Slide1 : Thèse de Doctorat de l’Université Paris 6 UPMC
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc
Daniele Raffo
Directeur de Thèse: Paul Mühlethaler
Jury:
François Baccelli Ana Cavalli François Morain
Paul Mühlethaler Guy Pujolle Ahmed Serhrouchni
Membres invités: Daniel Augot Philippe Jacquet
15 Septembre 2005 Thèse de Doctorat de l’Université Paris 6 UPMC
Slide2 : Plan de la présentation Introduction
Les réseaux sans fil
Les réseaux ad hoc et le routage - OLSR
Les problématiques de la thèse: ma contribution
Attaques
Hypothèse et modèle
Architecture de sécurité de base (SIGNATURE)
Timestamps et signatures
Distribution des clés
PKI pour OLSR
Identity-Based Signatures
Modèle noeuds compromis: parades
Signatures multiples (ADVSIG)
Position géographique des noeuds (SIGLOC)
Accusations et modèle du flot
Conclusion Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo
Slide3 : Les réseaux sans fil
Fréquences radio: 2.4 GHz (ISM), 5 GHz (U-NII)
Standards: IEEE 802.11[a|b|g], IEEE 802.16, HiperLAN, Bluetooth...
Architectures: BSS (avec AP), IBSS (sans AP), ad hoc Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo BSS IBSS (P2P) Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide4 : Les réseaux ad hoc et le routage
Un réseau ad hoc nécessite que dans tout noeud soit actif un protocole de routage
Protocoles: réactifs (AODV, DSR), proactifs (OLSR, OSPF), hybrides (CBRP) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo AD HOC Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide5 : OLSR OLSR (Optimized Link State Routing): protocole proactif à état de lien, développé par INRIA HIPERCOM.
Inondation (flooding) optimisée par Relais Multipoint (MPRs): tout noeud sélectionne ses MPRs parmi ses voisins symétriques pour qu’un message émis par le noeud et relayé par ses MPRs soit reçu par tous ses voisins à 2 sauts Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Inondation pure Inondation par MPRs Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide6 : OLSR Echange périodique de messages de contrôle:
HELLO état de lien (voisinage), sélection MPR 1 saut
TC liens symétriques et MPR relayé
MID interfaces multiples relayé
HNA association host-network non-OLSR relayé Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Entête du paquet OLSR Entête du message Message Entête du message Message Entête UDP Entête IP Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide7 : Problématiques de la thèse
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Identification des attaques contre les réseaux ad hoc et OLSR
Idéation et développement d’architectures de sécurité
Analyse des modifications spécifiques au protocole OLSR Protection du système de routage dans un réseau ad hoc
Non traités: écoute et intrusion dans les réseaux ad hoc
(car problèmes déjà traités dans les réseaux classiques) Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide8 : Ma contribution
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Identification des attaques contre OLSR Mise en place d’une architecture OLSR sécurisée Noeuds non compromis
(sécurité de base) Noeuds compromis
(sécurité avancée) Signatures
Timestamps Signatures multiples
Localisation GPS
Accusations Architecture pour le prototype CELAR PKI
pour
OLSR Modèle de sécurité pour les réseaux ad hoc Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide9 : Attaques contre OLSR Buts de l’adversaire: s’insérer dans le protocole de routage, perturber la topologie du réseau Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Génération incorrecte du trafic Relayage incorrect du trafic HELLO incorrect attaque ANSN TC incorrect ID
spoof link
spoof link
spoof ID
spoof MID/HNA incorrect Modification Blackhole Wormhole attaque MPR Rejeu DoS Attaques sur le trafic de contrôle dans OLSR Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide10 : Attaques contre OLSR Génération incorrecte des HELLOs
identity spoofing: X envoie des messages avec C comme origine ⇒ A et B vont annoncer leur voisinage avec C
X choisit A et/ou B comme ses MPRs avec l’identité de C ⇒ ces MPRs vont déclarer qu’il peuvent fournir connectivité vers C
⇒ conflits des routes vers C, perte de connectivité Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide11 : Attaques contre OLSR Génération incorrecte des HELLOs
link spoofing: X déclare un lien sym avec A ⇒ C choisit comme son MPR set probablement {X, D} au lieu de {X, B, D}
⇒ les messages de E ne vont pas joindre A
Autre attaque: X ne déclare pas tous ses voisins ⇒ possible perte de connectivité des voisins ignorés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide12 : Attaques contre OLSR Génération incorrecte des TCs
identity spoofing: X envoie un message avec l’identité de C déclarant A comme voisin ⇒ topologie erronée
link spoofing: X envoie un message déclarant D voisin ⇒ topologie erronée
Non-envoi de TC, ou TC incomplets ⇒ topologie non diffusée Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide13 : Attaques contre OLSR Génération incorrecte des MIDs/HNAs
⇒ problèmes à joindre les interfaces sélectionnées
Attaque ANSN
X envoie un TC avec origine Y falsifié et un ANSN élevé ⇒ tout message TC de Y ayant un ANSN inférieur est ignoré (cf. Topology Set) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide14 : Attaques contre OLSR Modification des messages pendant le rélayage
⇒ mêmes conséquences de l’identity/link spoofing
Blackhole attack (non-relayage des messages)
⇒ perte de messages, topologie non diffusée
Replay attack ou Attaque de rejeu
Nécessite de changer MSN (HELLO ou TC) et/ou ANSN (TC) ⇒ engendre une perte des messages selon leurs MSN/ANSN Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide15 : Attaques contre OLSR Wormhole attack
X (ou X-X’) relaye les messages entre A et B:
création d’un faux lien «optimal» sous le contrôle de X (blackhole)
⇒ lien compromis, possible perte de messages, topologie fausse Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide16 : Attaques contre OLSR Attaque MPR
B = MPR de A C = MPR de B X = non MPR
A envoie un message à X et B
X relaye ce message à C, même s’il n’est pas censé le faire
B relaye ce message à C
C ne relaye pas le message car il l’a déjà reçu de X ⇒ perte de messages Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide17 : Hypothèses et modèle
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Modèle sans cryptographie
Modèle avec cryptographie
Noeud compliant Noeud malveillant Noeud compliant Noeud compromis Noeud malveillant noeud compromis: noeud dont la clé privée (ou le noeud lui-même) est tombé en main d’un adversaire, qui peut donc envoyer de faux messages correctement signés crypto sym crypto asym Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide18 : Idée de base d’une architecture Isoler les noeuds adversaires en utilisant un système de signature Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide19 : Technique Un dévoilement de la clé symétrique (noeud compromis) abouti à la compromission du réseau entier... Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide20 : Technique ... tandis que avec des clés asymétriques on peut encore identifier le noeud coupable (et éventuellement l’éliminer du réseau) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide21 : Signature Ajout d’une signature avec timestamp au trafic de contrôle OLSR.
Deux possibilités: Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Signature du paquet
Signature ajoutée à chaque paquet
Contrôle hop-by-hop (end-to-end impossible car le paquet change)
Taille du paquet plus petite
Identification difficile des noeuds compromis (à cause du relayage) Signature du message
OLSR message de type SIGNATURE
Contrôle end-to-end
Impossible signer le TTL et Hop Count (⇒ attaques). Solution: utiliser Timestamp à la place du TTL
Meilleure identification de l’émetteur; signatures asym utiles!
Meilleure intéroperabilité (signatures on/off) Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide22 : Signature Format du SIGNATURE:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sign. Method | Reserved | MSN Referrer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Timestamp |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Associé à chaque message HELLO/TC/MID/HNA, il le précède dans le même paquet.
(Une version précédente utilisait un réfèrent MSN pour permettre la non-agrégation; abandonnée car engendrait un délai important)
Fragmentation possible pour respecter le Maximum Transfert Unit
Système de signature intégré avec les fonctions de base d’OLSR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide23 : Signature Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Time To Live Hop Count Message Sequence Number Originator Address Message Type Vtime Message Size HELLO/TC/MID/HNA MESSAGE Time To Live Hop Count Message Sequence Number Originator Address Message Type Vtime Message Size Timestamp Signature La Signature est calculée sur tous les champs non mutables SIGNATURE MESSAGE Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide24 : Signature Fonctionnement principal du protocole
Création d’un message:
écrire le Timestamp
générer la Signature
envoyer la SIGNATURE et le message de contrôle dans le même paquet
Vérification d’un message signé:
contrôler la Timestamp
vérifier la Signature par rapport au message de contrôle
si ok, traiter le message de contrôle; sinon, écarter les deux messages Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide25 : Signature Modification du Duplicate Tuple dans le Duplicate Set:
Un message est donc identifié par: D_addr, D_seq_num, D_timestamp.
L’algorithme sécurisé de traitement des paquets tient compte de cette modification
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide26 : Signature Condition de traitement (modifications pour la sécurité), étape 3b du RFC 3626:
Traiter le message selon le Message Type.
Si le message est une SIGNATURE
si la Timestamp est valide
garder le SIGNATURE (entête incluse) en mémoire
sinon
écarter le message et effacer sa Duplicate Tuple
Sinon, si le message est d’une autre type implémenté
si (MSN message = MSN SIGNATURE + 1) et (Signature est valide)
effacer la SIGNATURE de la mémoire et traiter le message de contrôle
sinon
écarter le message et effacer sa Duplicate Tuple Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide27 : Timestamps Utilisées pour parer les attaques de rejeu + attaques de modifications du TTL
Options pour les timestamps:
Timestamps en temps réel (horloge embarqué)
Timestamps logiques (incrémentées à chaque événement)
Protocole d’échange des timestamps (Needham-Schroeder) Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide28 : Timestamps Utilisation des mécanismes OLSR sous-jacents. Une synchronisation stricte n’est pas nécessaire: l’identification d’un message dans le Duplicate Set est faite par adresse + MSN + Timestamp
Le Duplicate Set est effacé à chaque DUP_HOLD_TIME (=30 sec)
Message accepté si le Timestamp est entre DUP_HOLD_TIME/2 Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide29 : Architecture du prototype CELAR Implémentation du prototype CELAR: horloges BIOS, synchronisation manuelle au démarrage et resynchronisation par régression linéaire
Dérive Resync pour précision de 15 sec
sans resync 1 sec/j 15 j
avec resync, cas moyen: 30 msec/j 500 j
avec resync, pire cas: 0.2 sec/j 75 j Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo différence de temps (sec), référence router 1 temps (jours) temps (jours) sans resynchronisation avec resynchronisation Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide30 : Architecture du prototype CELAR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Vitesse de signature/vérification (msec/op): Une possibilité:
HMAC pour signatures sym
EC pour signatures asym Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide31 : Etude de l’overhead Taille des messages: doublée au max
Calcul théorique de l’overhead d’OLSR en fonction des timers des messages de contrôle, du facteur d’optimisation d’OLSR et de l’algorithme de signature choisi Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide32 : Signature Attaques parées par cette architecture: Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide33 : Distribution des clés Alternatives possibles pour la distribution des clés dans un environnement ad hoc:
PKI standard avec Certification Authority
Cryptographie à seuil (threshold cryptography)
Imprinting
Web of Trust (PGP)
Identity-Based Signatures
PKI pour l’architecture de sécurisation OLSR Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide34 : Distribution des clés PKI pour OLSR
Certification Authority (CA): clé publique connue à priori
Pour un noeud donné, on a des
Noeuds untrusted - non fiables: clé publique non connue
Noeuds trusted - fiables: clé publique connue
Un noeud:
sélectionne comme MPR seulement des noeuds fiables
accepte comme MPR Selectors seulement des noeuds fiables
accepte seulement les TCs qui ont comme origine des noeuds fiables
relaye seulement les messages qui viennent de voisins fiables Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide35 : Distribution des clés PKI pour OLSR
Problème d’interblocage: pas de sélection de MPR ⇔ pas de distribution de certificats!
Solution: considérer les liens MPR avec les noeuds non fiables comme liens simples symétriques
Construction de la topologie et distribution des clés sont simultanés
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide36 : PKI pour OLSR
Certification Authority Noeud sans clé Noeud avec clé MPR
Etape 1 Distribution des clés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide37 : PKI pour OLSR
Certification Authority Noeud sans clé Noeud avec clé MPR
Etape 2 Distribution des clés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide38 : PKI pour OLSR
Certification Authority Noeud sans clé Noeud avec clé MPR
Etape 3 Distribution des clés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide39 : PKI pour OLSR
Certification Authority Noeud sans clé Noeud avec clé MPR
Etape 4 Distribution des clés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide40 : PKI pour OLSR
Certification Authority Noeud sans clé Noeud avec clé MPR
Etape 5 Distribution des clés Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide41 : Cas des noeuds compromis Parades dans le cas des noeuds compromis:
Principe 0: utiliser l’architecture précédente (protocole SIGNATURE)
Principe 1: prévention - Inclure de l’information redondante dans les messages de contrôle au fin de vérifier ceux-ci
Signatures multiples relatives à l’état de lien (ADVSIG)
Position géographique des noeuds (SIGLOC)
et/ou
Principe 2: détection – Déceler les comportements malveillants
Système d’accusations
Modèle de conservation du flot Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide42 : Cas des noeuds compromis Protection offerte en cas de noeuds compromis: Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide43 : Signatures multiples La topologie du réseau change étape par étape Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide44 : Signatures multiples On pourrait donc réutiliser l’information topologique au moment ti-1 pour prouver la validité de l’information à un moment successif ti Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo t1 t2 t3 t4 B A (vide) A: ASYM_LINK B: SYM_LINK A: SYM_NEIGH ou MPR_NEIGH Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide45 : Signatures multiples Cette information est le Link Code transmis dans un HELLO Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo t1 t2 t3 t4 B A (vide) A: ASYM_LINK B: SYM_LINK A: SYM_NEIGH ou MPR_NEIGH A: ASYM_LINK B: SYM_LINK Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion (vide)
Slide46 : Signatures multiples Etat de lien Preuve nécessaire Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo SYM_LINK ou SYM_NEIGH SYM_NEIGH ou MPR_NEIGH ASYM_LINK ou SYM_LINK « le paquet a été entendu » SYM_LINK ASYM_LINK voisinage (dans les TCs) SYM_NEIGH ou MPR_NEIGH Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide47 : Signatures multiples 0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | Htime | Willingness |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Link Code | Reserved | Link Message Size |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Neighbor Interface Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Neighbor Interface Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Link Code | Reserved | Link Message Size |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Neighbor Interface Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
: :
: :
Chaque information d’état de lien est signée et incluse dans un ADVSIG, qui est couplé et envoyé avec tout message HELLO/TC Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo 0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Global Timestamp |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Global Signature |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Certificate #0 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Certificate #1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Certificate #2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Certificate #3 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
: :
: :
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Link Code #1 | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Timestamp of Proof #1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Proof #1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Link Code #2 | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Timestamp of Proof #2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Proof #2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Link Code #3 | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Timestamp of Proof #3 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature of Proof #3 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
: :
: : Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide48 : Signatures multiples Protection contre les fausses informations topologiques fournie par: un noeud malveillant ou par noeuds malveillants multiples disjoints
Wormhole et DoS sont encore possibles
Taille importante, plusieurs signatures dans le HELLO: faisable? Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide49 : Position géographique Information géographique (GPS) incluse dans la signature et diffusée
Cette information est la dernière position connue du noeud
But: contrôler la vraisemblance des informations topologiques diffusées dans les HELLOs/TCs (position du noeud et existence du lien)
L’information est distribuée dans un message SIGLOC
Tout noeud maintient en mémoire la dernière position connue d’un noeud: < adresse, position, timestamp > Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide50 : Position géographique
rmax portée maximale de transmission
dSR distance entre les noeuds émetteur S et receveur R
pS , pR position actuelle des noeuds S et R
TS , TR timestamps d’envoi et de réception du message
t erreur max dans la synchronisation des horloges
d erreur max dans le positionnement des noeuds
vmax vitesse max des noeuds
Si formule fausse ⇒ S et R trop lointains ⇒ transmission suspecte Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide51 : Position géographique Protection contre le wormhole:
Si formule fausse par rapport à dAB ⇒ Possible wormhole A-B
Protection contre le link spoofing (X déclare un lien avec N):
Si formule fausse (par A) par rapport à dXN ⇒ Lien X-N inexistant
Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide52 : Position géographique Une détection plus détaillée est obtenue par une antenne sectorielle: le noeud receveur vérifie que la direction θS de provenance du signal est conforme au secteur [θ, θ+θ ] dans lequel le signal est reçu Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide53 : Position géographique Overhead limité par rapport au système avec signatures multiples
Toutefois, il est nécessaire de pourvoir un dispositif GPS embarqué dans chaque noeud Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide54 : Détection des malveillances Etat de l’art: Watchdog/Pathrater, CONFIDANT, WATCHERS
Système des accusations:
tout noeud vérifie le comportement de ses voisins
en cas de malveillance, une accusation est envoyée en broadcast
les noeuds avec un “trust level” inférieur à un certain seuil sont éliminés du réseau
Contrôle sur la conservation du flot:
“Tous donnée envoyé à un noeud et non destiné à lui y doit sortir”
Mise en place d’un système de compteurs Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion
Slide55 : Résultats obtenus
Analyse détaillée des attaques contre OLSR et définition d’un cadre d’étude
Conception d’une architecture sécurisée pour OLSR et détails des
modifications du protocole pour l’implémentation
PKI pour OLSR sécurisé
Architectures avancées de sécurité pour les attaques particulières:
wormhole ou noeuds compromis
Perspectives
Etude sur les performances des architectures définies (test réels)
Affinage de la protection offerte par les différentes techniques
Recherche d’algorithmes de signature appropriés: ex. ESIGN, RW Conclusion Schémas de sécurité pour le protocole OLSR pour les réseaux ad hoc Daniele Raffo Introduction ∙ Problématiques ∙ Attaques ∙ Modèle ∙ Sécurité de base ∙ Distribution des clés ∙ Noeuds compromis ∙ Conclusion