"רשתות הסלולר בישראל רגישות למתקפות IoT"
18 יולי, 2019
להערכת ארכיטקט המובייל של ג'וניפר, המבנה הגיאוגרפי של ישראל הופך את הרשתות העתידיות שלה לרגישות במיוחד למתקפות שמקורן באבזרי IoT. הוא הציג בארץ פלטפורמה חדשה לניהול ואבטחת רשתות 5G מבוזרות
כחלק מההיערכות לדור החמישי, השיקה חברת Juniper Networks, המפתחת חומרה ותוכנה לרשתות, את פלטפורמת Contrail SD-WAN המאפשרת לנהל רשתות 4G ו-5G באופן מבוזר על-מנת להפחית את העומס מליבת הרשת. בשיחה עם Techtime הסביר ארכיטקט מובייל ראשי בגוף המכירות של ג'וניפר, איאן גואץ' (בתמונה למעלה), שארכיטקטורת הרשת נמצאת כיום בתהליך שינוי ממבנה היררכי אל מבנה חצי-מבוזר. "כדי לספק את מהירות הביצוע וזמני ההשהיה (latency) הקצרצרים של הדור החמישי, צריך להסיט חלק מהמשימות ומהעיבוד ממרכז הרשת אל נקודות חדשות שהן קרובות יותר אל קצות הרשת (נקודות קצה)".
גואץ' ביקר באחרונה בישראל ונפגש עם חברות הסלולאר המקומיות במסגרת ההכנות שלהן לקראת היערכות אל הדור החמישי. מדובר באתגר מקיף: טכנולוגיית הדור החמישי (5G) תגדיל את קיבולת הרשת בסדרי גודל ותספק תשתית לצמיחת מהפיכות טכנולוגיות כמו הרכב האוטונומי, אינטרנט של הדברים (IoT), העיר החכמה ועוד.
כולן מתבססות על תעבורה מהירה של הרבה מאוד נתונים, ובזמן אמת. כדי לעמוד במשימה, יש צורך לבצע שינויים גם בארכיטקטורה הנוכחית של הרשת, שבה מרבית המידע זורם מנקודת הקצה אל שרתים גדולים בליבת הרשת. הם אחראים על עיבוד המידע, הרצת היישומים והזרמת התוצאות אל מכשירי הקצה.
ביזור הרשת באמצעות שרתי-קצה
לדבריו, ביזור הרשת יתבצע באמצעות שימוש בשרתי-קצה (Edge-Cloud), הממוקמים קרוב יותר למכשירי הקצה. שרת-קצה הינו למעשה מרכז נתונים (Data Center) מקומי שירכז את תעבורת המידע מכמה עשרות תחנות בסיס ויבצע חלק ממשימות הרשת והרצת היישומים. בכך ניתן יהיה להפחית את העומס מהשרתים המרכזיים ולהעביר אליהם מידע מעובד יותר. עבור המהלך הזה פותחה פלטפורמת Contrail של ג'וניפר. גואץ': "זהו פתרון מבוסס תוכנה המאפשר לנהל בצורה וירטואלית את פעילות שרתי-הקצה. היא מציעה שינוי במבנה הרשת באופן שיאפשר להריץ יישומי דור חמישי גל על-גבי תשתיות הדור הרביעי".
ה-IoT מסכן את ליבת הרשת
לדבריו, שני מרכיבים קריטיים החסרים בפאזל של מהפיכת הדור החמישי הם המודל העסקי והאבטחה. למעשה, הם קשורים זה בזה. "שדרוג התשתיות לדור חמישי כרוך בהשקעות עצומות, החל מהרחבת הספקטרום, שינוי האנטנות, וכלה במרכיבי חומרה נוספים כמו מתגים ונתבים, כרטיסים ועוד. מהיכן יגיעו ההכנסות החדשות? צרכן המובייל לא ישלם יותר על מהירות. ההכנסות, אם כן, אמורות להגיע מהשווקים החדשים שיעשו שימוש ברשת: IoT, עיר חכמה, אוטומוטיב, רחפנים, בריאות דיגיטלית וכדומה".
אולם צירוף מיליארדי מכשירי IoT אל הרשת הוא מסוכן. כך למשל, בשונה מסמארטפון המצוייד במעבד חזק והרבה זיכרון, מכשיר IoT (למשל רמזור חכם, מצלמת רחוב ואפילו אינפוזיה מקושרת בבית חולים), מתבסס על חיישן, רכיב תקשורת, מעבד זעיר המבצע שורה מצומצמת של משימות, וסוללה. הם חייבים להיות סופר-חסכוניים בצריכת ההספק.
"במכשיר IoT אין מספיק כוח עיבוד פנוי בשביל להפעלת תוכנת אבטחה, אולם יש בו מספיק כוח עיבוד כדי להריץ נוזקה. גם תקני הדור החמישי עדיין אינם נותנים מענה לבעיות האבטחה ואימות הזיהוי, ולכן הרשת מזהה אותם כמכשירים בטוחים. התוקפים יכולים להשתמש בהם כעמדת יציאה לתקיפה ולחדור מנקודת הקצה אל ליבת הרשת".
הדבר הזה כבר התרחש במציאות?
"בשנים האחרונות היינו עדים למספר מקרים שהמחישו את הסכנה. באוקטובר 2016 הפילה מתקפת DDoS (מניעת שירות מבוזרת) רחבת היקף את שרתי חברת DYN המספקת שירותי שיוך דומיינים לכתובות IP (DNS). הדבר גרם לשיבושים חמורים בפעילות הרשת ברחבי החוף המערבי ולנפילה של אתרים מרכזיים. מקור המתקפה הוא ככל הנראה בנוזקת Marai, שחדרה אל רשת דרך השתלטות על מצלמות חכמות".
סכנה ישראלית מיוחדת
בגלל גודלה הזעיר והמבנה הגיאוגרפי הצר והמוארך שלה, ישראל, להערכתו, חשופה במיוחד למתקפות מעין אלה. "כל אחת מספקיות הסלולר בישראל מפעילה מספר קטן של אתרי ליבה (EPC). שיתוק של אתר אחד כזה עשוי להפיל את הרשת כולה בעיר גדולה, וניתן לעשות זאת באמצעות מתקפת DDoS שתציף את הרשת באמצעות בקשות שירות ממכשירי הקצה".
כיצד ניתן להתמודד עם הבעיה?
"מאחר שאין למכשיר די כוח עיבוד, צריך לייצר נקודה ברשת שבה ניתן יהיה לנטר את התנועה לפני שהיא עוברת לתחנות הבאות במרכז הרשת. הפלטפורמה שלנו מאפשרת להשתמש בשרת-הקצה כמעין נקודת בידוק, שבה נוכל לבחון את תעבורת ה-IoT על פי מדיניות האבטחה ולבדוק אם יש דפוסים חשודים כמו מספר רב של בקשות שירות. במידה ונתגלתה מתקפה, היא תיעצר בשרת-הקצה וכך לא תסכן את יתר חלקי הרשת. אנחנו עושים זאת באמצעות המכונה הווירטואלית, Virtual SRX, אשר מספקת שירותי את אבטחת הרשת בתוך שרתי-הקצה".
פורסם בקטגוריות: אבטחת סייבר , חדשות , תקשורת
פורסם בתגיות: 5G , IOT , הדור החמישי