Vous êtes sur la page 1sur 12

Dtection d'intrusion dans les rseaux Ad Hoc

Bernard Jouga Bernard.Jouga@supelec.fr

Journes CELAR Scurit des Nomades


Jeudi 14 novembre 2002

AGENDA
Les rseaux Ad Hoc
Dfinition Routage Ad Hoc Protocole OLSR

Dtection des intrusions


Objectifs Architecture dIDS distribu Attaques sur OLSR Attaques par rebonds Telnet Conclusions

14 novembre 2002

Journes CELAR - Scurit des Nomades

RSEAUX AD HOC
Dfinitions :
Un rseau ad hoc est un rseau cr par une runion de mobiles ne disposant pas d infrastructure pr-existante.

Chaque mobile assure la fonction de routage


14 novembre 2002 Journes CELAR - Scurit des Nomades 3

DIVERSIT DES RSEAUX AD HOC

Rseaux personnels ou PAN (Personal Area Network), Rseaux Peer to Peer ou SIS (Systme dinformation spontan), Communications inter-groupes et travail collaboratif, Rseaux de capteurs et communications M2M (Machine Machine), Rseaux en mouvement (informatique embarque et vhicules communicants).
14 novembre 2002 Journes CELAR - Scurit des Nomades 4

ROUTAGE AD HOC (1/2)


Identification du chemin entre les nuds source et destination. Problmes :
Topologie dynamique Besoin de convergence rapide de lalgorithme Eviter les boucles Scurit des informations de routage Bande passante limite Pas de point de concentration

Le choix du protocole dpend de larchitecture. --> Protocoles proactifs et protocoles ractifs.


14 novembre 2002 Journes CELAR - Scurit des Nomades 5

ROUTAGE AD HOC (2/2)


Protocoles proactifs
Mise jour continue des tables de routage. change de paquets de contrle.
+ Routes immdiatement disponibles. Mise jour des routes non optimise. Impact global dun changement de topologie.

Protocoles ractifs
Pas de table de routage permanente. Recherche de la route la demande.
+ Pas de maintien pour les routes non utilises. Dlai avant lutilisation dune route. Recherche des routes par diffusion de requtes
14 novembre 2002 Journes CELAR - Scurit des Nomades 6

TAXONOMIE DES PROTOCOLES DE ROUTAGE AD HOC

14 novembre 2002

Journes CELAR - Scurit des Nomades

OLSR (1/5) Optimized Link State Routing Protocol


Etudi dans le projet PRIMA, Projet de rseau IP mobile ad hoc (RNRT 1999) Draft IETF (INRIA - version 7, juillet 2002) Protocole proactif, non uniforme et bas sur la slection de voisins et l'tat des liens. Optimisation : seuls des nuds particuliers, les MPR, Multi Point Relay, diffusent des messages sur tout le rseau

14 novembre 2002

Journes CELAR - Scurit des Nomades

OLSR (2/5) Etat des liens


SYM A B ASYM

Lien symtrique : A reoit B B reoit A

Lien asymtrique : A reoit B B ne reoit pas A

LOST MPR A B

Lien MPR : B est un relai pour A

Lien perdu : A et B sont hors de porte

14 novembre 2002

Journes CELAR - Scurit des Nomades

OLSR (3/5) Dcouverte du voisinage

B
HELLO Neighbors = Nobody
1_Hop Neighbors : A 2_Hop Neighbors :

C
1_Hop Neighbors : A 2_Hop Neighbors :

14 novembre 2002

Journes CELAR - Scurit des Nomades

10

OLSR (4/5) Election des MPR

Lensemble des MPR permet d'atteindre tous les nuds situs exactement 2 sauts

14 novembre 2002

Journes CELAR - Scurit des Nomades

11

OLSR (5/5) Diffusion de la topologie

B
Topology Control A MPR de B & C

Seuls les MPR diffusent tout le rseau les informations de topologie

14 novembre 2002

Journes CELAR - Scurit des Nomades

12

DTECTION DINTRUSIONS

Objectifs :
Renforcer les mcanismes de scurit peu adapts WLAN. Dfinir une architecture dIDS dcentralis rpondant la problmatique des rseaux ad hoc. En dmontrer la faisabilit.

Travaux raliss :
Dfinition de l'architecture gnrale d'un IDS dcentralis. Ralisation d'un prototype d'IDS d'attaque d'OLSR Ralisation d'un prototype d'IDS d'attaque par rebonds Telnet

14 novembre 2002

Journes CELAR - Scurit des Nomades

13

ARCHITECTURE GNRALE POUR UN IDS AD HOC

Security in Ad Hoc Networks: a General Intrusion Detection Architecture Enhancing Trust Based Approaches - WIS 2002 - Ciudad Real - April 2002
14 novembre 2002 Journes CELAR - Scurit des Nomades 14

Spcifications des Local IDS


Local IDS IDS Framework
Attack Signatures

Mobile Agent Framework Mobile Agent Mobile Agent

IDS Kernel (TDFSD) alert Alert Management


Event and Alert Specs. (IDMEF)

query

event Mobile Agents Place and Security Policy

alert

Audit Data Management

query, event, alert

Event Abstraction Database

query

event

Event Abstraction Framework


MIB Based Event Abstractor

MIB

IDS Communication Framework


IDS Communication (IDMEF/IDXP module)

MIB query

MIB result
(Local) MIB Browser (SNMP module) Mobile Agents Communication (Agent Protocol Module)

IDXP(IDMEF)

SNMP(MIB)

Agent Protocol

(Local and External) Communication Framework

14 novembre 2002

Journes CELAR - Scurit des Nomades

15

MIB RAHMS

RAHMS

OLSR

@IP TableDesVoisins EtatDuLien EtatPrcdent

Exprimental

Rebonds PortLocalSortie PortLocalEntree

14 novembre 2002

Journes CELAR - Scurit des Nomades

16

VULNRABILITS DU PROTOCOLE OLSR


Etude des versions 3 et 5 ; 4 vulnrabilits mises en vidence :
DoS based on transmission of an excessive number of valid OLSR messages n_hop nodes DoS 1+n_hops nodes DoS 2+n_hop nodes DoS

Ralisation d'un gnrateur d'attaques Identification des signatures (infos MIB) en permettant la dtection
14 novembre 2002 Journes CELAR - Scurit des Nomades 17

OLSR n_hop nodes DoS


adHoc1 : ASYM

adHoc1 : ASYM
adHoc2

SYM : jentends ce voisin et il mentend galement ASYM : jentends ce voisin mais il ne mentend pas MPR : ce voisin est un de mes Multi Point Relay LOST : jai perdu la connexion avec ce voisin

adHoc5

Attaquant adHoc1

Temps : t Origine du message : adHoc1 Voisins : 1.adHoc2 : ASYM 2.adHoc3 : LOST 3.adHoc4 : SYM 4.adHoc5 : SYM

Temps : t + dt Origine du message : adHoc1 Voisins : 1.adHoc2 : LOST adHoc1 : ASYM 2.adHoc3 : LOST adHoc4 3.adHoc4 : LOST 14 novembre 2002 Journes CELAR - Scurit des Nomades 4.adHoc5 : LOST

adHoc3

18

Signature de lattaque
( NSaut_E2 )

Nsaut_E0 Nsaut_E1 Symtrique

Asymtrique

NSaut_E2

Nsaut_E1

Nsaut_E0 ( Nsaut_E0 )

Attaque Suspecte

NSaut_E0 : le lien na pas t dclar ASYM pendant le dernier HELLO_INTERVAL. NSaut_E1 : le lien a t dclar ASYM puis SYM ou MPR pendant un ou plusieurs HELLO_INTERVAL. NSaut_E2 : le lien a t dclar ASYM pendant une ou plusieurs HELLO_INTERVAL. NSaut_Attack : dtection de lattaque

NSaut_E1 / alert: NSaut_Attack

14 novembre 2002

Journes CELAR - Scurit des Nomades

19

REBONDS TELNET

B
Telnet Telnet

Telnet

LIDS dtecte larrive de la connexion et remonte la chane de connexions jusqu la machine de lattaquant.

14 novembre 2002

Journes CELAR - Scurit des Nomades

20

10

CONCLUSIONS DES TRAVAUX


Intrt :
Fonctionnalits IDS distribus valides. Validation de la plate-forme agents mobiles. Conception modulaire des LIDS -> volutions faciles.

Amliorations, futurs travaux :


Dtection comportementale. Coopration inter-IDS. Mesures de performances. Plate-forme agents mobiles pour IDS.
Journes CELAR - Scurit des Nomades 21

14 novembre 2002

Travaux raliss dans le cadre du projet RNRT

RAHMS
Rseaux Ad Hoc Multiservices Scuriss

11

PLUS-VALUE POUR SUPLEC

Renforcement de lquipe recherche sur la dtection dintrusions. Dveloppement de nouvelles comptences sur les rseaux sans fil. Prparation de deux thses sur les IDS pour rseaux ad hoc (soutenance fin 2003). Publications scientifiques. Dveloppement de nouveaux partenariats avec lindustrie. Contribution la cration dune quipe de recherche sur la scurit lESEO.
14 novembre 2002 Journes CELAR - Scurit des Nomades 23

12