Upload
lamdan
View
213
Download
0
Embed Size (px)
Citation preview
1
Détection d'intrusion dans les réseaux Ad Hoc
Bernard [email protected]
Journées CELARSécurité des Nomades
Jeudi 14 novembre 2002
14 novembre 2002 Journées CELAR - Sécurité des Nomades 2
AGENDA
• Les réseaux Ad Hoc– Définition– Routage Ad Hoc– Protocole OLSR
• Détection des intrusions– Objectifs– Architecture d’IDS distribué– Attaques sur OLSR– Attaques par rebonds Telnet– Conclusions
2
14 novembre 2002 Journées CELAR - Sécurité des Nomades 3
RÉSEAUX AD HOC
• Définitions :– Un réseau ad hoc est un réseau créé par une
réunion de mobiles ne disposant pas d ’infrastructure pré-existante.
➩ Chaque mobile assure la fonction de routage
14 novembre 2002 Journées CELAR - Sécurité des Nomades 4
DIVERSITÉ DES RÉSEAUX AD HOC
– Réseaux personnels ou PAN (Personal Area Network),
– Réseaux Peer to Peer ou SIS (Système d’information spontané),
– Communications inter-groupes et travail collaboratif,
– Réseaux de capteurs et communications M2M (Machine à Machine),
– Réseaux en mouvement (informatique embarquée et véhicules communicants).
3
14 novembre 2002 Journées CELAR - Sécurité des Nomades 5
ROUTAGE AD HOC (1/2)
• Identification du chemin entre les nœuds source et destination.
• Problèmes : – Topologie dynamique– Besoin de convergence rapide de l’algorithme– Eviter les boucles– Sécurité des informations de routage– Bande passante limitée– Pas de point de concentration
• Le choix du protocole dépend de l’architecture.--> Protocoles proactifs et protocoles réactifs.
14 novembre 2002 Journées CELAR - Sécurité des Nomades 6
ROUTAGE AD HOC (2/2)
• Protocoles proactifs– Mise à jour continue des tables de routage.– Échange de paquets de contrôle.
+ Routes immédiatement disponibles.− Mise à jour des routes non optimisée.− Impact global d’un changement de topologie.
• Protocoles réactifs– Pas de table de routage permanente.– Recherche de la route à la demande.
+ Pas de maintien pour les routes non utilisées.− Délai avant l’utilisation d’une route.− Recherche des routes par diffusion de requêtes
4
14 novembre 2002 Journées CELAR - Sécurité des Nomades 7
TAXONOMIE DES PROTOCOLES DE ROUTAGE AD HOC
14 novembre 2002 Journées CELAR - Sécurité des Nomades 8
OLSR (1/5) Optimized Link State Routing
Protocol
• Etudié dans le projet PRIMA, Projet de réseau IP mobile ad hoc (RNRT 1999)
• Draft IETF (INRIA - version 7, juillet 2002)• Protocole proactif, non uniforme et basé sur la
sélection de voisins et l'état des liens.• Optimisation : seuls des nœuds particuliers, les MPR,
Multi Point Relay, diffusent des messages sur tout le réseau
5
14 novembre 2002 Journées CELAR - Sécurité des Nomades 9
OLSR (2/5)Etat des liens
A B
Lien symétrique :A reçoit BB reçoit A
SYM
A B
Lien asymétrique :A reçoit BB ne reçoit pas A
ASYM
A B
Lien MPR :B est un relai pour A
MPR
A B
Lien perdu :A et B sonthors de portée
LOST
14 novembre 2002 Journées CELAR - Sécurité des Nomades 10
OLSR (3/5)Découverte du voisinage
A
HELLONeighbors = Nobody
B
C
D
E
F
1_Hop Neighbors : A2_Hop Neighbors :
1_Hop Neighbors : A2_Hop Neighbors :
6
14 novembre 2002 Journées CELAR - Sécurité des Nomades 11
C
B
A
OLSR (4/5)Election des MPR
D
E
F
L’ensemble des MPR permetd'atteindre tous les nœudssitués exactement À 2 sauts
B
C
A
14 novembre 2002 Journées CELAR - Sécurité des Nomades 12
OLSR (5/5)Diffusion de la topologie
C
B
A
D
E
F
Seuls les MPR diffusentà tout le réseaules informations de topologie
Topology ControlA MPR de B & C
7
14 novembre 2002 Journées CELAR - Sécurité des Nomades 13
DÉTECTION D’INTRUSIONS
• Objectifs : – Renforcer les mécanismes de sécurité peu adaptés WLAN.– Définir une architecture d’IDS décentralisé répondant à la
problématique des réseaux ad hoc.– En démontrer la faisabilité.
• Travaux réalisés :– Définition de l'architecture générale d'un IDS décentralisé.– Réalisation d'un prototype d'IDS d'attaque d'OLSR– Réalisation d'un prototype d'IDS d'attaque par rebonds Telnet
14 novembre 2002 Journées CELAR - Sécurité des Nomades 14
ARCHITECTURE GÉNÉRALE POUR UN IDS AD HOC
Security in Ad Hoc Networks: a General Intrusion Detection Architecture Enhancing Trust Based Approaches - WIS 2002 - Ciudad Real - April 2002
8
14 novembre 2002 Journées CELAR - Sécurité des Nomades 15
Spécifications des « Local IDS »
Local IDS
Event Abstraction Framework
IDS Framework Mobile Agent Framework
IDS Kernel (TDFSD)
Audit Data Management
AlertManagement
IDS CommunicationFramework
IDS Communication(IDMEF/IDXP
module)
Mobile AgentsCommunication
(Agent Protocol Module)
(Local) MIB Browser(SNMP module)
Mobile Agents Placeand Security Policy
query event
Event and AlertSpecs.
(IDMEF)
Event AbstractionDatabase
MIB
Attack Signatures
alert
alert query,event,alert
MobileAgent
MobileAgent
MIB BasedEvent Abstractor
query event
MIB query MIB result
(Local and External) Communication Framework
IDXP(IDMEF) SNMP(MIB) AgentProtocol
14 novembre 2002 Journées CELAR - Sécurité des Nomades 16
MIB RAHMS
Expérimental
RAHMS OLSRTableDesVoisins
@IPEtatDuLien
EtatPrécédent
Rebonds PortLocalSortie
PortLocalEntree
9
14 novembre 2002 Journées CELAR - Sécurité des Nomades 17
VULNÉRABILITÉS DU PROTOCOLE OLSR
• Etude des versions 3 et 5 ; 4 vulnérabilités mises en évidence :
– DoS based on transmission of an excessivenumber of valid OLSR messages
– n_hop nodes DoS– 1+n_hops nodes DoS– 2+n_hop nodes DoS
• Réalisation d'un générateur d'attaques• Identification des signatures (infos MIB) en
permettant la détection
14 novembre 2002 Journées CELAR - Sécurité des Nomades 18
OLSR n_hop nodes DoS
adHoc1
adHoc2
adHoc3
adHoc4
adHoc5
Attaquant
Origine du message : adHoc1Voisins :
1.adHoc2 : LOST2.adHoc3 : LOST3.adHoc4 : LOST4.adHoc5 : LOST
Temps : t + dt
adHoc1 : ASYM
adHoc1 : ASYM
adHoc1 : ASYM
Origine du message : adHoc1Voisins :
1.adHoc2 : ASYM2.adHoc3 : LOST3.adHoc4 : SYM4.adHoc5 : SYM
Temps : t
SYM : j’entends ce voisin et il m’entend également
ASYM : j’entends ce voisin mais il ne m’entend pas
MPR : ce voisin est un de mes MultiPoint Relay
LOST : j’ai perdu la connexion avec ce voisin
10
14 novembre 2002 Journées CELAR - Sécurité des Nomades 19
Signature de l’attaque
Symétrique
Asymétrique
( NSaut_E2 )
AttaqueSuspectée
Nsaut_E1
Nsaut_E0
( Nsaut_E0 )
Nsaut_E1
NSaut_E2
Nsaut_E0
NSaut_E1 / alert: NSaut_Attack
•NSaut_E0 : le lien n’a pas été déclaré ASYMpendant le dernier HELLO_INTERVAL.• NSaut_E1 : le lien a été déclaré ASYM puis SYM ou MPRpendant un ou plusieurs HELLO_INTERVAL.• NSaut_E2 : le lien a été déclaré ASYMpendant une ou plusieurs HELLO_INTERVAL.• NSaut_Attack : détection de l’attaque
14 novembre 2002 Journées CELAR - Sécurité des Nomades 20
REBONDS TELNET
A
B
Telnet
C
Telnet
D
Telnet
L’IDS détecte l’arrivée de la connexion et
remonte la chaîne de connexionsjusqu’à la machine de l’attaquant.
11
14 novembre 2002 Journées CELAR - Sécurité des Nomades 21
CONCLUSIONS DES TRAVAUX
• Intérêt :– Fonctionnalités IDS distribués validées.– Validation de la plate-forme à agents mobiles.– Conception modulaire des LIDS -> évolutions
faciles.
• Améliorations, futurs travaux :– Détection comportementale.– Coopération inter-IDS.– Mesures de performances.– Plate-forme à agents mobiles pour IDS.
Travaux réalisés dans le cadre du projet RNRT
RAHMSRéseaux Ad Hoc Multiservices Sécurisés
12
14 novembre 2002 Journées CELAR - Sécurité des Nomades 23
PLUS-VALUE POUR SUPÉLEC
• Renforcement de l’équipe recherche sur la détection d’intrusions.
• Développement de nouvelles compétences sur les réseaux sans fil.
• Préparation de deux thèses sur les IDS pour réseaux ad hoc (soutenance fin 2003).
• Publications scientifiques.• Développement de nouveaux partenariats avec
l’industrie.• Contribution à la création d’une équipe de recherche
sur la sécurité à l’ESEO.