Скачать презентацию Thèse de Doctorat de l Université Paris 6 UPMC Скачать презентацию Thèse de Doctorat de l Université Paris 6 UPMC

666154543a9f5197f9af32a00fd082a2.ppt

  • Количество слайдов: 55

Thèse de Doctorat de l’Université Paris 6 UPMC Schémas de sécurité pour le protocole Thèse de Doctorat de l’Université Paris 6 UPMC Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Directeur de Thèse: Paul Mühlethaler Jury: François Baccelli Ana Cavalli François Morain Paul Mühlethaler Guy Pujolle Ahmed Serhrouchni Membres invités: Daniel Augot 15 Septembre 2005 Philippe Jacquet

Plan de la présentation • Introduction • Les réseaux sans fil • Les réseaux Plan de la présentation • Introduction • Les réseaux sans fil • Les réseaux ad hoc et le routage - OLSR • Les problématiques de la thèse: ma contribution • Attaques • Hypothèse et modèle • Architecture de sécurité de base (SIGNATURE) • Timestamps et signatures • Distribution des clés • PKI pour OLSR • Identity-Based Signatures • Modèle noeuds compromis: parades • Signatures multiples (ADVSIG) • Position géographique des noeuds (SIGLOC) • Accusations et modèle du flot • Conclusion Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 2

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Les réseaux sans fil BSS IBSS (P 2 P) Fréquences radio: 2. 4 GHz (ISM), 5 GHz (U-NII) Standards: IEEE 802. 11[a|b|g], IEEE 802. 16, Hiper. LAN, Bluetooth. . . Architectures: BSS (avec AP), IBSS (sans AP), ad hoc Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 3

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Les réseaux ad hoc et le routage AD HOC Un réseau ad hoc nécessite que dans tout noeud soit actif un protocole de routage Protocoles: réactifs (AODV, DSR), proactifs (OLSR, OSPF), hybrides (CBRP) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 4

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion OLSR (Optimized Link State Routing): protocole proactif à état de lien, développé par INRIA HIPERCOM. Inondation (flooding) optimisée par Relais Multipoint (MPRs): tout noeud sélectionne ses MPRs parmi ses voisins symétriques pour qu’un message émis par le noeud et relayé par ses MPRs soit reçu par tous ses voisins à 2 sauts Inondation pure Inondation par MPRs Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 5

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion OLSR Echange périodique de messages de contrôle: HELLO TC MID HNA état de lien (voisinage), sélection MPR liens symétriques et MPR interfaces multiples association host-network non-OLSR 1 saut relayé Entête IP Entête UDP Entête du paquet OLSR Entête du message Message Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 6

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Problématiques de la thèse Protection du système de routage dans un réseau ad hoc Non traités: écoute et intrusion dans les réseaux ad hoc (car problèmes déjà traités dans les réseaux classiques) Identification des attaques contre les réseaux ad hoc et OLSR Idéation et développement d’architectures de sécurité Analyse des modifications spécifiques au protocole OLSR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 7

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Ma contribution Modèle de sécurité pour les réseaux ad hoc Identification des attaques contre OLSR Mise en place d’une architecture OLSR sécurisée Noeuds non compromis (sécurité de base) • Signatures • Timestamps PKI pour OLSR Noeuds compromis (sécurité avancée) • Signatures multiples • Localisation GPS • Accusations Architecture pour le prototype CELAR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 8

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Buts de l’adversaire: s’insérer dans le protocole de routage, perturber la topologie du réseau Attaques sur le trafic de contrôle dans OLSR Do. S Génération incorrecte du trafic Relayage incorrect du trafic HELLO incorrect attaque ANSN Modification Blackhole Rejeu MID/HNA incorrect Wormhole TC incorrect attaque MPR ID spoof link spoof Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 9

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Génération incorrecte des HELLOs identity spoofing: X envoie des messages avec C comme origine ⇒ A et B vont annoncer leur voisinage avec C X choisit A et/ou B comme ses MPRs avec l’identité de C ⇒ ces MPRs vont déclarer qu’il peuvent fournir connectivité vers C ⇒ conflits des routes vers C, perte de connectivité Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 10

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Génération incorrecte des HELLOs link spoofing: X déclare un lien sym avec A ⇒ C choisit comme son MPR set probablement {X, D} au lieu de {X, B, D} ⇒ les messages de E ne vont pas joindre A Autre attaque: X ne déclare pas tous ses voisins ⇒ possible perte de connectivité des voisins ignorés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 11

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Génération incorrecte des TCs identity spoofing: X envoie un message avec l’identité de C déclarant A comme voisin ⇒ topologie erronée link spoofing: X envoie un message déclarant D voisin ⇒ topologie erronée Non-envoi de TC, ou TC incomplets ⇒ topologie non diffusée Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 12

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Génération incorrecte des MIDs/HNAs ⇒ problèmes à joindre les interfaces sélectionnées Attaque ANSN X envoie un TC avec origine Y falsifié et un ANSN élevé ⇒ tout message TC de Y ayant un ANSN inférieur est ignoré (cf. Topology Set) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 13

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Modification des messages pendant le rélayage ⇒ mêmes conséquences de l’identity/link spoofing Blackhole attack (non-relayage des messages) ⇒ perte de messages, topologie non diffusée Replay attack ou Attaque de rejeu Nécessite de changer MSN (HELLO ou TC) et/ou ANSN (TC) ⇒ engendre une perte des messages selon leurs MSN/ANSN Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 14

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Wormhole attack X (ou X-X’) relaye les messages entre A et B: création d’un faux lien «optimal» sous le contrôle de X (blackhole) ⇒ lien compromis, possible perte de messages, topologie fausse Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 15

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Attaques contre OLSR Attaque MPR B = MPR de A C = MPR de B X = non MPR A envoie un message à X et B X relaye ce message à C, même s’il n’est pas censé le faire B relaye ce message à C C ne relaye pas le message car il l’a déjà reçu de X ⇒ perte de messages Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 16

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Hypothèses et modèle Modèle sans cryptographie Modèle avec cryptographie Noeud compliant Noeud malveillant crypto sym Noeud compromis crypto asym noeud compromis: noeud dont la clé privée (ou le noeud lui-même) est tombé en main d’un adversaire, qui peut donc envoyer de faux messages correctement signés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 17

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Idée de base d’une architecture Isoler les noeuds adversaires en utilisant un système de signature Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 18

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Technique Un dévoilement de la clé symétrique (noeud compromis) abouti à la compromission du réseau entier. . . Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 19

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Technique . . . tandis que avec des clés asymétriques on peut encore identifier le noeud coupable (et éventuellement l’éliminer du réseau) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 20

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Ajout d’une signature avec timestamp au trafic de contrôle OLSR. Deux possibilités: Signature du paquet Signature du message • Signature ajoutée à chaque paquet • OLSR message de type SIGNATURE • Contrôle hop-by-hop (end-to-end impossible car le paquet change) • Contrôle end-to-end • Taille du paquet plus petite • Identification difficile des noeuds compromis (à cause du relayage) • Impossible signer le TTL et Hop Count (⇒ attaques). Solution: utiliser Timestamp à la place du TTL • Meilleure identification de l’émetteur; signatures asym utiles! • Meilleure intéroperabilité (signatures on/off) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 21

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Format du SIGNATURE: 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sign. Method | Reserved | MSN Referrer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Associé à chaque message HELLO/TC/MID/HNA, il le précède dans le même paquet. (Une version précédente utilisait un réfèrent MSN pour permettre la nonagrégation; abandonnée car engendrait un délai important) Fragmentation possible pour respecter le Maximum Transfert Unit Système de signature intégré avec les fonctions de base d’OLSR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 22

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature La Signature est calculée sur tous les champs non mutables Message Type Vtime Message Size Originator Address Time To Live Hop Count Timestamp SIGNATURE MESSAGE Message Type Message Sequence Number Signature Vtime Message Size Originator Address Time To Live Hop Count Message Sequence Number HELLO/TC/MID/HNA MESSAGE Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 23

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Fonctionnement principal du protocole Création d’un message: • écrire le Timestamp • générer la Signature • envoyer la SIGNATURE et le message de contrôle dans le même paquet Vérification d’un message signé: • contrôler la Timestamp • vérifier la Signature par rapport au message de contrôle • si ok, traiter le message de contrôle; sinon, écarter les deux messages Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 24

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Modification du Duplicate Tuple dans le Duplicate Set: Un message est donc identifié par: D_addr, D_seq_num, D_timestamp. L’algorithme sécurisé de traitement des paquets tient compte de cette modification Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 25

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Condition de traitement (modifications pour la sécurité), étape 3 b du RFC 3626: Traiter le message selon le Message Type. Si le message est une SIGNATURE • si la Timestamp est valide • garder le SIGNATURE (entête incluse) en mémoire • sinon • écarter le message et effacer sa Duplicate Tuple Sinon, si le message est d’une autre type implémenté • si (MSN message = MSN SIGNATURE + 1) et (Signature est valide) • effacer la SIGNATURE de la mémoire et traiter le message de contrôle • sinon • écarter le message et effacer sa Duplicate Tuple Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 26

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Timestamps Utilisées pour parer les attaques de rejeu + attaques de modifications du TTL Options pour les timestamps: • Timestamps en temps réel (horloge embarqué) • Timestamps logiques (incrémentées à chaque événement) • Protocole d’échange des timestamps (Needham-Schroeder) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 27

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Timestamps Utilisation des mécanismes OLSR sous-jacents. Une synchronisation stricte n’est pas nécessaire: l’identification d’un message dans le Duplicate Set est faite par adresse + MSN + Timestamp Le Duplicate Set est effacé à chaque DUP_HOLD_TIME (=30 sec) Message accepté si le Timestamp est entre DUP_HOLD_TIME/2 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 28

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Architecture du prototype CELAR Implémentation du prototype CELAR: horloges BIOS, synchronisation manuelle au démarrage et resynchronisation par régression linéaire Dérive Resync pour précision de 15 sec sans resync 1 sec/j 15 j avec resync, cas moyen: 30 msec/j 500 j avec resync, pire cas: 0. 2 sec/j 75 j différence de temps (sec), référence router 1 sans resynchronisation avec resynchronisation temps (jours) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 29

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Architecture du prototype CELAR Vitesse de signature/vérification (msec/op): Une possibilité: • HMAC pour signatures sym • EC pour signatures asym Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 30

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Etude de l’overhead Taille des messages: doublée au max Calcul théorique de l’overhead d’OLSR en fonction des timers des messages de contrôle, du facteur d’optimisation d’OLSR et de l’algorithme de signature choisi Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 31

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signature Attaques parées par cette architecture: Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 32

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés Alternatives possibles pour la distribution des clés dans un environnement ad hoc: • PKI standard avec Certification Authority • Cryptographie à seuil (threshold cryptography) • Imprinting • Web of Trust (PGP) • Identity-Based Signatures • PKI pour l’architecture de sécurisation OLSR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 33

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority (CA): clé publique connue à priori Pour un noeud donné, on a des Noeuds untrusted - non fiables: clé publique non connue Noeuds trusted - fiables: clé publique connue Un noeud: • sélectionne comme MPR seulement des noeuds fiables • accepte comme MPR Selectors seulement des noeuds fiables • accepte seulement les TCs qui ont comme origine des noeuds fiables • relaye seulement les messages qui viennent de voisins fiables Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 34

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Problème d’interblocage: pas de sélection de MPR ⇔ pas de distribution de certificats! Solution: considérer les liens MPR avec les noeuds non fiables comme liens simples symétriques Construction de la topologie et distribution des clés sont simultanés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 35

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority Noeud sans clé Noeud avec clé MPR Etape 1 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 36

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority Noeud sans clé Noeud avec clé MPR Etape 2 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 37

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority Noeud sans clé Noeud avec clé MPR Etape 3 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 38

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority Noeud sans clé Noeud avec clé MPR Etape 4 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 39

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Distribution des clés PKI pour OLSR Certification Authority Noeud sans clé Noeud avec clé MPR Etape 5 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 40

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Cas des noeuds compromis Parades dans le cas des noeuds compromis: Principe 0: utiliser l’architecture précédente (protocole SIGNATURE) Principe 1: prévention - Inclure de l’information redondante dans les messages de contrôle au fin de vérifier ceux-ci • Signatures multiples relatives à l’état de lien (ADVSIG) • Position géographique des noeuds (SIGLOC) et/ou Principe 2: détection – Déceler les comportements malveillants • Système d’accusations • Modèle de conservation du flot Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 41

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Cas des noeuds compromis Protection offerte en cas de noeuds compromis: Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 42

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples La topologie du réseau change étape par étape Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 43

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples On pourrait donc réutiliser l’information topologique au moment ti-1 pour prouver la validité de l’information à un moment successif ti t 1 A (vide) t 2 t 3 t 4 B A: ASYM_LINK B: SYM_LINK A: SYM_NEIGH ou MPR_NEIGH Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 44

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples Cette information est le Link Code transmis dans un HELLO t 1 A (vide) t 2 B A: ASYM_LINK (vide) t 3 B: SYM_LINK A: ASYM_LINK t 4 A: SYM_NEIGH ou MPR_NEIGH B: SYM_LINK Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 45

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples Etat de lien Preuve nécessaire ASYM_LINK « le paquet a été entendu » SYM_LINK ASYM_LINK ou SYM_LINK SYM_NEIGH ou MPR_NEIGH SYM_LINK ou SYM_NEIGH voisinage (dans les TCs) SYM_NEIGH ou MPR_NEIGH Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 46

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reserved | Htime | Willingness | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Link Code | Reserved | Link Message Size | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Neighbor Interface Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Link Code | Reserved | Link Message Size | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Neighbor Interface Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ : : Chaque information d’état de lien est signée et incluse dans un ADVSIG, qui est couplé et envoyé avec tout message HELLO/TC 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Global Timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Global Signature | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Certificate #0 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Certificate #1 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Certificate #2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Certificate #3 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ : : +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Link Code #1 | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Timestamp of Proof #1 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Proof #1 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Link Code #2 | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Timestamp of Proof #2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Proof #2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Link Code #3 | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Timestamp of Proof #3 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature of Proof #3 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ : : Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 47

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Signatures multiples Protection contre les fausses informations topologiques fournie par: un noeud malveillant ou par noeuds malveillants multiples disjoints Wormhole et Do. S sont encore possibles Taille importante, plusieurs signatures dans le HELLO: faisable? Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 48

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Position géographique Information géographique (GPS) incluse dans la signature et diffusée Cette information est la dernière position connue du noeud But: contrôler la vraisemblance des informations topologiques diffusées dans les HELLOs/TCs (position du noeud et existence du lien) L’information est distribuée dans un message SIGLOC Tout noeud maintient en mémoire la dernière position connue d’un noeud: < adresse, position, timestamp > Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 49

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Position géographique rmax portée maximale de transmission d. SR distance entre les noeuds émetteur S et receveur R p. S , p. R position actuelle des noeuds S et R TS , TR timestamps d’envoi et de réception du message t erreur max dans la synchronisation des horloges d erreur max dans le positionnement des noeuds vmax vitesse max des noeuds Si formule fausse ⇒ S et R trop lointains ⇒ transmission suspecte Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 50

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Position géographique Protection contre le wormhole: Si formule fausse par rapport à d. AB ⇒ Possible wormhole A-B Protection contre le link spoofing (X déclare un lien avec N): Si formule fausse (par A) par rapport à d. XN ⇒ Lien X-N inexistant Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 51

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Position géographique Une détection plus détaillée est obtenue par une antenne sectorielle: le noeud receveur vérifie que la direction θS de provenance du signal est conforme au secteur [θ, θ+ θ ] dans lequel le signal est reçu Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 52

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Position géographique Overhead limité par rapport au système avec signatures multiples Toutefois, il est nécessaire de pourvoir un dispositif GPS embarqué dans chaque noeud Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 53

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Détection des malveillances Etat de l’art: Watchdog/Pathrater, CONFIDANT, WATCHERS Système des accusations: • tout noeud vérifie le comportement de ses voisins • en cas de malveillance, une accusation est envoyée en broadcast • les noeuds avec un “trust level” inférieur à un certain seuil sont éliminés du réseau Contrôle sur la conservation du flot: “Tous donnée envoyé à un noeud et non destiné à lui y doit sortir” Mise en place d’un système de compteurs Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 54

Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion Résultats obtenus • Analyse détaillée des attaques contre OLSR et définition d’un cadre d’étude • Conception d’une architecture sécurisée pour OLSR et détails des modifications du protocole pour l’implémentation • PKI pour OLSR sécurisé • Architectures avancées de sécurité pour les attaques particulières: wormhole ou noeuds compromis Perspectives • Etude sur les performances des architectures définies (test réels) • Affinage de la protection offerte par les différentes techniques • Recherche d’algorithmes de signature appropriés: ex. ESIGN, RW Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 55