13/10/04 1

Détection d’intrusions dans les réseaux sans fil Ad Hoc

Jean-Marc PERCHERE.S.E.O

Journée SEE-SIC – 11 Mars 04

13/10/04 2

Plan

Introduction

Détection d’intrusions

Modèle d’IDS distribué pour MANET

Validation expérimentale

Modèle de sécurité pour MANET

Conclusions & Travaux futurs

13/10/04 3

Introduction

MANET sont des réseaux sans fil créés par une réunion de mobiles ne disposant pas d ’infrastructure pré-existante. (Mode ad hoc)

Services réseaux : distribués et coopératifs.

Protocoles de routage spécifiques (Chaque Noeud)

La mise en œuvre de certains mécanismes de sécurité développés pour les réseaux filaires est délicate.

Les MANET ne peuvent bénéficier des mécanismes de sécurité s’appuyant sur l’infrastructure (firewall, serveur d’authentification, etc.)

13/10/04 4

Protocoles de routage ad hoc

Protocoles de routage ad hocunicast

Non uniformes Uniformes

Sélection de voisins Partionnement Etats de liens Vecteur de distance

Réactifs Proactifs Réactifs Proactifs

OLSRZRP

CGSRHSR

DSR GSRFSR

AODVTORA

WRP

13/10/04 5

Sécurité des MANET

Un nœud doit assurer lui même sa sécurité .

Vulnérabilités spécifiques : protocole de routage.

Accès ouverts au réseau dont les performances limitées.

Mécanismes de sécurité en cours d’élaboration ou d’adaptation, limités par la difficulté de gestion des clés.

LES MANET SONT ENCORE DES RESEAUX VULNERABLES

13/10/04 6

IDS : Définitions

Intrusions :

Violation de la politique de sécurité

Détection d’intrusions : Analyse des informations collectées par les capteurs

Système de Détection d’Intrusions (IDS) :

Outil de détection automatique d’intrusions

Architecture d’IDS (IETF/IDWG)

13/10/04 7

Classification des IDSApplications

Réseau

Autres IDS

Comportementale

Par scénarios

Centralisée

Distribuée

Périodique

Continu

Informatif

Défensif

Méthodes dedétection

Architecture

Mode defonctionnement

Comportmentaprès détection

Sources desdonnées

Systèmes deDétection

d'Intrusion s

O.S

13/10/04 8

Contraintes imposées par les MANET et propositions

Topologie Ad Hoc (Pas de nœud permanent, absence de

mécanismes centralisés, ….)

Nœuds hétérogènes Attaques spécifiques et génériques

Coopération entre LIDS Collecte de données Origine de l’attaque

Architecture d’IDS distribuée (LIDS)

Collecte d’informations dans les MIB.

Agents Mobiles (AGLET)

13/10/04 9

État de l’art des IDS distribués

Données Applications Réseau

Système

Architecture

Distribuée

Hiérarchique (fixe)

Hiérarchique (élection)

Réseau

Filaire

WLAN

Ad hoc

Attaques ciblées Spécifiques

Types différents

Sur chaque nœud

Sparta

02/0399999696 989792

Ad HocAAFID JiNao IDADPEMDIDS GrIDs CSMIDS

*

03

CIDSAHN

*

13/10/04 10

Caractéristiques de l’ IDS proposée

Architecture d’IDS distribuée et Coopérative : échanges adaptés à la topologie et

aux performances des réseaux ad hoc Configurable : selon les types d’attaques à

détecter Indépendante des données utilisées pour la

détection des différents types d’attaques Optimisée pour limiter les ressources utilisées par

la détection (nœud et réseau) Résistante ne pas introduire de nouvelles

vulnérabilités

13/10/04 11

Contexte de mise en œuvre de la détection des intrusions

Expression de la politique de sécurité Identification d’une COMMUNAUTÉ de confiance. Tous les nœuds de la COMMUNAUTÉ possèdent

l’IDS

Objectif de l’IDS : détecter les attaques contre un nœud au sein

de sa COMMUNAUTÉ de confiance

13/10/04 12

IDS distribué et coopératif

LIDS

LIDS

LIDS

LIDS

LIDSMob

ile A

gent

s

Mobile Agents Mobile Agents

Mobile Agents

Mob

ile A

gen

tsMobile Agents

13/10/04 13

Architecture d’un LIDS

Senseurs

SignaturesXML

AnalyseurModule de détection

(Machines d'états)

Gestion de la distribution(Traitement de événements et des

requêtes)

Architecture de communications (internes et externes)

Evénements

RequêtesEvénements

Requêtes

Manager

MIB

AgentSNMP

Collecteur dedonnées locales(MIB Browser)

Senseur local

Collecteur de données distantes(Plate-forme à

AGENTSMOBILES )

Senseur distant

LIDS

AlertesIHM

IDMEF-IDXP

Alertes

13/10/04 14

Validations expérimentales

• Objectifs des tests.

• Attaque sur le protocole de routage.

• Attaque par rebonds Telnet.

• La plate forme de tests.

• Validations fonctionnelles

• Mesures qualitatives

• Mesures quantitatives

• Interopérabilité avec SNORT.

13/10/04 15

Objectifs des tests

• Validation fonctionnelle du prototype. MIB : source données pour la détection.

Attaque sur le protocole de routage, détection locale

Coopération entre les LIDS par agents mobiles. Attaque Stepstone, détection distribuée.

• Évaluation des performances de la coopération par agents Mobiles.

13/10/04 16

Protocole OLSR (1/5)

OLSR - Optimized Link State Routing Protocol (INRIA)

RFC 3626 (Expérimental) – Novembre 03 Protocole proactif, utilise un algorithme de routage du type link-state.Chaque nœud connaît l’état de ses liens avec ses voisins à 1 saut. (Messages HELLO) Optimisation : seuls des nœuds particuliers, les MPR (Multi Point Relay), diffusent les messages de topologie sur tout le réseau. (Messages TC -Topology Control)

A

13/10/04 17

Protocole OLSR – État des liens (2/5)

A B

Lien symétrique : A reçoit B B reçoit A(Lien utilsable)

SYM

A B

Lien asymétrique : A reçoit B B ne reçoit pas A

ASYM

A B

Lien MPR : B est un relais pour A(A est le MPR SelectorLien utilisable)

MPR

A B

Lien perdu : A et B sont hors de portée

LOST

13/10/04 18

A

HELLONeighbors = Nobody

B

C

D

E

F

1_Hop Neighbors : A2_Hop Neighbors :

1_Hop Neighbors : A2_Hop Neighbors :

HELLONeighbors = Nobody

1_Hop Neighbors : F2_Hop Neighbors :

HELLONeighbors = F

1_Hop Neighbors : A, D2_Hop Neighbors : F

1_Hop Neighbors : D2_Hop Neighbors :

HELLONeighbors = Nobody

1_Hop Neighbors : A, E2_Hop Neighbors :

HELLONeighbors = A,E

1_Hop Neighbors : C2_Hop Neighbors : E

1_Hop Neighbors : C2_Hop Neighbors : A

HELLONeighbors = A, D

1_Hop Neighbors : C, B2_Hop Neighbors : E, D

1_Hop Neighbors : F, B2_Hop Neighbors : A

Protocole OLSR – Découverte du voisinage (3/5)

13/10/04 19

C

B

A

D

E

F

L'ensemble des MPR permetd'atteindre tous les nœudssitués exactement À 2 sauts

B

C

A

DB

A

C

A

B D

C E

D F

Protocole OLSR – Élection des MPR (4/5)

13/10/04 20

C

B

A

D

E

F

Seuls les MPR diffusentà tout le réseaules informations de topologie

Topology ControlA MPR de B & C

Protocole OLSR – Diffusion de la topologie (5/5)

13/10/04 21

Attaque DoS sur le protocole OLSR

Principe : diffusion de faux messages OLSR , supposés provenir de la cible et indiquant qu’elle a perdu ses connexions avec ses voisins.

Conséquence : isolement de la machine cible et risque de rupture des communications en cours.

Objectifs : valider le prototype et l’usage des variables MIB pour la détection.

13/10/04 22

Attaque DoS sur le protocole OLSR

adHoc1

adHoc2

adHoc3

adHoc4

adHoc5

Attaquant

Origine du message : adHoc1Voisins :

1.adHoc2 : LOST2.adHoc3 : LOST3.adHoc4 : LOST4.adHoc5 : LOST

Temps : t + dt

adHoc1 : ASYM

adHoc1 : ASYM

adHoc1 : ASYM

Origine du message : adHoc1Voisins :

1.adHoc2 : ASYM2.adHoc3 : LOST3.adHoc4 : SYM4.adHoc5 : SYM

Temps : t

13/10/04 23

Signature de l’attaque DoS sur OLSR

Symétrique(Normal)

Asymétrique

( NSaut_E2 )

AttaquePossible

Nsaut_E1

Nsaut_E0

( Nsaut_E0 )

Nsaut_E1

NSaut_E2

Nsaut_E0

NSaut_E1 / alert: Nsaut_Attaque

•NSaut_E0 : le lien n’a pas été déclaré ASYM pendant le dernier HELLO_INTERVAL.

•NSaut_E1 : le lien a été déclaré ASYM puis SYM ou MPR pendant un ou plusieurs HELLO_INTERVAL.

• NSaut_E2 : le lien a été déclaré ASYM pendant un ou plusieurs HELLO_INTERVAL.

• Nsaut_Attaque : détection de l’attaque

13/10/04 24

Attaque par des rebonds Telnet

Principe : l’attaquant tente de s’introduire sur la machine de visualisation via des connexions telnet en cascade.

Conséquence : l’IDS détecte l’arrivée de la connexion et remonte la chaîne des connexions jusqu’à la machine à l’origine et informe l’utilisateur.

Objectifs : valider la coopération par agents mobiles

13/10/04 25

Apports des Agents Mobiles

Mobilité : Déplacement du code vers les données. Exécution asynchrone de l'agent.

Autonomie : Due au peu de fiabilité des liaisons, les agents

peuvent être coupés de la machine émettrice et doivent par conséquent remplir leur tâche sans aucune aide.

Adaptabilité (intelligence) : les agents doivent être capables de prendre des

initiatives (par rapport à leur mission initiale)

13/10/04 26

Client/Serveur - Agents Mobiles

ServeurClient Données

RéseauSystème A Système B

A.MA. M Données

RéseauSystème A Système B

13/10/04 27

La plate forme Aglets (IBM)

Aglet

Contexte A

FichiersClasses

création

clonage Aglet

Contexte B

MémoireSecondaire

activation désactivation

expédition

retrait

destruction

13/10/04 28

Déplacement d’un Aglet

DISPATCH

FETCH Fichier_1

Fichier_1

ACK

FETCH Fichier_2

Fichier_2

DISPATCH

ACK

NOEUD A NOEUD B

13/10/04 29

Attaque par des rebonds Telnet

A

B

Telnet

C

Telnet

D

Telnet

Objectif du LIDS de A :

Détecter l’origine d’une connexion entrante

13/10/04 30

Signature de l’attaque stepstone

ConnexionDirecte

Normal

Nouvelle connexion

Stepstone_E0

Chaîne de Connexions

Stepstone_E3

Stepstone_E3

Stepstone_E3

Stepstone_E2

Stepstone_E1

•Stepstone_E0/E3 : événement local.

•Stepstone_E1/E2 : événement distant (Déplacement Agent Mobile)

13/10/04 31

La plate forme de tests.

CA B

@MAC :@IP : 192.168.1.5

@MAC :@IP : 192.168.1.4

@MAC :@IP : 192.168.1.3

Zone émission de A

Zone émission deB

Zone émission deC

• LIDS : prototype développé en java.

• 802.11b – mode ad hoc

• Protocole de routage OLSR (RFC 3626) –INRIA

• Plate forme : Agents Mobiles AGLET (IBM)

• SNMP : ucd SNMP 4.2.6

• MIB II + expé. Olsr

13/10/04 32

Résultats

Détection en temps réel des attaques sur le protocole de routage, et des chaînes de connexions Telnet.

Les variables des MIB permettent de détecter les attaques retenues.

La détection d’une chaîne de connexions Telnet montre la faisabilité de la coopération par agents mobiles dans un réseau ad hoc.

13/10/04 33

Objectif : tests de la fiabilité de la coopération par Agents Mobiles et par requêtes Clients/Serveur lorsque la connexion entre les nœuds est perturbée. Méthode de tests : 2 scénarios

1 ère Phase : Requête SQL entre les Nœuds A et C avec coupure de la connexion

2 ème Phase : Coupure de la connexion physique pendant le déplacement de agent chargé de faire requête SQL locale sur le nœud C

Mesures qualitatives (1/4)

13/10/04 34

Requêtes SQL Client/Serveur :

Abandon des demandes

d’ouvertures ( 98 s)

13/10/04 35

Déplacement d’un Agent Mobile

13/10/04 36

Résultats :

Connexion TCP – SQL

0 s

Requête

SQL

TCP (Syn)

ON OFFTCP (Syn)/ARP/TCP (Syn)/ARP/ TCP (SYN)/ARP/ TCP (Syn)/ ARP

Liaison

Abandon requête

98s TCP (Syn)0 s

ON OFF

Déplacement d’un Aglet

0 s

Déplacement

Agent

TCP (Syn)

ON OFFTCP (Syn)/ ARP / ARP /ARP / ARP / ARP / ARP

Transfert Agent

TCP (Syn)0 s

ON OFF OFF ON

TCP (Syn)/…..159 s

13/10/04 37

Temps de collecte de variables MIB

13/10/04 38

Volume des données échangées

Charge réseau induite par les requêtes SNMP directes et

par le déplacement d’un Aglet (en Octet).

22 40532 284 200

Sans déplacement du code de

l’Aglet

Déplacement du code de

l’Aglet

Requête SNMP directe

Déplacement d’un Aglet 120 requêtes/réponses SNMP

13/10/04 39

Résultats

+ Agents Mobiles : Fiabilité de la coopération (WLAN) Autonomie Asynchronisme avec l’application

Mode de déplacement fiable et transparent pour l’application.

- Agents Mobiles : Performances : Charge réseaux ? Requêtes SNMP Plate-forme AGLET

13/10/04 40

Interopérabilité des LIDS

Senseurs

SignaturesXML

AnalyseurModule de détection

(Machines d'états)

Gestion de la distribution(Traitement de événements et des

requêtes)

Architecture de communications (internes et externes)

Evénements & AlertesSNORT

RequêtesEvénements

Requêtes

Manager

MIB

AgentSNMP

Collecteur dedonnées locales(MIB Browser)

Senseur localCollecteur de

données distantes(Plate-forme à

AGENTSMOBILES )

Senseur distant

LIDS

Alertes

AlertesLocalesSNORT

SNORT(Local)

IHM

IDMEF-IDXP

Alertes

13/10/04 41

Validation de l’Interopérabilité avec SNORT

Détection des balayages de ports (Ports scanning) Mémorisation des attaques dans la base MySQL Accès MySQL par des agents mobiles

=> Confirmation d’une attaque dirigée contre plusieurs nœuds d’une même communauté.

Détection des ouverture de connexions Telnet=>Les agents permettent à Snort de détecter l’origine de la

connexion

=>Augmentation du nombre de signatures attaques ( +1000)

13/10/04 42

Modèle de sécurité pour MANET

SSL/TLS

Protocole IP

TCP UDPcouche

transport

couchereseau

coucheapplication

prot

ocol

e de

rou

tag

e

App

licat

ion

App

licat

ion

App

licat

ion

App

lica

tion

App

licat

ion

MAE (authentification)

cert

ifica

tion

IDS

13/10/04 43

Conclusions• Prototype d’IDS distribué fonctionnel.

• MIB comme source de données pour la détection des intrusions :

- Nombreuses variables MIB II

- Possibilité d’ajouter de nouvelles variables (OLSR).

- Sécurité/fiabilité des requêtes toujours locales grâce aux A.M - Simplifient l’interopérabilité

- Données applicatives, système et réseaux.

7. L’usage des agents mobiles (Aglet) est aujourd’hui limité à l’aspect qualitatif de la coopération.

8. L’usage des agents mobiles simplifie le développement des applications communicantes.

13/10/04 44

Travaux en cours

Simulation du comportement des Agents Mobiles dans les MANET

Développement d’une plate-forme à agents mobiles pour réseaux ad hoc

Augmentation de la base de signature d’attaques

13/10/04 45

Publications : IDS pour MANET Security in ad hoc networks : a general intrusion detection architecture enhancing trust based approaches – Workshop WIS Wireless Information System – Ciudad Real Espagne Avril 2002.-Patrick Albers, Olivier Camp, Jean-Marc Percher , Bernard Jouga, Ludovic Mé, Ricardo Puttini RAHMS : Réseaux Ad Hoc Multiservices Sécurisés ( Projet RNRT) - DNAC - Décembre 2002-Paris, France- Eric Carmès, Jean Mickael Guérin , Catherine Devic, Pierre Nguyen,Jean-Marc Percher, Olivier Camp, Bernard Jouga, Ricardo Puttini.A modular Architecture for Distributed IDS in MANET - ICCSA 2003 – International Conference on Computational Sciences and its Applications -18-21 May 3003-Montreal, Quebec, Canada -R. S Puttini - J-M Percher- L Mé – O.Camp – R de Sousa – C.J Barenco Abbas – L.J Garcia VillalbaUn système de détection d’intrusion distribué pour réseaux ad hoc Revue :Technique et Science Informatiques (TSI) – HERMES – LAVOISIER – Vol 23 N°3/2003- Sécurité Informatique- A paraître- J-M Percher - R. S Puttini –L Mé – O.Camp- B. Jouga – P.AlbersDétection d’intrusions dans les réseaux ad hoc-SSTIC 2003 – Symposium sur la Sécurité des Technologies de l’Information et des Communications-10-12 Juin 2003 – Rennes – France- Jean-Marc Percher – Bernard JougaA Fully Distributed IDS for MANET - 9ème IEEE Symposium on Computers and Communications- ISCC04 – Alexandria –Egypte – 29 June – 1 July 04- R. S Puttini - J-M Percher- L Mé