1

Détection d'intrusion dans les réseaux Ad Hoc

Bernard JougaBernard.Jouga@supelec.fr

Journées CELARSécurité des Nomades

Jeudi 14 novembre 2002

14 novembre 2002 Journées CELAR - Sécurité des Nomades 2

AGENDA

• Les réseaux Ad Hoc– Définition– Routage Ad Hoc– Protocole OLSR

• Détection des intrusions– Objectifs– Architecture d’IDS distribué– Attaques sur OLSR– Attaques par rebonds Telnet– Conclusions

2

14 novembre 2002 Journées CELAR - Sécurité des Nomades 3

RÉSEAUX AD HOC

• Définitions :– Un réseau ad hoc est un réseau créé par une

réunion de mobiles ne disposant pas d ’infrastructure pré-existante.

➩ Chaque mobile assure la fonction de routage

14 novembre 2002 Journées CELAR - Sécurité des Nomades 4

DIVERSITÉ DES RÉSEAUX AD HOC

– Réseaux personnels ou PAN (Personal Area Network),

– Réseaux Peer to Peer ou SIS (Système d’information spontané),

– Communications inter-groupes et travail collaboratif,

– Réseaux de capteurs et communications M2M (Machine à Machine),

– Réseaux en mouvement (informatique embarquée et véhicules communicants).

3

14 novembre 2002 Journées CELAR - Sécurité des Nomades 5

ROUTAGE AD HOC (1/2)

• Identification du chemin entre les nœuds source et destination.

• Problèmes : – Topologie dynamique– Besoin de convergence rapide de l’algorithme– Eviter les boucles– Sécurité des informations de routage– Bande passante limitée– Pas de point de concentration

• Le choix du protocole dépend de l’architecture.--> Protocoles proactifs et protocoles réactifs.

14 novembre 2002 Journées CELAR - Sécurité des Nomades 6

ROUTAGE AD HOC (2/2)

• Protocoles proactifs– Mise à jour continue des tables de routage.– Échange de paquets de contrôle.

+ Routes immédiatement disponibles.− Mise à jour des routes non optimisée.− Impact global d’un changement de topologie.

• Protocoles réactifs– Pas de table de routage permanente.– Recherche de la route à la demande.

+ Pas de maintien pour les routes non utilisées.− Délai avant l’utilisation d’une route.− Recherche des routes par diffusion de requêtes

4

14 novembre 2002 Journées CELAR - Sécurité des Nomades 7

TAXONOMIE DES PROTOCOLES DE ROUTAGE AD HOC

14 novembre 2002 Journées CELAR - Sécurité des Nomades 8

OLSR (1/5) Optimized Link State Routing

Protocol

• Etudié dans le projet PRIMA, Projet de réseau IP mobile ad hoc (RNRT 1999)

• Draft IETF (INRIA - version 7, juillet 2002)• Protocole proactif, non uniforme et basé sur la

sélection de voisins et l'état des liens.• Optimisation : seuls des nœuds particuliers, les MPR,

Multi Point Relay, diffusent des messages sur tout le réseau

5

14 novembre 2002 Journées CELAR - Sécurité des Nomades 9

OLSR (2/5)Etat des liens

A B

Lien symétrique :A reçoit BB reçoit A

SYM

A B

Lien asymétrique :A reçoit BB ne reçoit pas A

ASYM

A B

Lien MPR :B est un relai pour A

MPR

A B

Lien perdu :A et B sonthors de portée

LOST

14 novembre 2002 Journées CELAR - Sécurité des Nomades 10

OLSR (3/5)Découverte du voisinage

A

HELLONeighbors = Nobody

B

C

D

E

F

1_Hop Neighbors : A2_Hop Neighbors :

1_Hop Neighbors : A2_Hop Neighbors :

6

14 novembre 2002 Journées CELAR - Sécurité des Nomades 11

C

B

A

OLSR (4/5)Election des MPR

D

E

F

L’ensemble des MPR permetd'atteindre tous les nœudssitués exactement À 2 sauts

B

C

A

14 novembre 2002 Journées CELAR - Sécurité des Nomades 12

OLSR (5/5)Diffusion de la topologie

C

B

A

D

E

F

Seuls les MPR diffusentà tout le réseaules informations de topologie

Topology ControlA MPR de B & C

7

14 novembre 2002 Journées CELAR - Sécurité des Nomades 13

DÉTECTION D’INTRUSIONS

• Objectifs : – Renforcer les mécanismes de sécurité peu adaptés WLAN.– Définir une architecture d’IDS décentralisé répondant à la

problématique des réseaux ad hoc.– En démontrer la faisabilité.

• Travaux réalisés :– Définition de l'architecture générale d'un IDS décentralisé.– Réalisation d'un prototype d'IDS d'attaque d'OLSR– Réalisation d'un prototype d'IDS d'attaque par rebonds Telnet

14 novembre 2002 Journées CELAR - Sécurité des Nomades 14

ARCHITECTURE GÉNÉRALE POUR UN IDS AD HOC

Security in Ad Hoc Networks: a General Intrusion Detection Architecture Enhancing Trust Based Approaches - WIS 2002 - Ciudad Real - April 2002

8

14 novembre 2002 Journées CELAR - Sécurité des Nomades 15

Spécifications des « Local IDS »

Local IDS

Event Abstraction Framework

IDS Framework Mobile Agent Framework

IDS Kernel (TDFSD)

Audit Data Management

AlertManagement

IDS CommunicationFramework

IDS Communication(IDMEF/IDXP

module)

Mobile AgentsCommunication

(Agent Protocol Module)

(Local) MIB Browser(SNMP module)

Mobile Agents Placeand Security Policy

query event

Event and AlertSpecs.

(IDMEF)

Event AbstractionDatabase

MIB

Attack Signatures

alert

alert query,event,alert

MobileAgent

MobileAgent

MIB BasedEvent Abstractor

query event

MIB query MIB result

(Local and External) Communication Framework

IDXP(IDMEF) SNMP(MIB) AgentProtocol

14 novembre 2002 Journées CELAR - Sécurité des Nomades 16

MIB RAHMS

Expérimental

RAHMS OLSRTableDesVoisins

@IPEtatDuLien

EtatPrécédent

Rebonds PortLocalSortie

PortLocalEntree

9

14 novembre 2002 Journées CELAR - Sécurité des Nomades 17

VULNÉRABILITÉS DU PROTOCOLE OLSR

• Etude des versions 3 et 5 ; 4 vulnérabilités mises en évidence :

– DoS based on transmission of an excessivenumber of valid OLSR messages

– n_hop nodes DoS– 1+n_hops nodes DoS– 2+n_hop nodes DoS

• Réalisation d'un générateur d'attaques• Identification des signatures (infos MIB) en

permettant la détection

14 novembre 2002 Journées CELAR - Sécurité des Nomades 18

OLSR n_hop nodes DoS

adHoc1

adHoc2

adHoc3

adHoc4

adHoc5

Attaquant

Origine du message : adHoc1Voisins :

1.adHoc2 : LOST2.adHoc3 : LOST3.adHoc4 : LOST4.adHoc5 : LOST

Temps : t + dt

adHoc1 : ASYM

adHoc1 : ASYM

adHoc1 : ASYM

Origine du message : adHoc1Voisins :

1.adHoc2 : ASYM2.adHoc3 : LOST3.adHoc4 : SYM4.adHoc5 : SYM

Temps : t

SYM : j’entends ce voisin et il m’entend également

ASYM : j’entends ce voisin mais il ne m’entend pas

MPR : ce voisin est un de mes MultiPoint Relay

LOST : j’ai perdu la connexion avec ce voisin

10

14 novembre 2002 Journées CELAR - Sécurité des Nomades 19

Signature de l’attaque

Symétrique

Asymétrique

( NSaut_E2 )

AttaqueSuspectée

Nsaut_E1

Nsaut_E0

( Nsaut_E0 )

Nsaut_E1

NSaut_E2

Nsaut_E0

NSaut_E1 / alert: NSaut_Attack

•NSaut_E0 : le lien n’a pas été déclaré ASYMpendant le dernier HELLO_INTERVAL.• NSaut_E1 : le lien a été déclaré ASYM puis SYM ou MPRpendant un ou plusieurs HELLO_INTERVAL.• NSaut_E2 : le lien a été déclaré ASYMpendant une ou plusieurs HELLO_INTERVAL.• NSaut_Attack : détection de l’attaque

14 novembre 2002 Journées CELAR - Sécurité des Nomades 20

REBONDS TELNET

A

B

Telnet

C

Telnet

D

Telnet

L’IDS détecte l’arrivée de la connexion et

remonte la chaîne de connexionsjusqu’à la machine de l’attaquant.

11

14 novembre 2002 Journées CELAR - Sécurité des Nomades 21

CONCLUSIONS DES TRAVAUX

• Intérêt :– Fonctionnalités IDS distribués validées.– Validation de la plate-forme à agents mobiles.– Conception modulaire des LIDS -> évolutions

faciles.

• Améliorations, futurs travaux :– Détection comportementale.– Coopération inter-IDS.– Mesures de performances.– Plate-forme à agents mobiles pour IDS.

Travaux réalisés dans le cadre du projet RNRT

RAHMSRéseaux Ad Hoc Multiservices Sécurisés

12

14 novembre 2002 Journées CELAR - Sécurité des Nomades 23

PLUS-VALUE POUR SUPÉLEC

• Renforcement de l’équipe recherche sur la détection d’intrusions.

• Développement de nouvelles compétences sur les réseaux sans fil.

• Préparation de deux thèses sur les IDS pour réseaux ad hoc (soutenance fin 2003).

• Publications scientifiques.• Développement de nouveaux partenariats avec

l’industrie.• Contribution à la création d’une équipe de recherche

sur la sécurité à l’ESEO.