En la primera serie de artículos estuvimos reflexionando sobre la importancia de blindar la ciberseguridad en la red LoRaWAN, profundizamos en conceptos de esta red, desde cómo se lleva a cabo la comunicación entre sus elementos y sus funciones hasta plantearnos amenazas que se pueden dar en ella y algunas de las recomendaciones que tendríamos que tener en cuenta para mitigar este tipo de brechas de seguridad para prevenirlas.
En este artículo reflexionaremos acerca de la detección del comportamiento de los dispositivos en busca de indicios que nos lleven a descubrir una posible vulnerabilidad, detectando patrones anómalos en la red y dando posibles soluciones a este tipo de tráfico. Se representará con 3 escenarios como un atacante consigue, después de obtener las claves de acceso, suplantar a uno de los nodos, enviando la información que el atacante desee.
Para comenzar, recordemos que el atacante está viendo el tráfico entre el Gateway y el Network Server, ya sea bien por un MiTM, obteniendo el acceso a los logs de un IDS, etc . El nodo se une a la red, y el atacante obtiene tanto el JoinRequest como el JoinAccept. Con esos dos valores, el atacante puede conseguir la AppKey.
En la siguiente imagen vemos en la zona 1 como el paquete viaja desde el nodo hasta el Gateway, el atacante, en la zona 2, observa el tráfico y obtiene los datos del paquete. Para conseguir las claves de inicio de sesión (NwkSKey y AppSKey), al atacante sólo le basta con obtener el valor del campo DevNonce y decodificar los datos del paquete. La zona 3 representa que el paquete llega al Network Server sin haber sido modificado.
Ya con todo lo anterior, el atacante copia uno de los paquetes que había obtenido anteriormente, ahora sólo deber modificar el valor del campo FCnt, a un número mayor al valor de dicho campo que tenía el último paquete recibido. Imaginemos que el último paquete enviado por el nodo legítimo tiene 10 de valor en el campo FCnt, el atacante envía un paquete con el valor de FCnt = 20. Ya sólo tendría que cifrar el paquete con la AppSkey e iniciar, con el NwkSKey, una conexión con el Gateway para finalmente enviar los datos.
Con esto, el atacante estaría suplantando uno de los nodos dejándolo fuera de la red.
¿Es posible detectar este tipo de tráfico?
El valor de FCnt, se incrementa de uno en uno por cada paquete nuevo que va llegando al Network Server, sería anormal que cuando se espere el paquete con FCnt = 11, llegue el 20.
Por lo que este tipo de tráfico se puede detectar, creando alertas que revisen este valor y si no es el esperado nos lo comuniquen.
A parte del FCnt, existen otros valores donde podríamos ver comportamientos anómalos, como lo son, por ejemplo:
- Los parámetros de la señal no varían (Frecuencia, SNR, RSSI, …)
- Localización que supere un umbral establecido (Altitud, longitud y latitud)
Sabiendo ya la amenaza a la que nos enfrentamos, es imprescindible securizar este tipo de dispositivos y monitorizar el tráfico en busca de patrones anómalos que nos indiquen que algo no está funcionando como debería.
Después de reflexionar sobre los ataques en este tipo de redes y de cómo se podría detectar el tráfico de estos ataques, tenemos que pensar en como defendernos. En el siguiente capítulo, profundizaremos sobre mas técnicas y entornos de detección de patrones, dejando de lado al atacante y centrándonos en la parte defensiva.
