13/10/04 1
Détection d’intrusions dans les réseaux sans fil Ad Hoc
Jean-Marc PERCHERE.S.E.O
Journée SEE-SIC – 11 Mars 04
13/10/04 2
Plan
Introduction
Détection d’intrusions
Modèle d’IDS distribué pour MANET
Validation expérimentale
Modèle de sécurité pour MANET
Conclusions & Travaux futurs
13/10/04 3
Introduction
MANET sont des réseaux sans fil créés par une réunion de mobiles ne disposant pas d ’infrastructure pré-existante. (Mode ad hoc)
Services réseaux : distribués et coopératifs.
Protocoles de routage spécifiques (Chaque Noeud)
La mise en œuvre de certains mécanismes de sécurité développés pour les réseaux filaires est délicate.
Les MANET ne peuvent bénéficier des mécanismes de sécurité s’appuyant sur l’infrastructure (firewall, serveur d’authentification, etc.)
13/10/04 4
Protocoles de routage ad hoc
Protocoles de routage ad hocunicast
Non uniformes Uniformes
Sélection de voisins Partionnement Etats de liens Vecteur de distance
Réactifs Proactifs Réactifs Proactifs
OLSRZRP
CGSRHSR
DSR GSRFSR
AODVTORA
WRP
13/10/04 5
Sécurité des MANET
Un nœud doit assurer lui même sa sécurité .
Vulnérabilités spécifiques : protocole de routage.
Accès ouverts au réseau dont les performances limitées.
Mécanismes de sécurité en cours d’élaboration ou d’adaptation, limités par la difficulté de gestion des clés.
LES MANET SONT ENCORE DES RESEAUX VULNERABLES
13/10/04 6
IDS : Définitions
Intrusions :
Violation de la politique de sécurité
Détection d’intrusions : Analyse des informations collectées par les capteurs
Système de Détection d’Intrusions (IDS) :
Outil de détection automatique d’intrusions
Architecture d’IDS (IETF/IDWG)
13/10/04 7
Classification des IDSApplications
Réseau
Autres IDS
Comportementale
Par scénarios
Centralisée
Distribuée
Périodique
Continu
Informatif
Défensif
Méthodes dedétection
Architecture
Mode defonctionnement
Comportmentaprès détection
Sources desdonnées
Systèmes deDétection
d'Intrusion s
O.S
13/10/04 8
Contraintes imposées par les MANET et propositions
Topologie Ad Hoc (Pas de nœud permanent, absence de
mécanismes centralisés, ….)
Nœuds hétérogènes Attaques spécifiques et génériques
Coopération entre LIDS Collecte de données Origine de l’attaque
Architecture d’IDS distribuée (LIDS)
Collecte d’informations dans les MIB.
Agents Mobiles (AGLET)
13/10/04 9
État de l’art des IDS distribués
Données Applications Réseau
Système
Architecture
Distribuée
Hiérarchique (fixe)
Hiérarchique (élection)
Réseau
Filaire
WLAN
Ad hoc
Attaques ciblées Spécifiques
Types différents
Sur chaque nœud
Sparta
02/0399999696 989792
Ad HocAAFID JiNao IDADPEMDIDS GrIDs CSMIDS
*
03
CIDSAHN
*
13/10/04 10
Caractéristiques de l’ IDS proposée
Architecture d’IDS distribuée et Coopérative : échanges adaptés à la topologie et
aux performances des réseaux ad hoc Configurable : selon les types d’attaques à
détecter Indépendante des données utilisées pour la
détection des différents types d’attaques Optimisée pour limiter les ressources utilisées par
la détection (nœud et réseau) Résistante ne pas introduire de nouvelles
vulnérabilités
13/10/04 11
Contexte de mise en œuvre de la détection des intrusions
Expression de la politique de sécurité Identification d’une COMMUNAUTÉ de confiance. Tous les nœuds de la COMMUNAUTÉ possèdent
l’IDS
Objectif de l’IDS : détecter les attaques contre un nœud au sein
de sa COMMUNAUTÉ de confiance
13/10/04 12
IDS distribué et coopératif
LIDS
LIDS
LIDS
LIDS
LIDSMob
ile A
gent
s
Mobile Agents Mobile Agents
Mobile Agents
Mob
ile A
gen
tsMobile Agents
13/10/04 13
Architecture d’un LIDS
Senseurs
SignaturesXML
AnalyseurModule de détection
(Machines d'états)
Gestion de la distribution(Traitement de événements et des
requêtes)
Architecture de communications (internes et externes)
Evénements
RequêtesEvénements
Requêtes
Manager
MIB
AgentSNMP
Collecteur dedonnées locales(MIB Browser)
Senseur local
Collecteur de données distantes(Plate-forme à
AGENTSMOBILES )
Senseur distant
LIDS
AlertesIHM
IDMEF-IDXP
Alertes
13/10/04 14
Validations expérimentales
• Objectifs des tests.
• Attaque sur le protocole de routage.
• Attaque par rebonds Telnet.
• La plate forme de tests.
• Validations fonctionnelles
• Mesures qualitatives
• Mesures quantitatives
• Interopérabilité avec SNORT.
13/10/04 15
Objectifs des tests
• Validation fonctionnelle du prototype. MIB : source données pour la détection.
Attaque sur le protocole de routage, détection locale
Coopération entre les LIDS par agents mobiles. Attaque Stepstone, détection distribuée.
• Évaluation des performances de la coopération par agents Mobiles.
13/10/04 16
Protocole OLSR (1/5)
OLSR - Optimized Link State Routing Protocol (INRIA)
RFC 3626 (Expérimental) – Novembre 03 Protocole proactif, utilise un algorithme de routage du type link-state.Chaque nœud connaît l’état de ses liens avec ses voisins à 1 saut. (Messages HELLO) Optimisation : seuls des nœuds particuliers, les MPR (Multi Point Relay), diffusent les messages de topologie sur tout le réseau. (Messages TC -Topology Control)
A
13/10/04 17
Protocole OLSR – État des liens (2/5)
A B
Lien symétrique : A reçoit B B reçoit A(Lien utilsable)
SYM
A B
Lien asymétrique : A reçoit B B ne reçoit pas A
ASYM
A B
Lien MPR : B est un relais pour A(A est le MPR SelectorLien utilisable)
MPR
A B
Lien perdu : A et B sont hors de portée
LOST
13/10/04 18
A
HELLONeighbors = Nobody
B
C
D
E
F
1_Hop Neighbors : A2_Hop Neighbors :
1_Hop Neighbors : A2_Hop Neighbors :
HELLONeighbors = Nobody
1_Hop Neighbors : F2_Hop Neighbors :
HELLONeighbors = F
1_Hop Neighbors : A, D2_Hop Neighbors : F
1_Hop Neighbors : D2_Hop Neighbors :
HELLONeighbors = Nobody
1_Hop Neighbors : A, E2_Hop Neighbors :
HELLONeighbors = A,E
1_Hop Neighbors : C2_Hop Neighbors : E
1_Hop Neighbors : C2_Hop Neighbors : A
HELLONeighbors = A, D
1_Hop Neighbors : C, B2_Hop Neighbors : E, D
1_Hop Neighbors : F, B2_Hop Neighbors : A
Protocole OLSR – Découverte du voisinage (3/5)
13/10/04 19
C
B
A
D
E
F
L'ensemble des MPR permetd'atteindre tous les nœudssitués exactement À 2 sauts
B
C
A
DB
A
C
A
B D
C E
D F
Protocole OLSR – Élection des MPR (4/5)
13/10/04 20
C
B
A
D
E
F
Seuls les MPR diffusentà tout le réseaules informations de topologie
Topology ControlA MPR de B & C
Protocole OLSR – Diffusion de la topologie (5/5)
13/10/04 21
Attaque DoS sur le protocole OLSR
Principe : diffusion de faux messages OLSR , supposés provenir de la cible et indiquant qu’elle a perdu ses connexions avec ses voisins.
Conséquence : isolement de la machine cible et risque de rupture des communications en cours.
Objectifs : valider le prototype et l’usage des variables MIB pour la détection.
13/10/04 22
Attaque DoS sur le protocole OLSR
adHoc1
adHoc2
adHoc3
adHoc4
adHoc5
Attaquant
Origine du message : adHoc1Voisins :
1.adHoc2 : LOST2.adHoc3 : LOST3.adHoc4 : LOST4.adHoc5 : LOST
Temps : t + dt
adHoc1 : ASYM
adHoc1 : ASYM
adHoc1 : ASYM
Origine du message : adHoc1Voisins :
1.adHoc2 : ASYM2.adHoc3 : LOST3.adHoc4 : SYM4.adHoc5 : SYM
Temps : t
13/10/04 23
Signature de l’attaque DoS sur OLSR
Symétrique(Normal)
Asymétrique
( NSaut_E2 )
AttaquePossible
Nsaut_E1
Nsaut_E0
( Nsaut_E0 )
Nsaut_E1
NSaut_E2
Nsaut_E0
NSaut_E1 / alert: Nsaut_Attaque
•NSaut_E0 : le lien n’a pas été déclaré ASYM pendant le dernier HELLO_INTERVAL.
•NSaut_E1 : le lien a été déclaré ASYM puis SYM ou MPR pendant un ou plusieurs HELLO_INTERVAL.
• NSaut_E2 : le lien a été déclaré ASYM pendant un ou plusieurs HELLO_INTERVAL.
• Nsaut_Attaque : détection de l’attaque
13/10/04 24
Attaque par des rebonds Telnet
Principe : l’attaquant tente de s’introduire sur la machine de visualisation via des connexions telnet en cascade.
Conséquence : l’IDS détecte l’arrivée de la connexion et remonte la chaîne des connexions jusqu’à la machine à l’origine et informe l’utilisateur.
Objectifs : valider la coopération par agents mobiles
13/10/04 25
Apports des Agents Mobiles
Mobilité : Déplacement du code vers les données. Exécution asynchrone de l'agent.
Autonomie : Due au peu de fiabilité des liaisons, les agents
peuvent être coupés de la machine émettrice et doivent par conséquent remplir leur tâche sans aucune aide.
Adaptabilité (intelligence) : les agents doivent être capables de prendre des
initiatives (par rapport à leur mission initiale)
13/10/04 26
Client/Serveur - Agents Mobiles
ServeurClient Données
RéseauSystème A Système B
A.MA. M Données
RéseauSystème A Système B
13/10/04 27
La plate forme Aglets (IBM)
Aglet
Contexte A
FichiersClasses
création
clonage Aglet
Contexte B
MémoireSecondaire
activation désactivation
expédition
retrait
destruction
13/10/04 28
Déplacement d’un Aglet
DISPATCH
FETCH Fichier_1
Fichier_1
ACK
FETCH Fichier_2
Fichier_2
DISPATCH
ACK
NOEUD A NOEUD B
13/10/04 29
Attaque par des rebonds Telnet
A
B
Telnet
C
Telnet
D
Telnet
Objectif du LIDS de A :
Détecter l’origine d’une connexion entrante
13/10/04 30
Signature de l’attaque stepstone
ConnexionDirecte
Normal
Nouvelle connexion
Stepstone_E0
Chaîne de Connexions
Stepstone_E3
Stepstone_E3
Stepstone_E3
Stepstone_E2
Stepstone_E1
•Stepstone_E0/E3 : événement local.
•Stepstone_E1/E2 : événement distant (Déplacement Agent Mobile)
13/10/04 31
La plate forme de tests.
CA B
@MAC :@IP : 192.168.1.5
@MAC :@IP : 192.168.1.4
@MAC :@IP : 192.168.1.3
Zone émission de A
Zone émission deB
Zone émission deC
• LIDS : prototype développé en java.
• 802.11b – mode ad hoc
• Protocole de routage OLSR (RFC 3626) –INRIA
• Plate forme : Agents Mobiles AGLET (IBM)
• SNMP : ucd SNMP 4.2.6
• MIB II + expé. Olsr
13/10/04 32
Résultats
Détection en temps réel des attaques sur le protocole de routage, et des chaînes de connexions Telnet.
Les variables des MIB permettent de détecter les attaques retenues.
La détection d’une chaîne de connexions Telnet montre la faisabilité de la coopération par agents mobiles dans un réseau ad hoc.
13/10/04 33
Objectif : tests de la fiabilité de la coopération par Agents Mobiles et par requêtes Clients/Serveur lorsque la connexion entre les nœuds est perturbée. Méthode de tests : 2 scénarios
1 ère Phase : Requête SQL entre les Nœuds A et C avec coupure de la connexion
2 ème Phase : Coupure de la connexion physique pendant le déplacement de agent chargé de faire requête SQL locale sur le nœud C
Mesures qualitatives (1/4)
13/10/04 34
Requêtes SQL Client/Serveur :
Abandon des demandes
d’ouvertures ( 98 s)
13/10/04 35
Déplacement d’un Agent Mobile
13/10/04 36
Résultats :
Connexion TCP – SQL
0 s
Requête
SQL
TCP (Syn)
ON OFFTCP (Syn)/ARP/TCP (Syn)/ARP/ TCP (SYN)/ARP/ TCP (Syn)/ ARP
Liaison
Abandon requête
98s TCP (Syn)0 s
ON OFF
Déplacement d’un Aglet
0 s
Déplacement
Agent
TCP (Syn)
ON OFFTCP (Syn)/ ARP / ARP /ARP / ARP / ARP / ARP
Transfert Agent
TCP (Syn)0 s
ON OFF OFF ON
TCP (Syn)/…..159 s
13/10/04 37
Temps de collecte de variables MIB
13/10/04 38
Volume des données échangées
Charge réseau induite par les requêtes SNMP directes et
par le déplacement d’un Aglet (en Octet).
22 40532 284 200
Sans déplacement du code de
l’Aglet
Déplacement du code de
l’Aglet
Requête SNMP directe
Déplacement d’un Aglet 120 requêtes/réponses SNMP
13/10/04 39
Résultats
+ Agents Mobiles : Fiabilité de la coopération (WLAN) Autonomie Asynchronisme avec l’application
Mode de déplacement fiable et transparent pour l’application.
- Agents Mobiles : Performances : Charge réseaux ? Requêtes SNMP Plate-forme AGLET
13/10/04 40
Interopérabilité des LIDS
Senseurs
SignaturesXML
AnalyseurModule de détection
(Machines d'états)
Gestion de la distribution(Traitement de événements et des
requêtes)
Architecture de communications (internes et externes)
Evénements & AlertesSNORT
RequêtesEvénements
Requêtes
Manager
MIB
AgentSNMP
Collecteur dedonnées locales(MIB Browser)
Senseur localCollecteur de
données distantes(Plate-forme à
AGENTSMOBILES )
Senseur distant
LIDS
Alertes
AlertesLocalesSNORT
SNORT(Local)
IHM
IDMEF-IDXP
Alertes
13/10/04 41
Validation de l’Interopérabilité avec SNORT
Détection des balayages de ports (Ports scanning) Mémorisation des attaques dans la base MySQL Accès MySQL par des agents mobiles
=> Confirmation d’une attaque dirigée contre plusieurs nœuds d’une même communauté.
Détection des ouverture de connexions Telnet=>Les agents permettent à Snort de détecter l’origine de la
connexion
=>Augmentation du nombre de signatures attaques ( +1000)
13/10/04 42
Modèle de sécurité pour MANET
SSL/TLS
Protocole IP
TCP UDPcouche
transport
couchereseau
coucheapplication
prot
ocol
e de
rou
tag
e
App
licat
ion
App
licat
ion
App
licat
ion
App
lica
tion
App
licat
ion
MAE (authentification)
cert
ifica
tion
IDS
13/10/04 43
Conclusions• Prototype d’IDS distribué fonctionnel.
• MIB comme source de données pour la détection des intrusions :
- Nombreuses variables MIB II
- Possibilité d’ajouter de nouvelles variables (OLSR).
- Sécurité/fiabilité des requêtes toujours locales grâce aux A.M - Simplifient l’interopérabilité
- Données applicatives, système et réseaux.
7. L’usage des agents mobiles (Aglet) est aujourd’hui limité à l’aspect qualitatif de la coopération.
8. L’usage des agents mobiles simplifie le développement des applications communicantes.
13/10/04 44
Travaux en cours
Simulation du comportement des Agents Mobiles dans les MANET
Développement d’une plate-forme à agents mobiles pour réseaux ad hoc
Augmentation de la base de signature d’attaques
13/10/04 45
Publications : IDS pour MANET Security in ad hoc networks : a general intrusion detection architecture enhancing trust based approaches – Workshop WIS Wireless Information System – Ciudad Real Espagne Avril 2002.-Patrick Albers, Olivier Camp, Jean-Marc Percher , Bernard Jouga, Ludovic Mé, Ricardo Puttini RAHMS : Réseaux Ad Hoc Multiservices Sécurisés ( Projet RNRT) - DNAC - Décembre 2002-Paris, France- Eric Carmès, Jean Mickael Guérin , Catherine Devic, Pierre Nguyen,Jean-Marc Percher, Olivier Camp, Bernard Jouga, Ricardo Puttini.A modular Architecture for Distributed IDS in MANET - ICCSA 2003 – International Conference on Computational Sciences and its Applications -18-21 May 3003-Montreal, Quebec, Canada -R. S Puttini - J-M Percher- L Mé – O.Camp – R de Sousa – C.J Barenco Abbas – L.J Garcia VillalbaUn système de détection d’intrusion distribué pour réseaux ad hoc Revue :Technique et Science Informatiques (TSI) – HERMES – LAVOISIER – Vol 23 N°3/2003- Sécurité Informatique- A paraître- J-M Percher - R. S Puttini –L Mé – O.Camp- B. Jouga – P.AlbersDétection d’intrusions dans les réseaux ad hoc-SSTIC 2003 – Symposium sur la Sécurité des Technologies de l’Information et des Communications-10-12 Juin 2003 – Rennes – France- Jean-Marc Percher – Bernard JougaA Fully Distributed IDS for MANET - 9ème IEEE Symposium on Computers and Communications- ISCC04 – Alexandria –Egypte – 29 June – 1 July 04- R. S Puttini - J-M Percher- L Mé