عضویت

امنیت شبکه های بی سیم

 

  1. مقدمه

یک شبکه‌ی بی‌سیم مش (WMN) یک توپولوژی شبکه‌بندی بی‌سیم است. WMN مسیریابی چندگامه توسط مسیریاب بی‌سیم دارد و توانایی پوشش ناحیه‌ی وسیع جغرافیایی با قدرت انتقال محدود را دارد. WMN ویژگی‌های مختلف مثل خود سازماندهی پویا، خود پیکربندی، خود تصحیح، نگه‌داری آسان مقیاس‌پذیری بالا و سرویس‌های مطمئن دارد. WMN جدا از شبکه‌ی سیار ad-hoc است (MANET) زیرا این شبکه وابسته به شبکه‌ی بک‌هال با سرعت بالاست و با روترهای WMN ترکیب می‌شود. WMN عملکرد شبکه را با استفاده از چندید رادیو بهبود می‌بخشد.  WMNمی‌تواند به عنوان دروازه برای اینترنت و دیگر سروی‌های بی‌سیم باشد. به خاطر ساختار خاص، WMN یک مزیت نسبت‌ به MANET قدیمی و شبکه‌های محلی وسیع (WLAN) دارد و آن قابلیت اطمینان، عملکرد، عدم تداخل و گسترش پذیری است. WMN به عنوان یک روش ارزان برای پشتیبانی از شبکه‌های با سرعت بالای خانگی، تجاری، اجتماعی و شهری شناخته می‌شود.
یک WMN، یک شبکه‌ی چندگامه‌ی پویا، خود سازمادهی شده و خود پیکربندی است که از روترهای مش و کلاینت‌های مش تشکیل شده است. هر روتر مش وظیفه‌ی تنظیم شبکه‌ی ad-hoc و نگه‌داری از اتصالات مش با دیگر روترها را بر عهده دارد. یک WMN، از سیستم‌های ارتباطی ماهرانه‌ی پیشرفته که با سیستم‌های ارتباطی DARPA و ITT توسعه داده می‌شوند تشکیل شده که قابلیت اطمینان ارتباطات را در شبکه‌ی نظامی در سال ۱۹۹۷ را تقویت کرده است.
در سال ۲۰۰۰، ACTS و تکنولوژی مربوط به آن برای تجارت و کاربردهای عمرانی به کار برده شدند. استاندارد IEEE برای شبکه‌های مش در یک گروه تحقیقاتی IEEE 802.11 در سپتامبر ۲۰۰۳ آغاز گردید و به زودی در جولای ۲۰۰۴ به یک گروه کاری تبدیل شد. در حال حاضر IEEE 802.11 در مرحله‌ی پیشرفت است.
به خاطر معماری از و کانال انتقال بی‌سیم، WSN در مقابل بسیاری تهدیدهای شنود، جعل هویت، ارسال دوباره، تغییر بسته و انکار سرویس آسیب‌پذیر است.
در این مقاله، آسیب‌پذیری‌ای WMN را بررسی می‌کنیم و مروری روی پارامترها و معایب موجود در راه‌حل داریم.
 


 


  1. چالش‌های امنیتی شبکه‌های بی‌سیم مش
  • آسیب‌پذیری در امنیت

دو نوع گره در یک WMN وجود دارد: روتر مش (MR) و کلاینت مش (MC). MR قابلیت سوئیچ، تحرک‌پذیری کم و نادیده گرفتن محدودیت باتری را دارد. علاوه بر تسهیلات مسیریابی قدیمی مثل دروازه و پل، MR عملیات مسیریابی را نیز فراهم می‌کند خصوصاً که MR به عنوان یک ستون فقرات برای WMN عمل می‌کند. در ضمن، MC را می‌توان با معماری سبک، با پشتیبانی از قابلیت مسیریابی ساده و پروتکل‌های ارتباطی سبک وزن طراحی کرد. بنابراین MC فقط به یک رابط برای نیل به اهدافش دارد.
امنیت یک مسئله‌ی حیاتی در طراحی یک WMN است. کلاینت باید اطمینان نقطه‌ی نهایی به نقطه‌ی نهایی را داشته باشد. با این حال، به دلیل متفاوت بودن از یک شبکه‌ی سیمی و شبکه‌های سنتی، یک WMN به سادگی در معرض خطرات امنیتی است. حتی زیرساخت WMN مثل MR به سادگی می‌تواند توسط هکرها دستکاری شود. بنابراین معیارهای امنیتی قوی را باید لحاظ نمود. برخی از تهدیدات رایج امنیتی در زیر لیست شده است: طراح شبکه باید سعی کند از این تهدیدات دوری کند و WMN را امن نگه دارد.
۲٫۱٫۱ تهدیدات فیزیکی
شبکه‌های سیمی عموماً کاملاً محافظت شده هستند. بنابراین حمله به روترها در WMN مشکل است. با این حال، روترهای WMN، بصورت خارجی تهیه می‌شوند مثلاً روی سقف‌های ساختمان‌ها یا لامپ‌های خیابان. بنابراین محافظت فیزیکی از WMN ضعیف است و ممکن است منجر به حملات روترها مثل تغییر در اطلاعات روتر، سرقت کلید خصوصی برای تصدیق یا حتی جایگزینی روتر با یک روتر دیگر شود و بنابراین هکر قادر خواهد بود به شبکه دسترسی پیدا کند و اطلاعات نادرست ارسال کند. بنابراین پروتکل‌های مسیریابی امن برای مبارزه با این چنین حمله‌هایی ضروری است.
 
 
 
۲٫۱٫۲٫ قابلیت اطمینان و صحت
محافظت از اطلاعات ارسال شده در برابر تغییر یا شنود، در یک WMN حیاتی است و با رمزنگاری در لایه‌های مختلف به دست می‌آید. پس یافتن یک سیاست رمزنگاری برای پیاده سازی اطمینان و صحت در عین کاهش پیچیدگی الگوریتم و هزینه‌ی مدیریت از مسائل مهم است. WEP کنونی مناسب نیست و اشکالاتی دارد.
۲٫۱٫۳٫ تصدیق در شبکه‌های بی‌سیم مش
برای جلوگیری از گره‌های غیر مجاز در اتصال به WMN، یک مکانیزم تصدیق قوی احتیاج است. هر گره‌ای که به WMN متصل است باید قادر به شناسایی هویت دیگران باشد. در یک WMN، کمبود تسهیلات ترمینال،  ضرورت مکانیزم تصدیق توزیع شده را برای ارزیابی هر MR یا مکانیزم تصدیق متمرکز با تعیین یک MR به عنوان سرور تصدیق را ایجاب می‌کند. در هر دو حالت، تصدیق باید طبق ایتانداردهای امنیتی خارج از IEEE 802.11 باشد.
در حال حاضر استفاده از رمزنگاری‌های نامتقارن قدیمی، برای تصدیق در یک WMN مشکلی است که به خاطر محدودیت انرژی و محاسبات ضعیف MC به وجود می‌آید (عموماً دستگاه‌هایی مثل دستگاه موبایل یا PDA). این چنین دستگاه‌هایی نمی‌توانند این محاسبات پیچیده رمزنگاری نامتقارن را انجام دهند زیرا تأخیر زمانی زیادی در آن‌ها پیش می‌آید و خرابی باتری را تسریع می‌کنند. علاوه بر آن، این کار باعث ایجاد انکار سرویس جدید می‌شود که با پرسش از MC برای اجرای برنامه‌ی تصدیق به طور مکرر، بیشتر زمان CPU را می‌گیرد و قدرت MC را می‌گیرد.
۲٫۱٫۴٫ امنیت مسیریابی
با حمله به سیاست مسیریابی WMN، حمله‌گر با تغییر اطلاعات توپولوژیکی در بسته‌ی مسیریابی روی عملکرد شبکه تأثیر می‌گذارد. دلایل مختلفی پشت این حملات وجود دارد. حمله‌گر باید منطقی باشد یعنی حمله‌گر فقط وقتی حمله می‌کند که منفعتی ببرد مثلاً کاهش هزینه‌ی اتصال یا بهبود کیفیت سرویس؛ در حالی که حمله‌گر بدجنس کسی است که فقط می‌خواهد قسمتی از WMN را جدا کند یا از دسترس‌پذیری کانال مطمئن شود. برای مثال، یک حمله‌گر معقول می‌تواند با گرفتن جریان داده، ارتباط را مشاهده کند تا با فرستادن یک MR جعلی اطلاعات روتر را تغییر دهد یا یک حمله‌ی DoS را آغاز کند  و بنابراین کلاینت‌ها نتوانند به آنچه می‌خواهند برسند.
حمله‌گر می‌تواند از معیارهای زیر برای حمله به مکانبزم مسیریابی استفاده کند:
تغییر اطلاعات مسیریابی
تغییر وضعیت یک یا چند MR
شروع حمله‌ی DoS
در میان این‌ها، حمله‌ی DoS تاکنون مؤثرترین روش برای مسیریابی است و پیاده‌سازی آن آسان است. یک
حمله‌ی DoS با یک گره‌ی تنها می‌تواند انجام شود تا اطلاعات فرکانس را روی شبکه بفرستد. با این حال حمله‌گرها ممکن است DoSهای توزیع شده یا DDoS را انجام دهند.

  • انواع حملات ممکن در شبکه‌های بی‌سیم مش
    • تغییر

پروتکل‌های مسیریابی در WMN اینطور فرض می‌کنند که گره‌ها در شبکه با یکدیگر همکاری می‌کنند و هیچ اطلاعاتی را تغییر نمی‌دهند و بنابراین صحت بسته‌ها را بررسی نمی‌کنند. این موضوع به حمله‌گر کمک می‌کند تا به راحتی هر قسمت از بسته  را تغییر دهد مثلاً شماره‌ی دنباله در DSR و در نتیجه تصمیم‌گیری‌های اشتباه در مسیریابی ایجاد می‌شود و عملکرد کل شبکه را پایین می‌آورد. پس مهم‌ترین دلیل قدرت حمله‌گر عدم بررسی صحت بسته‌هاست.

  • وانمود کردن

به دلیل اینکه پروتکل‌های مسیریابی آدرس مبدأ را بررسی نمی‌کنند، حمله‌گرها می‌توانند به عنوان گره‌های مجاز در شبکه نفوذ کنند. حتی حمله‌گر می‌تواند یک گره‌ی مجاز را مسدود کند و به جای او ارسال و دریافت کند. پس مهم‌ترین دلیل قدرت وانمود حمله‌گر، عدم بررسی آدرس مبدأ است.

  • تقلب

حمله‌گرها می‌توانند با تقلب اطلاعات اشتباه مسیریابی را ارسال کنند یا با یک مسیر ناموجود جواب دهند. این موضوع منجر به مشکلات جدی مثل حلقه‌ها یا ایجاد یک شبکه یا گره‌ی جدا می‌شود. دلیل اصلی قدرت حمله‌گر در تقلب عدم بررسی بسته‌ی داده است.

  • تحلیل توپولوژی و جریان داده

اطلاعات مسیریابی، در بسته‌ی تقاضای مسیریابی و بسته‌ی داده وجود دارد. برای مثال، بسته‌ی داده در DSR حاوی اطلاعات گره‌ها از مبدأ به مقصد است. حمله‌گر می‌تواند با تحلیل این اطلاعات و تحلیل جریان‌ها به اطلاعات توپولوژیکی و موقعیت همسایه‌ها دست یابد. بر اساس این اطلاعات، حمله‌گر می‌تواند به طور دقیق گره‌ی کنترل شبکه و یا در شرایطی مثل جدال، دستور دهنده را مکان‌یابی کند.

  • حمله‌ی کاهش منابع

حمله‌گرها می‌توانند بسته‌های پرحجم بی فایده را مثل یک بسته‌ی درخواست مسیریابی با یک بسته‌ی داده‌ای ارسال کنند و منابع شبکه مثل پهنای باند، حافظه، CPU یا باتری را به هدر دهند.

  • حمله‌ی wormhole

دو نقطه‌ی مجزا در شبکه با یک اتصال بد با استفاده از یک لینک تأخیر کم مستقیم به نام لینک wormhole به یکدیگر وصل می‌شوند. لینک wormhole به طرق مختلف مثل استفاده از کابل اترنت، انتقال بی‌سیم با برد بلند یا لینک نوری ساخته می‌شود. وقتی لینک wormhole ساخته شد، حمله‌گر انتقالات بی‌سیم در یک سمت را گرفته و به لینک wormhole ارسال می‌کند و به آن‌ها در طرف دیگر جواب می‌دهد.
شکل ۱ نمایشی از حمله‌ی wormhole است. از گره‌ی A به گره‌ی D، مسیریابی نرمال A-B-C-D است. با این حال، اکر حمله‌گر گره‌های M1 و M2 را با استفاده از لینک wormhole به یکدیگر وصل کند، مسیر S-M1-M2-D خواهد بود. سپس گره‌های بدذات یعنی M1 و M2 شروع به ارسال بسته‌هایی می‌کنند و موجب خرابی شبکه می‌شوند. حمله‌گر حتی می‌تواند بسته‌هایی که می‌آیند را جاسوسی کند و اطلاعات زیادی برای حمله‌های بعدی کشف کند و امنیت شبکه را کم کند.
 
شکل ۱٫ نمایش حمله‌ی wormhole

  • حمله‌ی blackhole

در حین دریافت تقاضای مسیریابی، حمله‌گر ادعا می‌کند که لینکی به گره‌ی مقصد دارد حتی اگر هیچ لینکی نباشد؛ سپس مبدأ را مجبور می‌کند که بدون ارسال بسته به گام بعدی، بسته را از طریق آن ارسال کند.

  • حمله‌ی عجله

در پروتکل‌های مسیریابی عندالمطالبه، حمله‌گر بسته‌های مسیریابی زیادی را در شبکه در زمان کوتاهی ارسال می‌کند و دیگر گره‌ها را مشغول پردازش بسته‌های تقاضای مسیریابی مجاز می‌کند.

  1. مدیریت کلید

به دلیل طبیعت پویا و خود سازماندهی شده‌ی WMN، مرجع گواهی‌های قدیمی، یا مرکز توزیع کلید در شبکه‌های مش قابل اطمینان نیست. هر خرابی در این زیرساخت منجر به خرابی نقطه و عدم ارائه‌ی سرویس می‌شود. سوم، BER در شبکه‌های چندگامه بی‌سیم زمان سرویس دهی را طولانی می‌کند. سوم، مرجع گواهی، پهنای باند را مصرف می‌کند و باعث ازدحام و ترافیک سنگین می‌شود.
مکانیزم‌های مدیریت کلید مختلفی برای رفع نیازمندی‌های WMN پیشنهاد شده است که به دو دسته تقسیم می‌شوند:
 
 

  • توزیع مدیریت کلید

سرویس توزیع مدیریت کلید با رمزنگاری آستانه پیشنهاد شده است. یک الگوی رمزنگاری آستانه‌ی (n, t+1) به n نفر اجازه‌ی به انجام عملیات رمزنگاری را می‌دهد، بنابراین هر t+1 نفر می‌تواند این کار را انجام دهد که انجام حداکثر t نفر حتی با توافق یکدیگر نیز غیر ممکن است. الگوریتم، کلید خصوصی را به n قسمت تقسیم می‌کند و به هر گره یک قسمت را می‌دهد. هر گره یک امضای جزئی برای گواهی با استفاده از کلید مشترک خصوصی خود انجام می‌دهند و  امضای جزئی را به ترکیب کننده می‌دهد.
برای جلوگیری از حمله‌ی سیار، تازه‌سازی اشتراکات هم انجام می‌شود تا اشتراکات جدیدی از قبلی‌ها ساخته شود. پس از تازه‌سازی، سرور اشتراکات قبلی را حذف و از جدیدترین‌ها برای تولید امضاهای جزئی استفاده می‌کند. به خاطر اینکه اشتراکات جدید مستقل از قبلی‌ها هستند، فرد حمله‌گر باید همه‌ی t+1 سرور را کشف کند.
Seung الگوریتم بالا را تحت عنوان MOCA پیاده سازی کرده است. مزیت MOCA این است که با توزیع سرویس CA به n گره از شکست‌های یک نقطه‌ای جلوگیری می‌کند. مشکل عمده محاسبات اضافی گره‌ها و ترافیک شبکه با پاسخ‌های CREQ و CREP است.

  • مدیریت کلید خود سازماندهی شده

Jean-Pierre اولین بار زیرساخت کلید عمومی خود سازماندهی را معرفی کرد. این الگوریتم مشابه PGP بود زیرا گواهی‌های کلید عمومی توسط کاربران صادر می‌شد و گواهی‌ها توسط افراد ذخیره و توزیع می‌شدند. وقتی یک گواهی مثبت شناسایی می‌شود تصدیق موفقیت آمیز است. شکل ۲ یک گراف گواهی بین کاربران u و v را نشان می‌دهد.
این الگوریتم نیاز به CA مجزا برای توزیع و نگه‌داری گواهی را از بین می‌برد. با وجود اینکه این الگوریتم نمی‌تواند از شرکت گره‌ی جعلی یا دیگر گره‌ها با گواهی جعلی جلوگیری کند. ذخیره‌ی ناقص گواهی، تصدیق کامل را تضمین نمی‌کند و میزان موفقیت کاملاً بستگی به ساخت فرایند ذخیره‌ی گواهی دارد که بعداً منجر به افزایش هزینه و سربار تصدیق می‌شود. جدول ۱ تفاوت بین توزیع مدیریت کلید و مدیریت کلید خود سازماندهی را نشان می‌دهد.
 
 
 
شکل ۲٫ گراف گواهی و مسیرهای گواهی بین کاربران u و v در مخزن محلی خود

  1. راه‌حل‌های مشکلات امنیتی در پروتکل‌های مسیریابی

پروتکل‌های مسیریابی جزئی حیاتی از WMN هستند زیرا پیاده‌سازی عملکرد شبکه و تأثیر آن زا تعیین می‌کنند. به خاطر خصوصیات خاص WMN مثل تحرک گره‌ها و توپولوژی متغیر آن‌ها، پروتکل‌های مسیریابی قدیمی برای WMN مناسب نیستند. در سال‌های اخیر، پروتکل‌های مسیریابی WMN مختلفی ظهور پیدا کرده‌اند که بیشتر آن‌ها از پروتکل‌های مسیریابی MANET مثل DSR، AODV و DSDV استفاده می‌کنند. با این حال، با وجود اینکه این پروتکل‌ها خصوصیات تحرک‌‌پذیری و خود سازماندهی را حمایت می‌کنند، نمی‌توانند فاکتورهای امنیتی را لحاظ کنند و منجر به مسائل امنیتی مختلف در WMN می‌شوند. به همین خاطر پروتکل‌های مسیریابی امن زیادی بوجود آمده‌اند. برخی از آن‌ها در زیر آمده‌اند:
 

  • پروتکل مسیریابی امن

پروتکل مسیریابی امن (SRP) پروتکل‌های مسیریابی موجود را با قابلیت شناسایی و حذف اطلاعات مسیریابی نادرست گسترش می‌دهد و بنابراین حملات تغییر، ارسال دوباره و مسیریابی جعلی را از بین می‌برد. SRP اطمینان دریافت اطلاعات درست توپولوژیکی را می‌دهد. شرایط پیش‌نیاز SRP این است که گره‌های مبدأ و مقصد یک کلید مشترک برای ارزیابی و ارتباط داشته باشند.

  • Ariadne پروتکل مسیریابی عندالمطالبه برای شبکه‌های ad-hoc

Ariadne یک SRP است که از تکنولوژی TESLA بر اساس DSR استفاده می‌کند. TESLA یک مکانیزم تأیید همه پخشی است که بسته‌ی داده را با کد تصدیق پیغام رسان (MAC) ارزیابی و از MACهای جعلی جلوگیری می‌کند. گره‌ی مبدأ پیغام رسان و MAC را ارسال می‌کند. پس از یک بازه‌ی زمانی، گره‌ی مبدأ کلید TESLA را برای دیگر گره‌ها باز و  ارزیابی می‌کند. برای اطمینان از ترتیب MAC و کلید، نیاز به همگام‌سازی زمان است. شرایط پیش‌نیاز برای Ariadne این است که گره‌های مبدأ و مقصد باید یک کلید مشترک داشته باشند و هر گره در شبکه باید مقدار تأیید اولیه‌ی دیگر گره‌ها را داشته باشد و ساعت‌های آن‌ها باید تقریباً همگام باشند. شکل ۳ چگونگی پردازش بسته در تقاضای مسیریابی را نشان می‌دهد.

  • مسیریابی مجاز برای شبکه‌های Ad-hoc

مسیریابی مجاز برای شبکه‌های Ad hoc (ARAN) برای پروتکل‌های مسیریابی عندالمطالبه مناسب است. ARAN از گواهی کلید عمومی و یک CA معتمد برای ارزیابی اطلاعات مسیریابی استفاده می‌کند. شرایط پیش‌نیاز برای ARAN، نیاز به یک سرور معتمد گواهی برای توزیع و مدیریت گواهی‌هاست و هر گره باید یک گواهی کلید عمومی از سرور بگیرد قبل از آنکه به شبکه بپیوندد. شکل ۴ چگونگی پردازش یک بسته در تقاضای مسیریابی را نشان می‌دهد.
شکل ۳٫ فرایند یک تقاضای مسیریابی در Ariadne
شکل ۴٫ فرایند یک تقاضای مسیریابی در ARAN

  • مسیریابی برداری فاصله‌ی مؤثر امن برای شبکه‌های ad hoc بی‌سیم سیار

SEAD یک پروتکل مسیریابی امن است که از DSDV گسترش یافته است که ایده‌ی اصلی استفاده از اجزا در یک زنجیره‌ی هش (hash) برای ارزیابی عدد دنباله و تعداد گام‌ها در بسته‌ی مسیریابی است. به خاطر ذات یک طرفه بودن زنجیره‌ی هش، می‌تواند از جعل یک عدد دنباله بزرگتر از عدد اصلی یا اعلام عدد کوچک‌تر از عدد اصلی جلوگیری کند. وقتی یک گره یک بسته‌ی مسیریابی بروز را دریافت می‌کند، از مقدار هش خود برای ارزیابی بسته استفاده می‌کند؛ اگر ارزیابی درست بود، جدول مسیریابی خود را تغییر می‌دهد و در غیر اینصورت بسته را از بین می‌برد.
مزیت این روش، پذیرش زنجیره‌ی هش یک طرفه برای ارزیابی تصدیق است که به شدت پیچیدگی محاسباتی را کم می‌کند. مشکل این روش نیاز به یک موجودیت معتمد در شبکه است تا اجزای ارزیابی برای هر گره را توزیع و نگه‌داری کند زیرا اجزای ارزیابی زنجیره‌ی هش از موجودیت معتمد جداست. اگر فرد معتمد به خطر بیافتد، کل شبکه شکسته می‌شود.

  • بردار امن فاصله‌ی عندالمطالبه‌ی ad hoc

SAODV یک پروتکل مسیریابی امن بر اساس AODV است. شرط پیش‌نیاز ارسال کلیدهای عمومی همه برای همه‌ی افراد برای امضا است. این روش از دو مکانیزم برای برقراری امنیت روی AODV استفاده می‌کند. یکی امضای دیجیتال که صحت داده در بسته را چک می‌کند که در حین ارسال تغییر نکرده باشد و دیگری زنجیره‌ی هش یک طرفه برای بررسی اجزای تغییرپذیر مثل تعداد گام‌ها در بسته است. اشکال آن این است که از رمزنگاری نامتقارن استفاده می‌کند که منابع زیادی را در گره‌های میانه مصرف می‌کند.

  • مسیریابی امن حالت لینک برای شبکه‌های ad hoc سیار

PLSP یک پروتکل امن مبتنی بر حالات لینک است و پروتکل مسیریابی را با استفاده از حالت لینک مثل ZRP محافظت می‌کند. شرایط پیش‌فرض این پروتکل این است که هر گره یک جفت کلید عمومی و خصوصی داشته باشند و کلید عمومی به دیگر گره‌ها ارسال شود.
SLSP دو عملکرد دارد. اول اینکه می‌تواند از تغییر آدرس IP جلوگیری کند و دوم اینکه می‌تواند تعداد ارسال بسته به همسایه‌ها را ثبت کند و اگر بزرگ‌تر از مقدار داده شده بود این همسایه به عنوان حمله‌گر شناخته می‌شود و بسته‌ی او دیگر پردازش نمی‌شود.
این امر می‌تواند حمله‌ی DoS را در یک ناحیه‌ی کوچک محدود کند.
مزیت این الگوریتم این است که می‌تواند از مکانیزم نظارت بر همسایگانش برای جلوگیری از حمله‌ی DoS استفاده کند.

  1. تشخیص حمله

تحقیق آکادمی و شیوه‌ی صنعتی، ثابت کرده است که هیچ پیشنهاد امن مطلقی برای یک سیستم شبکه خصوصاً شبکه مش وجود ندارد که کاملاً پویا باشد. ابزار مورد استفاده‌ی ما ابزار تشخیص حمله است.
به دلیل اینکه حملات فقط حملات خارجی نیستند و سوءاستفاده‌های داخلی را نیز شامل می‌شوند، تشخیص حمله برای حملات داخلی مؤثرتر و منعطف‌تر است. با این حال، WMN چالش‌های طراحی سیستم تشخیص حمله را دارد. اول، روترهای مش که به طور فیزیکی محافظت شده نیستند و در معرض خطرند. وقتی یک روتر مش دزدیده می‌شود همه‌ی اطلاعات امنیتی مثل کلیدها فاش می‌شود. روترهای مش خراب، نه تنها امنیت کل شبکه را فاش می‌کنند بلکه حتی می‌توانند تنظیمات شبکه را تغییر دهند یا اطلاعات نادرست وارد کنند و الگوی مسیریابی را مختل کنند. بنابراین، چگونگی تشخیص خرابی روترهای مش و اطلاع از کل شبکه مسئله‌ی دشواری است.
Youngguang و Zhang و Weeke Lee یک طرح توزیع‌شده‌‌ی تشخیص حمله (IDS) بر مبنای عامل پیشنهاد دادند. عامل IDS می‌تواند شش قسمت شامل جمع‌آوری داده‌ی محلی، موتور تشخیص محلی، پاسخ محلی، پاسخ سراسری و ارتباطات امن. شکل ۵ یک مدل مفهومی برای عامل IDS را نشان می‌دهد. اگر ناهنجاری در داده‌ی محلی تشخیص داده شد یا اگر شاهد قاطع نبود و تحقیق وسیع‌تری نیاز بود، عامل IDS همسایه در عمل تشخیص حمله‌ی محلی شرکت می‌کند. در یک مدل تشخیص ناهنجاری، یک مجموعه داده‌ی وسیع یا/و آموزش خاص برای درک تشخیص دستورالعمل‌ها در لایه‌ی مسیریابی نیاز است. یک طراحی لایه‌ای برای بهبود میزان تشخیص حمله مناسب است. این پیشنهاد، مدل تشخیص حمله توزیع شده را معرفی می‌کند که تشخیص محلی را با عامل IDS مقیم در گره آسان می‌کند و میزان تشخیص ر با کشف فعالیت‌های حمله در دیگر لایه‌ها بهبود می‌بخشد. مشکل اصلی این مدل این است که تشخیص ناهنجاری نیاز به آموزش داده دارد که در شبکه‌های مش قابل انجام نیست. به علاوه، یک عامل IDS در هر گره، حافظه زیاد و منابع محاسباتی نیاز دارد.
شکل ۵٫ مدل مفهومی برای عامل IDS
مدل دیگر نیز ارائه شده است که تعداد عامل‌های IDS را با به کار گیری یک عامل نظاره‌گر در گره‌های خاص کاهش می‌دهد.
Ping YI یک الگوریتم تشخیص حمله‌ی اتوماتا پیشنهاد داد که شبکه را به نواحی مستقل با گره‌های انتخاب شده‌ی تصادفی تقسیم می‌کند. پس از ساخت دستی اتوماتا از پروتکل مسیریابی، گره‌ی نظارت کننده قادر به جمع‌آوری اطلاعات رفتاری از همسایگان و کشف اتوماتیک حمله‌گران است. الگوریتم نفوذ بدون یادگیری اولیه به خوبی کار می‌کند.
 
هر اطلاعاتی که توسط گره‌های توزیع شده جمع‌آوری شده ناقص است و فقط نظارت همسایه‌ها در معماری این شبکه‌ها ممکن است. معماری تشخیص نفوذ مبتنی بر عامل بستگی به عامل‌هایی دارد که ترافیک شبکه را نظارت می‌کنند، اطلاعات را به اشتراک می‌گذارند و فرایند تشخیص نفوذ را هماهنگ می‌کند. این IDS توزیع شده، مصرف هزینه‌ی پهنای باند و سربار محاسباتی را کاهش می‌دهد که این کار با تقسیم شبکه به نواحی مستقل انجام می‌شود. روش دیگر برای تعیین رفتار نادرست شبکه بکارگیری عامل‌های متحرک در شبکه است که به سمت مکان‌هایی که فعالیت مشکوک تشخیص داده می‌شوند حرکت می‌کنند.
 

  1. نتیجه‌گیری

ساختار مش WMN، علاوه بر الگوهای امنیتی سنتی نیاز به راه‌حل امنیتی اختصاصی دارند. این مقاله برخی راه‌حل‌ها در خصوص مدیریت کلید، امنیت مسیریابی و تشخیص نفوذ و چگونگی انجام راه‌حل روی شبکه‌های مش را مرور می‌کنند. معماری امنیتی WMN یک مسئله‌ی روبه رشد در شبکه‌های بی‌سیم است و علاقه‌ی زیادی به تلاش در این زمینه وجود دارد.

  • دفاع در برابر حملات DoS

حملات DoS، دسترس‌پذیری منابع را کاهش می‌دهد و باعث اختلال در ارائه‌ی سرویس می‌شود. یک برنامه‌ی WMN باید نسبت به حملات DoS مقاوم باشد و قادر به دفاع در برابر چنین حملاتی باشد.

  • معماری امنیتی لایه‌ای

اغلب مکانیزم‌های امنیتی در پروتکل‌های شبکه تعبیه شده‌اند بنابراین اغلب روی حملات خاصی تمرکز می‌کنند. روش دیگر برای طراحی یک چارچوب لایه‌ای است که بتواند در زمان واقعی کل شبکه را نظارت کند و حملات را تشخیص سریعاً پاسخ دهد.

  • محافظت امنیتی برای چندپخشی

چندپخشی، می‌تواند ترافیک تکراری داده را در محیط‌های بی‌سیم کاهش دهد. با این حال، اغلب الگوهای امنیتی روی صحت پیام‌های مسیریابی و تصدیق یک گره تأکید دارند. ملاحظات خاصی باید روی چندپخشی صورت گیرد.

  • محافظت از جریان و موقعیت ترافیک برای پوشیدگی اطلاعات

با استفاده از اطلاعات ترافیکی جمع‌آوری شده در یک بازه‌ی زمانی، حمله‌کننده قادر به شناسایی زیرساخت کلید در شبکه است.
 

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *