Détection d'intrusion dans les réseaux Ad Hoc

Transcription

1 Détection d'intrusion dans les réseaux d Hoc ernard Jouga ernard.jouga@supelec.fr Journées CELR Sécurité des Nomades Jeudi 14 novembre 2002 GEND Les réseaux d Hoc Définition Routage d Hoc Protocole OLSR Détection des intrusions Objectifs rchitecture d IDS distribué ttaques sur OLSR ttaques par rebonds Telnet Conclusions 14 novembre 2002 Journées CELR - Sécurité des Nomades 2 1

2 RÉSEUX D HOC Définitions : Un réseau ad hoc est un réseau créé par une réunion de mobiles ne disposant pas d infrastructure pré-existante. Chaque mobile assure la fonction de routage 14 novembre 2002 Journées CELR - Sécurité des Nomades 3 DIVERSITÉ DES RÉSEUX D HOC Réseaux personnels ou PN (Personal rea Network), Réseaux Peer to Peer ou SIS (Système d information spontané), Communications inter-groupes et travail collaboratif, Réseaux de capteurs et communications M2M (Machine à Machine), Réseaux en mouvement (informatique embarquée et véhicules communicants). 14 novembre 2002 Journées CELR - Sécurité des Nomades 4 2

3 ROUTGE D HOC (1/2) Identification du chemin entre les nœuds source et destination. Problèmes : Topologie dynamique esoin de convergence rapide de l algorithme Eviter les boucles Sécurité des informations de routage ande passante limitée Pas de point de concentration Le choix du protocole dépend de l architecture. --> Protocoles proactifs et protocoles réactifs. 14 novembre 2002 Journées CELR - Sécurité des Nomades 5 ROUTGE D HOC (2/2) Protocoles proactifs Mise à jour continue des tables de routage. Échange de paquets de contrôle. + Routes immédiatement disponibles. Mise à jour des routes non optimisée. Impact global d un changement de topologie. Protocoles réactifs Pas de table de routage permanente. Recherche de la route à la demande. + Pas de maintien pour les routes non utilisées. Délai avant l utilisation d une route. Recherche des routes par diffusion de requêtes 14 novembre 2002 Journées CELR - Sécurité des Nomades 6 3

4 TXONOMIE DES PROTOCOLES DE ROUTGE D HOC 14 novembre 2002 Journées CELR - Sécurité des Nomades 7 OLSR (1/5) Optimized Link State Routing Protocol Etudié dans le projet PRIM, Projet de réseau IP mobile ad hoc (RNRT 1999) Draft IETF (INRI - version 7, juillet 2002) Protocole proactif, non uniforme et basé sur la sélection de voisins et l'état des liens. Optimisation : seuls des nœuds particuliers, les MPR, Multi Point Relay, diffusent des messages sur tout le réseau 14 novembre 2002 Journées CELR - Sécurité des Nomades 8 4

5 OLSR (2/5) Etat des liens SYM Lien symétrique : reçoit reçoit SYM Lien asymétrique : reçoit ne reçoit pas MPR Lien MPR : est un relai pour LOST Lien perdu : et sont hors de portée 14 novembre 2002 Journées CELR - Sécurité des Nomades 9 OLSR (3/5) Découverte du voisinage D F HELLO Neighbors = Nobody 1_Hop Neighbors : 2_Hop Neighbors : C E 1_Hop Neighbors : 2_Hop Neighbors : 14 novembre 2002 Journées CELR - Sécurité des Nomades 10 5

6 OLSR (4/5) Election des MPR D F C E L ensemble des MPR permet d'atteindre tous les nœuds situés exactement À 2 sauts 14 novembre 2002 Journées CELR - Sécurité des Nomades 11 OLSR (5/5) Diffusion de la topologie Topology Control MPR de & C D F C E Seuls les MPR diffusent à tout le réseau les informations de topologie 14 novembre 2002 Journées CELR - Sécurité des Nomades 12 6

7 DÉTECTION D INTRUSIONS Objectifs : Renforcer les mécanismes de sécurité peu adaptés WLN. Définir une architecture d IDS décentralisé répondant à la problématique des réseaux ad hoc. En démontrer la faisabilité. Travaux réalisés : Définition de l'architecture générale d'un IDS décentralisé. Réalisation d'un prototype d'ids d'attaque d'olsr Réalisation d'un prototype d'ids d'attaque par rebonds Telnet 14 novembre 2002 Journées CELR - Sécurité des Nomades 13 RCHITECTURE GÉNÉRLE POUR UN IDS D HOC Security in d Hoc Networks: a General Intrusion Detection rchitecture Enhancing Trust ased pproaches - WIS Ciudad Real - pril novembre 2002 Journées CELR - Sécurité des Nomades 14 7

8 Spécifications des «Local IDS» Local IDS ttack Signatures IDS Framework Mobile gent Framework lert Management alert IDS Kernel (TDFSD) query event Mobile gent Mobile gent Event and lert Specs. (IDMEF) Event bstraction Database alert udit Data Management query event Event bstraction Framework query, event, alert Mobile gents Place and Security Policy MI IDS Communication Framework MI query MI ased Event bstractor MI result IDS Communication (IDMEF/IDXP module) (Local) MI rowser (SNMP module) Mobile gents Communication (gent Protocol Module) IDXP(IDMEF) SNMP(MI) gent Protocol (Local and External) Communication Framework 14 novembre 2002 Journées CELR - Sécurité des Nomades 15 MI RHMS RHMS OLSR EtatDuLien EtatPrécédent Expérimental Rebonds PortLocalSortie PortLocalEntree 14 novembre 2002 Journées CELR - Sécurité des Nomades 16 8

9 VULNÉRILITÉS DU PROTOCOLE OLSR Etude des versions 3 et 5 ; 4 vulnérabilités mises en évidence : DoS based on transmission of an excessive number of valid OLSR messages n_hop nodes DoS 1+n_hops nodes DoS 2+n_hop nodes DoS Réalisation d'un générateur d'attaques Identification des signatures (infos MI) en permettant la détection 14 novembre 2002 Journées CELR - Sécurité des Nomades 17 OLSR n_hop nodes DoS adhoc1 : SYM adhoc1 : SYM SYM : j entends ce voisin et il m entend également SYM : j entends ce voisin mais il ne m entend pas MPR : ce voisin est un de mes Multi Point Relay LOST : j ai perdu la connexion avec ce voisin adhoc5 ttaquant adhoc1 adhoc2 Temps : t Origine du message : adhoc1 Voisins : 1.adHoc2 : SYM 2.adHoc3 : LOST 3.adHoc4 : SYM 4.adHoc5 : SYM Temps : t + dt Origine du message : adhoc1 Voisins : 1.adHoc2 : LOST 2.adHoc3 : LOST 3.adHoc4 : LOST 4.adHoc5 : LOST adhoc4 adhoc1 : SYM adhoc3 14 novembre 2002 Journées CELR - Sécurité des Nomades 18 9

10 Signature de l attaque ( NSaut_E2 ) Nsaut_E0 Symétrique ( Nsaut_E0 ) Nsaut_E1 Nsaut_E0 NSaut_E2 symétrique ttaque Suspectée Nsaut_E1 NSaut_E0 : le lien n a pas été déclaré SYM pendant le dernier HELLO_INTERVL. NSaut_E1 : le lien a été déclaré SYM puis SYM ou MPR pendant un ou plusieurs HELLO_INTERVL. NSaut_E2 : le lien a été déclaré SYM pendant une ou plusieurs HELLO_INTERVL. NSaut_ttack : détection de l attaque NSaut_E1 / alert: NSaut_ttack 14 novembre 2002 Journées CELR - Sécurité des Nomades 19 REONDS TELNET C Telnet Telnet Telnet L IDS détecte l arrivée de la connexion et remonte la chaîne de connexions jusqu à la machine de l attaquant. D 14 novembre 2002 Journées CELR - Sécurité des Nomades 20 10

11 CONCLUSIONS DES TRVUX Intérêt : Fonctionnalités IDS distribués validées. Validation de la plate-forme à agents mobiles. Conception modulaire des LIDS -> évolutions faciles. méliorations, futurs travaux : Détection comportementale. Coopération inter-ids. Mesures de performances. Plate-forme à agents mobiles pour IDS. 14 novembre 2002 Journées CELR - Sécurité des Nomades 21 Travaux réalisés dans le cadre du projet RNRT RHMS Réseaux d Hoc Multiservices Sécurisés 11

12 PLUS-VLUE POUR SUPÉLEC Renforcement de l équipe recherche sur la détection d intrusions. Développement de nouvelles compétences sur les réseaux sans fil. Préparation de deux thèses sur les IDS pour réseaux ad hoc (soutenance fin 2003). Publications scientifiques. Développement de nouveaux partenariats avec l industrie. Contribution à la création d une équipe de recherche sur la sécurité à l ESEO. 14 novembre 2002 Journées CELR - Sécurité des Nomades 23 12