Analyse de la disponibilité dans les réseaux Ad hoc

Transcription

1 Analyse de la disponibilité dans les réseaux Ad hoc Etude bibliographique 1 février 2006 Seila Nuon (seila.nuon@gmail.com) Table des matières Résumé 2 1 Introduction 2 2 Terminologie 3 3 Le routage et les attaques dans les réseaux Ad hoc Le routage dans les réseaux Ad hoc Les attaques liées aux protocoles de routage Exemple d un protocole de routage Le protocole OLSR Des attaques contre le protocole OLSR La notion d inondation Groupe de communication Le concept de groupe Gestion de groupe L intérêt de gestion de groupe pour notre étude Modèle de sécurité du routage Propriétés de sécurité pour le routage de réseau Ad hoc Le concept de réputation La réputation subjective La réputation indirecte La réputation fonctionnelle La réputation globale Propriété de disponibilité Validation des propriétés non fonctionnelles par simulation 15 7 Conclusion 16 Références 17 1

2 Résumé Un réseau Ad hoc mobile (MANET) est un système autonome de nœuds mobiles reliés par des liens sans fil dont l union forme un graphe arbitraire. Un tel réseau ne nécessite pas d infrastructure fixe et représente une option attractive pour connecter spontanément des terminaux mobiles. Cependant ce type de réseau est particulièrement vulnérable, en particulier au niveau de la couche réseau, à des attaques visant la disponibilité de services. Les mécanismes traditionnels de sécurité reposant sur une infrastructure fixe ne sont pas adaptés. Dans ce rapport de bibliographie, nous allons présenter une étude sur les nouveaux protocoles de routage de réseau Ad hoc pour prendre en charge la disponibilité. Il s agit donc d une analyse sur les spécifications des protocoles en terme de disponibilité pour pouvoir proposer une politique de disponibilité applicable dans le contexte de ce type de réseau. Mots clés : 1 Introduction Réseau Ad hoc, sécurité, disponibilité, routage Durant les dernières années, le besoin de plus de mobilité et de pouvoir accéder à des données partagées ou échanger de l information à tout moment, en utilisant des dispositifs mobiles (téléphones portables, PDA, PC portables,...) a répandu la notion de réseau sans infrastructure, ou réseaux Ad hoc. Les réseaux Ad hoc ont une architecture de graphe arbitraire dans lequel, un ensemble de nœuds sans fil forment temporairement un réseau sans l aide d une infrastructure ou d une administration centralisée. Suivant la définition de l IETF [14], un réseau mobile Ad hoc est un système autonome de routeurs mobiles connectés par des liens sans fils. Les réseaux Ad hoc ont plusieurs caractéristiques : une topologie dynamique, l absence d infrastructure, la capacité variable des liens et une source d énergie limitée. A partir de ces caractéristiques, on peut déduire les problèmes et difficultés que peut poser ce type de réseaux en particulier les problèmes de sécurité. Les réseaux Ad hoc commencent à s imposer dans différents domaines d applications. C est dans le domaine du routage qu il y a eu beaucoup de travaux de recherche. Il reste beaucoup d autres domaines à explorer et de problèmes à résoudre ou pour lesquels il faut améliorer les solutions déjà existantes. Les problèmes de qualité de service (QoS), les problèmes de batteries ou encore ceux de la sécurité en font partie. Dans les réseaux Ad hoc, la sécurité dépend de plusieurs paramètres (authentification, confidentialité, intégrité, non répudiation et disponibilité) et concerne deux aspects, la sécurité du routage et la sécurité des données. Ces deux aspects comportent certaines vulnérabilités et sont exposés à plusieurs attaques. Le stage qui m a été confié se déroule à l École Nationale Supérieure des Télécommunications de Bretagne (ENST Bretagne) à Rennes, au sein de l équipe SERES, sous la responsabilité de Nora et Frédéric CUPPENS. L objectif du stage est d analyser les specifications des protocoles de routage dans les réseaux Ad hoc mobiles (MANET) et voir s ils possèdent de bonnes propriétés en terme de disponibilité. En plus de cette introduction, ce rapport de bibliographie contient six sections. Dans la section 2, nous recensons les termes techniques utilisés dans ce document. Dans la section 3, nous évoquons certains protocoles de routage et les vulnérabilités et attaques auxquels les réseaux Ad hoc peuvent être exposés. Puis dans la section 4, nous introduisons le concept de groupe de communication. Ensuite, nous présentons une synthèse des principaux modèles de 2

3 sécurité proposés pour traiter les problèmes de sécurité dans les réseaux Ad hoc, y compris les propriétés de sécurité dans les protocoles de routage, le concept de réputation, et la propriété de disponibilité dans la section 5. La section 6 traite certaines techniques d évaluation de propriétés non fonctionnelles. Enfin, notre conclusion est présentée dans la section 7. 2 Terminologie Les termes suivants sont utilisés dans cette étude bibliographique, mais peuvent être utilisés différemment ailleurs. Un nœud est un dispositif avec une interface réseau sans fil qui participe au routage dans un réseau Ad hoc mobile. Il peut être mobile ou fixe, et peut également faire partie d un autre réseau. Il est important de noter qu un nœud peut être un point d entrée à un sous réseau, ou bien juste un simple dispositif mobile tel qu un téléphone portable. Un nœud source ou émetteur est un nœud qui est la source d un paquet de données, envoyé à un nœud destinataire quelconque. Un nœud a est dit nœud voisin d un autre nœud b lorsqu il se trouve à un saut d un nœud b et qu il y a un chemin direct de a vers b. Si le nœud destinataire n est pas un nœud voisin du nœud émetteur, le paquet de données devra suivre un chemin composé de plusieurs nœuds appelés nœuds intermédiaires. Un paquet de routage est un paquet utilisé par un protocole de routage pour transmettre une information de routage. Une telle information inclut des messages concernant le mécanisme de maintenance des routes, de signalisation, etc. Les messages de type route request, route reply et route error sont utilisés dans les protocoles réactifs. La section suivante détaille comment ces paquets de routage sont utilisés et présente différents types de protocoles dans les réseaux Ad hoc. Un réseau Ad hoc peut être modélisé par un graphe G t = (V t, E t ) où V t représente l ensemble des nœuds du réseau et E t modélise l ensemble des connexions entre ces nœuds. Si e = (a, b) E t, cela veut dire que les nœuds a et b peuvent communiquer directement à l instant t. Par exemple, la figure suivante représente un réseau Ad hoc de dix nœuds mobiles sous forme d un graphe : Fig. 1 La modélisation d un réseau Ad hoc. La topologie du réseau peut changer à tout moment, elle est donc dynamique et imprévisible ce qui fait que la déconnexion des nœuds soit très fréquente comme illustrée dans la figure 2. 3

4 Fig. 2 Le changement de topologie des réseaux Ad hoc. 3 Le routage et les attaques dans les réseaux Ad hoc Le routage est un domaine majeure de recherche dans les réseaux Ad hoc, car les caractéristiques des réseaux Ad hoc posent beaucoup de nouveaux défis en comparaison avec les réseaux câblés traditionnels. Les protocoles existants ne sont pas adaptés aux réseaux Ad hoc. Ainsi, de nombreuses solutions utilisant des méthodes variées ont été proposées et étudiées récemment. 3.1 Le routage dans les réseaux Ad hoc Nous présentons dans cette section une synthèse des articles de recherche dans le domaine du routage dans les réseaux sans fil Ad hoc. Les protocoles de routage des réseaux Ad hoc s appuient sur deux modèles de fonctionnement : les protocoles proactifs et les protocoles réactifs. On peut les différencier par la méthode utilisée pour découvrir le chemin entre le nœud émetteur et le nœud destinataire. Pour maintenir leur table de routage, les protocoles proactifs recherchent à intervalle régulier les différentes routes disponibles dans le réseau. Quand un paquet doit être transmis, sa route est alors connue à l avance et peut ainsi être immédiatement utilisée. Les protocoles réactifs entreprennent la recherche d une route uniquement avant de transmettre un paquet. La figure 3 présente une taxonomie des protocoles de routage pour les réseaux Ad hoc[1]. Ces protocoles se différencient d abord par le niveau d implication des nœuds dans le routage. Ils sont dits uniformes si tous les nœuds du réseau jouent le même rôle pour la fonction de routage. Ils peuvent à l inverse être non uniformes si une structure hiérarchique est donnée au réseau et que seuls certains nœuds assurent le routage. Ainsi, dans les protocoles à sélection de voisins, chaque nœud sous-traite la fonction de routage à un sous ensemble de ses voisins directs. Pour les protocoles à partitionnement, le réseau est découpé en zones dans lesquelles le routage est assuré par un nœud maître. Les protocoles de routage uniformes peuvent également être regroupés selon les données qu ils utilisent pour effectuer leur tâche. Dans les protocoles orientés topologie (link state), chaque nœud utilise comme données l état de ses connexions avec ses nœuds voisins ; cette 4

5 Fig. 3 Taxonomie des protocoles de routage pour les réseaux Ad hoc. information est ensuite transmise aux autres nœuds pour leur donner une connaissance plus précise de la topologie du réseau. Les protocoles orientés destination (distance vector) maintiennent pour chaque nœud destinataire une information sur le nombre de nœuds qui les en séparent (la distance) et éventuellement sur la première direction à emprunter pour y arriver (le vecteur). Avec un protocole proactif, les routes sont disponibles immédiatement. Cependant, le trafic induit par les messages de contrôle et de mise à jour des tables de routage peut être important et partiellement inutile. De plus, la taille des tables de routage croit linéairement en fonction du nombre de nœuds. A l opposé, dans le cas d un protocole réactif, aucun message de contrôle ne charge le réseau pour des routes inutilisées. Mais, pour ces derniers, la mise en place d une route par inondation peut être coûteuse et provoquer des délais importants avant l ouverture de la route. En terme de performances, les protocoles orientés topologie (link state) convergent plus rapidement que les protocoles orientés destination (distance vector). Cependant, dans le cas de réseaux à forte mobilité, le trafic induit par les fréquents messages de contrôle est souvent pénalisant. D une façon générale, les protocoles de routage proactifs plats, qu ils soient orientés destination ou topologie, ne sont pas adaptés aux réseaux de taille importante (nombre de nœuds supérieur à 100) et à forte mobilité. Une première solution pour ce type de réseau est l utilisation de protocoles dits hiérarchiques (tels que HSR, FSR, etc.). Une seconde solution peut être d utiliser un protocole réactif. Ce type de routage permet de gérer de très gros réseaux si la mobilité des nœuds reste faible ; le trafic reste faible s il est dirigé vers un nombre réduit de destinations. D autre part, le calcul d une route sur demande est très pénalisant pour du trafic multimédia demandant des garanties en matière de qualité de service. A l heure actuelle, aucun protocole de routage dans les réseaux Ad hoc n a été adopté au sein de l IETF[1]. Les différents protocoles présentés sur la figure 3 ne sont encore que des drafts et restent en cours de développement et de spécification. Certaines propositions ont été abandonnées et les plus abouties sont AODV, DSR et OLSR. 5

6 3.2 Les attaques liées aux protocoles de routage Dans les réseaux Ad hoc, les attaques contre les protocoles de routage consistent à modifier les protocoles de sorte que le trafic passe, par un nœud spécifique, sous le contrôle d un attaquant. Une attaque peut également viser à empêcher la formation du réseau en faisant prendre aux nœuds des routes incorrectes, et plus généralement à perturber la topologie du réseau. Les attaques au niveau du routage sont classifiées en deux catégories principales : génération incorrecte du trafic et relayage de trafic incorrect 1. Parfois ceux-ci correspondent à des problèmes locaux des nœuds qui ne sont pas dus à une attaque, par exemple mauvais fonctionnement d un nœud, énergie d un appareil épuisée, ou interférence des ondes radio. Si aucun contrôle n est fait sur la provenance et l intégrité des messages de routage du réseau Ad hoc, un nœud malveillant pourra facilement causer des perturbations au réseau. Cela lui sera d autant plus facile que les réseaux sans fil Ad hoc n ont pas de barrière physique pour se protéger et que tous les éléments peuvent potentiellement participer au mécanisme de routage. Si un nœud malveillant a la capacité d usurper l identité d un nœud valide du réseau, il peut, lors du mécanisme de découverte de route, répondre au nœud initiateur avec un message de type route reply en annonçant un chemin, avec un coût minimal, vers le nœud demandé. Le nœud émetteur mettra alors sa table de routage à jour avec cette fausse route. Les paquets de données du nœud émetteur vers le nœud destinataire transiteront par le nœud malveillant qui pourra tout simplement les ignorer. Cette attaque est appelée trou noir, black hole. Les paquets sont captés et absorbés par le nœud malveillant. La figure 4 illustre ce type d attaque. Fig. 4 Un nœud malveillant m capte le trafic dédié au nœud d dans une attaque blackhole. Dans une variante appelée grey hole, seuls certains types de paquets sont ignorés par le 1 Chaque nœud maintient deux types de trafic : les paquets de contrôle et les paquets de données. 6

7 nœud malveillant. Par exemple, les paquets de données ne sont pas retransmis alors que les paquets de routage le sont. Un attaquant peut aussi créer des boucles infinies dans le réseau ou imposer aux paquets de faire des détours consommant la ressource radio inutilement. Un nœud malveillant ayant usurpé l identité d un nœud valide peut aussi générer des messages d erreurs de type route error, de manière aléatoire, pour perturber le fonctionnement du mécanisme de maintenance des routes. 3.3 Exemple d un protocole de routage Le protocole OLSR Le protocole OLSR(Optimized Link State Routing Protocol) est un protocole de routage proactif pour les réseaux mobiles Ad hoc[4]. Ce protocole est non uniforme et fondé sur la sélection de voisins. Le protocole OLSR s appuie sur le concept de Relai Multi Point (Multi Point Relay, MPR). Les relais MPR d un nœud correspondent à l ensemble des voisins qui permettent d atteindre tous les nœuds situés à deux sauts. La diffusion des différents messages de contrôle ne se fait que vers les relais MPR comme illustrée dans la figure 5, réduisant ainsi les répétitions inutiles. D autre part, le protocole OLSR distingue les liens unidirectionnels des liens bidirectionnels, seuls utilisés pour le routage. Fig. 5 Relais multipoint : Le nœud A a choisi m1, m2 et m3 comme relais multipoint. Quand A émet un message TC (Topology Control), il est seulement retransmis par m1, m2 et m3, qui le retransmettent à leur tour vers leur relais MPR. Chaque nœud maintient de l information sur les nœuds qui l ont élu en tant que relai MPR. Ceci est fait grâce à des messages (Hello messages) envoyés par chaque nœud à ses voisins. Ces messages contiennent : une liste des nœuds avec lesquels l émetteur a des liens bidirectionnels, une liste des nœuds que l émetteur peut entendre (ils entretiennent un lien unidirectionnel vers lui) une liste des nœuds que l émetteur a choisi comme relais MPR. La diffusion de ces messages Hello permet aux nœuds du réseau de stocker, dans leur table des voisins, une vision à deux sauts de leur voisinage et de calculer l ensemble de leurs relais MPR. Cet ensemble est recalculé dès qu un changement est détecté dans le voisinage à deux sauts. La diffusion sur la totalité du réseau (via les relais MPR) de messages de contrôle de topologie (Topology Control messages, TC messages) donne l information topologique nécessaire au mécanisme de routage. Ces messages contiennent, pour chaque relai MPR, la liste des nœuds 7

8 qui l ont choisi. Grâce à ces messages, les nœuds peuvent maintenir une table de topologie (Topology Table), indiquant le dernier saut pour chaque destination. Un algorithme de plus court chemin, appliqué à la table des voisins et à la table de topologie, permet de construire la table de routage de chaque nœud. Cette table mémorise, pour tous les nœuds du réseau, le nombre de sauts et le premier saut pour l atteindre. Elle doit être recalculée dès que l une des deux tables sources est modifiée. OLSR fournit des routes optimales en nombre de sauts. Il convient pour des grands réseaux grâce à son mécanisme de relais MPR, mais est sans doute moins efficace pour de petits réseaux Des attaques contre le protocole OLSR Le protocole OLSR ne comprend aucune caractéristique de sécurité[13]. Ainsi, il est vulnérable à différents types d attaques. Dans[13], Raffo examine les problématiques de sécurité liées à la protection du routage dans les réseaux Ad hoc. Il classifie les différentes attaques qui peuvent être portées et examine en détail le cas du protocole OLSR. Le protocole OLSR est vulnérable aux deux catégories d attaques présentées précédemment : la génération incorrecte du trafic et le relayage de trafic incorrect. Des recherches récentes se sont concentrées sur la création de techniques d authentification et de chiffrement pour protéger le protocole OLSR contre les attaques d intrus externes. Un second moyen de défense est nécessaire pour offrir des techniques de détection des intrusions et d intervention afin de mettre le protocole OLSR à l abri des attaques d intrus internes. 3.4 La notion d inondation Dans les protocoles de routage pour les réseaux Ad hoc, l inondation ou la diffusion pure consiste à propager un paquet (de données ou de contrôle) dans l ensemble du réseau. Un nœud qui initie l inondation envoie le paquet à tous ses voisins directs. De même, si un nœud quelconque du réseau reçoit le paquet, il le rediffuse à tous ses voisins. Ce comportement se répète jusqu à ce que le paquet atteigne tous les nœuds du réseau comme illustré dans la figure 6. Fig. 6 Le mécanisme d inondation. Notons que les nœuds peuvent être amenés à appliquer, durant l inondation, des traitements de contrôle, dans le but d éviter certains problèmes, tels que le bouclage et la duplication des messages. Le mécanisme d inondation est utilisé généralement dans la première phase du routage, plus exactement dans la procédure de découverte de route, et dans le cas où le nœud 8

9 émetteur ne connaît pas la localisation exacte de la destination. La source inonde le réseau avec un paquet de recherche de route afin qu il atteigne le nœud destinataire. En fait, l inondation est très coûteuse surtout dans le cas où le réseau est volumineux (latence, surcharge des messages, etc.). C est pour cela que les protocoles de routage essaient de minimiser au maximum possible la propagation des paquets de découverte de topologie par inondation en ajoutant d autres paramètres de diffusion. 4 Groupe de communication 4.1 Le concept de groupe Dans la communication de groupes, les messages sont transmis à des entités abstraites ou groupes ; les émetteurs n ont pas besoin de connaître les membres du groupe destinataire. La communication de groupe a fait déjà l objet de nombreux travaux, principalement dans le cadre du projet ARLES [2]. La gestion des membres d un groupe dynamique permet à un nœud de se joindre à un groupe, quitter ce groupe, se déplacer ailleurs puis rejoindre le même groupe. C est en ce sens que la communication de groupe assure une indépendance de la localisation ; ce qui la rend parfaitement adaptée à des topologies dynamiques de réseaux, telles que les architectures de réseaux Ad hoc. Lin et Gerla proposent dans [9], un algorithme de décomposition en groupes pour les réseaux mobiles sans fil. L algorithme partitionne le réseau en un ensemble de groupes de telle sorte que tout nœud du réseau peut atteindre n importe quel autre nœud en utilisant au plus un seul nœud intermédiaire. La figure suivante illustre un exemple de partitionnement. Fig. 7 La décomposition du réseau en groupes. 4.2 Gestion de groupe Dans un réseau Ad hoc, les utilisateurs peuvent se déplacer et la disponibilité de ressource change dans le temps. Le concept de groupe de communication permet de réaliser un service adaptatif qui réagit aux changements environnementaux de manière à maintenir la qualité du service perçue par les utilisateurs (i.e., temps de réponse). Issarny et al.[10] abordent ce problème en proposant un intergiciel (middleware) qui permet de gérer les groupes dynamiques dans les réseaux Ad hoc. Les applications peuvent s exécuter sur les groupes lorsque la complexité de l environnement réseau est fortement dynamique. 9

10 L adhésion à un groupe est principalement définie pour qu un groupe puisse réaliser une fonctionnalité, par exemple, définir une collaboration, partager une charge de calcul, améliorer la performance, fournir un service tolérant aux fautes, etc. En général, un nœud peut quitter un groupe parce qu il tombe en panne, demande explicitement de partir, ou bien est expulsé par d autres nœuds du groupe. En revanche, un nœud peut rejoindre un groupe parce qu il lui demande explicitement ou parce qu il refonctionne après une panne. Un protocole de gestion de groupe contrôle logiquement les changements dynamiques, cela veut dire que tous les membres du groupe doivent avoir une vue cohérente de l adhésion à un groupe même en cas des pannes. Les groupes sont définis par rapport à une fonctionnalité notée f qui peut caractériser une propriété fonctionnelle supportée par certains nœuds (i.e. ressources et services). Issarny et al. utilisent support(x, f) pour dénoter le fait qu un nœud x garantit f et G f pour dénoter un groupe qui garantit f : G f = {x x N et support(x, f)}. Dans [10], les attributs de l adhésion à un groupe sont définis de la façon suivante : Modèle de réseau : Ce modèle de réseau est considéré comme un ensemble de N nœuds. Un nœud x dans N a une identité unique notée Id(x). Le protocole de routage au dessous de cette couche n est pas fixé. Les fonctions suivantes sont utilisées pour raisonner sur la connectivité des nœuds pour un nœud x N et une durée t pendant laquelle la topologie du réseau n est pas changée. P roximity(t, x, p) retourne la distance géographique entre la position d un nœud x et la position géographique p pendant t. Distance(t, x, y) retourne la distance géographique entre les nœuds x et y (x, y N) pendant t. Connectivity(t, x) retourne l ensemble de tous les nœuds de N avec lesquels x peut communiquer en utilisant les protocoles de réseau sous-jacent pendant t ; DualConnectivity(t, x) retourne l ensemble de tous les nœuds y dans N tel que y Connectivity(t, x) et x Connectivity(t, y). Hops(t, x, y) retourne le nombre de sauts pour la communication entre x et y pour tout y accessible à partir de x (y Connectivity(t, x)). Localisation : Issarny et al. ont défini des fonctions qui caractérisent l adhésion à un groupe prenant en compte l ensemble de contraintes sur la localisation relative des nœuds membres. Les membres du groupe se trouvent dans une zone géographique dont la localisation peut être fixée à priori ou bien reliée à la position de chaque membre. Supposons que pos dénote une position géographique de référence et dist dénote la distance géographique maximale, nous obtenons : Geographical P roximity(g f, t, pos, dist) x G f : P roximity(t, x, pos) < dist Relative P roximity(g f, t, dist) x, y G f : Distance(t, x, y) < dist Les groupes sont définis en fonction du nombre de sauts qui séparent les nœuds membres. Ils sont définis de la même façon en se basant sur le nombre maximal de sauts (noté hops) entre les nœuds : Bounded(G f, t, hops) x, y G f : Hops(t, x, y) hops 10

11 Admission à un groupe : Seuls les nœuds autorisés peuvent joindre un groupe. Cela se fait grâce à la définition d un domaine de sécurité. Un domaine de sécurité S f gère les nœuds qui se font confiance pour réaliser une fonction f. En pratique, un domaine de sécurité est contrôlé par une autre entité tiers de confiance qui authentifie et enregistre les nœuds. Les nœuds obtiennent ensuite un certificat signé pour s authentifier auprès d autres nœuds du domaine S f. La communication dans ce groupe sécurisé peut se faire par le partage d une clef de groupe par les membres du groupe : Closed(G f, S f ) x G f : x S f Connectivité : Les membres de groupe peuvent avoir des connexions lâches, partielles ou complètes entre eux. La connexion lâche est la connexion de réseau disponible pendant un temps t et n impose aucune contrainte spécifique. La connexion partielle est définie selon les rôles des nœuds (client et serveur) en fonction de f. La relation client(x, f) dénote que x est client pour une fonction f et la relation server(x, f) dénote que x est un serveur pour f : P artial(g f, t) x G f, y G f : server(x, f) : y DualConnectivity(t, x) Un groupe complètement connecté est caractérisé par : Connected(G f, t) x, y G f : y DualConnectivity(t, x) Nous pouvons noter que Connected(G f ) P artial(g f ). En outre, les liaisons symétriques ne sont pas exigées entre les nœuds client et serveur. Seule la connectivité bidirectionnelle est considérée pour les applications. 4.3 L intérêt de gestion de groupe pour notre étude La gestion de groupe peut être une fonctionnalité intermédiaire pour aider le développement des applications au-dessus de réseaux Ad hoc[10]. La gestion de groupe permet de contrôler un sous réseau dynamique sur lequel l application s exécute pour l implantation des propriétés fonctionnelles et non fonctionnelles. La gestion de groupe dans un réseau Ad hoc a amené vers diverses études et sur des différentes applications spécifiques. Cependant, un ensemble distinctif d attributs principaux peut être identifié pour les réseaux Ad hoc orientés groupe. Ces attributs peuvent être plus tard exploités pour concevoir un service générique d un groupe qui doit être adapté aux spécifications des applications. Dans [2], les attributs clés sont introduits pour la gestion de groupe dans les réseaux Ad hoc, particulièrement fondée sur les applications. Ces attributs sont utilisés pour fixer les contraintes d adhésion à un groupe, liées à la localisation, la connectivité, l authentification, et la qualité de service des membres. Les propriétés fonctionnelles et non fonctionnelles de la gestion de groupe peuvent être très utiles pour notre étude en terme de disponibilité. 5 Modèle de sécurité du routage Cette section illustre un modèle de sécurité pour les réseaux Ad hoc. Nous présentons plusieurs propriétés de base pour la sécurité du routage dans les réseaux Ad hoc. Nous nous sommes plus particulièrement intéressés à la propriété de disponibilité dans notre étude. 11

12 5.1 Propriétés de sécurité pour le routage de réseau Ad hoc Dans [3], Buchegger et Boudec définissent cinq conditions de base pour la sécurité dans les protocoles de routage des réseaux Ad hoc : Confidentialité : En raison de la portée limitée de chaque nœud, les communications entre deux nœuds sont habituellement établies à l aide d un certain nombre de nœuds intermédiaires. Malheureusement, certains de ces nœuds intermédiaires peuvent être malveillants, ce qui représente une menace pour la confidentialité des données échangées. Le chiffrement des données peut protéger l information échangée entre les nœuds. Intégrité : L intégrité d un réseau dépend de tous les nœuds dans ce réseau qui suivent correctement des procédures de routage. Cela permet à chaque nœud d avoir des informations correctes de routage. Les menaces pour l intégrité existent lorsque les malveillants diffusent des faux messages de routage ou altèrent des messages utiles qui circulent dans le réseau. Authentification : Un nœud non autorisé n a pas la permission d accès à l information de routage et n a pas la droit de participer au protocole de routage Ad hoc. A l heure actuelle, il n y a pas de protocole explicite et formel qui gère l autorisation dans le routage Ad hoc. Il y a simplement une notion abstraite pour cela. Cependant, l authentification est une propriété incontournable. Elle est utilisée pour fournir des services de contrôle d accès dans le réseau Ad hoc. Fiabilité : Les réseaux Ad hoc sont souvent utilisés comme solution dans des situations de secours lorsque l utilisation d une infrastructure fixe est impossible. Le routage doit être fiable et des procédures de secours peuvent être exigées. Par exemple, si une table de routage est saturée en raison de capacité de mémoire limitée, un protocole réactif devrait toujours pouvoir trouver une route de secours pour une destination donnée. Disponibilité : Les propriétés présentées précédemment se posent en termes de quel nœud a la permission de faire une tâche (i.e., Pour une opération de lecture/écriture ; Peut-on lire? Peut-on écrire?) tandis que la disponibilité concerne ce qu un nœud autorisé peut réellement faire (i.e., on a le droit d écrire, mais est-ce que ça marche, si l on tente de le faire?)[8]. Parmi ces propriétés, nous sommes intéressés par celle de disponibilité parce qu il y a très peu de travaux de recherche actuellement sur ce sujet, notamment dans le domaine des réseaux Ad hoc. Cette propriété de disponibilité est détaillée dans la section Le concept de réputation Un autre mécanisme de sécurité est basé sur le concept de réputation et sert pour établir un lien entre le comportement d un nœud et l utilisation du réseau. Pour détecter les nœuds malveillants, des paquets de test sont envoyés dans le réseau et une valeur de réputation est évaluée pour chaque nœud. Un nœud avec une faible réputation ne pourra pas se servir du réseau. Chaque nœud du réseau observe le comportement de ses voisins par rapport à une fonction spécifique, par exemple le transfert de paquets (packet forwarding), et collecte des informations sur l exécution de cette fonction. Si le résultat attendu coïncide avec le résultat observé, l observation va avoir une valeur positive, autrement elle va avoir une valeur négative. En se basant sur les observations collectées au fur et à mesure du temps qui passe, chaque nœud calcule une 12

13 valeur de réputation attribuée à chacun de ses voisins en utilisant un mécanisme d évaluation sophistiqué. Dans leur cadre d étude du protocole CORE[11], Michiardi et Molva définissent trois types de réputation : subjective, indirecte et fonctionnelle La réputation subjective La réputation subjective est une réputation calculée directement à partir de l observation d un nœud. Une réputation subjective R t n i (n j f) à l instant t du point de vue d un nœud n i sur le nœud n j par rapport à une fonction f est calculée par la formule suivante : R t n i (n j f) = ρ(t, t k ).σ k où ρ(t, t k ) est une fonction temporelle qui donne une pertinence plus élevée aux anciennes valeurs σ k qui est le facteur d estimation donné à la k-ème observation. C est une variante qui varie de 1 (pour une impression négative et signifie que le résultat observé ne correspond pas au résultat attendu) à +1 (pour une impression positive, par exemple, lorsque le résultat attendu coïncide avec le résultat observé). Lorsque le nombre ou la qualité des observations recueillies depuis t ne sont pas suffisantes, la valeur finale de la réputation subjective prend la valeur 0 pour être neutre. Puisque σ k [ 1, 1] et ρ(t, t k ) est une valeur normalisée, alors R t n i (n j f) [ 1, 1]. L ensemble n j est limité à un ensemble des voisins de n i La réputation indirecte La réputation subjective n est évaluée qu en considérant l interaction directe entre un nœud et ses voisins. Dans les réseaux complexes, la valeur finale de la réputation d un nœud est influencée également par les informations des autres membres du réseau. IR t n i (n j f) représente la valeur de la réputation indirecte du nœud n j collectée par un nœud n i à l instant t par rapport à une fonction f. Les informations collectées par la réputation indirecte ne peuvent prendre que des valeurs positives. Cela permet de se protéger contre les attaques de dénis de service fondées sur la diffusion des estimations négatives pour les nœuds La réputation fonctionnelle La réputation fonctionnelle est la réputation subjective et indirecte calculée par rapport aux différentes fonctions f. Cela permet de calculer une valeur globale de la réputation d un nœud qui tient compte de différents critères d observation et d évaluation. Par exemple, un nœud n i peut évaluer une réputation subjective R t n i (n j f(packet forwarding)) du nœud n j par rapport à la fonction de transfert de paquets et la réputation subjective R t n i (n j f(routing)) par rapport à la fonction de routage et les combiner en utilisant les différents poids pour obtenir une valeur globale de réputation sur le nœud n j La réputation globale La réputation globale peut être définie par une combinaison des informations de réputation de la façon suivante : 13

14 Rn t i (n j ) = { } k w k. Rn t i (n j f k ) + IRn t i (n j f k ) où w k représente le poids associé à chaque valeur de réputation fonctionnelle. Le choix des poids de w k pour évaluer la réputation globale doit être précis parce qu il peut affecter la robustesse du système global. Ce mécanisme permet d obtenir une valeur finale de réputation qui est le résultat d une combinaison linéaire d une réputation subjective, d une réputation indirecte et d une réputation fonctionnelle. Chaque type de réputation est obtenu en combinant les différentes observations faites par un nœud sur un autre nœud en fonction de f. Chaque observation est liée à l exécution correcte de f. Il est nécessaire de définir un mécanisme de validation (fondé sur l information d acquittement) qui compare le résultat observé avec le résultat attendu. Si le résultat attendu coïncide avec le résultat observé, l observation va avoir une valeur positive, autrement elle va avoir une valeur négative. 5.3 Propriété de disponibilité Dans notre contexte, la propriété de la disponibilité est définie sur l accès à l information de routage à tout moment sur demande. Si un chemin existe pour atteindre un nœud mobile, alors n importe quel nœud devrait pouvoir obtenir ce chemin quand ils en ont besoin. En outre une opération de routage ne devrait pas prendre une durée excessive pour être exécutée sur un nœud ni retarder un nœud de recevoir les messages de maintenance des routes. En plus, un nœud doit pouvoir effectuer normalement des opérations sans interférence excessive causée par le protocole de routage utilisé ou la sécurité du protocole. L une des premières analyses concernant le problème de dénis de service est faite par Gligor[8]. Il a introduit le concept du temps d attente maximum (Maximum Waiting Time, MW T ). Le système devrait déclarer un MW T prévu pour chaque service qu il offre lorsque les entités (nœuds) demandent à accéder à un service et à réaliser une tâche. Yu et Gligor[15] ont étudié le problème de dénis de service liés à la gestion des ressources. Ils montrent que pour vérifier une propriété de disponibilité il est nécessaire de connaître les ressources et les contraintes de comportement des services. Les utilisateurs doivent accepter certaines restrictions supplémentaires sur leur comportement, appelée user agreements. Dans le modèle, Yu et Gligor présentent deux parties. La première partie consiste en la spécification des ressources et le traitement des requêtes. La seconde partie décrit les contraintes que les services doivent respecter dans leur utilisation des ressources. Millen[12] propose un modèle de moniteur global pour la disponibilité qui repose sur une base de confiance (Trusted Computing Base, TCB) avec des hypothèses fortes de confiance pour garantir que les contraintes sur le comportement peuvent être sûrement imposées. C est un modèle de transition d état avec des politiques de temps d attente probabilistes pour capturer l effet du comportement réaliste de système. Il est fondé sur l approche de la théorie des ensembles et inclut une représentation explicite de temps. Cuppens et Saurel [7] ont travaillé sur l expression de politiques de disponibilité. Une politique de disponibilité permet de réaliser des tâches et d utiliser les ressources nécessaires pour réaliser les tâches. L objectif principal d une politique de disponibilité est de spécifier des MW T. Cela correspond à des obligations pour garantir ces M W T (pour l accès aux ressources et la réalisation des tâches). Dans un papier récent[5], Cuppens et al. proposent une nouvelle approche fondée sur un modèle formel de sécurité appelé Nomad[6] qui combine les logiques déontiques et les logiques 14

15 temporelles pour analyser la cohérence d une politique de disponibilité et dériver les propriétés de disponibilité. Cuppens et al. présentent comment utiliser ce modèle Nomad pour spécifier des politiques de disponibilité. Cette approche est fondée sur la programmation orientée aspects. Les exigences de disponibilité proposées dans Nomad sont transformées en des aspects de disponibilité. Le contexte de notre étude peut se voir comme une adaptation de cette approche à des propriétés de disponibilité dans les réseaux Ad hoc mobiles. 6 Validation des propriétés non fonctionnelles par simulation L un des objectifs de l étude d un modèle de disponibilité dans les réseaux Ad hoc est de produire des scénarios et des simulations réalistes, afin d examiner correctement des mécanismes de sécurité en terme de disponibilité. Ces mécanismes sont conçus pour faire face aux différents types de comportement de nœud en produisant les solutions faisables qui fonctionneront dans les systèmes réels. La topologie dynamique de réseau Ad hoc rend complexe la réalisation d une simulation qui est conforme aux spécifications de protocoles et aux politiques de disponibilité. Dans [3], certaines propriétés sont définies pour prévenir les menaces identifiées dans le modèle de sécurité. Ces propriétés sont considérées lors de la conception des protocoles de sécurité et des simulations pour examiner de tels protocoles. Taille du réseau : La taille du réseau doit être nécessairement variable. En effet, la taille devrait être affectée à une variable dynamique qui change pendant que les nœuds entrent et sortent du réseau. Les simulations doivent couvrir le cas où un grand nombre de nœuds entrent ou sortent simultanément du réseau. Densité des nœuds : Les attaques de dénis de service sont plus difficiles à réaliser dans des zones non peuplés. Une raison très simple est que plus il y a de nœuds, plus les routes alternatives existent. Cependant, les attaques contre l intégrité du réseau peuvent être plus intéressantes dans des zones denses car les fausses informations se propageraient rapidement. Localisation des nœuds : Certains protocoles de routage dans les réseaux Ad hoc sont fondés sur les informations de localisation des nœuds mobiles. Ce type de protocole diffuse les données destinées à un certain nœud en effectuant une inondation (propagation) partielle et en utilisant les données de localisation afin de minimiser la charge du réseau. Chaque nœud du réseau mobile Ad hoc échange périodiquement des messages de contrôle pour informer les autres nœuds de sa localisation. Lors de l envoi des données, si la source possède des informations récentes sur la localisation du nœud destinataire, elle choisit un ensemble de nœuds voisins qui sont localisés dans la direction source vers destination. Si un tel ensemble n existe pas, l ensemble de réseau est inondé par les données. Dans le cas où de tels nœuds existent, une liste qui contient leurs identificateurs est insérée dans l entête du paquet de données avant la transmission. Seules les nœuds qui sont spécifiés dans la liste d entête traitent le paquet. Regroupement : Avec la notion de localisation, les nœuds qui sont proches les uns des autres peuvent former un groupe de communication. Le dimensionnement doit être pris en compte en utilisant certaine forme de modèle hiérarchique comme dans Internet. Le regroupement doit être dynamique parce que les de nœuds peuvent quitter ou rejoindre un groupe ou le quitter définitivement. 15

16 Mobilité des nœuds : Dans un réseau Ad hoc, la topologie du réseau peut changer rapidement, de façon aléatoire et non prédictible et les techniques de routage des réseaux classiques, basées sur des routes préétablies, ne peuvent plus fonctionner correctement. Mais, tous les nœuds ne sont pas forcément mobiles. Une simulation doit prendre en compte aussi des nœuds stationnaires. 7 Conclusion Nous avons présenté certains protocoles de routage dans le réseau Ad hoc, des vulnérabilités et des attaques liées aux protocoles de routage en donnant un exemple avec le protocole de routage OLSR. Nous avons présenté également les propriétés de base de sécurité. Parmi ces propriétés, nous sommes intéressés à celle de disponibilité qui est définie par la garantie de l accès à l information de routage à tout moment sur demande. S il existe un chemin à partir d un nœud mobile vers un autre, alors ce nœud (s il a l autorisation d utiliser les ressources du réseau) devrait pouvoir obtenir ce chemin quand il en a besoin. Et l opération de routage ne devrait pas prendre trop de temps pour exécuter cette tâche. Nous avons extrait une technique d observation collective et un mécanisme de réputation. Chaque nœud du réseau observe le comportement de ses voisins par rapport à une fonction spécifique, par exemple le routage des paquets, et collecte des informations sur l exécution de cette fonction. Ce mécanisme permet d obtenir une valeur finale de réputation qui est le résultat d une combinaison linéaire d une réputation subjective, d une réputation indirecte et d une réputation fonctionnelle. Cette approche de réputation peut en particulier aider à résoudre le problème de disponibilité. L objectif du stage va consister à faire une validation par test et simulation des protocoles utilisés dans les réseaux Ad hoc sans fil pour pouvoir déterminer si les protocoles étudiés possèdent de bonnes propriétés en terme de disponibilité. Cette étude se fera en appliquant les modèles de disponibilité existant en particulier le modèle proposé par l ENST-Bretagne[5][6]. Pendant mon stage, le choix d une étude de cas de protocoles réseaux, devant satisfaire des exigences de disponibilité, sera fait. Il s agit de spécifier cette étude de cas choisie, d exprimer des propriétés de disponibilité et de les analyser. Références [1] Wikipedia, the free encyclopedia. http ://en.wikipedia.org/wiki/ad hoc protocol list. [2] M. Boulkenafed, V. Issarny, and J. Liu. Group Management for In-home Ad Hoc Networks. In Proceedings of ECRTS International Workshop on Real-Time for Multimedia - Special Focus on Real-time Middleware for Consumer Electronics (RTMM), [3] Sonja Buchegger and Jean-Yves Le Boudec. Performance analysis of the CONFIDANT protocol : Cooperation of nodes fairness in dynamic ad-hoc networks. In Proceedings of IEEE/ACM Symposium on Mobile Ad Hoc Networking and Computing (MobiHOC), Lausanne, CH, June IEEE. [4] Thomas Clausen and Philippe Jacquet. Optimized Link State Routing Protocol (OLSR). IETF RFC 3626, October Network Working Group. 16

17 [5] Frédéric Cuppens, Nora Cuppens-Boulahia, and Tony Ramard. Availability Enforcement by Obligations and Aspects Identification [6] Frédéric Cuppens, Nora Cuppens-Boulahia, and Thierry Sans. Nomad : A Security Model with Non Atomic Actions and Deadlines. In CSFW, pages , [7] F. Cuppens and C. Saurel. Towards a formalization of availability and deny of service. First Information System technologies panel symposium on protecting NATO information systems in the 21th century, octobre [8] Virgil D. Gligor. A Note on the Denial-of-Service Problem. In IEEE Symposium on Security and Privacy, pages , [9] Chunhung Richard Lin and Mario Gerla. Adaptive Clustering for Mobile Wireless Networks. IEEE Journal on Selected Areas in Communications, 15(7) : , [10] Jinshan Liu, Daniele Sacchetti, Françoise Sailhan, and Valérie Issarny. Group management for mobile Ad Hoc networks : Design, Implementation and Experiment. In MEM 05 : Proceedings of the 6th international conference on Mobile data management, pages , New York, NY, USA, ACM Press. [11] Pietro Michiardi and Refik Molva. Core : a collaborative reputation mechanism to enforce node cooperation in mobile ad hoc networks. In Communications and Multimedia Security, pages , [12] Jonathan K. Millen. A resource allocation model for denial of service. In IEEE Symposium on Security and Privacy, [13] Daniele Raffo. Security Schemes for the OLSR Protocol for Ad Hoc Networks. PhD thesis, Université Paris 6 INRIA Rocquencourt, [14] B. Shrader. A proposed definition of Ad hoc network. Technical report, Royal Institute of Technology (KTH), Stockholm, Sweden, May [15] Che-Fn Yu and Virgil D. Gligor. A Specification and Verification Method for Preventing Denial of Service. IEEE Trans. Software Eng., 16(6) : ,