Docstoc

conpap-MANETs

Document Sample
conpap-MANETs Powered By Docstoc
					Πανεπιστήμιο Αθηνών                                             ΠΜΣ520
Τμήμα Πληροφορικής και Τηλεπικοινωνιών            Ασφάλεια Υπολογιστικών
Εργαστήριο Ηλεκτρονικής Διακυβέρνησης                        Συστημάτων




         Ασφάλεια σε Αυτοφυή Δίκτυα

                  Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
                            conpap@di.uoa.gr
              Τι είναι
                  Δίκτυα χωρίς κεντρική διαχείριση
                        Δεν υπάρχουν σταθμοί βάσης, δίκτυο ραχοκοκαλιάς ή
                         διακομιστές (βλ. P2P).
                        Δεν υπάρχουν διαχειριστές δικτύου (αυτο-διαχειριζόμενα,
                         αυτο-ρυθμιζόμενα και αυτο-θεραπευόμενα)
                  Δίκτυα πολλαπλών σταθμών (multihop)
                  Κινητοί κόμβοι που χρησιμοποιούν το ασύρματο μέσο
                   για επικοινωνία
                  Συνεχώς και απροσδόκητα μεταβαλλόμενη τοπολογία
                   δικτύου
                        μετακίνηση κόμβων εντός του δικτύου
                        κόμβοι εισέρχονται και εξέρχονται του δικτύου



ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων                    Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Εφαρμογές:
              Το χτες, το σήμερα και το αύριο
                  1968 - ALOHA: Κατανεμημένη διαχείριση πρόσβασης
                   σε κανάλια
                  1973 – PRnet (DARPA): δίκτυο πολλαπλών σταθμών
                   στο οποίο οι κόμβοι συνεργάζονταν μεταξύ τους έτσι
                   ώστε ένα μήνυμα να φτάσει στον προορισμό του
                  Στρατιωτικές ανάγκες: Πεδίο μάχης
                  Επιχειρήσεις διάσωσης
                  Δίκτυα αισθητήρων (sensor networks)
                  Δίκτυα προσωπικών συσκευών (π.χ. σε συνέδρια,
                   συναντήσεις, κλπ.)
                  Bluetooth
                  Δίκτυα αυτοκινήτων

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων          Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Είδη – Ονομασίες
                  IETF: Mobile Ad hoc NETwork (MANET)
                   (http://www.ietf.org/html.charters/manet-charter.htm)
                  Personal Area Network (PAN)
                  Connected Ad Hoc Network (CAN)
                        e.g., 802.11 Independent Basic Service Set (IBSS)
                  Autonomous Ad Hoc Network
                        e.g., 802.11 Extended Service Set (ESS)

                  Χαρακτηριστικά συσκευών:
                        Προσωπικές-φορητές συσκευές (φορητοί υπολογιστές,
                         υπολογιστές τσέπης (PDAs), αισθητήρες)
                        Περιορισμένη επεξεργαστική ισχύς, μνήμη και αυτονομία
                        Κινητικότητα

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων                     Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Παραδείγματα




ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων   Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Ευπάθειες
                  Νέα δεδομένα για την αντιμετώπιση των
                   κλασικών προβλημάτων της ασφάλειας
                   (αυθεντικοποίηση, ανταλλαγή κλειδιών, κλπ.):
                        Δεν υπάρχει κάποια μορφή κεντρικής αρχής
                        Πρόσβαση σε online διακομιστές ή άλλα δίκτυα
                         γενικότερα
                        Εξαιρετικά δυναμικό περιβάλλον (κινητικότητα,
                        Περιορισμένος χρόνος ζωής δικτύου
                        Περιορισμένες ικανότητες των κόμβων
                         (επεξεργαστική ισχύς, μνήμη, αυτονομία,
                         δυνατότητα επικοινωνίας)
                        Οι κόμβοι μπορεί να αιχμαλωτισθούν, κλαπούν,
                         κλπ.
ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων              Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Απειλές
                  Απομίμηση (spoofing)
                  Άρνηση εξυπηρέτησης (DoS)

                  Νέες μορφές απειλής:
                        Ωτακουστές (Eavesdroppers)
                        Άρνηση εξυπηρέτησης κόμβων (π.χ. κατανάλωση
                         ενέργειας)
                        Συμπεριφορά ανάλογη του προβλήματος των
                         Βυζαντινών Στρατηγών
                        Ιδιοτέλεια (selfishness) – άρνηση συνεργασίας
                        Καταβόθρες (sinkholes)

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων            Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Ασφαλής Δρομολόγηση
                  Επιθέσεις:
                        Παρακώλυση δρομολόγησης
                             Διάδοση λανθασμένων πληροφοριών δρομολόγησης
                                   Βρόγχοι δρομολόγησης
                             «Μαύρες» και «γκρι» τρύπες
                        Εξάντληση πόρων
                  Προτεινόμενες λύσεις:
                        SEAD: συναρτήσεις σύνοψης
                        Ariadne: αυθεντικοποίηση μηνυμάτων δρομολόγησης με
                         χρήση διαμοιραζόμενων μυστικών ή ψηφιακών υπογραφών
                        ARAN: ψηφιακά πιστοποιητικά
                        SAODV: ψηφιακές υπογραφές και συναρτήσεις σύνοψης


ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων                     Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Απαιτήσεις Ασφάλειας
                  Οι απαιτήσεις σχετικές με:
                   αυθεντικότητα, εμπιστευτικότητα,
                   ακεραιότητα, διαθεσιμότητα και μη
                   αποποίηση είναι γνωστές.
                  Το βασικό πρόβλημα είναι η
                   εμπιστοσύνη



ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων   Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Εμπιστοσύνη
                  Κεντρική έμπιστη οντότητα
                        π.χ. CA
                        δεν είναι πάντα διαθέσιμη
                        κατάτμηση δικτύου (clustering)
                  Διανομή κλειδιών πριν το σχηματισμό του
                   δικτύου
                  Φαινόμενο νεοσσών (Νεοσσοί ανάστασης)
                  Μοντέλα υπόληψης


ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων                Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Διαχείριση Κλειδιών
                  Διαμοιρασμός εμπιστοσύνης
                  Διαμοιραζόμενα Συστήματα Διαχείρισης Κλειδιών
                        PGP
                        Κρυπτογραφία Κατωφλίου

                  Κρυπτογραφία Κατωφλίου: (n, t+1)
                  n κόμβοι μοιράζονται την ικανότητα
                   πραγματοποίησης μιας κρυπτογραφικής λειτουργίας
                   (π.χ. ψηφιακή υπογραφή)
                  t+1 κόμβοι μπορούν να συνεργαστούν για να
                   πραγματοποιήσουν τη λειτουργία αυτή
                  Είναι αδύνατο για t κόμβους να κάνουν κάτι τέτοιο

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων          Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Παράδειγμα:
              Υπογραφή Πιστοποιητικών
                  n κόμβοι μπορούν να υπογράφουν
                   πιστοποιητικά
                  Η συγκεκριμένη υπηρεσία μπορεί να ανεχτεί
                   μέχρι t κακόβουλους κόμβους
                  Το ιδιωτικό κλειδί k μοιράζεται σε n μέρη
                   (κόμβους)
                  Κάθε κόμβος υπογράφει ένα μέρος της
                   υπογραφής με το κλειδί που διαθέτει
                  Όταν μαζευτούν t+1 μέρη, η ψηφιακή
                   υπογραφή έχει ολοκληρωθεί

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων     Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Μοντέλα Υπόληψης
                  Αποφυγή κακόβουλων και ιδιοτελών κόμβων
                  Συνήθη στάδια:
                        Παρακολούθηση κόμβων
                        Απόφαση για τη υπόληψή τους
                        Διαμοιρασμός της απόφασης αυτής
                        Επίπεδα φήμης
                  CONFIDANT:
                        Κάθε κόμβος παρακολουθεί την κακή συμπεριφορά των γειτόνων
                        Στέλνει μηνύματα ALARM στους γείτονές του.
                        Αν βρεθεί κακόβουλος κόμβος, σταματάει η προώθηση πακέτων
                         προς αυτόν
                        Αν κατηγορήθηκε άδικα ή μετανόησε επανεντάσσεται στο δίκτυο
                  CORE:
                        Οι κόμβοι ανταλλάσσουν παρατηρήσεις υπόληψης
                        Έμφαση στους ιδιοτελείς κόμβους

ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων                      Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου
              Σύνοψη
                  Οι προτάσεις για την ασφάλεια στα αυτοφυή
                   δίκτυα πρέπει να γίνονται με βάση τις εξής
                   παραμέτρους:
                        Μικρή επεξεργαστική ισχύς και αυτονομία κόμβων
                        Άσκοπη χρησιμοποίηση δικτυακών πόρων
                        Ιδιωτικότητα θέσης
                        Αλλαγές στην τοπολογία
                        Εμπιστοσύνη



ΠΜΣ520 - Ασφάλεια Υπολογιστικών Συστημάτων             Υπ. Δρ. Κωνσταντίνος Παπαπαναγιώτου

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:16
posted:9/6/2012
language:Greek
pages:14