(По материалам доклада компании Cisco на конференции IBC 2003)

Кабельные IP-сети традиционно считаются средой с плохой защитой передаваемых данных. Воровство услуг из DOCSIS-сетей становится все более распространенным явлением. Недавние исследования, проведенные в Соединенных Штатах, показали, что в 2000 году убыток кабельных операторов от воровства услуг составил $6.5 млрд.

Около 11% пользователей кабельных сетей США получают услуги нелегальным образом.

Воровство в DOCSIS-сетях растет более быстрыми темпами, нежели они сами. Беспокойство абонентов вызывает и недостаточная защищенность их частной информации от несанкционированного получения другими пользователями.

Рост проблем ускоряется активным распространением информации об уязвимых местах технологии DOCSIS в прессе и на сайтах Интернет. Известно, что запреты на подобные публикации не дадут должного эффекта. Единственно действенный способ борьбы — техническая защита сети. В спецификациях DOCSIS заложено множество механизмов защиты, использование которых позволяет поддержать не меньшую безопасность и надежность передачи данных, нежели в других сетях доступа.

Варианты воровства

Воровство в кабельных IP-сетях может принимать несколько форм. В любом случае оно негативно сказывается на качестве услуг, получаемых исправно платящими абонентами — уже в силу того, что все абоненты пользуются разделяемой средой.

Снятие ограничений на принимаемые услуги

Наиболее распространенным вариантом воровства является снятие ограничений на объем принимаемых услуг (modem uncapping). Как правило, ею пользуются абоненты, имеющие официальную подписку, но желающие повысить качество услуг без дополнительной оплаты. Чаще всего речь идет о снятии ограничений на скорость передачи данных в прямом канале. Несколько пользователей, изменивших CoS (Class of Services) своих модемов, могут полностью загрузить канал, исключив возможность доступа для легальных абонентов.

Для этого производится фабрикация конфигурационного файла, копирование чужого конфигурационного файла, присвоение новых IP-адресов или клонирование модемов.

Фабрикация конфигурационных файлов

Некоторые модемы предусматривают возможность загрузки конфигурационного файла через Ethernet-порт. Это является нарушением спецификации DOCSIS, но в тоже время облегчает тестирование модемов в процессе их производства, так как не требует его подключения к СMTS¹. В результате пользователи получают возможность провести загрузку модема, не подключаясь к реальной сети. Для этого помимо конфигурационного DOCSIS-файла используется широко доступное программное обеспечение серверов DHCP², TFTP³ и TOD⁴.

В конфигурационный файл модема заносится "безлимитный" прием, после чего он включается в сеть для регистрации или для перезагрузки. Методы, инициирующие перезагрузку, открыто описаны в Интернет.

Для борьбы с подобным способом снятия ограничений в конфигурационные файлы в DOCSIS включен механизм, известный под названием "Shared secret". С помощью Shared secret кабельные операторы могут передать модему специальную идентифицирующую последовательность. Она запускает алгоритм MD5⁵, в результате чего формируется контрольное значение, которое заносится в конфигурационный файл. Так как MD5 — однонаправленный алгоритм, то восстановить по ней идентифицирующую последовательность достаточно сложно. Эту последовательность знает и головной модем. При получении от кабельного модема запроса на регистрацию в сети он высчитывает контрольное значение и сравнивает его с записанным в конфигурационном файле. Рассчитать идентифицирующую последовательность сложно, но в некоторых случаях удается обойти эту защиту методом грубой силы. Он основан на многократном повторении запроса на регистрацию, в процессе которого происходит перебор возможных вариантов подписи, генерируемых на базе известных параметров кабельного модема. Однако, к счастью для кабельных операторов, этот метод пока работает недостаточно эффективно.

Другие механизмы выявления пиратских конфигураций и борьбы с ними включают постоянный мониторинг параметров модемов и назначенных им характеристик потока. В этом плане хороший эффект дает распространенная практика использования протокола SNMP⁶ для дополнительного опроса абонентских устройств в DOCSIS-сети. Один из пиратских сайтов советует пользователям модемов, имеющих доступ к конфигурационному файлу, сразу отключать работу SNMP, чтобы не быть обнаруженными во время мониторинга.

Другое пособие рекомендует устанавливать в пиратской конфигурации приемлемые лимиты, так как их полное отсутствие может быть легко выявлено.

Копирование легального конфигурационного файла

В борьбе со сфабрикованными файлами в большинстве случаев помогает расчет контрольного значения в рамках shared secret. Однако можно не формировать файл самостоятельно, а своровать законный, авторизованный вариант у другого подписчика. Своровать файл можно с незащищенного TFTP-сервера, или перехватив его в процессе инициализации другого модема.

Методы занесения скопированного файла в модем аналогичны описанным выше для сфабрикованного файла.

Для борьбы с таким явлением рекомендуется систематически менять идентифицирующую последовательность shared secret. Может также помочь защита TFTP-сервера или обновление версии его программного обеспечения. Можно также организовать мониторинг профиля каждого модема с помощью протокола SNMP. Еще один вариант выявления воровства конфигурационных файлов — создание программ, сравнивающих данные об оплате услуг, полученные из биллинговой системы, с профилем модема в конфигурационном файле.

Конфигурационный файл, сформированный в оболочке

Некоторые модемы могут быть непосредственно сконфигурированы либо через пользовательский интерфейс, либо через командную строку в программной оболочке модема. Несмотря на то, что возможность непосредственного конфигурирования противоречит спецификации DOCSIS, большинство кабельных модемов имеют нечто вроде оболочки, используемой при его отладке и починке. Раз возможность непосредственного доступа к оболочке в принципе имеется, то, соответственно, пользователь может изменить конфигурацию без воровства файла из сети.

Воспользоваться этим методом достаточно сложно. Для этого требуются серьезные специальные знания в области технологии программирования модемов и доступа к кодам.

Несмотря на малую вероятность воровства подобного рода, такие случаи были зафиксированы.

Для борьбы с изменениями конфигурации через оболочку некоторые производители CMTS разработали программное обеспечение, позволяющее им запоминать профиль услуг, задаваемый модему на головной станции, и разрешать ему доступ к услугам только в рамках этого профиля.

Множественные IP-адреса

Некоторые кабельные операторы для ограничения скорости потоков, получаемых абонентами, не используют возможности, заложенные для этого в DOCSIS, предпочитают организовывать ограничения поверх DOCSIS — на базе IP-адресов.

Такой вариант открывает возможности воровства за счет эмуляции IP-адресов. Например, можно эмулировать одновременно несколько IP-адресов и, объединив ресурсы, получить в распоряжение очень широкий канал доступа. Этот тип пиратства достаточно сложен и требует специальных знаний о конфигурации системы. Случаи подобного воровства пока неизвестны, но теоретически возможны.

Клонирование модемов

На практике воровство услуг с помощью IP-адресов производится за счет эмуляции действий легального модема. При этом может использоваться IP-адрес существующего модема или свободный IP-адрес из выделенных для данной сети. Присвоение IP-адреса производится по тем же схемам, что и пиратское присвоение конфигурационного файла.

Такое воровство может привести не только к сокращению емкости канала, доступной для других пользователей, но и к невозможности доступа к сети для тех, чей IP-адрес несанкционированно используется.

Для предотвращения подобного воровста Cisco Systems разработала механизм, использующий проект стандарта IETF и называемый DHCP LEASEQUERY, позволяющий контролировать правильность пары — IP- и МАС-адреса. При получении от абонентского модема запроса на сеанс связи CMTS Cisco сравнивает IP и МАС адреса модема с информацией, хранимой на DHCP-сервере, и, если пары не совпадают, то аннулирует регистрацию модема.

Дополнительное достоинство DHCP LEASEQUERY заключается в том, что он исключает необходимость использования протокола ARP 11, поддерживающего соответствие между IP- и МАС-адресом, включенного в сеть устройства. Это минимизирует пересылки сообщений в рамках ARP-протокола, перехват которых является одним из способов получить IP-адрес для клонирования.

Клонирование МАС-адресов

Для абонентского модема можно также скопировать МАС-адрес другого модема. В случае клонирования МАС-адреса, используемого в сети, SMTS воспринимает модем как законно подключенный и соответствующим образом его конфигурирует. После этого CMTS уже не в состоянии обнаружить подвоха.

Метод борьбы с клонированием МАС-адреса заложен в версии стандарта DOCSIS 1.1 в спецификации BPI+ (Baseline Privacy Plus Interface Specification). BPI+ требует, чтобы модемы снабжались цифровыми сертификатами, зашифрованными с помощью алгоритма RSA⁷.

В процессе производства модем снабжается уникальным сертификатом X.509, при формировании которого используется MAC-адрес модема. Подделать этот цифровой сертификат очень сложно. С его помощью кабельный оператор может быстро выявить модемы с клонированными МАС-адресами и отключить их.

Механизмы обеспечения безопасности

Сети, построенные на СКМ, часто критикуются за их недостаточную безопасность, связанную с использованием общего канала передачи. Однако, как уже говорилось, спецификации DOCSIS предусматривают ряд механизмов обеспечения целостности передаваемой информации и защиты от несанкционированного доступа. Они основаны на разных уровнях шифровки данных и расширенных процедурах идентификации модемов.

Рассмотрим эти механизмы более подробно.

Baseline Privacy Interface Specification (BPI)

Спецификация BPI — часть DOCSIS 1.0, в задачи которой входит обеспечить базовый уровень безопасности передачи данных за счет их шифровки.

Шифровка данных проводится с использованием 56-битного алгоритма DES. Кодирование и декодирование производятся автоматически и незаметно для пользователя. Алгоритм смены ключей определяется протоколом Baseline Privecy Key Management. Для повышения безопасности можно участить смену ключей.

BPI не закладывается в предустановки системы, но легко может быть активизирован в СMTS и конфигурационных файлах модема. Так как шифровка и дешифровка в рамках BPI реализуются аппаратным образом, то активизация этой функции не вызывает ощутимого ухудшения работы системы. Кроме того, аппаратный способ решения исключает возможность несовместимости его вариантов в СMTS и абонентских модемах.

В начале внедрения DOCSIS 1.0 правительство Соединенных Штатов ограничило использование 56-битного⁸ DES-алгоритма пределами своего государства, а в модемах, предназначенных на экспорт, использовался 40-битный алгоритм. Сейчас это ограничение снято, но в более ранних системах можно найти 40-битный BPI.

С помощью эффективного протокола шифрации BPI в определенной мере защищает передаваемую информацию от несанкционированного доступа, однако он не включает никаких методов идентификации абонентских модемов, то есть не защищает сеть от воровства услуг. Так, например, модем со сфабрикованным МАС-адресом сможет благополучно получать все услуги, несмотря на то, что они будут передаваться в зашифрованном виде.

Спецификация Baseline Privacy Plus Interface

BPI+ использует тот же алгоритм шифровки данных, что и BPI, но добавляет к ним механизмы идентификации устройства с помощью цифровых серитификатов, которые формируются с применением алгоритма RSA. Проверка сертификатов позволяет защититься от использования клонированных МАС-адресов. Дополнительно к этому для идентификации оборудования BPI+ позволяет использовать программу AAA servers (Authentication, Authorisation, Accounting) ⁹.

В DOCSIS 1.1 также предусматривается возможность идентификации кабельных модемов с помощью COPS (Common Open Policy Server)¹⁰. Этот протокол, работающий по схеме клиент-сервер, позволяет серверу загружать конфигурационную информацию в "клиента" на время предоставления сервиса, а затем удалять его оттуда. Это дает еще один механизм борьбы с доступом к неоплаченным услугам.

Шифровка на IP-уровне и VPN (Virtual Private Networks)

Мощности современных компьютеров позволяют довольно легко взломать 56-битное DES-кодирование, используемое в BPI. Постоянная смена ключей повышает безопасность, однако стремительное совершенствование механизмов расшифровки требует своевременных улучшений методов защиты.

Сейчас появились продвинутые кабельные модемы, включающие аппаратно реализованную шифровку на IP-уровне, которая позволяет заметно повысить безопасность передачи данных не только в пределах DOCSIS-сети, но и на всем пути от точки передачи до точки приема. Эти соединения с защитой по IP, известные как VPN-ы, требуют соответствующего конфигурирования устройств с обеих сторон, например, модема и корпоративного брандмауера. Защита по IP, реализуемая в VPN, эквивалентна действию трех DES-алгоритмов. Дополнительно к этому она обеспечивает идентификацию и некоторые другие услуги. VPN с защитой по IP широко используется для передачи бизнес-приложений.

Атаки Denial-of-Service — Электронный вандализм

Атаки Denial-of-Service (DoS) — как правило направлены не на воровство услуг, а на поражение системы, приводящее к невозможности получения услуг для легальных пользователей. Наиболее распространенными являются атаки DoS, в процессе которых занимается значительная часть ресурсов сети, что лишает доступа к ним остальных абонентов.

Другой тип атак приводит к повреждению инфраструктуры сети. Одним из наиболее зловредных вариантов является запуск в сеть самораспространяющихся программ (вирусов), которые поочередно инфицируют устройства сети, распространяясь в геометрической прогрессии.

Вирус Cod Red

Вирус Cod Red и его версии для получения доступа к сетевым устройствам используют слабости программного обеспечения IIS (Интернет Information Server) серверов Microsoft. Программа вируса загружается в память сервера и оттуда сканирует сеть в поисках других уязвимых устройств. Некоторые версии этого вируса атакуют совершенно определенные IP-адреса. Трафик, связанный со сканированием, суммируется с трафиком от сотен инфицированных компьютеров, передающих вирус дальше, и парализует работу системы.

Лучший способ борьбы с этим вирусом — своевременное обновление ПО-уязвимых компьютеров. По мере появления вирусов Microsoft выпускает дополнения, направленные на ликвидацию слабых мест, поражаемых этими вирусами. Существуют также механизмы идентификации и удаления трафика, вызванного вирусом Code Red. Благодаря характерной схеме его формирования, этот трафик выявляется достаточно легко. В CMTS Cisco для его идентификации и удаления используется механизм, называемый Network Based Application Recognition (NBAR), и некоторые другие стандартные методы.

Вирус NIMDA

NIMDA — еще один вирус, использующий различные варианты распространения. Один из вариантов — распространение через почтовых клиентов, поддерживающих MIME¹¹. NIMDA может добавлять к письмам вложения, при открытии которых вирус активизируется. Иногда NIMDA так же, как и Code Red, распространяется с помощью веб-серверов.

Принципы борьбы с обоими типами вирусов одинаковы. Для успешной профилактики вирусов типа NIMDA следует инициировать установку у абонентов антивирусных программ для почтовых приложений.

Smurf-атаки

Smurf атаки эксплуатируют вещательные возможности IP-протокола, а также некоторые особенности ICMP¹² протокола.

Программа Smurf или ей подобные инициируют формирование ICMP-запроса¹³, в которых в качестве адреса назначения указывается корневой, вещательный адрес сети. Другими словами, адресованного всем IP-устройствам сети. В ответ все включенные в тот момент устройства отправляют эхо-сигналы, которые могут заблокировать передачу полезного трафика сети.

С силу использования общей среды передачи и того, что модемы, как правило, постоянно включены, кабельная IP-сеть оказывается особенно уязвимой для вандализма такого типа. Для борьбы со Smurf-атаками предлагается использовать IP-фильтрацию, ограничивающую объем ICMP-трафика, или полностью запретить посылку вещательного трафика. В головных модемах Сisco предусмотрена последняя возможность.

Распределенные DoS-атаки

Распределенные атаки организуются с использованием большого количества компьютеров, инфицированных небольшими IRC¹⁴-агентами, которые одновременно пересылают потоки, адресованные определенному компьютеру или маршрутизатору. Эти потоки, включающие обычно UDP- или ICMP-пакеты, перегружают сетевые ресурсы, парализуя движение остального трафика. Борьба с распределенными атаками — достаточно трудоемкий процесс, включающий сложную фильтрацию трафика, NBAR¹⁵ и некоторые другие механизмы.

Часто борьба с распределенными атаками требует совместных усилий нескольких операторов.

Использование ARP-протокола

В ранних CMTS производства CISCO можно нарушить обмен между головной системой и абонентскими устройствами, используя ARP¹⁶ протокол. Для этого в локальной сети инициируется ряд ARP-посылок, касающихся адреса самого интерфейса маршрутизатора, через который принимаются и отправляются ARP-посылки, причем в сообщениях указывается неверный МАС-адрес. Некоторое время маршрутизатор защищается от перезаписи МАС-адреса в ARP-таблице, но затем, во избежание шторма ARP-посылок, принимает неверный адрес своего порта. После этого обновление ARP-таблицы прекращается, что, в свою очередь, приводит к сбоям в работе сети. В последних моделях CMTS этот дефект исправлен.

Другие типы вандализма

Из абонентской сети можно организовать атаку, отправив множественные запросы DHCP-серверу. Это быстро приведет к тому, что сервер начнет отклонять все поступающие запросы.

Для борьбы с такими атаками помогает введение дополнительной программы, выявляющей множественные отказы DHCP-сервера на запросы от одного компьютера и сбрасывающей все остальные отказы.

Заключение

Результаты недавних опросов западных операторов IP-кабельных сетей вызывают серьезную озабоченность. Они показали, что подавляющее большинство операторов не активизируют в своих сетях ни BPI, ни BPI+. Не используются и существующие механизмы борьбы с вандализмом. Причем такая картина наблюдается и в самых новых сетях, внедренных уже после появления всех перечисленных механизмов.

Это приносит большой финансовый ущерб операторам и, что еще важнее, не дает им возможности поддерживать обслуживание абонентов на должном уровне.

Операторы должны яснее понять и оценить риски, которым они подвергаются, отказавшись от мер защиты, и воспользоваться теми возможностями, которые они предоставляют.

¹ Cable Modem Termination System — головное устройство систем кабельных модемов.
² Dynamic Host Configuration Protocol — протокол, позволяющий сетевому администратору присваивать IP-адреса сетевым устройствам.
³ Trivial File Transfer Protocol — протокол, использующийся, в частности, для пересылки модемам конфигурационного файла.
⁴ Time of Day сервер — обеспечивает синхронизацию работы всех сетевых устройств.
⁵ MD5 — алгоритм, перемешивающий данные, легитимность которых проверяется, и входную серию произвольной длины. В результате формируется электронная подпись длиной 128 бит. Алгоритм MD5 разработан в развитие MD2 и MD4, генерирующих сообщения меньшей длины и обладающих меньшей надежностью.
⁶ Simlpe Network Management Protocol — стандартный протокол, использующийся для управления и мониторинга сетей разного типа.
⁷ RSA — широко распространенный алгоритм, используемый для шифровки данных и идентификации отправителя.
⁸ Имеется в виду длина ключа, то есть секретного слова, используемого в процессе шифровки информации.
⁹ Программа, управляющая доступом пользователей к ресурсам сервера. Она выполняет идентификацию и авторизацию пользователей, а также подсчет полученных услуг.
¹⁰ Протокол, предназначенный для реализации заданной в рамках требований QoS-схемы предоставления сетевых ресурсов разным устройствам сети (в данном случае абонентским модемам). Протокол обслуживает обмен между устройством, принимающим решение о предоставлении ресурса, и устройством, приводящим его в действие, например, маршрутизатором.
¹¹ Multi-Purpose Интернет Mail Extensions — расширение обычного SMTP (Simple Mail Transport Protocol)-протокола. К возможности работать с ASCII-текстом в MIME добавляется возможность передавать картинки, аудио, видео и другие типы информации.
¹² Интернет Control Message Protocol — используется для передачи информации от серверов к администратору.
¹³ Пустого сообщения, инициирующего получение ответа от устройства, которому оно назначено. Отправляется, чтобы убедиться в наличии устройства и правильности его адреса.
¹⁴ Интернет Relay Chat — система организации чатов.
¹⁵ Network Based Application Recognition — приложение, разработанное Cisco, одна из задач которого блокировать нежелательный тип трафика.
¹⁶ Address Resolution Protocol — протокол, преобразующий IP-адрес устройства в его МАС-адрес, необходимый для адресации устройства внутри сети. Обычно внедряется в маршрутизаторы. Он составляет и кеширует таблицу соответствия IP- и МАС-адресов. При отсутствии в таблице IP-адреса, "на имя" которого пришел пакет, ARP отправляет запрос в сеть, и если какое-то устройство узнает свой IP-адрес, то оно возвращает маршрутизатору свой МАС-адрес.