija proces digitaliziranja i slanja glasovnih podataka putem Interneta i drugih podatkovnih mrea to dovodi do smanjenja trokova telefoniranja i vee fleksibilnosti rada. Naglasak na potrebama korisnika (poveanje brzine i koliine prijenosa podataka).Sam 3G sistem omoguava: Mobilni pristup internetu velikim brzinama Veliku ponudu zabave razliitih tipova (gledanje filmova, slianje muzike) Praenje video konferencija (od sada u ureajima postoji kamera) Mobilni oping (m-komerc)Informacije o putovanjima: zakrenje na putevima, polasci aviona, autobusa, vozova i metroa. U sluaju da se neko izgubi vrlo lako moe odrediti svoju tanu poziciju. I naravno ureaj e uvek sluiti kao telefonOno to odlikuje 3G ureaje je takozvani globalni roming, tj. Mogunost koritenja 3G ureaja bilo gdje u svijetu. To je jedan od glavnih principa na kojima je bazirana 3G telefonija. Sigurnost koritenja 3G ureaja je veoma vaan aspekt. Gubitak ureaja mora biti naznaen mrei u najkraem roku. Ovo se moe rijeiti na osnovu PIN koda ili prenosivih smart kartica.Mali prenosivi multifunkcionalni ureaj mora u odreenom periodu raditi bez prestanka tako da njegovo napajanje mora biti zasnovano na punjivim baterijama visokog kapaciteta. WCDMA beini interfejs, koji se takoe naziva i UMTS zemaljski radio pristup (UTRA), razvijen od strane drutva za projekat mobilne telefonije tree generacije (3GPP). 3GPP ima za cilj da uskladi i do detalja standardizuje sline predloge od strane ETSI, ARIB, TTC, TTA i T1. WCDMA (Wideband Code-Division Multiple-Access) je jedna od glavnih tehnologija za implementaciju mobilnih sistema tree generacije. Baziran je na tehnologiji beinog pristupa, propisanoj 1999. godine od strane ETSI Alpha group.Standardi u 3G-u; UMTS CDMA2000 WCDMA TD-SCDMA UMTS (eng. Universal Mobile Telecommunications System) je jedan od najee koritenih standarda tree generacije. Izgraen je na konceptu koji je zapoeo GSM i zbog toga veina mobilnih ureaja takoer podrava i GSM (dualno koritenje istog ureaja rezultira hibridnom mreom 3GSM, ime se naglaava povezanost UMTS-a s GSM tehnologijom). Najvanije karakteristike: omoguuje prijenos podataka teoretskim brzinama do 2 Mb/s, dok su realne brzine puno nie, do 384 kbit/s, no i to je dvostruko bre od EDGE, odnosno etverostruko bre od GPRS tehnologije velike brzine prijenosa koje prua se uglavnom koriste za pristup Internetu te zadovoljavaju potrebe prosjenog korisnika kombinacija interneta i mobilnih mrea dovodi do novih komunikacijskih rjeenja (npr. video pozivi) i omoguuje prijenos govora, podataka i multimedije. UMTS koristi dva razliita suelja za beinu komunikaciju: MAP jezgru GSM-a skupinu pretvaraa govora u digitalni signal i obratno uz komprimiranje signala

Dakle, koristi jezgrenu mreu GSM/GPRS standarda no ima potpuno drugaiju radijsko pristupnu mreu: koristi sistem irokopojasnog viestrukog pristupa sa kodnom raspodjelom (Wideband Code Division Multiple Access, WCDMA) umjesto viestrukog pristupa sa vremenskom raspodjelom (Time Division Multiple Access, TDMA) koji se koristio u GSM/GPRS mreama. Telefoni koji podravaju UMTS dizajnirani su tako da se jednostavno prebacuju s mobilne mree jedne drave na mobilnu mreu druge drave (roaming usluga).

Arhitektura 3G-a

Evolucija jezgrenih mobilnih sistemskih komponenti, diktirana je 2G/3G/4G pristupnim rjeenjima, te servisnim izvedbama koje se na takvim pristupima mogu plasirati. U tom smislu, bitan generacijski skok je svakako dodavanje paketske komutacione domene u jezgro mobilne mree sa pojavom GPRS/EDGE-a u 2G izvedbi. U daljnjim generacijama se paketski domen, konstantno nadograuje u pravcu podrke viegeneracijskim 3GPP pristupima, te naprednim funkcijama potrebnim za nove servise. Meutim, pored ovog nunog trenda razvoja jezgra, postoje i trendovi voeni All-IP konceptom, te FMC (Fixed Mobile Convergence) strategijom razvoja. Uvoenjem All-IP koncepta u jezgro mobilne mree, do tada SS7 bazirani interfejsi migriraju u IP izvedbe, smanjuje se broj vorova na putu paketa, izravnava se arhitektura mree i smanjuje kanjenje, te uvode napredni IP bazirani mehanizmi obrade paketa na korisnikoj putanji, to sveukupno rezultuje poveanjem performansi jezgra mobilne mree. Bitno je naglasiti da All-IP koncept u mobilnim mreama, nije proces samo pukog uvoenja dotadanjih IP rjeenja kakva su egzistirala u fiksnim paketskim okolinama, ve proces dorade tih IP osnova za upotrebu u mobilnim okolinama uvaavajui karakteristinosti mobilnog prenosa. Fiksno mobilna konvergencija, u jezgro mobilnih mrea uvodi dodatni evolutivni skok, paketsko jezgro se translira u unaprijeeno paketsko jezgro (Enhanced Packet Core) koje agregira sve irokopojasne pristupe, 3GPP bazirane i ne-3GPP bazirane, u jedinstvenu komutacionu ravan.Kljuni trend razvoja servisnih domene je uvoenje Internet multimedijskog podsistema IMS (Internet Multimedia Subsystem), a na njegovoj osnovi i fiksno mobilne konvergencije servisa, te brodkasting tehnologije. Sa tog aspekta cilj je omoguavanje jedinstvenih servisa, kroz IP replike naslijeenih te potpuno novih kroz IMS i TV mogunosti, nezavisno od tehnologije pristupa, te korisnikog ureaja, a u skladu sa maksimalnim kvalitetom pruanja. Ovo direktno namee konvergenciju jezgrenih funkcija, poput jedinstvenog tarifiranja i obrauna, jedinstvene autorizacije i autentifikacije za servis, te uvodi procese rezervacije i garancije kvaliteta pruenog servisa u mobilnim uslovima. Dodatna vana pojava koja je povezana sa razvojem servisne okoline, je otvaranje operatorskih domena ka vanjskim davaocima sadraja. Dosadanja interfejsna rjeenja nisu bila standardizovana, ve namjenski pravljena za pojedini kanal pristupa te pojedinu funkciju ili karakteristina za pojedinog operatora ili njihovog vendora. Poevi od Rel 99, UMTS izvedba koja se mogla i komercijalno implementirati, predstavljala je jezgreni pomak u smislu dodavanja podrke za dual access 2G i 3G. Interfejsi u jezgru i u radio pristupnoj mrei su i dalje ATM bazirani, a vre se pomaci u performansama unutar GSM tj. GPRS/EDGE pristupnih mrea.[footnoteRef:2] [2: Signalizacioni sistemi u mobilnim elijskim mreama, prof.dr. Mesuh Hadiali, doc.dr. Jasmina Barakovi Husi]

Slika 1 Arhitektura 3G mree

Sigurnost u mobilnim 3G komunikacijama

Sigurnosnu arhitekturu u UMTS-u ini 5 dijelova: siguran pristup mrei sigurnost u mrenom domenu sigurnost u korisnikom domenu sigurnost u aplikacionom domenu vidljivost i mogunost konfigurisanja sigurnosnih karakteristika.

Posljednjim specifikacijama UMTS-a (Release 5) koje je 3GPP izdala 2000. god. predloen je potpuni prelazak na IP multimedijalne mree. Sa razvojem IPv6 i ve poznatim problemima bezbednosti na internetu i u raunarskim mreama, kao i odgovorima na njih u vidu algoritama, mrenih barijera (firewalls) i odgovarajuih zatita koje se mogu primjeniti u IP multimedijalnim mreama, ostaje kritian jedino bezbjedan pristup mrei. Njemu je posveena i najvea panja u 3G mreama.

Mehanizam za proveru autentinosti i ustanovljavanje kljua (aka)

Pri uspostavljanju konekcije izmeu korisnika i uslune mree vri se provjera autentinosti svakog od uesnika u konekciji, pomou tajnog kljua K, duine 128 bita, koji je poznat i dostupan samo korisnikom USIM-u i centru za proveru autentinosti (AuC) u korisnikovom domaem okruenju (HE). Mehanizam za provjeru se sastoji iz zahtjev/odgovor protokola koji je identian sa provjerom autentinosti korisnika u GSMu i protokola za ustanovljavanje kljua povezanog sa jednoprolaznim protokolom za proveru autentinosti mree na osnovu broja sekvence, ime je omogueno da jedan uesnik provjeri identitet drugog bez otkrivanja tajne lozinke koja je poznata uesnicima.

Slika 2 Provera autentinosti i ustanovljavanje kljua

Vektor autentinosti AV koji generie AuC, se sastoji iz sljedeih pet parametara: sluajnog broja RAND, duine 128 bita, oekivanog odgovora XRES, promenljive duine izmeu 32 i 128 bita, kljua za ifrovanje CK, duine 128 bita, kljua integriteta IK, duine 128 bita i oznake autentinosti AUTN, koja u sebi sadri kod autentinosti poruke MAC, duine 64 bita.

Zatita integriteta podataka

Po uspostavljanju konekcije i zavretku procedure za odreivanje sigurnosnog reima rada, nad svim signalnim porukama se vri zatita integriteta, kao to je prikazano na slici 3.Slika 3 Izraunavanje koda integriteta poruke MAC-I i oekivanog koda XMAC-I

Slika 4 Izraunavanje koda integriteta poruke MAC-I i oekivanog koda XMAC-I

Parametri koji se koriste pri izraunavanju koda integriteta su: klju integriteta IK, vrijednost brojaa sekvence integriteta COUNT-I, sluajan broj koji je generisan od strane mree FRESH, smijer u kome se alje poruka i sama poruka.

Za izraunavanje se koristi algoritam za zatitu integriteta f9 (predloen Kasumi algoritam). Izraunati kod integriteta MAC-I se zatim dodaje poruci i alje putem radio veze. Po prijemu poruke, primalac rauna oekivani kod integriteta XMAC-I, na isti nain kao i poiljalac, i poredi ga sa MAC-I da bi provjerio integritet poruke. FRESH parametar slui da zatiti mreu od ponovnog slanja signalnih poruka od strane korisnika. Pri uspostavljanju konekcije, RNC na sluajan nain generie vrijednost FRESH i alje je korisniku. Nadalje se ta vrijednost FRESH-a dodaje svim signalnim porukama (sa strane korisnika i sa strane mree) prije izraunavanja koda integriteta, ime se korisnik sprijeava od upotrebe starog MAC-I (tj. stare poruke). Pri promjeni uslunog mrenog radio centra (SRNC), novi SRNC generie novu vrijednost FRESH, i alje je korisniku zajedno sa novim privremenim identitetom.[footnoteRef:3] [3: http://www.telfor.rs/telfor2004/radovi/S-12-3.PDF]

KASUMI algoritam

3G mree pruaju veu sigurnost nego njihov prethodnik 2G. Omoguavajui korisnikoj opremi (UE) da autentifikuje mreu na koju je spojena, korisnik moe biti siguran da je to stvarna mrea a ne njena interpretacija. 3G mree koriste KASUMI block chipper umjesto starog A5/1 stream chipera. Ali je i kod KASUMI-a pronaeno nekliko nedostataka.[footnoteRef:4] [4: http://en.wikipedia.org/wiki/3G]

KASUMI je block chiper (deterministiki algoritam) koji se koristi kod UMTS, GSM i GPRS mobilnih komunikacijskih sistema. Kod UMTS-a se koristi u algoritmima za povjerljivost (f8) i integritet (f9) sa imenima UEA1 i UIA1. KASUMI je dizajniran za 3GPP da se koristi u UMTS sigurnosnim sistemima.[footnoteRef:5] [5: http://en.wikipedia.org/wiki/KASUMI]

Slika 5 Izgled KASUMI ciphera

KASUMI algoritam je specificiran u 3GPP tehnikim specifikacijama. To je block cipher sa 128-bit kljuem i 64-bit ulazom i izlazom. 128-bit klju K je podjeljen u osam 16-bit podkljueva Ki:

KASUMI algoritam procesuira 64-bit rijei u dvije 32-bit polovine, lijeva (Li) i desna (Ri). Ulazna rije je povezana i da desnom i sa lijevom polovinom.

U svakom koraku desna polovina je XOR-ovana sa izlazom funkcije nakon kojeg se polovine mijenjaju:

Sigurnosne prijetnje u UMTS mreama

Sigurnost GSM/GPRS mrea je umjerenog nivoa. Prije pojave GPRS iUMTSprotokola, GSM mree su korisnicima pruale dovoljnu sigurnosnu zatitu. Pojavom GPRS i UMTS tehnologija koje su se ili nadograivale ili su osmiljene tako da budu kompatibilnesa GSM sistemom, poveale su se brzine prenosa i kapacitet komunikacijskihkanala. Takoe, poveao se broj usluga koji se nudi korisnicima, kao to je prenos multimedijalnog sadraja. Uprkos reavanju nekih sigurnosnih problema, sigurnosne prijetnje jo uvek postoje i napadai stalno smiljaju nove naine napada.Uspjeni napadi na mobilnu mreu ukljuuju : prislukivanje i/ili lano predstavljanje, oponaanje mree, preuzimanje kontrole nad dijelom sistema, brisanje ili slanje lanih signala, kraa korisnikihpodataka.Uspjean napad podrazumeva da napada posjeduje posebno prilagoen mobilni ureaj i/ili baznu stanicu (odailja).

Napada moe izvesti napad uskraivanja usluga slanjem posebno oblikovanih zahtjeva za odjavom ili obnovom poloaja mobilnog ureaja iz podruja u kojem se korisnik ne nalazi. Ukoliko izvodi napad s ovjekom u sredini, napada se upotrebom prilagoenog mobilnog ureaja ili bazne stanice ubaci izmeu mree i korisnika. Mobilni korisnici se identifikuju upotrebom privremenih identiteta, no postoje sluajevi kada mrea trai korisnika da poalje svoj pravi identitet u obliku jasnog teksta. Napadi koje napada moe izvesti u ovoj situaciji su: pasivna kraa identiteta napada ima prilagoeni mobilni ureaj i pasivno eka pojavu nove registracije ili ruenje baze podataka jer se u tim sluajevima od korisnika trai da poalje svoje podatke u istom tekstu. aktivna kraa identiteta napada ima prilagoenu temeljnu stanicu stoga podstie korisnika da se prikljui na njegovu stanicu. Zatim ga trai da mu poalje IMSI.

Napada se moe maskirati i pretvarati da je pravamobilna mrea. To moe uiniti na sljedee naine: Ukidanjem enkripcije izmeu korisnika i napadaa napada s prilagoenom baznom stanicom podstie korisnika na prijavu na njegovu lanu stanicu i kada korisnik koristi usluge stanice, opcijakriptovanjanije ukljuena. Ukidanjem enkripcije izmeu korisnika i prave mree u ovom sluaju tokom uspostave poziva mogunosti kriptovanja mobilnog ureaja su promjenjene i mrei se ini kao da postoji razlika izmeu algoritma kriptovanja i autentikacije. Nakon toga mrea moe odluiti uspostaviti nekriptovanu vezu. Napada prekida vezu i lano se predstavlja mrei kao korisnik.

Napada moe izvesti napad lano se predstavljajui kao obian korisnik: Upotrebom ugroenog autentikacijskog vektora napada s prilagoenim mobilnim ureajem i ugroenim autentikacijskim vektorom oponaa korisnika prema mrei i ostalim korisnicima. Prislukivanjem postupka autentikacije napada s prilagoenim mobilnim ureajem koristi podatke koje je dobio prislukivanjem. Otimanjem odlaznih pozivau mreama s iskljuenom enkripcijom. Otimanjem dolaznih pozivakod kojih je iskljuena enkripcija.

Slika 6 Prenos podataka od poiljatelja do primatelja

ETSI TS 133 102 V7.1.0 Universal Mobile Telecommunications System (UMTS); 3G security; Security architecture (3GPP TS 33.102 version 7.1.0 Release 7)

Pregled sigurnosne arhitekture 3G-a

Slika 7 Pregled sigurnosne arhitekture 3G-a

Definisano je pet sigurnosnih grupa. Svaka od grupa se susree sa razliitim prijetnjama i obavlja sljedee aktivnosti: Network acces security (I): set sigurnosnih postavki koje pruaju korisniku siguran pristup 3G uslugama i koje posebno tite od napada na pristpni link; Network domain security (II): set postavki koje omoguavaju vorovima u domeni provajdera da sigurno razmjenjuju signalne podatke; User domain security (III): set postavki koje osiguravaju pristup mobilnoj stanici; Aplication domain security (IV): set postavki koje omoguavaju aplikacijama u korisnikom i provajderskom dijelu da sigurno razmjenjuju poruke; Visibility and configurability of security (V): set postavki kojeomoguavaju korisniku da se sam informie da li je data sigurnosna postavka u funkciji ili nije;

Sigurnosne karakteristike

Omoguene su sljedee sigurnosne karakteristike za povjerljivost korisnikog identiteta: User identity confidentiality: imovina (IMSI) koja trajnom korisniku kojem se usluga dostavlja ne moe biti prislukivana putem radio linka; User location confidentiality: imovina koja vlastitom ili gostujuem korisniku u odreenoj zoni ne moe biti prislukivana putem radio linka; User intraceability; imovina koja napadau ne moe pomoi da odredi da li se usluge dostavljaju odreenom korisniku putem prislukivanja radio linka;

Sigurnost aplikacija (sigurna komunikacija izmeu USIM i mree)

USIM aplikacijski paket je specificiran u TS 31.111, omoguava operatorima ili treem licu da kreira aplikacije za USIM (slino kao SIM aplikacijski paket u GSM-u). Postoji potreba za osiguranjem poruka koje su poslane preko mree do aplikacije u USIM-u, sa nivoom sigurnosti odabranim od strane mrenog operatera ili provajdera aplikacije.Sigurnosne karakteristike za USIM aplikacije su implementirane grupom mehanizama opisanim u TS 23.048.

Sigurnosni mehanizmi mrenog pristupa

Ovi mehanizmi omoguavaju identifikaciju korisnika na radio pristupnom linku putem privremenog mobilnog pretplatnikog identiteta (TMSI). TMSI ima lokalni znaaj samo u lokalnom okruenju ili ruting okruenju u kojem su korisnici registrovani. Izvan tog okruenja trebao bi da bude zajedno sa Local Area Identification (LAI) ili Routing Area Identification (RAI) da bi se izbjegle nejasnoe. Veza izmeu trajnog i privremenog korisnikog identiteta se uva u Registru Gostujuih korisnika (VLR).TMSI kada je mogue, se koristi da identifikuje korisnika na pristupnom putu, zahtjev za lokacijom, zahtjev za uslugom i slino.

Mehanizmi sigurnosti aplikacija (Sigurnost mobilnog IP-a)

Uvoenje funkcionalnosti mobilnog IP-a za krajnje korisnike u 3G nema uticaja na sigurnosnu arhitekturu za 3G.Mobilni IP terminali mogu biti opremljeni sa sigurnosnim funkcijama nezavisno od 3G mrenog sigurnosnog pristupa kako bi onoguili sigurnosne funkcije izvan 3G mree.3G mree, koje podravaju mobilne IP servise, bi rebale da podravaju nerazdvojive sigurnosne funkcije.Sa druge strane, 3G mrena sigurnosna arhitektura ne bi trebala da utie ili smanjuje mobilne IP mogunosti.

3rd Generation Partnership Project; Technical Specification Group SA WG3; A Guide to 3rd Generation Security (3G TR 33.900 version 1.2.0)

Suprostavljanje predvienim napadima na 3G

Mnoga od sigurnosnih poboljanja potrebnih za 2G sisteme u napravljeni da bi se suspostavili napadima koji nisu predvieni u 2G sistemima. Ovo ukljuuje i napade koji su, ili e biti mogui, sada ili ubrzo zbog toga to napadai imaju pristup novoj opremi te novim raunarskim mogunostima a i fizika sigurnost za neke mrene elemente je upitna.Da bi bio u mogunosti izvriti napad napada mora posjedovati jedau ili vie sljedeih sposobnosti: Prislukivanje (Eavesdropping) ovo je sposobnost da napada prislukuje signalne ili podatkovne konekcije povezane sa korisnikom. Predstavljanje kao korisnik (Impersonation of a user) Ova sposobnost se odnosti da napada alje signalne ili paketske podatke na mree kako bi pokuao uvjeriti mreu da su ti podaci zapravo od korisnika. Predstavljanje kao mrea (Impersonation of the network) Ova sposobnost se odnosi da napada alje signalne ili paketske podatke korisniku kako bi pokuao uvjeriti korisnika da su ti podaci zapravo od mree. ovjek u sredini (Man-in-the-middle) Ova sposobnost se odnosti da se napada postavi izmeu mete i mree te da ima sposobnost da prislukuje, mijenja, brie, ponavlja signalne i korisnike poruke. Ugroavanje autentifikacijskih vektora na mrei Napada posjeduje Vektor za ugroavanje autentifikacije, koji moe da sadri ifrirane i kljueve za integritet. Ovi podaci se mogu dobiti napadom na mrene vorove ili presretanjem signalnih poruka na mrenim linkovima.

Prva sposobnost je najlaka za ostvariti dok su ostale mnogo kompleksnije i zahtjevaju vee investicije od napadaa. Tako da ukoliko korisnik ima neku od navedenih sposobnosti veoma je mogue da ima i ostale sa liste. Prve dvije sa liste su priznate u dizajniranju 2G sistema. 3G sigurnost bi trebala da osjeti svih pet tipova napada.

Mreni problemi sigurnosna politika

Pristupna kontrolna politika sa obzirom na 3GPP mrene elemente bi trebala biti dosljedna optoj politici kontrole pristupa. U osnovi pravila bi se trebala odnostiti na:1. U dobijanju korisnikog pristupa za 3GPP mrene elemente ili podrane IT sisteme potrebno je sljediti sljedee principe: Svaki zaposlenik bi trebao da ima pristup onim resursima koji su mu neophodni za obavljanje posla Princip pozitivne pristupne kontrole bi trebao biti primjenjen, to znai da je zaposlenik autorizovan da izvri one operacije za koje je dobio nadlenost Pravo pristupa resursima bi trebalo dobiti samo onda kada je to potrebno te da ovlast prestaje kada nije vie potrebno za izvrenje zadataka

2. Zaposlenici bi trebali da imaju odgovornost to se tie kontrole pristupa i kontrole skladitenja. Komponente za davanje pristupa ne bi trebale biti pohranjene zajedno sa raunarima sa kojih se pristupa mrenim elementima ili IT sistemima.

3. Svaki korisnik za dati sistem treba obezbjediti da identifikatorima (korisniko ime, log-in name) koje je unikatno za taj radni okvir ili kompaniju. Principi se odnose na:

Korisniki identifikator ne bi trebao biti umjean u izdavanje dozvole Identifikacija ne bi trebala davati nikakae indikacije za korisnike dozvole u sistemu Koritenje grupne identifikacije bi trebala biti mogua samo u izuzetnim situacijama

Davanje potpune ili djelimino velike ovlasti pristupa resursima bi trebala biti ograniena ili strogo kontrolisana.

Elementi mrene sigurnosti u interkonekcijama

3GPP mreni elementi moraju pruiti sredstva za udaljeno upravljanje, odravanje i komunikaciju sa IT sistemima (npr biling sistem). Obino se korporativne raunarske mree koriste u ove svrhe. Ovo omoguuje manje trokove infrastrukture ali ima i sigurnosne prijetnje za 3GPP entitete. Ako se ne bi primjenila sigurnost, obino svaki korisnik korporativne mree moe pokuati pristupiti udaljeno na 3GPP mreni element, ukoliko zna negovu mrenu adresu.Kao princip, 3GPP mreni elementi bi trebali biti razdvojeni, barem logiki od korporativne raunarske mree. Svaki korisnik treba dobiti korisniko ime i ifru da bi mogao pristupiti mrenom elementu. Odgovarajue aplikacije i sistemske prijave bi trebale da budu odravane, pregledane i zatiene.Udaljeni pristup mrenim entitetima bi trebao biti zatien od prislukivanja i napada na sesije.

Zakljuak

Iz seminarskog rada se moe zakljuiti da je postignut prilino dobar nivo zatite podataka u 3G mreama. Takoer, sigurnosne mjere u 3G mreama se mogu lako mijenjati i unaprjeivati u skladu sa uoenim potrebama. Na alost, jedan tip napada ne moe biti sprijeen odbijanje servisa, napad koji je do sada posebno pogaao sajtove na internetu. Napada moe lako zaguiti mreu lanim zahtjevima ili izmjenom podataka onemoguiti uspostavljanje konekcije. Nemogunost ostvarenja konekcije je moda bezbjednija po pitanju zatite podataka od kompromitovane konekcije, ali korisnik ne moe obaviti eljene poslove, ime i sama zatita gubi smisao. Jedan od kljunih faktora za uspijeh mobilne tehnologije je mogunost pruanja poboljane funkcionalnosti koja se moe uporediti sa fiksnim mreama. Uz to, razvijene su napredne i dalekosene mree koje omoguuju korisnicima laku dostupnost podataka, brze i efikasne komunikacije i jednostavan pristup Internetu. Usluge 3G mrea nude poboljanu funkcionalnost mobilnih ureaja i neometan tok podataka. Takve su usluge svakodnevica i mogue je rei sa sigurnou da e pruioci usluga nadograditi postojee strukture tako da podravaju nove tehnologije. U tom postupku potrebno je paziti na pojavu sigurnosnih nedostataka koji su vezani upravo uz nadogradnju usluga. Postojea zatita je dovoljno dobra za stare tehnologije, pa je s nadogradnjom sistema potrebno nadograditi i obnoviti zatitu mobilnih sistema. Pruitelji usluga moraju prilagoditi sigurnosne mjere razvoju tehnologije i sprijeiti napadae od ugroavanja dostupnosti mree, besprjekornosti podataka i povjerljivosti informacija. Iako sigurnost 3G mrea oznaava veliki korak naprijed u odnosu na prole generacije, jo uvek postoje sigurnosni propusti koje treba rijeiti u budunosti. Mobilni ureaji i mree su se ponudom usluga pribliili funkcionalnostima raunara. Korisnici svih mobilnih ureaja, a pogotovo tree i etvrte generacije, trebaju biti svjesni sigurnosnih prijetnji koje se javljaju upotrebom mobilnih tehnologija i primjeniti mjere zatite.

Popis slika

Slika 1 Arhitektura 3G mree7Slika 2 Provera autentinosti i ustanovljavanje kljua9Slika 3 Izraunavanje koda integriteta poruke MAC-I i oekivanog koda XMAC-I10Slika 4 Izraunavanje koda integriteta poruke MAC-I i oekivanog koda XMAC-I10Slika 5 Izgled KASUMI ciphera11Slika 6 Prenos podataka od poiljatelja do primatelja14Slika 7 Pregled sigurnosne arhitekture 3G-a15

Literatura

Signalizacioni sistemi u mobilnim elijskim mreama, prof.dr. Mesuh Hadiali, doc.dr. Jasmina Barakovi Husi ETSI TS 133 102 V7.1.0 Universal Mobile Telecommunications System (UMTS); 3G security; Security architecture (3GPP TS 33.102 version 7.1.0 Release 7)

3rd Generation Partnership Project; Technical Specification Group SA WG3; A Guide to 3rd Generation Security (3G TR 33.900 version 1.2.0)

Internet: http://bs.wikipedia.org/wiki/3G http://sr.wikipedia.org/wiki/Zloupotreba_GSM_telekomunikacija http://en.wikipedia.org/wiki/3G http://www.telfor.rs/telfor2004/radovi/S-12-3.PDF http://en.wikipedia.org/wiki/KASUMI

21


sigurnost u paraglidingu sigurnost u paraglidingu

Primena NFC tehnologija u mobilnim sistemima -Prezentacija (ukratko)

ISKUSTVA ČLANICA GRUPE ZA KOMUNIKACIJE I UPRAVLJANJE ...spi.ba/wp-content/uploads/2016/10/Konferencija-o-komunikacijama-u... · Konferencija o komunikacijama u javnoj upravi ISKUSTVA

MENADŽMENT U TRANSPORTU I KOMUNIKACIJAMA

NEVKOŠ mobilnim uređajem za obradu otpada posebnom propisu

Skripta Predavanja - Logistika u Saobracaju i Komunikacijama

Zakon o elektroničkim komunikacijama ZEK - hrt.hr · PDF fileProglašavam Zakon o elektroničkim komunikacijama, ... većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih

Zakon o elektroničkim komunikacijama ZEKZAKON O ELEKTRONIČKIM KOMUNIKACIJAMA I. OPĆE ODREDBE Sadržaj Zakona ... elektroničke komunikacije i poštanske usluge, njegovo ustrojstvo,

Zakon o elektronskim komunikacijama - ekip.me preciscen 2010.pdf · Zakon o elektronskim komunikacijama ... način finansiranja i djelokrug rada Agencije za ... Radiodifuzija je jednosmjerna

Pravilnik o audio-vizuelnim komercijalnim komunikacijama

NFC tehnologija u mobilnim sistemima -Prezentacija

ZAKON O ELEKTRONSKIM KOMUNIKACIJAMA (Sl. glasnik RS, …

Seminarski Rad Iz Prostornog Planiranja u Saobracaju i Komunikacijama

UPRAVLJANJE MASOVNIM KOMUNIKACIJAMA

Kolonic, Cenic - Signali i Sistemi u Komunikacijama

Natjecanja u informacijskoj sigurnosti · 3 Natjecanja u informacijskoj sigurnosti 13.09.2017. Informacijska sigurnost? "Cyber" sigurnost, računalna sigurnost, mrežna sigurnost

Zakon o Elektronskim Komunikacijama

VAŠA SIGURNOST I SIGURNOST DRUGIH NAJVAŽNIJA JE Ovaj ...docs.whirlpool.eu/_doc/400010786244HR.pdf · HR40 VAŠA SIGURNOST I SIGURNOST DRUGIH NAJVAŽNIJA JE Ovaj priručnik i sam

UPRAVLJANJE KOMUNIKACIJAMA I PROMENAMA U PROJEKTU

Materijal Za Ekonomika u saobracaju i komunikacijama

upravljanje Marketing funkcija i komunikacijama za saveze

Modeli naplate sadržaja u mobilnim paketskim mrežama

SIGURNOST LIFTOVA

Predmet: Menadžment kvaliteta u transportu i komunikacijama

travanj 2009. Sigurnost hrane Minivodič: Sigurnost hrane

ZAKON O ELEKTRONSKIM KOMUNIKACIJAMA...Katalog propisa 2019 Pravni ekspert doo, Podgorica 1 Prečišćeni tekst Zakona o elektronskim komunikacijama obuhvata sljedeće propise: 1. Zakon

ONLINE SIGURNOST I - Europa · 2017. 11. 17. · Opasnosti na mobilnim ... Sigurnost podataka na mobilnim uređajima Programi koji ciljaju mobilne uređaje su daleko opasniji od zloćudnih

Lekcija 9: Upravljanje kretanjem mobilnimkretanjem ...jvelagic/laras/dok/Lekcijam9.pdf · 9. Upravljanje mobilnim robotom Zahtjevi za upravljanje kretanjem mobilnim robotom: Poznavanje

MR - Uloga Propagande u Integrisanim Marketing Komunikacijama Trznih Centara_NoRestriction

Frigoterm - Menadžment komunikacijama

73 26.6.2008 Zakon o elektroničkim komunikacijama · 2012. 3. 12. · Proglašavam Zakon o elektroničkim komunikacijama, kojega je Hrvatski sabor donio na ... uvjetovanog pristupa

SIGURNOST PRIJE SVEGA SIGURNOST JE POSAO SVIH

Seminarski Rad-3D Grafika Na Mobilnim PlatformamaMosmondor-2003!09!22

Novi magazin, dodatak o mobilnim telefonima

Dijalog za sigurnost - sigurnost za dijalog