Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken › fileadmin › TUM › members ›...

UN

IVERS ITÄ T

ULM· S

CIE

ND

O

· DOCENDO· C

UR

AN

DO

·

Universitat UlmFakultat Informatik

Abteilung Medieninformatik

Diplomarbeit

MOBILE INTRUSION DETECTIONIN MOBILEN AD-HOC NETZWERKEN

Andreas Klenk

Juni 2003

Gutachter:Prof. Dr. Michael Weber

Prof. Dr. Jorg Kaiser

Betreuer:Dipl. Inf. Frank Kargl

Inhaltsverzeichnis

1 Einleitung 1

1.1 Gliederung der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Ad hoc Routing, eine neue Perspektive der Kommunikation 3

2.1 Drahtlose Ad hoc Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.2 Routing in Ad hoc Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2.1 Drahtlose Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2.2 Routing Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.2.2.1 Proaktives Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.2.2.2 Reaktives Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.2.2.3 Dynamic Source Routing . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3 Intrusion Detection 9

3.1 Computersysteme und Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.2 Sicherheit fur Ad hoc Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.2.1 Die Funkschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.2.2 Routing Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3.2.3 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3.2.4 Sicherheit durch Reaktion: Intrusion Detection . . . . . . . . . . . . . . . . . . . . 12

3.3 Grundlagen der Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3.3.1 Intrusion Detection fur Festnetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3.3.1.1 Darstellung eines IDS mit CIDF . . . . . . . . . . . . . . . . . . . . . . 14

3.3.1.2 Signaturanalyse (Misuse Detection) . . . . . . . . . . . . . . . . . . . . . 16

3.3.1.3 Anomalieerkennung (Anomaly Detection) . . . . . . . . . . . . . . . . . 17

3.3.1.4 Spezifikationsbasierte Intrusion Detection . . . . . . . . . . . . . . . . . 20

i

INHALTSVERZEICHNIS

3.3.1.5 Der Anfang der Intrusion Detection . . . . . . . . . . . . . . . . . . . . . 21

3.3.2 Diskussion der Ansatze und ihrer Verwendbarkeit fur Ad hoc Netzwerke . . . . . . 22

3.4 Intrusion Detection im mobilen Ad hoc Netzwerk . . . . . . . . . . . . . . . . . . . . . . . 23

3.4.1 Die besonderen Probleme der traditionellen IDS mit Ad hoc Netzwerken . . . . . . 23

3.4.2 Aktuelle Forschung zur Intrusion Detection in mobilen Ad hoc Netzwerken . . . . . 24

3.4.2.1 Watchdog und Pathrater . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.4.2.2 Nodes Bearing Grudges - Das CONFIDANT Protokoll . . . . . . . . . . 25

3.4.2.3 CORE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.4.2.4 Intrusion Detection Techniques for Mobile Wireless Networks . . . . . . 29

3.4.2.5 Intrusion Detection Agent System(IDA) . . . . . . . . . . . . . . . . . . 33

3.4.2.6 Nuglets, ein Vermeidungsansatz . . . . . . . . . . . . . . . . . . . . . . . 34

3.4.3 Bewertung der aktuellen Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . 35

3.4.3.1 Vergleich aktueller IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

3.4.3.2 Anforderungen an ein besseres IDS fur Ad hoc Netzwerke . . . . . . . . . 36

4 Verwundbarkeiten des DSR Protokolls 39

4.1 Egoistisches Verhalten und seine Auswirkungen . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2 Boswillige Knoten und deren Schadwirkung . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4.2.1 Informationsgewinnung durch boswillige Knoten . . . . . . . . . . . . . . . . . . . 41

4.2.2 Angriff auf den Datenverkehr eines Knotens . . . . . . . . . . . . . . . . . . . . . . 42

4.2.3 Angriff auf die Luftschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.3 Besondere Verwundbarkeiten des DSR Designs . . . . . . . . . . . . . . . . . . . . . . . . 44

5 Simulation von Ad hoc Netzwerken 47

5.1 Simulation mit ns2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.1.1 Parameter der Simulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.2 Simulation egoistischer Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.3 Simulation boswilliger Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

6 MobIDS, ein Intrusion Detection System fur mobile Ad hoc Netzwerke 57

6.1 Ein sicheres Rahmenwerk fur ein IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.2 Konzept des Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2.1 Aufbau von MobIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.3 Lokale Erkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

ii

INHALTSVERZEICHNIS

6.3.1 Overhearing mit dem Promiscuous Mode . . . . . . . . . . . . . . . . . . . . . . . 59

6.3.1.1 Die Problematik des Overhearing . . . . . . . . . . . . . . . . . . . . . . 59

6.3.1.2 Eine verbesserte Technik des Overhearing . . . . . . . . . . . . . . . . . 60

6.3.1.3 Ergebnisse des neuen Overhearing Systems . . . . . . . . . . . . . . . . 61

6.3.2 Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.3.2.1 Probing in der Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.3.2.2 Das Probing Dilemma . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.3.2.3 Ein Probing mit eindeutiger Identifikation des Angreifers . . . . . . . . . 69

6.3.2.4 Ergebnisse der Probing Mechanismen . . . . . . . . . . . . . . . . . . . 72

6.3.3 Erkennung von Egoismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

6.3.3.1 Die Notwendigkeit Egoismus zu erkennen und zu bestrafen . . . . . . . . 75

6.3.3.2 Aufbau des Erkennungssystems . . . . . . . . . . . . . . . . . . . . . . . 75

6.3.3.3 Erkennung der Knoten in der Nachbarschaft . . . . . . . . . . . . . . . . 77

6.3.3.4 Erkennungsrate von egoistischen Knoten . . . . . . . . . . . . . . . . . . 78

6.4 Bewertungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

6.4.1 Lokale Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

6.4.1.1 Subjektives Ansehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

6.4.1.2 Die Bildung des Ansehens eines Knotens . . . . . . . . . . . . . . . . . . 80

6.4.1.3 Implementierungsdetails . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

6.4.2 Verteilte Bewertungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

6.4.2.1 Verteilung von Anschuldigungen . . . . . . . . . . . . . . . . . . . . . . 81

6.4.2.2 Bewertung eines Knotens . . . . . . . . . . . . . . . . . . . . . . . . . . 82

6.5 Reaktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

6.5.1 Reaktion auf erkannte Angreifer im Ad hoc Netzwerk . . . . . . . . . . . . . . . . 84

6.5.2 Ein globaler Reaktionsmechanismus fur alle MobIDS Netzwerke . . . . . . . . . . 85

6.5.3 Bewertung der Reaktionsmechanismen . . . . . . . . . . . . . . . . . . . . . . . . 87

6.6 MobIDS auf den Punkt gebracht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

6.7 Die Implementierung von MobIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

6.7.1 IDSAgent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

6.7.2 IDSApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

6.7.3 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

6.7.4 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

6.7.5 Rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

6.7.6 Die Anpassungen des DSRAgent fur MobIDS . . . . . . . . . . . . . . . . . . . . . 94

iii

INHALTSVERZEICHNIS

7 Fazit von MobIDS 97

7.1 Ausblick auf Entwicklungsmoglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

A Simulationsarchitektur 99

B Glossar 101

Abbildungsverzeichnis 102

Literaturverzeichnis 111

iv

Kapitel 1

Einleitung

Drahtlose Ad hoc Netzwerke sind sind eine an Popularitat gewinnende Form der Kommunikation. Wahrenddie neu entwickelten Routing Protokolle an einem Punkt angelangt sind, an dem sie bereits gute Losungenfur die definierten Einsatzszenarien bieten, wurde die Sicherheit vernachlassigt. Es gibt eine Vielzahl vonSchwachstellen der Routingprotokolle, die nahezu beliebige Manipulationen durch einen Angreifer zulas-sen. Es kann nicht nur die Kommunikation an sich gestort werden, sondern die kommunizierenden Applika-tionen werden auch in erhohtem Maße angreifbar. Zu einem gewissen Grad lassen sich die Routingprotokol-le durch Authentisierung und den Einsatz krypthographischer Funktionen gegen Manipulationen schutzen.Ein Teilnehmer im Ad hoc Netzwerk kann aber trotzdem Pakete verwerfen und in egoistischer Absicht nichtam Routing teilnehmen; deshalb werden noch andere Verfahren benotigt um mit diesem Verhalten umgehenzu konnen.

Diese Arbeit befasst sich aus diesem Grund mit der Erkennung von Angriffen auf das Routing in drahtlosenAd hoc Netzwerken. Hierfur wurde das DSR Kommunikationsprotokoll auf Angriffspunkte analysiert. ImErgebnis wurden Egoismus und Bosartigkeit als Motivation fur eine Storung des Routings identifiziert. DieGefahrlichkeit solcher Angreifer wurde durch Simulation bestatigt.Das mobile Intrusion Detection SystemMobIDSist ein System, das diesen Angreifern begegnen kann. Dazustutzt sich MobIDS auf zwei Saulen: die Erkennung und die Reaktion. Es wurden deshalb mehrere neuartigeMethoden der lokalen Erkennung aufgestellt, implementiert und durch Simulation verifiziert.Dasaktivitatsbasierte Overhearingstellt eine Verbesserung in der Erkennung von manipulierten oder garnicht weitergesendeten Paketen dar;eindeutiges Probingkann gezielt Tests auf bosartige Knoten im Pfadunternehmen. Nicht nur bosartiges Verhalten kann erkannt werden, sondern auch egoistisches Verhaltendurch einen Algorithmus, der die korrekte Bearbeitung von Route Requests verifiziert. Die erzielten Ergeb-nisse der drei Verfahren zeigen deren Wirksamkeit.

Fur die Reaktionskomponente von MobIDS wurde ein Modell aufgestellt, mit dem Angreifer automatischvom Netzwerk ausgeschlossen werden. Dazu wurde ein Bewertungsschema definiert und mit den Ergebnis-sen der lokalen Erkennung gekoppelt. Diese Bewertungen werden im Netzwerk verbreitet und fuhren, fallsgenugend negative Bewertungen von einem Knoten vorliegen, zu dessen Ausschluss in dem aktuellen Adhoc Netzwerk. Daruber hinaus gibt es ein globales System, das bei langanhaltendem bosartigen Verhalten

1

KAPITEL 1. EINLEITUNG

den Teilnehmer aus allen Ad hoc Netzwerke aussperren kann, indem die zur Teilnahme benotigte Identitatnicht verlangert wird.

MobIDS kann damit das Routing gegen bosartige und egoistische Teilnehmer absichern und eine sichereKommunikation gewahrleisten. Die fur Ad hoc Netzwerke spezifischen Angriffspunkte konnen durch Mo-bIDS geschutzt werden, traditionelle Sicherheitssysteme sind in der Lage den Schutz vor Angriffen aufApplikationen und Betriebssysteme zu bieten.

1.1 Gliederung der Arbeit

Der erste Teil der Arbeit1 wird, stellvertretend fur andere Routing Protokolle in Ad hoc Netzwerken, Dyna-mic Source Routing(DSR) in Kapitel 2 vorstellen. Daraufhin wird in Kapitel 3 eine Einfuhrung zur Sicher-heit in Ad hoc Netzwerken und zur Intrusion Detection insbesondere gegeben. Die wichtigen Publikationender aktuellen Forschung werden einzeln aufgegriffen und diskutiert, um spater Forderungen fur ein besseresIntrusion Detection System fur Ad hoc Netzwerke aufzustellen.Als erster Schritt zum Entwurf von MobIDS wird in Kapitel 4 das DSR Protokoll einer detaillierten Ver-wundbarkeitsanalyse unterzogen. Dazu gehoren in Kapitel 5 zahlreiche Simulationen von Angriffen auf dasProtokoll, um die Schadwirkung der jeweiligen Bedrohung einordnen zu konnen. Danach werden eine Rei-he von typischen Angriffen identifiziert, mit denen MobIDS umgehen konnen muss.Im Kapitel 6 werden dann die neuartigen Algorithmen, die die identifizierten Angriffe erkennen konnen,vorgestellt. Durch Simulation der erarbeiteten Algorithmen wird deren Wirksamkeit gegen die Angreiferdemonstriert. Erkannte Angriffe werden dann schließlich intern bewertet, um diese Bewertungen mit denanderen Knoten austauschen zu konnen. Die Kommunikation der Bewertungen fuhrt damit zu einer koor-dinierten Reaktion, um die Stabilitat des Netzwerkes zu gewahrleisten und bosartige Knoten zu bestrafen.Diese einzelnen Aufgaben werden durch MobIDS abgedeckt, dessen Gesamtkonzept in diesem Kapitelebenfalls vorgestellt wird.Nach dem Fazit und dem Ausblick der Moglichkeiten der weiteren Vertiefung der Forschung zu MobIDS,gibt es im Appendix auch noch einen kurzeUbersichtuber die entwickelte Simulationswerkzeuge. In demGlossar werden einige Begriffe aus der Informatik erklart, die fur das Verstandnis dieser Arbeit hilfreichsind.

1Diese Arbeit wurde nach den neuen amtlichen Rechtschreiberegeln verfasst

2

Kapitel 2

Ad hoc Routing, eine neue Perspektive derKommunikation

Dieses Kapitel wird eine Einfuhrung in Ad hoc Netzwerke darstellen und erklaren was diese auszeichnet.Danach wird ein Einblick in die Funktionsweise von DSR, einem Protokoll zum Routing in Ad hoc Netz-werken, gegeben.

2.1 Drahtlose Ad hoc Netzwerke

Drahtlose Ad hoc Netzwerke sind Netzwerke mit dynamischer Organisation, bei dem die mobilen Kno-ten oft nur fur begrenzte Zeit Teil des Netzwerkes sind. Ein Ad hoc Netzwerk ist selbstorganisierend undkommt, um die Topologie des Netzwerkes zu erfassen und Routing zu ermoglichen, ohne eine zentraleVerwaltungsinstanz und Infrastruktur aus. Das Wissen um die Topologie des Netzwerkes wird dynamischdurch Kooperation der einzelnen Teilnehmer aufgebaut, die Teilnehmerubernehmen zudem wechselseitigWeiterleitungsaufgaben.

Die mobilen Knoten haben nur eine kurze Funkreichweite und benutzen andere Knoten zur Weiterleitung,also das Empfangen und Weiterleiten von Datenpaketen, um die Kommunikationsreichweite zu erhohen. EinTeilnehmer muss sich in Sende- und Empfangsreichweite zumindestens eines anderen Knotens bewegen, ummit dem Netzwerk kommunizieren zu konnen. Damit die Kommunikation gewahrleistet ist, muss außerdemuber das verwendete Kommunikationsprotokoll sowieuber die Hardware zur drahtlosen KommunikationeineUbereinkunft bestehen.

Es gibt Ad hoc Netzwerke mit genau bestimmter Identitat der Teilnehmer; das ist zum Beispiel der Fall,wenn alle Knoten derselben Organisation angehoren und damit die Identitaten der Benutzer fest mit denmobilen Geraten verknupft werden konnen. Ein etwas allgemeinerer Fall ist, wenn ein vertrauenswurdigerDritter die Identitat des Teilnehmers bestatigt und diese mit dem Gerat verknupft hat. Manchmal ist aberauch nur das Gerat selbst eindeutig identifizierbar. Der schwierigste Fall ist aber, wenn der Teilnehmerkeine unveranderbaren Identifikationsmerkmale besitzt. Dieser Fall ist, solange es keine Standards zur Iden-tifikation der Gerate etabliert wurde, der typische Fall.

3

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION

Wenn die Identitaten festgelegt sind, kann der Grad des Vertrauens zwischen diesen Teilnehmern variie-ren. Vertrauen kann sich namlich nur aus zwei Quellen herleiten: Vertrauen durch positive Erfahrung undBeobachtung oder Vertrauen durch Sanktionierung bei einem Fehlverhalten. Wer weiß, dass er fur sein Fehl-verhalten bestraft wird, ist vertrauenswurdiger als jemand, der weiß, dass er auch bei schlechtem Betragenkeine Konsequenzen furchten muss.

Die MANET (Mobile Ad hoc Networking Group) ist federfuhrend bei der Definition und Spezifikation vonMobilen Ad hoc Netzwerken und der dafur geeigneten Netzwerkprotokolle. Die MANET unter dem DachIETF (Internet Engineering Task Force) veroffentlichte diverse Publikationen zum Thema, unter anderemRFC 2501 ”Mobile Ad hoc Networking (MANET): Routing Protocol Performance Issues and EvaluationConsideration” oder auch Spezifikationen diverser Ad hoc Routing Protokolle.

2.2 Routing in Ad hoc Netzwerken

Im Folgenden wird vorgestellt, wie die drahtlose Kommunikation in Ad hoc Netzwerken vonstatten geht.Dazu werden auf verschiedenen logischen Ebenen Protokolle benotigt, um Daten zuubertragen.

2.2.1 Drahtlose Kommunikation

Ad hoc Netzwerke konnen auch mit Drahtverbindungen aufgebaut werden dieser Typ Ad hoc Netzwerk istaber nicht Gegenstand dieser Arbeit. Fur die drahtlose Kommunikation gibt es nun verschiedene Moglichkeiten:Fur kurze Entfernungen und geringe Sendeleistungen beginnt sich gerade die TechnikBluetootham Marktzu etablieren. Einealtere Technik, die etwas großere Entfernungen zulasst, istInfrarot. Um mittels Infra-rot zu kommunizieren, ist aber eine Sichtverbindung erforderlich, da die Infrarotwellen leicht abgeschirmtwerden konnen. Schließlich hat derIEEE 802.11Standard weite Verbreitung in zahlreichen Produkten ge-funden. Dieses IEEE 802.11 (siehe Tabelle 2.1) bietet eine gute Reichweite, bei ausreichender Bandbreite.Es gibt noch unzahlige andere Standards zur drahtlosen Kommunikation am Markt, aber auf Grund der ho-hen Verbreitung von IEEE 802.11 sind viele Simulatoren und Netzwerkprotokolle dafur verfugbar und eseignet sich deshalb gut fur diese Arbeit.Dieser Standard bietet heute eine Sende- und Empfangsreichweite von bis zu 250 m je nach Gelandebeschaf-fenheit. Es sind zwei Operationsmodi vorgesehen: Der Erste ist derInfrastrukturmodus. In diesem Moduswird davon ausgegangen, dass es eine Basisstation gibt. Alle Karten kommunizieren mit dieser Basisstation,konnen untereinander aber nicht direkt in Kontakt treten. Alle Daten mussen fur eine Verbindung zwischenzwei Teilnehmernuber die Basisstation weitergeleitet werden. Damit ist die Entfernung, die ein Teilnehmervon der Basisstation entfernt sein darf, auf 250 m beschrankt.Die andere Betriebsart ist derAd hoc Modus. In diesem konnen die Teilnehmer Daten direkt austauschen,dafur gibt es aber keine Basisstation mehr. Durch Kooperation der Teilnehmer kann die Reichweite desNetzwerkes erhoht werden, indem Teilnehmer fur andere Teilnehmer Daten weiterleiten. Die Reichweitedes Netzwerks ist damit dynamisch, kann die einfache Sendeleistung eines Teilnehmers von 250 m bei Wei-temubertreffen.

4


IEEE 802.11

ISM Band bei 2,4 GHz11 Mbits48 Bit MAC Gerateadressebis 128 TeilnehmerverbindungslosInfrastruktur und ad-hoc Modus40-128 Bit Verschlusselung RC4

Tabelle 2.1: IEEE 802.11

2.2.2 Routing Protokolle

Jetzt wird entwickelt, wie die Kommunikation in Ad hoc Netzwerken ablauft, dazu wird angenommen, dassein KnotenQ einem ZielZ mindestens ein Paket schicken mochte. Knoten in unmittelbarer Nachbarschaftsind direkt zu erreichen und benotigen dafur kein ausgefeiltes Protokoll. Weiter entfernte Knoten sind aberauf die Kooperation der anderen Teilnehmer angewiesen. Diese mussen Pakete im Auftrag vonQ entgegennehmen und in Richtung vonZ weiterleiten (englisch: forwarding). Der gesamte Vorgang des Aufbaus einesPfades von einer QuelleQ zu einem ZielZ und die spatere Nutzung wird alsRoutingbezeichnet.Routing Protokolle konnen alsproaktivoderreaktivklassifiziert werden.

2.2.2.1 Proaktives Routing

Proaktive Protokolle versuchen alle moglichen Verbindungen im Netzwerk zu erkennen und die Informatio-nen lokal zu speichern. Wird nun ein Pfad von einer QuelleQ zu einem ZielZ benotigt, kann das Protokollden Pfad dorthin unmittelbar bereitstellen. Jeder KnotenQ kann also mit seiner lokalen Information einengeeigneten Pfad auswahlen und Pakete entlang dieses Pfades schicken. Dieser Auswahlmechanismus kannentweder alleine durchQ erfolgen oder der nachste Knoten auf dem Pfad wird durch den jeweiligen Knotenbestimmt, auf dem das Paket gerade angekommen ist.

DasDistanz Vektor Routingist fur drahtlose Ad hoc Netzwerke eine Methode des Routings.Dabei hat jeder einzelne Knoten fur jeden anderen Knoten im Netzwerk einen Vektor der Form(Ziel, Kosten,nachster Knoten). Alle direkten Nachbarn werden in dem Vektor mit den minimalen Kosten initialisiert,unerreichbare Nachbarn werden dagegen mit einem unendlichen Wert belegt. Nun werden Kopien dieserVektoren an andere Knoten verschickt, die diese erhaltenen Vektoren nun mit den bisherigen Vektoren ver-gleichen.Indem transitive Verbindungen genutzt und dabei die Kosten addiert werden, werden nun auch weiter ent-fernte Ziele erreichbar. Sind die berechneten neuen Kosten fur das Erreichen des Ziels nun kleiner als imlokalen Vektor fur dasselbe Ziel, wird der lokale Vektor durch den neuen Vektor ersetzt. Nimmt man an,dass die Topologie statisch ist, werden die Vektoren im Laufe der Zeit auf den optimalen Pfad zeigen.

5


Der Vorteil des proaktiven Routing ist die geringe Latenz, die benotigt wird, bis das erste Paket gesendetwerden kann. Es konnen optimale Pfade zum Ziel gefunden werden.Dieser Ansatz birgt nun aber einige Probleme: Die Pfade bei sich verandernden Topologien werden schnellungultig, dadurch muss das Protokoll standig die Vektoren neu austauschen und erzeugt einen großen Over-head im Netzwerk,4444 bis schließlich kaum mehr Kapazitaten fur den eigentlichen Datenverkehr vorhan-den ist. Damit ist proaktives Routing fur schnell veranderliche Netzwerke ungeeignet.Die einzelnen Stationen mussen die Informationenuber die Topologie speichern. Wenn eine Station ausfalltfuhrt das zu komplizierten Storungen im Routing.

2.2.2.2 Reaktives Routing

Reaktive Protokolle sind die andere Kategorie der Ad hoc Routing Protokolle. Diese versuchen einen Pfadin dem Moment aufzubauen, in dem dieser benotigt wird. Sie reagieren also auf Anfragen vonQ und bauendaraufhin einen Pfad vonQ nachZ auf.Dieses Verfahren hat den Vorteil, dass die aktuelle Topologie zur Bildung einer Route benutzt wird, außer-dem wird nur Overhead fur das Routing Protokoll erzeugt, wenn eine Route benotigt wird.Ad hoc On Demand Distance Vector (AODV) oder Destination Sequenced Distance Vector Routing (DSDV)sind reaktive Protokolle; in dieser Arbeit wird aber vor allem das Dynamic Source Routing (DSR) unter-sucht.

2.2.2.3 Dynamic Source Routing

Das in [JMB01] vorgestellte Dynamic Source Routing Protokoll, kurz DSR1, ist ein reaktives Protokoll.Bei DSR gibt es dieRoute Discovery, um Pfade von einer Quelle zu einem Ziel, die sogenanntenSourceRouten, zu entdecken. Die Source Routen bestehen aus einer Liste von Knoten, die ein Paket nacheinan-der durchlaufen muss, um am Ziel anzukommen. Jedes Datenpaket in diesem Netzwerk enthalt eine SourceRoute. Damit haben in dieser einfachen Form die Hops eine reine Weiterleitungsaufgabe und mussen keinenZustand speichern.Die Route Discovery wird mit Hilfe derRoute RequestNachrichten implementiert. Ein Route Request ist ei-ne Nachricht, die das Ziel, die Quelle und eine leere Source Route enthalt. Dieses Route Request Nachrichtwird von der Quelle an alle Nachbarn in Sendereichweite geschickt. Das geschieht mit einem speziellenPaket, das an alle adressiert ist, die es empfangen konnen, ein sogenanntes Broadcast Paket.Jeder Knoten, der einen Route Request erhalt, den er noch nicht bearbeitet hat, fugt seine eigene Adressean die letzte Position der Source Route und schickt den Route Request dann mit einem Broadcast weiter.Der nachste Knoten, der diesen Route Request empfangt, verfahrt genauso. Irgendwann erreicht der RouteRequest dann das Ziel.Das Ziel nimmt die im Route Request enthaltene Source Route und sendet einenRoute Replymit der emp-fangenen Source Route zum Ziel zuruck. Das kann bei einem Netzwerk mit bidirektionalen Verbindun-gen dadurch geschehen, dass die Reihenfolge der Stationen der Source Route einmal umgedreht wird. Das

1In dem Rahmen der Diplomarbeit soll nur ein kurzerUberblickuber DSR gewahrt werden; um den Ablauf des Protokolls imDetail zu verstehen empfiehlt es sich [JMB01] und [JMHJ02a] zu konsultieren.

6


Route Reply Paket folgt dann dieser umgedrehten Source Route zur Quelle. Gibt es keine bidirektionalenVerbindungen, muss das Ziel einen Route Request zur Quelle aussenden, welcher allerdings zusatzlich dieempfangene Source Route enthalt.

Quelle

A

D

{ }{A

}

{A,C}

{A}

C

D

{A,D

}

E

{A,C

}

{A,C,E}

Abbildung 2.1: DSR Route Request

Quelle

A

D{A

,D}

{A,D

} C

D

{A,D

}

E

Abbildung 2.2: DSR Route Reply

Es gibt in DSR zwei Optimierungen der Route Discovery: DerRoute Cacheist von zentraler Bedeutung,denn er speichert die Routen ab, von denen der Knoten Kenntnis hat. Will dieser Knoten nun ein Paketschicken, pruft er, ob sich die benotigte Route bereits im Route Cache befindet. Durch diesen Mechanismuskonnen viele Route Requests eingespart werden. Der Route Cache kann aber auch wahrend der Route Dis-covery helfen, indem ein Knoten, der einen Route Request erhalt, pruft, ob er eine Route zum Ziel kennt.

7


Kennt er diese, wird die Route im Cache mit der Route im Route Request duplikatfrei zusammengefugt undzur Quelle geschickt.Die Ring-0-Searchlimitiert die Reichweite der Route Requests. Wie die spater in dieser Arbeit gefundenenErgebnisse zeigen, befinden sichuber ein Drittel der Ziele eines Route Requests in direkter Nachbarschaft.Bei der Ring-0-Search wird der Route Request zuerst mit einer kurzen Reichweite von einem Knoten, dannvon zwei Knoten, dann von vier Knoten,... geschickt, bis ein Route Reply zuruckkommt.

Nachdem mit der Route Discovery ein Pfad von der Quelle zum Ziel gefunden wurde, konnen Pake-te zum Ziel gesendet werden. Parallel tritt DSR in die Phase derRoute Maintenanceein. Diese ist einMechanismus, der eine Kontrolle bietet, ob eine genutzte Verbindung noch funktioniert. Dazu wird eineBestatigungsnachricht (Acknowledgement) von jedem Knoten verschickt, um den Empfang eines Datenpa-ketes zu quittieren. Dieses Acknowledgement kann in Hardware implementiert sein oder durch das Netz-werkprotokoll.Wird, nachdem ein Paket gesendet wurde, von einem Knoten kein Acknowledgement empfangen, wird ver-sucht das Paket nochmals zu schicken. Bleibt die Bestatigung auch nach mehreren Versuchen aus wird dieVerbindung zwischen diesen beiden Knoten als getrennt angesehen.Um die verlorene Verbindung zu signalisieren, gibt es in DSR dieRoute ErrorNachricht. Diese wird analle Knoten geschickt, die diese Verbindung momentan benutzen. Die Route Error Nachricht enthalt, außereiner Quelle und einem Ziel, den Knoten auf der Route, der unerreichbar ist.Tritt ein Route Error auf, sieht das DSR Protokoll noch die Moglichkeit vor, dass der Knoten, der dieverlorene Verbindung erkennt, das Paket trotzdem noch zum Ziel schickt. Dazu wird die Route mit eineralternativen Route aus dem Route Cache kombiniert, um das Paket doch noch zu senden. Diese Techniknennt sichSalvaging.

Das reaktive DSR hat gegenuber den proaktiven Protokollen den Vorteil, dass DSR nur Netzwerkverkehrgeneriert, wenn Pakete gesendet werden sollen. Die Verwaltung der Routen erzeugt nur einen kleinen Auf-wand, die Korrektheit der Routen ist einfach sicherzustellen.Aus Sicht eines Intrusion Detection Systems ist DSR gut geeignet, da die Source Routen leicht zu analysie-ren sind. Durch die Source Routen wird nachvollziehbar, welche Knoten fur die erfolgreiche Auslieferungeines Paketes kooperiert haben. Das in dieser Arbeit vorgestellte MobIDS stutzt sich deshalb auf DSR, wo-bei die zu Grunde liegenden Mechanismen auch in andere Protokolle integriert werden konnen.

Bevor MobIDS erarbeitet wird, werden im nachsten Kapitel Intrusion Detection Systeme behandelt, wie sieden aktuellen Stand der Forschung ausmachen.

8

Kapitel 3

Intrusion Detection

Computer Systeme sind verwundbar und das umso mehr, je mehr sie mit anderen Systemen interagieren.Sicherheit ist deshalb gerade in Ad hoc Netzwerken, deren Teilnehmer sich standig auf ihre Nachbarn ver-lassen mussen, wichtig. In diesem Kapitel werden wir die etablierten Sicherheitskonzepte kennenlernen, diekonventionelle wie auch Ad hoc Netzwerke absichern konnen.

3.1 Computersysteme und Sicherheit

Seit es Computersysteme gibt war auch deren Schutz ein wichtiges Thema. Genugte am Anfang noch einbewachtes Gebaude, aus dem niemand etwas hinein oder heraus tragen konnte, ist es heute nicht mehr soeinfach ein System zu schutzen. Aktuelle Systeme sind verteilt und vernetzt, oft sogar vom Internet auserreichbar. Das macht es ungleich schwieriger das System zu schutzen. Zuerst wollen wir uns Gedankendaruber machen, welche Eigenschaften eines Systems zu schutzen sind. In [RG92] wurde eine Einteilungvorgestellt.

1. Daten-Sicherheit (information security)

2. Kommunikations-Sicherheit (communications security)

3. Schutz des Equipments (physical security)

Jeden dieser drei Bereiche kann man wiederum unter drei Aspekten betrachten:

1. Heimlichkeit / Vertraulichkeit (secrecy / confidentiality)

2. Genauigkeit / Integritat / Echtheit (accuracy / integrity / authenticity)

3. Verfugbarkeit (availability)

9

KAPITEL 3. INTRUSION DETECTION

3.2 Sicherheit fur Ad hoc Netzwerke

Sicherheit in Computer Netzwerken befasst sich mit allen Angriffsformen, dieuber ein Netzwerk ausgefuhrtwerden konnen. Es gibt verschiedene Ansatzpunkte in Software und Hardware, um ein Sicherheitssystemzu integrieren, das vor einem Großteil der Angriffe schutzt oder sie zumindest erkennt. Zuerst mussen wiruns aber Gedanken daruber machen, welche Komponenten Angriffe vermeiden und erkennen konnen.

sich

erhe

itsre

leva

nten

Ere

igni

sse

Rea

ktio

n un

d K

ontro

lle

fehlertolerante Kommunikation

abgesichertes Routing

IDS

Firewall

System

Abbildung 3.1: Schichtenmodell eines Sicherheitssystems fur Ad hoc Netzwerke

In Abbildung 3.1 wird schematisch eine Staffelung von Sicherheitmechanismen gezeigt, die fur Ad hocNetzwerke relevant sind. Die Funkschnittstelle ist gegen physikalische Storungen der Kommunikation geschutzt.Das abgesicherte Routing gibt bestimmte Garantien bezuglich Authentizitat des Absenders und Korrektheitder Routinginformationen. Darauf setzt die Firewall auf, die das System von Angreifern abschottet; hinzukommen Sicherheitsmechanismen im System selbst.Parallel zu der Firewall und der Systemsicherheit operiert die Intrusion Detection. Sie kann oberhalb desabgesicherten Routings Angreifer passiv und aktiv erkennen und analysiert Aktivitaten an der Firewall undim System.Es soll nun ein kurzerUberblick uber die Rahmenbedingungen und Interaktionen mit den anderen Sicher-heitskomponenten des Systems gegeben werden.

3.2.1 Die Funkschnittstelle

Die Datenubertragunguber Radiowellen ist prinzipbedingt anfallig gegen Storungen. Das erste Ziel ist es ge-genuber zufalligen Storungen im Frequenzband (Rauschen) unempfindlich zu sein. Dies wird durch SpreadSpectrum Kommunikation erreicht.Mit Spread Spectrum Kanalkodierung wird fur Punkt zu Punkt Verbindungen eine hohes Maß an Sicherheitgegenuber Storungen (engl. jam) des Sendesignals erreicht. Spread Spectrum verteilt mittels eines Spread

10


Codes die Datenubertragung auf viele unterschiedliche Frequenzen, wodurch eine Unempfindlichkeit ge-genuber zufalligen Storungen einer bestimmten Frequenz erreicht wird. Damit Sender und Empfanger wis-sen, auf welchen Frequenzen sie lauschen mussen, gibt es eineUbereinkunft, wann auf welchen Frequenzenzu senden ist.Ein willk urliches Storen mehrerer Frequenzbander erfordert ein große Sendeleistung des Angreifers bei nurgeringer Schadwirkung. Wie aber bei der Analyse der Angriffe auf das DSR Protokoll in Abschnitt 4.2.2spater gezeigt wird, gehen Ad hoc Netzwerke heute von einem allgemein bekannten Spread Spectrum Codesaus, um Broadcasts durchzufuhren.Das eroffnet einen neuen Angriffspunkt: mit dem bekannten Spread Spectrum Code konnen Frequenzengezielt gestort werden, auf denen ein Mobiles Gerat als nachstes senden wurde. Fur diesen Angriff wirdaber nur eine geringe Sendeleistung benotigt, wodurch solche Angriffe wieder gefahrlich werden.

3.2.2 Routing Sicherheit

Das Routing ist bei Ad hoc Netzwerken besonders anfallig gegenuber Angriffen. In Kapitel 4 werden spaterverschiedene Angriffe auf DSR anaylsiert. Die meisten machten sich die Anfalligkeit des Routings ge-genuber Manipulationen zu Nutze.Bei DSR ist besonders die Source Route zu schutzen, ein Protokoll das dies leistet wurde mit ARIADNE[HPJ02] vorgestellt. Dieses Protokoll sichert die Source Route ab, indem jeder Knoten seinen Eintrag imRoute Request authentifiziert. Die Authentifizierung erlaubt festzustellen, ob der Routeneintrag von einemanderen Knoten als dem Erzeuger manipuliert wurde.Durch das Verfahren von ARIADNE konnen Source Routen und alleubrigen Routing Informationen effizi-ent vor unauthorisierten Veranderungen geschutzt werden. Dieses Verfahren hatte aber auch einige Nachtei-le, vorallem die fur jedes Paket vorhandene Latenzzeit, die nicht unterschritten werden konnte. Die Arbeitender Abteilung Medieninformatik zu diesem Thema, konnen fur das Problem der Latenzzeit eine Losungbieten.

3.2.3 Firewalls

Ist das Routing abgesichert, kommen alle Pakete unverandert am Ziel an. Die Applikationen konnen nunaber auch direkt angegriffen werden.Idealerweise sind Applikationen immun gegen Angriffe und konnen deshalb auch ungeschutzt im Netzwerkzugreifbar sein. Designzwange und verwendete Algorithmen der Applikationen machen sie angreifbar unddadurch zu einer gefahrlichen Hintertur in ein System. Hinzu kommen noch Anfalligkeiten durch schlechtesDesign, Programmierfehler und mangelhafte Konfiguration und Wartung des Systems.Eine effektive Moglichkeit ist, den Zugriff von außen auf diese Schwachstellen im System zu versperren.Dafur gibt esFirewalls, deren Aufgabe es ist den Zugriff von außen auf bestimmte, als sicher angesehe-ne Applikationen zu erlauben und alle anderen Zugriffe zu verweigern. Firewalls nutzen das Konzept vonTCP/IP, dass Applikationenuber definierte und wohlbekannte Ports (Ports konnen als Kommunikations-kanale gesehen werden) mit der Außenwelt kommunizieren. Es genugt also, alle Ports zu sperren, bis aufdie, die auch von außen zugreifbar sein mussen.

11


Dieses Konzept kann die Angriffsmoglichkeiten auf einige Applikationen begrenzen.

3.2.4 Sicherheit durch Reaktion: Intrusion Detection

Es wurden nun Moglichkeiten gezeigt Angriffe zu vermeiden oder abzuwehren. Diese Ansatze waren passivgegenuber den Angriffen; es wurde versucht die Angriffe auszuschließen.Das Problem kann aber auch andersherum angegangen werden, indem einreaktivesSystem eingesetzt wird.Wenn es gelingt Angriffe zu erkennen und das Angriffsziel festzustellen, kann eine Gegenstrategie ange-wandt werden.Intrusion Detection Systemekonnen dies nun leisten, wie im nachsten Abschnitt gezeigtwird.

3.3 Grundlagen der Intrusion Detection

Intrusion Detection ist oft die letzte Abwehrfront eines Computer Systems gegen Eindringlinge. Sie mussAngriffe erkennen und Gegenmaßnahmen einleiten konnen.

3.3.1 Intrusion Detection fur Festnetze

Die erste Definition der Intrusion Detection stammte von Andersons Publikationuber Intrusion Detectionaus dem Jahr 1980 [And80]:

The potential possibility of a deliberate unauthorized attempt to

• access information,

• manipulate information, or

• render a system unreliable or unusable.

Ahnlich definierten Heberlein et al. [HLM91] eine Intrusion als

... eine Menge von Handlungen, deren Ziel es ist die Integritat, die Verfugbarkeit oder dieVertraulichkeit eines Betriebsmittels zu kompromittieren.

Ziel der Intrusion Detectionist nun moglichst alle Angriffe auf das Netzwerk zu erkennen und daraufhingeeignete Maßnahmen einzuleiten. Diese Angriffe konnen von außen gerichtet sein, aber auch von innen,von einem Benutzer mit direktem Zugang zu den Systemressourcen.Ein IDS besteht deshalb aus zwei wichtigen Komponenten: Die Erkennung einer feindlichen Aktivitat (In-trusion Detection System, IDS) und die Reaktion auf diese Erkenntnis (Intrusion Response System, IRS).

ID Systeme versuchen folgenden Aufgaben gerecht zu werden:

12


• Uberwachung der System- und Nutzeraktivitat

• Vorverarbeitung der Daten

• Erkennung von Angriffen auf das System

• Gegenmaßnahmen auf einen Angriff

• Analyse der Verwundbarkeiten des Systems und der Systemkonfiguration

Zur Erkennung der feindlichen Aktivitat werden Audit Daten aus verschiedenen Quellen im System genutzt.Audit Daten sind Daten die auf verschiedenen Ebenen im Netzwerk und im Computer gesammelt werden.Diese Daten konnen meist auf einen Benutzer abgebildet werden.

• Betriebssystem: Hier werden Datenuber Ressourcenzugriffe, Nutzerverhalten und Ressourcenver-brauch protokolliert.

• Applikation : Auf dieser Ebene werden spezifische Ereignisseuber die Aktivitat der Applikation fest-gehalten. Insbesondere sind Benutzerinteraktion und resultierender Zugriff auf Ressourcen interes-sant.

• Netz: Es werden hier Datenuber die Chrakteristika des Netzwerkverkehrs erfasst. Oft werden direktauf Netzwerkprotokollebene die Audit Dateien geschrieben. Das fuhrt aber spater zu Schwierigkeiteneinen Zeit- und Nutzerbezug herzustellen.

Die heute etablierten IDS konnen bei der Erkennung nachSignaturanalyse(siehe Kapitel 3.3.1.1),Anoma-lieerkennung(siehe Kapitel 3.3.1.2) undspezifikationsbasierter Erkennung(siehe Kapitel 3.3.1.3) unter-schieden werden. Die Signaturanalyse versucht Handlungen im System zu erkennen, die bekanntermaßenschadlich sind. Die Anomalieerkennung geht von einem normalen Verhalten aus und schlagt bei signifikan-ten Abweichungen davon Alarm. Spezifikationsbasierte Erkennung definiert das zulassige Verhalten undwertet jede Abweichung davon als kritisches Ereignis.

Die Reaktion ist meist passiv, das heißt, es werden entsprechende Audit Daten erzeugt und der zustandigeSicherheitsbeauftragte alarmiert. Zu den aktiven Reaktionen eines IDS gehort gezieltes Sammeln von Infor-mationenuber das angreifende System bis hin zum Anstoßen von Gegenmaßnahmen.

Eine von der Bundesanstalt fur Sicherheit in der Informationstechnik beauftragten Studie [HK98] machtefolgende Einteilung der Angriffsformen auf Computersysteme und Netzwerke. Das sind auch die typischenIntrusions, mit denen ein IDS umgehen konnen muss.

• Niedrige Ebene:

– ARP-, IP- oder ICMP-Angriffe

– Verschiedene Formen von Spoofing

– Verschiedene Formen vonUberflutung

13


– Verschiedene Formen von Tunneln

• Mittlere Ebene:

– Aktiver/passiver FTP-Angriff

– DNS-, X11-, NIS- und NFS-Angriffe

• Hohe Ebene:

– Angriffe auf Authentisierungsmechanismen

– Missbrauch von Anwendungen

– Verteilter, koordinierter Angriff

3.3.1.1 Darstellung eines IDS mit CIDF

Das Common Intrusion Detection Framework (CIDF) definiert ein Komponentenmodell zum Aufbau vonIntrusion Detection Systemen. Es gibt dabei einen Ereignisgenerator (E-Box), eine Analyseeinheit (A-Box),einen Teil fur Gegenmaßnahmen (G-Box) und schließlich eine Einheit zur Speicherung der Daten (D-Box);siehe Abbildung 3.2.Die Internet Engineering Task Force (IETF) arbeitet mit einer Arbeitsgruppe daran das CIDF Modell durchein verbessertes Modell zu ersetzen. Um das Verstandnis von IDS zu vertiefen, ist das CIDF aber gut geeig-net.

CountermeasureC - Box

EventE - Box

AnalysisA - Box

StorageD - Box

RawEvents

Abbildung 3.2: Komponenten eines IDS nach CIDF

14


Mit der E-Box (engl. Event Box) werden verschiedene Ereignisse des Systems (z.B. auf Netzwerkproto-kollebene, Kernelebene, Applikationsebene...) erfasst und in ein einheitliches Format gebracht. Die E-Boxmuss große Datenmengen verarbeiten und ist deshalb ihrerseits angreifbar durch Eindringlinge.

Die A-Box (engl. Analysis Box) ist die Analyseeinheit. Sie nimmt die Ausgabe der E-Box und analysiertdiese, meist durch Signaturanalyse. Hier konnen Techniken der Signaturanalyse (siehe Kapitel 3.3.1.1) undder Anomalieerkennung (siehe 3.3.1.2) zum Einsatz kommen.

Die D-Box fuhrt nun Protokolluber die durch die Analyseeinheit gewonnenen Daten, ebenso wieuber dieDaten der E-Box. Dies ermoglicht spater Angriffe an Hand dieser Audit Daten nachzuvollziehen.Ublicherweisewerden Datenbanken zur Speicherung dieser großen Datenmengen benutzt.

Die C-Box (engl. Countermeasure Box) ist schließlich fur die Alarmierung eines Sicherheitsbeauftragtenzustandig. Die C-Box kann aber noch weitergehende Fahigkeiten haben: Sie kann aktiv auf eine Intrusionreagieren, es konnen Schritte zur Identifizierung des Angreifers, Schutz des Systems vor weiteren Schadenund die Beseitigung entstandener Schaden Ziel sein.Meistens wird versucht Datenuber den Angreifer zu sammeln um seine Identitat festzustellen, indembeispielsweise der Einwahlpunkt ins Internet in Erfahrung gebracht wird, ebenso wie versucht wird einmoglichst charakteristisches Bild von dem System des Angreifers zu bekommen (z.B. durch Portscans).Diese Daten ermoglichen es dann spater eine Strafverfolgung einzuleiten. Es ist sogar ein Gegenangriffdurch ein IRS durch einen Denial of Service Angriff auf das System des Angreifers denkbar.

Hostbasierte IDS

IDS, die nur auf einem Host arbeiten, werdenhostbasiertgenannt. Alle IDS waren am Anfang hostbasiert,da es kaum Netzwerke gab. Hostbasierte IDS analysieren das Systemverhalten aus Sicht des Hosts, indemalle lokal vorhandenen Informationen wie Audit Informationen des Betriebsystems analysiert werden. Dadie Laufzeit dieser Art IDS sehr lange ist, werden sie zumeist nur einmal am Tag aktiviert.Hostbasierte IDS konnen feststellen, ob Angriffe erfolgreich waren oder nicht. Der Nachteil von hostba-sierten IDS ist, dass diese nur vergangene Angriffe entdecken, sie konnen keine Aussage machen, wie einAngriff zu Stande kam. Gelingt es dem Angreifer Kontrolleuber den Rechner zu erhalten, kann er alle Hin-weise loschen, die das hostbasierte IDS erkennen konnte. Gibt es eine Reihe von Angriffen auf verschiedeneRechner im Netzwerk, werden diese Ereignisse nicht in Zusammenhang gebracht.

Netzbasierte IDS

Netzbasierte IDSanalysieren die einzelnen Pakete im Netzwerk auf Angriffsmuster. Sie laufen in Echtzeitab und konnen Angriffe durch eine geeignete Reaktion verhindern. Ein netzbasiertes IDS kann mehrerenRechner schutzen, muss allerdings Zugriff die gesamte Kommunikation im Netzwerk haben. Verschlusselte

15


Verbindungen verhindern den erfolgreichen Einsatz von netzbasierten IDS. Diese konnen Attacken erken-nen, die zu keinen Eintragen im Audit fuhren und deshalb nicht von hostbasierten Systemen erkannt werden.Beispiele solcher Angriffe sind Manipulationen an den Statusinformationen der Pakete und Angriffe, diekeinen Erfolg hatten.

3.3.1.2 Signaturanalyse (Misuse Detection)

Bei Signaturanalysesystemen (engl. Misuse Detection Systems) wird versucht ein schadliches Verhaltenoder gar einen Angriff zu erkennen. In diesen Systemen werden große Datenbanken gepflegt, in denen ver-schiedene Angriffsmuster (Signaturen) gespeichert sind. Das ID System wendet nun diese Signatur auf dieanfallenden Audit Daten an. Es werden dafur die verschiedenen Ausgaben der E-Box auf bekannte Signatu-ren von Angriffen untersucht; dabei wird meist ein einfaches ”Pattern Matching” verwandt, also die 1 zu 1Uberprufung aufUbereinstimmung. Bei einem solchen primitiven Pattern Matching sind alle Permutationeneines Angriffs in der Datenbank aufzunehmen.Die Ausgabe des Systems ist nur ein ’Angriff erkannt’/’kein Angriff erkannt’, es gibt also keine differenzier-te Analyse der Schwere des Angriffs. Lediglich die Haufigkeit dieser Angriffe ist ersichtlich, die Schweregeht daraus nicht hervor.

Experten Systeme sind immer noch sehr verbreitet. Deren Datenbank besteht aus einem Satz hart ko-dierter Regeln, oft in der Form von if.. then.. else.. Konstrukten. Es wird auf eine Anomalie (gefahrlicheSignatur) gepruft und eine Reaktion darauf festgelegt. Solche Regeln konnen zum Beispiel:if ’Anomalieerkannt’ then ’Sperre-Account’sein. Mit IDES [DN85] wurde durch Denning und Neumann ein fruhes Ex-perten System geschaffen.Die Qualitat der Erkennung hangt sehr stark von der Qualitat der Regeln und der Aktualitat der Datenbankab, außerdem mussen die Regeln an das spezifische Netzwerk angepasst werden.

Zustandsautomaten konne auch zur Signaturanalyse verwendet werden. Es wird abstrahiert, dass bei An-griffsversuchen mehrere Zustande durchlaufen werden. Der Zustand des zuuberwachenden Systems wirdmit einem Zustandsautomaten dargestellt. Das IDS verwaltet nun fur die bekannte Angriffe je ein Zustands-ubergangsdiagramm. Das IDS versucht nun die Zustandsubergange mit dem Diagramm der Angriffe zu ver-gleichen. Das Erreichen eines Endknotens in einem Angriffsbaum bedeutet, dass das beobachtete Verhaltenals Angriff gilt und signalisiert wird. Die abstrahierten Zustandsubergange und die leichter verstandlicheDarstellung eines Angriffs sind ein großer Vorteil dieses Systems. Es hat damit die Fahigkeit nur Aktionenzu betrachten, die einen Angriff signalisieren, und Aktionen, die ein Pattern Matching System ablenkenwurden, nicht zu berucksichtigen. Das STAT System [Por92] war das erste System mit dieser Technik.

Bewertung der SignaturanalyseDie Signaturanalyse ist das am Markt etablierte System. Es gibt auch eine Reihe von praktischen Grundenfur diese Technik:

16


• Installations- und Wartungsaufwand sind gering. In der Regel konnen direkt vom Hersteller aktuelleSignaturen bezogen und eingespielt werden.

• Die IDS sind effizient, da die verwendeten Algorithmen oft nur geringe Komplexitat haben.

• Attacken im Internet werden oft durch Skripte ausgefuhrt und folgen deshalb einem exakt bestimm-baren Muster, aus dem dann leicht eine passende Signatur erzeugt werden kann.

• Ein erkannter Alarm ist in den Audit Daten leichtuberprufbar und nachvollziehbar.

• Solche Systeme haben nur eine geringe Rate von Fehlalarmen (engl. false positive rate)

Die Signaturanalyse hat aber auch Nachteile:

• Unbekannte, neue Angriffsarten konnen nicht erkannt werden.

• Das System ist sehr abhangig von der Qualitat der Regeln und Flexibilitat des Erkennungsmodells.

• Bei pattern matching genugt eine leichte Abwandlung des Angriffs um nicht erkannt zu werden.

• Die Anpassung der Signaturdaten an ein spezifisches System ist sehr aufwandig.

3.3.1.3 Anomalieerkennung (Anomaly Detection)

Die Anomalieerkennung (engl. Anomaly Detection) geht davon aus, dass der Nutzer eines Systems ein sta-tistisch erfassbares und regelmaßiges Verhalten zeigt. Die Nutzungszeit, die Haufigkeit der Nutzung, derRessourcenverbrauch und regelmaßig genutzte Programme konnen ein dafur benotigtes Nutzerprofil bilden.Nun wird angenommen, dass signifikante Abweichungen von diesem Profil einen Angriff signalisieren. DerAusgabewert gibt an, wie stark die Abweichung vom Normalverhalten ist, also mit welcher wahrscheinlichein Angriff erkannt wird. Abhangig davon konnen verschiedene abgestimmte Reaktionen und Benachrich-tigungen erfolgen.

Die Anomalieerkennungssysteme konnen in programmierte und in selbstlernende Systeme unterteilt wer-den. Im ersten Fall werden die als normal angesehenen Parameter fest definiert. Der Nachteil ist, dass dasSystem bei sichanderndem Nutzerverhalten und sichandernden Parametern keine sinnvolle Erkennungmehr liefern kann.Selbstlernende Systeme versuchen dynamisch, meistuber ein Zeitfenster, das Benutzerverhalten statistischzu erfassen. Um diese Systeme zu starten mussen sie am Anfang erst mit Referenzdaten angelernt werden.Bei lernenden Systemen haben die Referenzdaten einen entscheidenden Einfluss auf die Qualitat der Erken-nung.

17


DatenanalyseBei der statistischen Analyse wird zuerst versucht das normale Verhalten der Benutzer durch verschiedeneParameter zu erfassen. Dazu werden die Parameter am aktuellen System analysiert und es wird versuchtNormalwerte und Varianz zu bestimmen. Es ist in manchen IDS auch moglich das Verhalten durch bedingteWahrscheinlichkeiten zu erfassen, unter Zuhilfenahme von zustandsabhangigen Parametern. Typische Para-meter sind CPU- und Netzwerkauslastung, Zugriffe auf Ressourcen, Login Versuche, Nutzungsfrequenzen,etc... .Ein einfaches System der statistischen Analyse ist es, darausSchwellenwerte(engl. threshold) zu bildenund diese in das IDS zu speisen. Das aktuelle Verhalten eines Benutzers wird nun in den gleichen Metrikenerfasst.Uberschreitet ein Parameter nun einen Schwellenwert, wird das als Intrusion angesehen und die C-Box ubernimmt die weiteren Schritte.Man kann noch ein Schritt weiter gehen: Oft ist es namlich aufschlussreich, in welcher Reihenfolge be-stimmte Aktionen ausgefuhrt werden. Deshalb wird versucht vorherzusagen, welche Reihenfolge von Be-fehlen normal ist; Abweichungen von der erwarteten Sequenz werden signalisiert. Wenke Lee stellte einenSatz von geeigneten informationstehoretischen Maßen [LX00] vor, mit denen Audit Daten auf Anomalienhin analysiert werden konnen. Dazu werden die Daten mit bestimmten Funktionen charakterisiert und dieDaten entsprechend strukturiert, so eine moglichst prazise Aussage moglich ist.

Definition 1 (Entropie). Fur Daten X, bei denen jedes Element x∈CX ist, ist CX die Klasse der Daten undP(x) die Wahrscheinlichkeit von x in X und es gelte

H(X) = ∑x∈CX

P(X)log1

P(x)

Die Entropie bezeichnet den Informationsgehalt. Man kann es sich so vorstellen, je mehr Bits benotigt wer-den, um eine Nachricht zu kodieren, desto großer ist der Informationsgehalt und desto großer entsprechenddie Entropie. In der Anomalieerkennung wird die Entropie verwendet, um die Regularitat der Daten zumessen. Alle Daten und Kommandos, die im Normalbetrieb vorkommen, werden als Basis fur die spatereBerechnung definiert. Fur den regularen Betrieb sollten dann immer nur kleine Entropien errechnet werden,fur ein abweichendes, abnormales Verhalten dagegen eine große Entropie.

Entsprechend kann man dann auch die relative Entropie definieren als:

Definition 2 (relative Entropie).

relEntropie(p|q) = ∑x∈CX

p(x)logp(x)q(x)

Das ist nun der Abstand zwischen zwei Wahrscheinlichkeitsverteilungen p(x) und q(x), die beide ElementCX sind. Fur IDS wird nun ein Trainingsdatensatz genommen und mit Hilfe der relativen Entropie mit denaktuellen Daten im System verglichen. Je kleiner diese Entropie, destoahnlicher und regularer sind die Da-ten. Ein solcher Trainigsdatensatz kann aus einem laufenden System genommen werden oder konstruiertsein. Ist er konstruiert, muss man wachsam sein, dass nicht bereits das normale Benutzerverhalten Abwei-chungen von den konstruierten Daten aufweist.

18


Definiert man nun die relative konditionale Entropie als

Definition 3 (relative konditionale Entropie).

relKondEntropie(p|q) = ∑x,y∈CX ,∈CY

p(x|y)logp(x|y)q(x|y)

erhalt man die obige Formel fur Sequenzen fur Ereignisse.p(x|y) gibt die Wahrscheinlichkeitsverteilung in Abhangigkeit eines vorigen Ereignisses y an. Damit werdenalso in einem IDS Sequenzen von Ereignissen analysiert.

Definition Informationgewinn (Information Gain) von Attribut A auf Datensatz X ist

Definition 4 (Informationsgewinn).

Gain(X,A) = H(X)− ∑v∈Values(A)

|Xv||X|

H(X)

Values(A) gibt alle moglichen Werte von A an.Xv ist eine Teilmenge von X, in der A den Wert x hat. Mitdiesem Maß kann nun auf der Datenmenge bestimmt werden, wie hoch der Informationsgewinn bei einerbestimmten Aufspaltung der Datenmenge ist. Je hoher GAIN fur diese Aufspaltung, desto scharfer konnendie Daten charakterisiert werden.

Zusammenfassung: Vorgehen bei der Datenanalyse fur die Anomalieerkennung

Zuerst muss ein sauberer Trainingsdatensatz zusammengestellt werden. Dieser soll das Verhalten der Benut-zer moglichst gut widerspiegeln. Dieser Trainigsdatensatz muss aber ohne Angriffe vorliegen (sonst wurdedas System diese Angriffe als Normalzustand ansehen).Danach wird nun der Informationsgewinn fur bestimmte Partitionierungen maximiert. Auf dieser gefunde-nen Partitionierung wird nun weitergearbeitet. Konnen nur geringe Informationsgewinne gefunden werden,ist auch die Erkennungsrate des IDS unbefriedigend.Jetzt konnen z.B. mit der relativen konditionalen Entropie Abweichungen der laufenden Daten festgestelltwerden. Das Ziel ist das System so einzustellen, dass moglichst viele echte Angriffe zu einem Alarm fuhren,es aber wenige Fehlalarme gibt.

Bewertung der Anomalieerkennung

Die Anomalieerkennung ist auch heute noch ein Thema aktueller Forschung und vieler Publikationen. DieseSysteme bieten einige Vorteile:

• Automatische Erkennung auch von unbekannten Angriffen.

• Ein perfekt an die Parameter eines Zielsystems angepasstes IDS kann so theoretisch Angriffe erken-nen, die nicht durch Signaturanalyse erkannt werden.

19


• Dynamische Anpassung an sichandernde Konfiguration des zu schutzenden Systems.

Es gibt leider noch eine Reihe von Nachteilen, die die praktische Nutzung der reinen Anomalieerkennungbisher verwehrt haben.

• Die hohe Rate von Fehlalarmen fuhrt in der Praxis dazu, dass die wirklich stattfindenden Angriffein der Menge der Fehlalarmeubersehen werden. Es gibt Angriffe, die das ausnutzen, indem vieleFehlalarme provoziert werden.

• Das Ergebnis ist oft nur ’ungewohnliches Verhalten beobachtet’, die Analyse muss dann wieder ganzder Administrator leisten. Eine automatische Reaktion ist somit ausgeschlossen.

• Viele Attacken werden nicht erkannt, weil keine passende Metrik spezielle Angriffe registriert.

• Die selbst lernenden Systeme konnen durch einen Angreifer so trainiert werden, dass der eigentlicheAngriff unerkannt bleibt.

• Die Referenzdaten mussen ohne jegliche Intrusion sein; dies kann aber nur durch aufwandige Analy-sen sichergestellt werden.

• Die Wahl der Schwellenwerte ist sehr schwierig und nicht deterministisch bestimmbar.

• Solche Systeme registrieren langsame Attacken, die unter dem Schwellenwert bleiben, nicht, obwohldie Schadwirkung betrachtlich sein kann.

• Computer und Netzwerkeandern sich in der Regel sprunghaft (neue Hardware, viele neue Benut-zer,...) unduberlagern durch die Menge der Fehlalarme wichtige Alarme im IDS.

Reine Anomalieerkennung gibt es in der Praxis bisher nicht. Diese Techniken werden hauptsachlich inhybriden Systemen als Erganzung zur Signaturanalyse verwandt.

3.3.1.4 Spezifikationsbasierte Intrusion Detection

Spezifikationsbasierte Intrusion Detection ist der jungste Ansatz der Intrusion Detection, erstmals eingefuhrtdurch Ko 1996 [KFL96]. Das Revolutionare daran ist, genau zu spezifizieren, was einer Software erlaubtist. Jedes feststellbare nicht spezifizierte Verhalten wird als Intrusion gewertet. Dieser Ansatz istahnlich derAnomalieerkennung, verlasst sich aber nicht auf schwer nachvollziehbare mathematischen Regeln, sondernauf handische Spezifikationen des Programms.Fur diesen Ansatz werden meist einfache, zum Teil kontextfreie Grammatiken verwendet, welche die ge-nauen Rechte festlegen. Es werden vor allem die Schnittstellen zwischen Programm und Betriebsystem undzwischen Programm und Rechteuber andere Programme spezifiziert.

20


BewertungDie spezifikationsbasierte ID liefert experimentell sehr gute Ergebnisse; keine Fehlalarme bei guter Erken-nungsrate. Dennoch gibt es auch hier positive und negative Aspekte zu beleuchten.

Vorteile der spezifikationsbasierten Intrusion Detection:

• Die Regeln sind verstandlich und nachvollziehbar. Bei einer Intrusion ist ganz genau feststellbar, wassie versuchte und nicht durfte. Die C-Box kann dementsprechend automatisch reagieren.

• Die Regeln sind vor Ort anpassbar.

• Verschiedenen Programmen konnen unterschiedliche Profile zugeteilt werden.

• Kein Wissenuber Angreifer oder Angriff ist notig fur die Erkennung.

• Es sind auch Fehler der Software auffangbar.

Nachteile bei dieser Methode:

• Fur alle Programme im System sollten Spezifikationen existieren. Programme ohne Spezifikation sindsonst ein Angriffspunkt.

• Es ist ein großer Aufwand eine Software so zu spezifizieren, dass sie ohne Alarm in diesem Systemfunktioniert.

• Die Granularitat, nur die offenen Schnittstellen zu spezifizieren, reicht nicht aus. Es kann zum Beispielwunschenswert sein den Zugriff auf bestimmte Teile einer Datei zu erlauben, auf andere Teile aber zuverwehren.

3.3.1.5 Der Anfang der Intrusion Detection

Ein erstes Pioniersystem wurde durch Anderson vorgestellt [And80]. Dieses System konnte bereits AuditDaten automatisch analysieren und war ein erstes Signaturanalyse System fur Mainframes. Anderson gabmit dieser Publikation den Anstoß zur Entwicklung automatischer Intrusion Detection Systeme.Bereits 1972 hatte Anderson [And80] angefangen fur militarische Computersysteme Tools zu schaffen, mitdenen große Mengen an Audit Daten auf Intrusionsuberpruft werden konnten. Auch in kommerziell genutz-ten Computernetzwerken wurden die Angriffe haufiger und rege Forschungsaktivitat setzte ein, um diese zuerkennen und zu vereiteln.

Intrusion Detection Systeme (kurz IDS) wurden in den 80er Jahren auch fur kommerziell betriebene Re-chenzentren ein Thema. In den USA wurden damals Blue Boxes verkauft, Gerate, mit denen kostenloseAnrufe getatigt werden konnten, indem bestimmte von der Telefongesellschaft intern genutzen Signale er-zeugt wurden. Diese Angriffe wurden damals manuell muhsam aus logfiles rekonstruiert, jedoch mit gerin-gen Erfolgen, da die Datenmengen einfach zu groß waren. AT&T setzte damals eines der ersten IntrusionDetection Systeme ein, um diese Manipulationen zu erkennen und eine Strafverfolgung zu ermoglichen.

21


Eine weitere Arbeit auf diesem Gebiet war IDES von Denning und Neumann [DN85]. Fur das IDES Systemwird angenommen, dass es ein normales Verhalten der Benutzer gibt: Angriffe und Manipulationen am Sy-stem weichen dagegen von dem Standard Verhalten ab und sind deshalb verdachtig. Dieses System werteteAudit Daten des Systems aus und erstellte fur jeden Benutzer ein Profiluber die letzten 50 Tage. Es wurdenAudit uber CPU Last, Loginversuche pro Stunde oder auch ausgefuhrte Befehle je Session ausgewertet.

Diese ersten Systeme haben alle nachfolgenden IDS entscheidend gepragt, nun sollen aber die Losungen furAd hoc Netzwerke vorgestellt werden.

3.3.2 Diskussion der Ansatze und ihrer Verwendbarkeit f ur Ad hoc Netzwerke

Es wurden bis jetzt IDS Systeme fur drahtgebundene Netzwerke vorgestellt. Diese haben sich in der Praxisbewahrt und sind inzwischen unverzichtbarer Bestandteil fur den Schutz von Computer Netzwerken gewor-den. Konnen diese bestehenden Systeme, entsprechend modifiziert, ein gleiches Maß an Sicherheit auch furAd hoc Netzwerke etablieren?

Viele Ansatze der ID sind bisher zentral organisiert; dies ermoglichte eine leichtere Administration und redu-zierte die Angriffsmoglichkeiten auf das IDS selbst. Ad hoc Netzwerke gehen dagegen von einer sehr dyna-mischen Struktur mit standig wechselnden Teilnehmern aus. Zuerst ware ein Teilnehmer auszuwahlen, des-sen Hardware ein solches zentrales System beherbergen sollte. Dieser Teilnehmer musste vertrauenswurdigsein, sein System musste von allen Punkten im Netz erreicht werden konnen und das System selbst mussteZugriff auf die Kommunikation zwischen allen Knoten haben.

• Das erste Problem ist schon, in einem Netzwerk den erforderlichen, absolutvertrauenswurdigenTeilnehmer zu finden. In Ad hoc Netzen sind per se beim Eintritt eines Teilnehmers keine Informa-tionenuber diesen verfugbar. Vertrauen muss in irgendeiner Form erst aufgebaut werden - unmoglicheine Wahl zu treffen in der initialen Phase, wenn ein Ad hoc Netz sich erstmals bildet.

• Das nachste Problem ware die Kommunikation des zentralen IDS mit den Teilnehmern. Durch dieHop zu Hop Kommunikation eines Ad hoc Netzes wurden alle Datenuber die umliegenden Knotendes IDS geleitet. Diese waren also stark beansprucht und, abgesehen von dem hohen Energieverbrauchan diesen Knoten, wurden die Nachbarn alleine schon wegen der geringen zur Verfugung stehendenBandbreite einenBottelneck in der Kommunikation darstellen.

• Schließlich musste das IDS auch noch alle verfugbaren Daten im Netz analysieren konnen. Es ist da-von auszugehen, dass sich immer ein Teil der Kommunikation außerhalb der Empfangsreichweite deszentralen IDS zutragt. Bei einer solchen zentralen Losung mussten vieleDatenstromeuber das IDSumgeleitetwerden. Das ware bei der typischen Kommunikationshardware eines Ad hoc Netzwerkesnicht realisierbar.

22


• Wenn es ein solches zentrales IDS gabe, musste immer noch dasNachfolgeproblemgelost werden:Was ist zu tun, wenn der Teilnehmer, der das IDS betrieben hat, das Netz verlasst oder zeitweise vonden anderen Knoten nicht erreicht werden kann? Dann musste ein IDS an anderer Stelle gestartetwerden, moglichst mit dem Wissen von den bisher gesammelten Daten.

3.4 Intrusion Detection im mobilen Ad hoc Netzwerk

3.4.1 Die besonderen Probleme der traditionellen IDS mit Ad hoc Netzwerken

Zu den Problemen der typischen zentralen IDS Systemen kommen noch spezifische Sicherheitsproblemeeines Ad hoc Netzes.

• Die Kommunikation erfolgtuber einoffentliches Medium, die Luft. Jeder in Empfangsreichweitekann die Radiowellen belauschen und erhalt somit Zugriff auf die Kommunikation. Ein boswilligerKnoten konnte sogar Daten in den Verkehr einschleusen und fremde Daten falschen.

• Das Kommunikationsmedium, die Luft als Radiowellentrager, muss mit allen Teilnehmern geteiltwerden. Die verfugbare Bandbreite ist begrenzt und zudem sind dieUbertragungenstoranfallig ge-genuber anderen Teilnehmern undaußeren Einflussen.

• Bei den traditionellen ID Systemen fallen große Datenmengen an, die eine hohe Rechenleistungbenotigen, um diese zu analysieren. Bei Ad hoc Netzwerken sind typischerweise dieRessourcenbegrenzt. Die meisten Gerate werden mit Batterien oder Akkumulatoren als Energiequelle betriebenund mussen sparsam mit Rechen- und Festplattenressourcen umgehen.

• Die meisten bestehenden IDS verlassen sich in letzter Instanz auf das Urteil eines gelernten Admini-strators, der die Entscheidunguber Reaktion und Schwere eines Angriffs fallt. In Ad hoc Netzwerkenmuss vonungelernten Endnutzernausgegangen werden, denen das Verstandnis von Netzinterna undSicherheitsmechanismen fehlt. Deshalb konnen diese nur schwer ein Urteiluber eventuelle Angriffefallen.

• Ad hoc Netzwerke brauchen, um zu funktionieren, die Kooperation moglichst aller Teilnehmer. Spe-ziell der Aufbau der Routen im Netz sowie das Weiterleiten von Paketen liegen in der Pflicht jedeseinzelnen Knoten. Diese Knoten konnten aber versuchen die eigenen Ressourcen zu schonen, indemnur im eigenen Nutzen kommuniziert wird. Fremde Pakete wurden dann nicht weitergeleitet und einsolcher Knoten wurde dann auch am Aufbau von Routen nicht teilnehmen. Ein solches Verhaltennennen wirEgosimus.

23


Anforderungen an ein IDS in einem dynamischen Ad hoc Netzwerk:

1. Ein IDS muss nicht nur boswillige Knotenerkennen, sondern auch zur Kooperation im Netzwerkmotivieren.

2. Das IDS mussdezentralausgelegt sein. Es darf nicht mehr von einem Punkt im Netzwerk ausgegan-gen werden, durch den alle Datenstrome serialisiert durchgereicht werden.

3. Das IDS muss davon ausgehen, dass in der Startphasekeine initiale Vertrauensbeziehungenzwi-schen den Teilnehmern vorhanden sind. Die Teilnehmer kennen sich typischerweise gegenseitig nicht.

4. Das System muss die vorhandenenRessourcen sparsam nutzen. Insbesondere Energiespeicher, Re-chenkapazitat, Speicherplatz und Kommunikation sollen moglichst fur den Endanwender reserviertbleiben.

5. Es werden standig neue Angriffsmethoden entwickelt, deshalb ist es wichtig, dass das System er-weiterbar ist, um auf neue Bedrohungen reagieren zu konnen.

Diese neuen Anforderungen, die durch die Ad hoc Netzwerke entstanden sind, haben ein neues Teilgebietin der Sicherheitsforschung geschaffen: Die Intrusion Detection in mobilen Netzen.

3.4.2 Aktuelle Forschung zur Intrusion Detection in mobilen Ad hoc Netzwerken

In diesem Kapitel werden verschiedene Verfahren der aktuellen Forschung zur Erkennung von boswilligenund nicht kooperativen Knoten vorgestellt. Es ist erkennbar, wie aktuell dieses Thema ist, wenn man sieht,dass die meisten Arbeiten zu Intrusion Detection im Mobilen Ad hoc Netzwerken erst in den letzten dreiJahren entstanden sind.Die Ansatze haben teilweise verschiedene Ziele: Wahrend mit Watchdog und Pathrater ein reiner Erken-nungsansatz verfolgt wird, ist das Gegenstuck Nuglets, das die Knoten durch eine kunstliche ’Wahrung’ zurKooperation motiviert. Bei dem Erkennungsansatz gibt es fast nur Misuse Detection Systems; im vorletztenKapitel wird der anderen Ansatz der Anomalieerkennungssystem von Wenke Lee vorgestellt.

3.4.2.1 Watchdog und Pathrater

Das DSR Protokoll mit seinen Verwundbarkeiten stimulierte Sergio Marti zu seiner Arbeituber Watchdogund Pathrater [MGB00]. Die Watchdog Komponente basiert auf dem Promiscuous Mode. In diesem werdenalle Pakete verarbeitet, die empfangen werden konnen, im Gegensatz zu Unicast Verbindungen, bei denennur Pakete aktiv verarbeitet werden, die an diesen Empfanger adressiert sind. Der Watchdog soll prufen,ob der nachste Knoten auf dem Pfad das Paket auch wirklich weiterleitet und ob dieser die Daten im Paketmanipuliert.Der Knoten hat dazu eine Liste von allen Paketen, die er an einen anderen Knoten sendet. Der andere Kno-ten soll dieses Paket dann weiterleiten, wenn das Paket sein Ziel noch nicht erreicht hat. Der Watchdoguberpruft, ob er horen kann, dass der andere Knoten das Paket unverandert weiterschickt. Stellt der Wat-chdog eineAnderung am Paket fest oder empfangt der Watchdog nicht, wie das Paket weitergeleitet wird,

24


dann wurde hier ein boswilliger Knoten erkannt. Der Watchdog wartet nur eine bestimmte Zeit, bis er dasPaket als durch seinen Nachbarn zerstort ansieht.Jetzt wird eine Nachrichtuber den boswilligen Knoten an die Quelle das Paketes geschickt. Der Path Raterbezieht aber auch das Wissenuber Knoten, die ihre Forwarding Funktion nicht erfullen, in seine Routenfin-dung mit ein. Der Path Rater meidet in Zukunft Routen, dieuber einen boswilligen Knoten verlaufen.

AQuelle B Ziel

Sen

dere

ichw

eite

von

B

Sen

dere

ichw

eite

von

B

Paketweiterleiten

Watchdog

Abbildung 3.3: Watchdog mit Overhearing einer Nachricht

Abbildung 3.3 zeigt das Overhearing der Nachricht im Promiscuous Mode durch den Knoten A. A hat alsoein Paket an B geschickt, welches B an das Ziel weiterleiten sollte. Entsprechend hat A dieses Paket in seineTabelle aufgenommen und wartet darauf, dass es von B das Forwarding des Paketes empfangt.Wenn B das Paket weiterleitet, empfangt A auch dieses Paket und entfernt es aus seiner Tabelle. VerandertB dagegen das Paket und A empfangt es oder A empfangt gar nichts, dann wird das als boswillige Handlungangesehen.

Der Watchdog und Pathrater Ansatz kann einfaches Fehlverhalten im Netzwerk zuverlassig erkennen. DurchSimulation wurde gezeigt, dass mit diesem Protokoll deutlich mehr Pakete ihr Ziel erreichen als ohne dasProtokoll. Es wurden 50 Knoten simuliert, von denen 40% boswillig waren. Ohne das Protokoll erreichten64% der Pakete ihr Ziel, mit Protokoll 85%.Der verwendete Promiscuous Mode hat, wie in Kapitel 6.3.1.1 beschrieben, eine Reihe von Problemen,die das Protokoll aushebeln konnen. Außerdem kann diese Protokoll nichts gegen egoistisches Verhaltenbewirken. Ein Knoten, der um Ressourcen zu schonen, fremde Pakete verwirft und nur in eigenem Interessekommuniziert, wird auch noch belohnt. Zukunftig meidet der Pathrater diesen Knoten fur neue Routen.Daruber hinaus darf der egoistische Knoten aber trotzdem noch kommunizieren!

3.4.2.2 Nodes Bearing Grudges - Das CONFIDANT Protokoll

Eine grundlegende Argumentationuber die Auswirkungen von Egoismus auf Ad hoc Netzwerken wurdevon Sonja Buchegger in ihrer Arbeit Nodes Bearing Grudges [BB01] gefuhrt. Sie leitet aus der Biologie

25


die Motivation zur Bestrafung boswilliger, bzw. egoistischer Knoten her. Ohne Gegenmaßnahmen, argu-mentiert sie, werden egoistische Knotenuberhand nehmen und dadurch die korrekte Funktionsfahigkeit desNetzwerkes unterminieren.Um dem entgegen zu steuern skizziert sie das Grudger Protokoll. In diesem kontrollieren sich die Kno-ten gegenseitig in ihrer Nachbarschaft durch Overhearing der Nachrichten. Sie glaubt dadurchAnderungenund das Nicht-Weiterleiten von Paketen erkennen zu konnen. Die Knoten kommunizieren ihre Beobach-tungen untereinander und intern mit Alarm Nachrichten. Eine Alarm Nachricht warnt vor einem erkanntenbosartigen Knoten und wird an alle Knoten in der Freundesliste geschickt. Diese Liste umfasst alle Knoten,denen dieser Knoten traut.

Reputation System

(Alarm- undEreignisanalyse)

Trust Manager

(Alarm Tabelle)

Path Manager

(Pfade anpassen)

Monitor

Ereignis

Toleranz überschritten

Toleranzbereich

Alarm

Nachricht

überwachen

Abbildung 3.4: Trust Architektur des Grudger Protokolls

Ihr System besteht aus den folgenden Komponenten:

• Monitor erfasst Pakete der Nachbarn im Promiscuous Mode und versucht potentiell bosartiges Ver-halten zu erkennen. Der Monitor erzeugt dann ein Ereignis fur das Reputation System.

26


• Reputation Systemordnet den Knoten einzelnen Ratings zu. Diese werden aus eigener Beobach-tung (hohes Gewicht) und von fremden Alarm Nachrichten (nach Vertrauenswurdigkeit der Quellegewichtet; immer geringer als eigene Beobachtung) erzeugt. Wenn die Schwelle der zu tolerierendenErkennungen eines Angriffsuberschritten ist, wird der Path Manager benachrichtigt.

• Trust Manager fasst die Alarm Nachrichten zu einer Bewertung zusammen. Der Trust Managernimmt auch von anderen Knoten empfangene Ratings in die Bewertung auf. Er sendet Alarm Nach-richten zu allen Knoten aus seiner Freundesliste.

• Path Manager soll entsprechend der Ratings Pfade mit boswilligen Knoten vermeiden und seiner-seits keinen Datenverkehr boswilliger Knoten weiterleiten. Die Quelle von Paketen, dieuber einenboswilligen Knoten gehen, werden durch eine Alarm Nachricht informiert; ist diese Quelle der boswilligeKnoten, wird das Paket verworfen.

Die Einteilung des Systems von Buchegger war richtungsweisend durch die Aufteilung in die verschiedenenModule. Der Ansatz boswillige Knoten zu bestrafen, indem ihre Pakete verworfen werden, ist eine effektiveMotivation zur Kooperation. Allerdings ist das System nicht praktisch implementiert und lasst deshalb vielezentrale Problemstellungen unbeantwortet.Das konkrete Rating der Knoten wird nicht spezifiziert. Es werden keine Mechanismen angedacht, wiedas IDS seinerseits sicher gegen Angreifer gemacht werden kann. Sie verlasst sich zur Erkennung vonBoswilligkeit einzig auf den Promiscuous Mode, der, wie in [MGB00] gesehen, viele Probleme mit sichbringt und keine sichere Erkennung gewahrleisten kann. Das Aufstellen der Freundesliste geschieht willkurlichund ist weder auf Sicherheit noch auf Performance abgestimmt.Zusammenfassend bleibt festzustellen, dass Buchegger’s System interessant ist, aber auch, dass nicht ge-zeigt wurde, dass das System auf diese Weise funktioniert. Bisher ist sie die Simulationsergebnisse undauch Beweise grundlegender Algorithmen schuldig geblieben.

3.4.2.3 CORE

CORE ist ein Akronym fur ’Collaborative Reputation Mechanism’. Dies kann ins Deutscheubersetzt inetwa als ”Gemeinschaftlicher Bewertungsmechanismus” wiedergegeben werden. Michardi und Molva ha-ben in [MM01] diesen Ansatz umrissen. Bei diesem bewerten sich die Knoten im Netzwerk gegenseitigund tauschen diese Bewertungen aus. Werden Knoten schlecht bewertet, werden diese bestraft; Knoten, diekooperieren, werden durch eine gute Bewertung belohnt. Durch Bestrafung soll Kooperation der Knotenerzwungen werden.

Michardi stellte ein allgemeines System auf, bei dem mit dem Promiscuous Mode die Ausfuhrung einerbestimmten Funktion von demuberwachten Knoten kontrolliert wird. Wird dieuberwachte Funktion andersals erwartet ausgefuhrt oder gar nicht ausgefuhrt, wird die Bewertung deutlich verschlechtert. Eine solcheFunktion stellt beispielsweise das Weiterleiten eines Paketes oder die Teilnahme am Routingprotokoll dar.Der Funktionswert ist dann die resultierende Bewertung fur das beobachtete Verhalten.

27


Ein Knoten hat drei Rollen im System:

• Requestor ist ein Knoten, der eine bestimmte Funktion durch denProvider ausfuhren lassen will.Er schickt dazu die Anfrage an denProvider, der die entsprechende Funktion dann ausfuhrt. FuhrtderProviderdie Funktion nicht korrekt aus, erkennt derRequestordas und bewertet dieses Verhaltennegativ.

• Provider bietet seine Dienste dem Requestor an und fuhrt die angeforderte Funktion aus. Ein korrektfunktionierender Knoten muss die angeforderte Funktion ausfuhren.

• Peer validation, auchubersetzbar als ”Partnerbewertung”,uberpruft negative Nachrichtenuber einenKnoten auf Plausibilitat.

Wird in diesem System ein Fehlverhalten von einem Knoten M erkannt, wird eineexplicit DoSNachrichtgesendet, die besagt, dass dieser Knoten zukunftige Anfragen von M nicht mehr ausfuhren wird. Die Knotenim Umkreisuberprufen ihre Bewertungen von M; wenn diese nun aber positiv sind, wird dieexplicit DoSverweigert und dafur bekommt der Absender derexplicit DoSeine schlechtere Bewertung.

Bewertungsfunktion

Die Bewertungsfunktion aggregiert die Teilbewertungensubjektives Ansehenund mittelbares Ansehenzueiner Bewertung von einem Knoten.

Subjektives Ansehen (subjective reputation)

Das subjektive Ansehen wird durch direkte Beobachtungen des Knotens gewonnen und geht in die lokaleBewertung ein.

Definition 5 (subjektives Ansehen).

rtsi(sj | f ) = ∑ρ(t, tk) ·σk

rtsi(sj | f ) bezeichnet das subjektive Ansehen eines Knotensi zur Zeit t von einem Knotenj. Es wird die

zeitabhangige Funktionρ(t, tk) verwendet, um den vergangenen Ereignissen eine hohere Relevanz zu gebenals das Ereignis, welches gerade erst stattgefunden hat. Diek-te Bewertung wird durchσk ausgedruckt; esgilt σk ∈ [−1,1]. Ein σk > 0 steht fur eine positive Beobachtung, ein negativer Wert entsprechend fur einenegative. Ein Knoten bewertet mit dieser Funktion nur Nachbarn in unmittelbarer Umgebung.

28


Mittelbares Ansehen (indirect reputation)

Mittelbares Ansehenir tsi(sj | f ) wird von anderen Knoten erhalten; entweder direkt oder durch Beobachtung

eines Verhaltens und Ruckschluss auf die beteiligten Knoten. Es werden mit diesem Mechanismus nurpositive Bewertungen verteilt, um diese Angriffsmoglichkeit zu minimieren.In der Publikation wird eine spezielle Bestatigungsnachricht (Acknowledgement - ACK), die den benutzenPfad enthalt und nach dem Ausfuhren der Funktion f an denRequestorzuruckgeschickt wird, verwendet.Diese ACK Nachricht enthalt eine Bewertung von allen Knoten, die zur korrekten Ausfuhrung der Funktionkooperiert haben.

Aggregation

Mehrere Funktionswerte werden nun zu einem Wert aggregiert.

rtsi(sj) = ∑

k

wk · {rtsi(sj | fk)+ ir t

si(sj | fk)}

Mit wk wird die Gewichtung der einzelnen Funktion bezeichnet,fk sind die Funktionen. Somit stehtrtsi(sj)

fur die Bewertung eines Knotensj, die ein Knoteni besitzt.

Bewertung

CORE bietet ein interessantes System, das bereits bestehende Verfahren wie Watchdog und Pathrater ineinemubergeordneten Rahmenwerk kombiniert. Es ist außerdem eines der wenigen Systeme, die sich derKommunikation zwischen den verteilten IDS naher annehmen und diese genauer spezifizieren.Spater in dieser Arbeit wird gezeigt werden, dass nur wenige Knoten das Wissen von einem boswilligenKnoten haben. Damit wird aber eineexplicit DoSNachricht von den meisten Knoten als boswillig erkanntund der Absender abgewertet. In einem normalen Szenario kann es also leicht vorkommen, dass warnendeKnoten bestraft werden, wahrend der boswillige Knoten ungeschoren davonkommt, besonders wenn es derboswillige Knoten nur auf ein bestimmtes Opfer abgesehen hat. Eine weiteres praktisches Problem ist dieBeschrankung vonσk auf [−1,1]; damit mussen die positiven Bewertungen sehr klein werden, um negativenBewertungen eine starkere Gewichtung zu verleihen.Michiardi hat bisher auch noch keine Simulationsergebnisse veroffentlicht. Man muss davon ausgehen,dass es auch schwierig ist die Balance zwischen dem Verbreiten vonexplicit DoSund der Tolerierung vonboswilligen Knoten zu finden, so dass viele boswillige Knoten, ohne ungewollte Nebenwirkung, erkanntwerden. Lange Simulationszeiten helfen da sicherlich weiter, schließen aber so manches Einsatzszenarioaus.

3.4.2.4 Intrusion Detection Techniques for Mobile Wireless Networks

Wenke Lee und Zhang verfolgen mit [ZLH02] eine andere Strategie der Intrusion Detection, indem sie ihrbestehendes Anomalieerkennungssystem auf Ad hoc Netzwerke anwendet. In ihrer Arbeit stellte sie eine

29


auch allgemein verwendbare Architektur eines Intrusion Detection Systems auf, welches hier nun zuerstvorgestellt wird.

1. Lokale Datensammlungkann Aktivitaten des Nutzers im System sowie Kommunikation erfassen.Es kann theoretisch auch samtliche Kommunikation anderer Knoten mit einbeziehen.

2. Lokale Erkennung nutzt die Daten derlokalen Datensammlungzur Anomalieerkennung. Wenn mitgroßer Sicherheit eine bosartige Anomalie erkannt worden ist, erfolgt die Reaktion. Ansonsten kanndieglobale Erkennunggenutzt werden.

3. Globale Erkennung nutzt auch die Erkenntnisse anderer Knoten fur die Bewertung eines potentiellbosartigen Knotens.

4. Lokale Reaktion ware es zum Beispiel den Benutzer zu informieren.

5. Globale Reaktionkonnte so aussehen, dass der boswillige Knoten aus dem Netzwerk ausgeschlossenwird. Lee schlagt dazu vor, an alle Knoten, bis auf M, neue Schlussel auszuteilen und damit M von derKommunikation auszuschließen. Außerdem sollen sich die Teilnehmer bei dem Wiederaufbau durchBlickkontakt authentisieren.

IDS Agent

lokaleReaktion

globaleReaktion

lokaleErkennung

globaleErkennung

lokale Daten-sammlung

sichereKommuni-

kation

benachbarter IDSAgent

SystemaufrufeKommunikation

Audit.....

Abbildung 3.5: Komponenten eines IDS nach Wenke Lee

30


Die globale Erkennungtauscht Einschatzungen aus, wie sicher andere Knoten sind, dass ein Knoten Mbosartig ist. Eine solche Nachricht sieht so aus:Mit p% Zuversicht zieht A mit seinen lokalen Daten die Schlussfolgerung, dass M bosartig ist.Mit p% Zuversicht zieht A mit seinen lokalen Daten und den Beobachtungen seiner Nachbarn B,C,D dieSchlussfolgerung, dass M bosartig ist.Wenn die Mehrzahl der eingehenden Nachrichtenuber M aussagen, dass M bosartig ist, dann wird M neubewertet. Die Erkenntnisse durch die eingegangenen Nachrichten werden nun gewichtet nach der Vertrau-enswurdigkeit des Knotens, der diese Beobachtung kommuniziert, zusammen rechnet und damit die neueBewertung des Knoten M erzeugt.

Anomalieerkennung nach Wenke Lee

Mit der Veroffentlichung ”Information Theoretic Measures for Anomaly Detection” [LX00] stellte WenkeLee die Grundlagen eines Anomalieerkennungssystems vor. Als Motivation fur diese Arbeit beruft sie sichauf eine Untersuchungen der DARPA, dass 70% der simulierten Angriffe auf ein Netzwerk mit traditionellenMisuse Detection Systemen unentdeckt geblieben sind. Ihr Argument ist, mit Hilfe der Anomalieerkennungauch unbekannte und neuartige Angriffe erkennen zu konnen.In einem weiteren Schrittubertragt sie ihre Erkenntnisse auf Ad hoc Netzwerke. Als Audit Daten nutzt siezwei lokale Informationsquellen.

1. Routing Informationen wie Source Routen, Route Cache Eintrage und Verkehrsstatistiken.

2. GPS, um die eigene Position zu erhalten und dann mit der Routinginformation auf die Position undGeschwindigkeit benachbarter Knoten zu schließen.In ihrer Implementierung berechnet sie die eigene Geschwindigkeit und die Position mit GPS. DieRoutingAnderungen misst sie mit derAnderungsrate der Routen, derAnderungen der Langen derRouten und des Prozentsatzes der neu hinzugefugten Routen.

Diese Daten dienen also als Basis um die Funktionen der Informationstheorie 3.3.1.2 zu nutzen und umAussagenuber das System zu machen. Fur die Anomalieerkennung werden nun die Daten in mehreren Pha-sen ausgewertet:

1. Partitionierung der Daten so, dass die Daten eine moglichst kleinekonditionale Entropiehaben.Der Informationsgewinn ist nicht a priori bestimmbar, sondern wird in mehreren Durchlaufen mitTrainingsdaten bestimmt. Es werden Partitionierungen gewahlt, bei denen der Informationsgewinnoberhalb eines festgelegten Schwellenwertes liegt.Fur Ad hoc Netzwerke wurden verschiedene normale Situationen durchgespielt. Fur jede Situationwurden dann alle Daten der einzelnen Knoten in ein gemeinsamen Datensatz zusammengefuhrt.

2. Transformation der Daten, um die erkannten Partitionen mit hohem Informationsgewinn zu er-schließen.

31


Es wurde ein Tool namens RIPPER eingesetzt, um Regeln mit den Erkenntnissen aus Schritt 1.) zugenerieren. Ein anderes Tool hieß SVM Light und konnte die Daten mehrdimensional mit den Funk-tionen auswerten.

3. Funktionen auf Trainingsdaten anwenden, um Schwellenwerte fur eine Erkennung eines abnorma-len Verhaltens festzulegen.

4. Funktionen auf Testdaten anwenden, um die Qualitat der Erkennung festzustellen und gegebenen-falls mit anderen Trainingsdaten zu arbeiten. Lee benutzte dazu unter anderem das Tool RIPPER, uminformationstheoretische Funktionen anzuwenden.

5. Alarm Nachrichten auswerten und moglichst Fehlalarme unterdrucken. Dazu wird ein Ausschnittder Audit Daten betrachtet. Wenn in diesem Abschnitt mehr Funktionen eine abnormale Erkennungliefern als Funktionen eine normale, dann wird dieser Abschnitt als abnormal gewertet. Zusam-menhangende abnormale Abschnitte werden als ein abnormales Ereignis gewertet.

Nach allen diesen Phasen hat man ein System, das auf die Endgerate ubertragen werden kann, damit siedort ein IDS bilden. Die Simulationen liefen mindestens 10.000 Sekunden mit jeweils 10 verschiedenen,zusammenhangenden Angriffsfolgen auf DSR. Eine Angriffsfolge bestand entweder aus derAnderung ei-ner Source Route oder aus dem Vewerfen von Paketen. Mit RIPPER konnten 90% der Angriffe erkanntwerden bei einer Fehlerkennungsrate von 15%. SVM Light dagegen lieferte bessere Ergebnisse mit einerErkennungsrate von 99% und einer Fehlerkennungsrate von 2%.Diese Ergebnisse sind aber mit Vorsicht zu genießen, da von langen Angriffssequenzen ausgegangen wur-de, die aber bei DSR untypisch sind. Bei DSR reichen oft schon wenige modifizierte Pakete aus, um dengewunschten Effekt zu erzielen. Zudem werden nur die Angriffe an sich erkannt, der Angreifer ist nichtidentifizierbar, denn die Teilnehmer im Netzwerk sind nicht authentifiziert. Hinzu kommt, dass es keinenSchutz der Routing Information gibt; selbst wenn man eineAnderung erkannt hat, kann kann nicht gesagtwerden, welcher Knoten auf der Route denn nun dieAnderung verursacht hat.

Bewertung

Es wurde oben dargestellt, wie mit dem Ansatz von Wenke Lee versucht wird Anomalieerkennung in dieWelt der Ad hoc Netzwerke zuubertragen. Es muss festgestellt werden, dass dieser Ansatz, selbst wenner funktioniert, keinen Ruckschluss auf den Angreifer liefert. Dadurch ist eine Reaktion auf die Intrusionschwierig, wenn nicht ausgeschlossen.Zudem ist es dieser Forscher-Gruppe bis heute nicht gelungen ein praxistaugliches System aufzustellen.Bisher konnte nur ”Schonwetterbeispiele” implementiert werden; diese gehen von einem sehr einfach auf-gebautem Benutzerverhalten aus. Angriffe werden dabei bei einem großen Volumen der Angriffsereignisseerkannt. Es konnte deshalb nicht gezeigt werden, dass die typischen Angriffe, die oft nur aus einer kurzenSequenz von Anweisungen und Daten bestehen, erkannt werden konnen. (Ein solches Beispiel ware derSQL Slammer Angriff im Januar 2003, der nur aus einem einzigen UDP Daten Paket bestand).Gerade bei Ad hoc Netzwerken sind nur sehr wenige Fehlalarme tolerierbar, da viele Benutzer nicht das

32


Wissen haben, um den Angriff verstehen zu konnen. Aus diesem Grund sind selbst 2% Fehlalarme wie inihren Simulationen noch zu viel.Lee glaubt, mit ihrem System bosartige Knoten davon abhalten zu konnen, falsche Anschuldigungen gegenandere Knoten zu verbreiten. Sie fuhrt an, dass ja nur durch Mehrheitsentscheidung ein Knoten als boswilligangesehen wird. Wie aber spater in dieser Arbeit gezeigt wird, haben oft nur sehr wenige Knotenuberhauptdas Wissenuber einen Angriff. Nach ihrem Schema konnten viele folgenschwere Angriffeuberhaupt nichterkannt werden.Es gibt auch handwerkliche Probleme; so wird zum Beispiel der Schlusselaustausch, der genutzt wird, umeinen Knoten aus dem Netzwerk auszuschließen, nirgendwo sonst in der Publikation erwahnt. Eine Reau-thentisierung durch Blickkontakt ist selbst heute nicht mehr moglich, da die Reichweite einer Wireless LANKarte nach dem IEEE 802.11 bereits eine Reichweite von 250 Metern hat. Es muss davon ausgegangen wer-den, dass die physikalisch mogliche Reichweite der einzelnen Gerate noch steigen wird. Es gibt aber auchdie kontrare Erwartung, dass durch die hohere Dichte von mobilen Geraten die Reichweite durch Interfe-renzen reduziert wird

3.4.2.5 Intrusion Detection Agent System(IDA)

Ein Ansatz, der in Richtung der Anomalieerkennung geht, ist das IDA System von Midori Asaka [AOT+98].Er schlagt vor, Mobile Agenten zu verwenden, um Spuren von Eindringlingen zu folgen. Diese Agentenkonnen von Knoten zu Knoten reisen, dort Informationen sammeln und Anfragen an das System stellen.Zur lokalen Erkennung der Spuren konnte man dann zum Beispiel Methoden der Anomalieerkennung ver-wenden, ebenso wie Methoden der Misuse Detection. Das System erkennt solche Anzeichen eines Eingriffesund sammelt weitere Datenuber diesen Vorfall.

In [AOG02] beschreibt Asaka genauer, wie Anzeichen einer Intrusion entdeckt werden konnen: Einer-seits werden bestimmte Dateien im Systemuberwacht wie das Starten der Root Shell, Modifikation von/etc/passwordsu.a., aber auch das Starten einer shell/bin/sh. Es werden aber auch Aktivitaten wie Sy-stemaufrufeuberwacht und mit einer Klassifizierungsfunktion wie in der Anomalierkennung analysiert. DieMethode von Asaka nutzt nur die Haufigkeit der Aufrufe, nicht aber die Reihenfolge. Alle anderen Syste-maktivitaten werden nicht beobachtet.

Das IDA System baut auf funf Komponenten auf:

• Manager analysiert Informationen, die durch Information Gathering Agents gesammelt wurden underkennt die Intrusion. Er ist verantwortlich fur die Benutzerkommunikation, das Bulletin Board undnaturlich fur die Information Gathering Agents. Es gibt einen Manager in jedem Netzwerksegment.

• Sensorgibt es in jedem System. Esuberwacht kritische Stellen und alarmiert bei Anzeichen einerIntrusion den Manager.

• Tracing Agent wird durch den Manager gestartet, um ein bestimmtes Anzeichen der Intrusion zu un-tersuchen. Dieser Agent geht zum System, das den ursprunglichen Alarm ausgelost hat, und versucht

33


die Quelle der Intrusion zu lokalisieren. Der Agent migriert Knoten zu Knoten in Richtung der Quelleund untersucht auch alle anderen bereisten Systeme auf Anzeichen dieser Intrusion.

• Information Gathering Agent wird durch den Tracing Agent auf dem jeweiligen aktuellen Systemaktiviert. Dieser Agentubernimmt die eigentliche Aufgabe, nach Anzeichen der Intrusion auf diesemSystem zu suchen. Der Agent kehrt nach getaner Arbeit zum Manager zuruck und berichtet die gefun-denen Daten. Dieser Agent kann keine Entscheidung daruber treffen, ob eine Intrusion stattgefundenhat oder nicht!

• Bulletin Board und Message Board. Das Message Board dient der internen Agenten Kommunika-tion auf jedem Knoten. Das Bulletin Board gibt es nur auf dem Manager und es dient als Ablage derErgebnisse der Information Gathering Agents.

Bewertung

Das System zielt in erster Linie auf Erkennung von Intrusions in das System als solches. Es kann keineManipulationen an dem anfalligen Routing erkennen. Es geht damit nicht auf die speziellen Probleme einesAd hoc Netzwerkes ein, ist aber wegen seiner verteilten Architektur dennoch interessant.Die Agenten selbst sind nicht gegen Manipulationen auf dem Wirtsystem geschutzt. Ist dieses System schonbefallen, kann ein Angreifer den Agenten so verandern, dass der Agent keine Spuren meldet und die Ver-folgung abbricht. Das wird begunstigt, da das IDA System nur Angriffe erkennen kann, nachdem diesepassiert sind. IDA an sich hat aber auch Probleme, da es einen zentralen, und damit angreifbaren, Managerbesitzt. Die Agentenstruktur fuhrt einen großen Overhead ein, da einerseits Agenten transportiert werdenmussen, und andererseits die Information Gathering Agents doch mit einem Großteil der Daten zum Mana-ger zuruckkehren.

3.4.2.6 Nuglets, ein Vermeidungsansatz

Unter Hubaux und Blascevic wurde das Terminodes Projekt [HBC01] [BBC+01] vorangetrieben. Es befasstsich in erster Linie mit lokationsabhangigem Routing in Ad hoc Netzen, aber es stellt auch einen einzigarti-gen Ansatz der Motivation zur Kooperation dar. Es ist also kein IDS, sondern versucht Sicherheitsproblemedurch ein geeignetes Design zu vermeiden.Kooperation soll durch Einfuhrung einer kunstlichen Wahrung erreicht werden, die Nuglets genannt wird.Die Idee ist, alle Knoten fur die Nutzung eines Services Nuglets bezahlen zu lassen, Anbieter von Servicesbekommen Nuglets. Jede Kommunikation in diesem Netz verursacht also Kosten, fur die ein Knoten auf-kommen muss. Dadurch ist das kein IDS mehr, das auf die Erkennung abzielt, sondern ein System, dasdurch geeignetes Routingregeln die Knoten zur Kooperation motiviert.

Es wurden zwei Abrechnungsmodelle vorgeschlagen: Einmal zahlt der Sender einer Nachricht fur den Ver-sand (Packet Purse Model), die andere Moglichkeit ist den Empfanger bezahlen zu lassen (Packet TradeModel). Das Problem der ersten Methode ist, nicht genau die Kommunikationskosten im voraus zu kennen,die notig sind, um ein Ziel zu erreichen. Diese mussen aber schon vor dem Versand dem Konto abgezogenwerden.

34


Um die Integritat der Nugletskonten zu gewahrleisten, wird von ”tamper proof hardware” ausgegangen:Hardware, die so gestaltet ist, dass nur das Nuglets System den Kontostand verandern darf, der Benutzeraber keinen direkten Zugriff hat.Die zweite Methode lasst jeden Empfanger (auch die Knoten, die Pakete weiterleiten) entlang der Routefur das Paket bezahlen. Diese wird dann fur eine bestimmte Zahl Nuglets eingekauft und fur mehr Nuglets”weiterverkauft”. Dadurch erhoht jeder Knoten durch forwarding des Pakets seinen Bestand an Nuglets.Effektiv bezahlt damit das Ziel den Transport.Die zweite Methode hat aber Schwachen, denn einem Knoten konnen durch Senden vieler unnutzer Paketealle Nuglets entzogen werden. Die Wirkung ware ein Denial of Service auf diesen Knoten; denn wenn einKnoten nicht bezahlen kann, kann er auch keine Pakete empfangen.

Bewertung

Das Nuglets Konzept ist interessant, weil es Kooperation wie in keinem anderen Modell stimulieren kann.Knoten konnten sogar am Verkehr teilnehmen, nur um Nuglets zu verdienen, auch wenn sie zu diesemZeitpunkt gar nicht kommunizieren wollen. Allerdings gib es schwerwiegende Probleme am Konzept. Manmuss davon ausgehen, dass das Kommunikatiosnverhalten der einzelnen Knoten stark variiert. Manche Kno-ten werden wahrscheinlichuberwiegend senden, z.B. wenn sie bestimmte Services fur andere Teilnehmerbeherbergen. Diesen Knoten wurden je nach Abrechnungsmodell schnell alle Nuglets entzogen.Knoten, die in der Peripherie im Netzwerk positioniert sind, konnen wesentlich seltener Pakete weiterleitenals solche im Zentrum. Es wurden sich also die Nuglets im Zentrum sammeln und die Peripherie aushun-gern. Wie oben schon erwahnt, sind auch Denial of Service Angriffe durch Entziehen aller Nuglets einesKnoten moglich.Zuletzt zeigt auch die Erfahrung, dass es ”tamper proof hardware” nicht gibt, also davon auszugehen ist,dass es Knoten im System gibt, die beliebig Nuglets zum Eigennutzen generieren konnen.Ein ganz anderes Problem ist, dass das Nuglets-Konzept keine Moglichkeit der Erkennung von Angriffenbietet. Nuglets kann Egoismus entgegen treten, aber bei Angriffen, zum Beispiel durch einen Knoten, derPakete einfach verwirft, kann das System das weder erkennen noch den Angreifer identifizieren und bestra-fen.

3.4.3 Bewertung der aktuellen Forschung

3.4.3.1 Vergleich aktueller IDS

In diesem Kapitel werden nun viele Systeme vorgestellt, die versuchen Egoismus und Boswilligkeit zu ver-hindern oder zu reduzieren. Besonders herausragend war dabei CORE mit seinem Bewertungsschema, dasdie Idee des Promiscuous Mode von Watchdog und Pathrater erweiterte. Nuglets bot eine innovative Heran-gehensweise durch sein Bezahlmodell fur die Weiterleitung von Nachrichten.

Es bleibt festzustellen, dass der Forschungsgemeinschaft der große Wurf eines praxistauglichen IDS nochnicht gegluckt ist. Verteilte Erkennung und automatische Reaktion sind bis jetzt nur im Konzeptstadium

35


vorhanden. Bisher fokussiert sich die Forschung auf die lokale Erkennung von boswilligem Verhalten; ausgutem Grund, denn die bisher vorgestellten Verfahren konnen zwar Angriffe feststellen, haben aber nochSchwierigkeiten den Angreifer zu identifizieren. Es wird zwar meist implizit ein Sicherheitsrahmen vor-ausgesetzt, der aber nicht naher spezifiziert wird. Damit bleibt auch unklar, welche Bedrohungen durch einSicherheitsrahmenwerk abgefangen werden konnen und welchen dann noch durch das IDS zu begegnen ist.Ein IDS, in dem die Quelle einer Nachricht nicht sicher bestimmbar ist und in dem somit jeder Nachrichtenim Namen eines Anderen verschicken kann, wird nicht mehr leisten konnen als einen Angriff festzustellen.Fur die Identifikation des Angreifers ist eine Authentisierung von Nachrichten zwingend erforderlich. Daswurde bisher von keinem IDS fur Ad hoc Netzwerke bedacht.

Boswilligkeit ist bisher nicht hinreichend untersucht worden, man sieht in den diversen Publikationen, dasssie von verschiedenartigen Angriffsszenarien ausgehen. Diese Angriffe sind zudem schlecht klassifiziert undunzureichend durch Simulation untersucht worden.Mit Egoismus konnte bisher nur das Nuglets System umgehen, das aber den zentralen Nachteil hat, dassselbst kooperationswillige Knoten keine Nuglets mehr haben konnen, um die Kommunikation zu bezahlen.

3.4.3.2 Anforderungen an ein besseres IDS fur Ad hoc Netzwerke

Um ein IDS aufzustellen, das einen Fortschritt gegenuber dem bisherigen Stand der Forschung darstellt,mussen zuerst das Problem der Angriffe und das des Egoismus in Ad hoc Netzwerken kategorisiert werden.Mit diesen Angriffsformen muss dann simuliert werden, wie sich ein solches Verhalten auf das Netzwerkauswirkt. Diese Erkenntnisse werden dann helfen ein umfassendes Intrusion Detection System zu etablieren.

Das Ziel muss es danach sein das Ad hoc Netzwerk gegen fehlerhaftes Verhalten, Boswilligkeit und Egois-mus abzusichern. Das Problem kann von zwei Seiten her angegangen werden:

• Routing Sicherheitmuss Authentisierung leisten undAnderungen an den Daten auf den Verursacherzuruckfuhren konnen.

• Intrusion Detection muss bosartige Modifikationen erkennen, die Identitat des Angreifers feststellenund Gegenmaßnahmen einleiten.

Routing Sicherheit und Intrusion Detection lassen sich nicht scharf gegeneinander abgrenzen, sondernmussen sinnvoll ineinander greifen. Alles bosartige Verhalten, das nicht durch die Routing Sicherheit unter-bunden wurde, muss vom IDS erkannt werden.Es soll danach eine moglichst wirkungsvolle Gegenreaktion erfolgen; deshalb mussen die Knoten ihre Er-kenntnisse untereinander kommunizieren: einerseits, um nicht selbst verdachtigt zu werden, andererseits umeine kollektive Reaktion zu ermoglichen.

Als letzter Schritt ware dann zu zeigen, dass durch dieses System Intrusions erkannt, Angreifer ausgeschlos-sen werden konnen und dass sich durch diese Maßnahmen die Performance des Netzwerkes verbessert hat.

36


Name des Systems Watchdog CONFIDANT CORE Anomalie- IDA NugletsPathrater erkennung

Sicherheit durch Erkennung VermeidungAbgedecktes Verhalten

fehlerhaft ja ja ja ja nein neinegoistisch nein nein nein nein nein jaboswillig ja ja ja ja ja nein

InformationsquelleRouting nein nein ja ja ja neinPromiscuous Mode ja ja ja nein nein neinPosition(GPS) nein nein nein ja nein jaIDS Nachrichten ja ja ja nein nein nein

Bewertung des AngriffsLokal ja ja ja ja ja neinGlobal nein nein ja nein nein nein

ReaktionBestrafung nein ja ja ja nein neinBelohnung nein nein nein nein nein jaVermeidung ja ja nein ja nein nein

Vertrauen jedem Nachbarn Erfahrung Mehrheit eigene sichereAgenten Hardware

Informationsaustausch durch ja ja ja ja nein jaDenunzierungen ja ja nein ja - neinBewertungen nein nein ja nein - neinMissbrauch moglich ja ja ja ja - nein

SchutzNutzdaten ja ja ja ja nein neinIDS Nachrichten ja ja ja nein nein jaLokales System nein nein nein nein ja nein

ArchitekturZentral nein nein nein nein ja neinRegelbasiert ja ja ja nein ja neinAdaptiv nein nein nein ja ja nein

Abbildung 3.6: Tabellarischer Vergleich der aktuellen Forschung in der Intrusion Detection

37


38

Kapitel 4

Verwundbarkeiten des DSR Protokolls

Im vorigen Kapitel wurde dargelegt, dass ein wesentlicher Teil der Intrusion Detection in der Erkennungvon Angriffen liegt.In diesem Kapitel werden mit einem Attack Tree [Sch99a] verschiedene Verwundbarkeiten des DSR Proto-kolls aufgezeigt. Attack Trees sind eine formale Methode, um Angriffe auf Protokolle und Systeme syste-matisch zu analysieren.Es ist mit diesem Formalismus moglich viele Angriffsarten zu kategorisieren. Der Leser muss sich jedochbewusst machen, dass kein Attack Tree jemals alle Angriffe erschopfend darstellen kann, zudem sind auchandere Kategorieren und Unterteilungen denkbar. Aus diesem Grund konnen auch ganze Teilbaume an meh-reren Stellen im Gesamtbaum sinnvoll eingefugt werden.

4.1 Egoistisches Verhalten und seine Auswirkungen

Ziel: Ressourcen schonen

Beschreibung: Egoismus ist das Motiv eines Knotens, wenn er, um die CPU Last und den Energiever-brauch zu reduzieren, keine fremden Pakete weiterleitet. Das Ziel ist es deshalb nur zu kooperieren, wennder Knoten dadurch einen direkten Nutzen hat. Wenn er selbst Daten senden und empfangen will, wurde ernaturlich bei der Route Discovery mitwirken.Die CPU Last, um an einem Netzwerk Protokoll teilzunehmen, kann sehr groß sein, ebenso wie der Ener-gieverbrauch bei einigen mobilen Geraten durch die Sendeeinheit. Das Ziel des egoistischen Knotens ist esdaher die eigenen CPU und Akku Ressourcen zu schonen, indem nur am Netzwerkverkehr teilgenommenwird, der dem Knoten auch Nutzen bringt. Man kann sich leicht vorstellen, dass dieses Verhalten den Durch-satz und die Erreichbarkeit von anderen Knoten stark beeintrachtigen kann.Folgende Angriffe beziehen sich auf die Falle, in denen der Knoten keinen unmittelbaren Nutzen zu erwar-ten hatte.

39

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS

Angriff:OR 1. Routen bilden, die den egoistischen Knoten meiden

OR 1. nicht bei der Route Discovery kooperierenOR 1. ROUTE REQUEST nicht weiterleiten

2. kein ROUTE REPLY senden3. kein ACK senden, erzeugt einen ROUTE ERROR

bei Knoten zuvor2. Route Discovery manipulierenOR 1. ROUTE REQUEST mit gefalschtem Source Path weiterleiten

OR 1. Source Path, der M nicht enth altOR 1. ung ultigen Source Path

2. M in Adressliste durch eineUmleitung uber andere Knoten ersetzen

AND 1. mit MAC Adresse von eingef ugtem Knoten senden3. Source Path durch virtuelle Knoten in ROUTE REPLY

l anger erscheinen lassen2. ROUTE REPLY mit gef alschtem Source Path zur ucksendenOR 1. M in Source Route als external markieren

(damit automatisch letzter Knoten im Pfad)2. Source Path durch virtuelle Knoten in ROUTE REPLY

l anger erscheinen lassen3. hop limit (TTL aus IP Header) auf 0 setzen

OR 4. M in Adressliste durch eineUmleitung uber andere Knoten ersetzen

2. bestehende Routen manipulierenOR 1. Source Route andern, manipuliert

auch die Cache Eintr age2. ROUTE ERRORS erzeugenOR 1. falsche ROUTE ERROR Messages, M nimmt an

Verkehr dann nicht mehr teil2. SALVAGING der Route ignorieren

3. erneuten ROUTE REQUEST durch Sender vort auschen3. keine DatenweiterleitungOR 1. fremde Pakete verwerfen

2. hop limit(TTL) auf 0 setzen

Anmerkungen: Das Falschen der MAC Adresse ist nur bei bestimmten IEEE 802.11 Kartenuber un-dokumentierte Funktionen moglich. Wenn die Implementierung des DSR Protokolls keine entsprechendeUberprufung vornimmt, kann dieAnderung der MAC Adresse auch entfallen.

40


4.2 Boswillige Knoten und deren Schadwirkung

Ein Knoten kann auch aggressivere Grunde fur einen Angriff haben. Im Unterschied zu Angriffen aus Ego-ismus, bei denen der Angriff nicht gezielt gegen andere Knoten gerichtet ist, will ein boswilliger Angreifereinen Knoten oder eine Gruppe von Knoten gezielt manipulieren.

4.2.1 Informationsgewinnung durch boswillige Knoten

Ziel: Informationenuber ein Opfer sammeln

Beschreibung: Eine denkbare Form des Angriffs ist es, Informationenuber ein Opfer zu sammeln.Fur manche Angreifer ist es wichtig, Informationenuber ein Opfer zu gewinnen, um beispielsweise spaterin das System des Opfers direkt eindringen zu konnen. Interessante Informationen konnen passive Informa-tionen wie die Position, das Verhalten und die Kommunikationsbeziehungen eines Knotens sein. Noch mehrlasst sich allerdings in Erfahrung bringen, wenn die gesendeten und empfangenen Daten eines Knotens aus-gewertet werden konnen.

Angriff:OR 1. verf ugbare Informationen auswerten

OR 1. aus mitgeh orter Routing Information Nachbarschaft desOpfers herleiten

2. von Opfer durch M weitergeleitete Datenpakete auswerten2. Routing manipulieren, um mehr Informationen zu gewinnenOR 1. einer Route h ochster Priorit at(k urzester L ange) erzeugen

OR 1. ROUTE REPLY von M, bei dem Ziel als n achster Knotenangegeben wird

OR 1. Verkehr mit Ziel durch M vort auschen2. Verkehr uber kooperierenden b osartigen Knoten

uber separate Verbindung leiten (Wurmloch Angriff)AND 1. alle ROUTE REQUEST und ROUTE REPLYuber diese

private Verbindung weiterleiten2. Pakete ebenso uber diese Verbindung schicken

2. Source Path in ROUTE REQUEST verf alschen, M als Quelleeintragen

AND 1. separater ROUTE REQUEST zu Ziel2. ROUTE REPLY mit M und direkt danach Ziel an Opfer3. Route von M zu Ziel in ankommende Pakete von Opfer

schreiben2. Knoten so positionieren, dass er partitionierte Segmente

verbindet; der Verkehr zwischen den Segmenten l auft dannuber ihn

41


Anmerkungen: Gefalschte Source Routen werden auch noch in die Caches der Knoten aufgenommen,durch die das Paket mit der gefalschten Source Route reist (Cache Poisoning). Es ist ein weiterer Teilder Strategie, erfolgreich gefalschte Cacheeintrage regelmaßig zu nutzen, um sie im Cache zu halten. DieWirkung von Manipulationen der Source Route wird noch verstarkt, wenn der Promiscuous Mode aktiv ist.Bei diesem werden auch Source Routen in den Cache aufgenommen, die nichtuber diesen Knoten gehen.

4.2.2 Angriff auf den Datenverkehr eines Knotens

Ziel: Denial of Service im Netzwerk durchfuhren

Beschreibung: Denial of Service beschreibt einen Prozess, der dazu dient Netzwerkdienste fur die Au-ßenwelt unzuganglich zu machen. Das kann durch schlichteUberlastung des Opfers geschehen oder durchEingriffe in das Routing, um das Opfer unerreichbar zu machen. Berechtigte Anfragen erreichen das Opferdann nicht mehr.Ein Denial of Service Angriff kann gegen ein ganzes Netzwerkes gerichtet sein. Besonders auffallig ist dasbei Angriffen, die sichahnlich dem Schneeballeffekt standig vermehren. Viele Knoten des Netzes konnendann ihrer Weiterleitungsfunktion nicht mehr nachkommen und Pakete nicht mehr empfangen oder mussenPakete verwerfen.Der Denial of Servcie kann aber auch ein direkter Angriff auf einen Knoten sein, der durchUberlastungund ubermaßigen Ressourcenverbrauch fur langere Zeit blockiert wird. Ein so angegriffener Knoten wirdteilweise vom Netzwerk isoliert und damit sind auch andere Dienste, die dieser Knoten anbietet, nicht mehrverfugbar. Welche Kettenreaktion das im Netz bei kritischen, zentralen Diensten auslosen kann, ist leichtvorstellbar.

Angriff:OR 1. Routing st oren

OR 1. bekannte Knoten in der N ahe des Ziels in Pfad derROUTE REQUEST aufnehmen, ROUTE REQUEST wird dannnicht weitergeleitet und schl agt fehl; alle folgendenROUTE REQUESTS mit dieser ID werden zus atzlichabgelehnt

2. Discovery Sturm durch große Zahl vonunbekannten Zielen und IDs

3. Angriffe auf Send Buffer (wenn dieser FIFO Strategie nutzt)OR 1. Send Buffer fluten durch viele neue Pakete uber Knoten,

ROUTE REQUEST und andere "altere" Pakete gehen dannverloren

2. Nach jedem fremden Paket Send Buffer fluten unddas fremde Paket verdr angen

4. Discovery ID auf alte ID setzen, Antwort derDiscovery geht verloren

42


5. ROUTE REQUEST mit gef alschter ID weit in Zukunft,Discoverys durch echten Erzeuger gehen dann verlorenAND 1. andere MAC auf MAC des Opfers

2. schicke gef alschten Route Request6. auf unterster Protokollebene Pakete f ur einen anderen

Knoten w ahrend Route Request weiterleitenf ur Route Reply in R uckrichtung ebenso (Replay Angriff)danach alle Pakete verwerfen

2. Pakete zerst oren1. Schwarze Loch Attacke, Pakete gehen unbemerkt verlorenOR 1. falsches ACK f ur nicht erreichbaren Nachbarn,

Link wird dann als funktionierend angesehenAND 1. MAC Adresse auf die des Opfers andern

2. falsches ACK senden2. ROUTE ERROR nicht weiterleiten, Verlust des Pakets3. nur ROUTE REQUEST und ROUTE REPLY weiterleiten,

normale Pakete verwerfen3. Ressourcen verbrauchenOR 1. Schleife in Route uber Opfer einf uhren

OR 1. beim Weiterleiten des Paketes Schleife inSOURCE ROUTE einfuhren

2. piggybacked ROUTE REPLY entfernen undnur ROUTE REQUEST weiter,Endlosschleife mit ROUTE REQUESTs

2. Uberlast auf Knoten erzeugen um Ressourcen zu zehrenOR 1. alten Route Reply nochmals senden

2. ein weitergeleitetes Paket immer wieder senden3. k unstlich aufgebl ahten Pfad weitergeben, erh oht

Latenzzeit&Traffic, Uberlast auf bestimmten Knoten4. falsche ROUTE ERRORs und SALVAGE COUNT auf Maximum

setzen, erzwingt eine neue Route Discovery5. Knoten, die ein "Bottleneck" im Netzwerk durch viele

Pakete uberlasten6. einen Knoten solange durch Pakete uberlasten,

bis Batterie leer ist7. Pakete mit langen Pfaden angeben, um die gesamte

Netzwerklast zu erh ohen8. SALVAGE COUNT auf Maximum setzen, keine Anderung mehr

moglich; neuer ROUTE REQUEST n otig, wenn ROUTE ERROR

43


4.2.3 Angriff auf die Luftschnittstelle

Ziel: Einem Knoten die Moglichkeit nehmen zu kommunizieren

Beschreibung: Die Luftschnittstelle ist fur jede Fremdeinwirkung offen. Es ist fur einen Angreiferinteressant das Netz partiell zu storen, umUbertragungen der Nachbarn zu verhindern. Man kann diesenAngriff als Unterart des Denial of Service betrachten; allerdings ist es hier schwieriger einen Knoten gezieltanzugreifen, da der Angriff auch einer gewissen raumliche Nahe bedarf.Eine kurze Einfuhrung in die Spread Spectrum Kommunikation wird unter 3.2 gegeben.MANETs, speziell DSR, erfordern fur einen effizienten Betrieb die Moglichkeit einen Broadcast an vieleEmpfanger gleichzeitig durchzufuhren oder sogar eines Promiscuous Mode, bei dem fremdeUbertragungenmitgehort werden. Es ist deshalb erforderlich, dass allen potentiellen Empfangern das Timing des SpreadCodes bekannt ist.

Angriff:OR 1. ganzes Frequenzband st oren

aber oft 1000x st arkere Sendeleistung f ur jammingals Leistung des zu st orenden Senders, selbst beigeringer Distanz zum Ziel n otig

2. k unstliches Herbeif uhren von Kollisionenmit bekanntem Spread Code konstant jede Ubertragungst oren; mit geringer Sendeleistung m oglich

3. auf Kanal lauschen, Ubertragung erkennen,dann sofort zu senden anfangen

4. ROUTE REQUEST - ROUTE REPLY Antwortfenster bekannt,im gesamten Fenster Ubertragung st orenbesonders f ur Antworten aus Route Cache

Anmerkungen: Fur einen Angreifer besteht der Reiz, einen mit Spread Spectrum kodierten Kanal anzu-greifen, darin dass dies schon mit Standard Hardware moglich ist, also auch durch einen bosartigen Knoten.Die Wirkung ist aber mit der Sendeleistung beschrankt.Es ist in erster Linie ein Problem des Hardware Designs diese Angriffe abzuwehren. Diese Angriffsformwird deshalb in dieser Arbeit nicht mehr behandelt.

4.3 Besondere Verwundbarkeiten des DSR Designs

DSR leidet in der jetzigen Form daran, dass die Routing Informationen ungeschutzt gegen boswilligeAnderungen sind. Jeder Knoten kann versuchen mit manipulierten Source Routen in normalen Paketenoder Route Replys die Route Caches anderer Knoten zu vergiften.

44


Der SendBuffer mit FIFO Strategie ist einfach zuuberfullen und zumUberlauf zu bringen; mobile Geratehaben meist nur sehr wenig Speicher und entsprechend klein durfte dann auch der SendBuffer ausfallen. Esist deshalb sehr einfach gezielt einen Knoten durch fluten des SendBuffers auszuschalten.Die Luftschnittstelle ist zwar bei DSR nicht spezifiziert, allerdings fordert DSR, dass broadcasts moglichsind, wenn nicht sogar ein promiscuous mode. Das macht erforderlich, dass alle teilnehmenden Knoten miteinem Interface immer auf einem von allen Knoten geteilten SpreadSpectrum Code senden und empfangen.Dadurch kann jeder Knoten auch mit seiner normalen Sendeleistung dieUbertragung physikalisch storen.

Einen weiteren Angriffspunkt auf das DSR Protokoll stellen einige Felder im Kopf der Pakete dar, die durchJeden geandert werden konnen. Man konnte einige Felder kryptografisch absichern, aber es gibt Felder, dieveranderlich sein mussen:

• Die Source Route wird wahrend dem Route Request durch alle Knoten bearbeitet und verlangert,außerdem wird eine bestehende Route beim Paket Salvaging geandert.

• Der Salvage Count muss ebenso fur Salvaging abanderbar sein konnen, wenn auch die Schadwirkungeher gering sein durfte.

Nachdem nun theoretisch Angriffsmoglichkeiten auf DSR gezeigt wurden, sollen diese nun mittels Simula-tion untersucht werden.

45


46

Kapitel 5

Simulation von Ad hoc Netzwerken

Es gibt verschiedene Moglichkeiten Thesen in der Informatik zuuberprufen. Je komplizierter die Wechsel-wirkungen und je mehr Unbekannte es gibt, desto schwieriger wird es ein System mit formal mathemati-schen Methoden zu beweisen. Die Simulation stellt eine gute Moglichkeit dar, die Praxistauglichkeit einesSystems zu erproben. Dieses Kapitel soll sich nun der Simulation des Netzwerkes und seiner Angreiferwidmen.

5.1 Simulation mit ns2

Bei der Suche nach einem Tool zur Simulation der Ad hoc Netzwerke fiel unsere Wahl auf ns2 [ns2a]. Ns2ist ein diskreter und ereignisbasierter Simulator, der fur Lehre und Forschung entwickelt wurde. Er eignetsich gut, um Routing in einem drahtgebundenen und drahtlosen Netzwerk zu simulieren. Dazu unterstutzter eine Vielzahl von Protokollen auf verschiedenen Ebenen - wie z.B. TCP/IP, UDP und Multicastprotokol-le. DSR und AODV sind die drahtlosen Netzwerkprotokolle in ns2, die auf die Originalimplementierungenzuruckgehen und deshalb ideal fur Experimente sind.Ns2 erfreut sich großer Beliebtheit in der Forschergemeinschaft, denn er ist in seinem Quellcode freiverfugbar und fur viele Plattformen compilierbar. Die meisten Thesen der aktuellen Forschunguber IDSwurde mit ns2 verifiziert. Da es bereits ein breites Angebot der gebrauchlichen Applikationen und Protokol-le fur den Simulator gibt, kann sich die aktuelle Forschungsarbeit auf die neuen Felder konzentrieren. Ns2ist deshalb auch fur diese Diplomarbeit eine gute Wahl, um deren Ergebnisse mit bestehenden Verfahrenvergleichbar zu machen.

Ns war 1989 die erste Version des Network Simulators, der auf den REAL Netzwerksimulator zuruckging.Ns ging seither durch mehrere Redesigns, um schließlich die Version ns2.1b26 zu erreichen. Die DARPAunterstutzt die Entwicklung von ns2, um die Forschung der drahtlosen Kommunikation voranzutreiben. Eswerden Ad hoc Netzwerke, Satellitenkommunikation sowie Sensornetzwerke mit Unterstutzung der DAR-PA integriert. Diese Felder sind auch jetzt noch standig in Entwicklung.

47

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN

Fur diese Arbeit wurde anfanglich die Version ns2.1b9a evaluiert; leider musste festgestellt werden, dassdiese Version auf dem Link Layer fehlerhaft war. Diese Fehler wurden unter anderem in den Release Notesder erst kurzlich erschienenen Version ns2.1b26 dokumentiert [ns2b]. Es war mit dieser Version somit nichtmoglich die publizierten DSR Ergebnisse zu erreichen. Mit der Version ns2.1b8a dagegen waren die Ergeb-nisse erreichbar. Fur diese Arbeit wird deshalb die etwasaltere Version ns2.1b8a verwendet.

5.1.1 Parameter der Simulation

Die aktuellen Publikationen der IDS waren Basis fur die gewahlten Simulationsparameter. Plausibel gewahltsind die Anzahl der Knoten ebenso die Lange und Breite, um hinreichend viele Paketweiterleitungen zu er-reichen. Die Tabelle 5.1 zeigt die typischen Parameter, die in den meisten Publikationen verwendet wurden.Um Pakete zu generieren, wird von dem CBR(constant-bit-rate) Modell ausgegangen; bei diesem werden dieDaten mit konstanter Rateuber die Verbindungen gesendet. Die Knoten bewegen sich nach dem ”RandomWaypoint Modell”. Dieses Modell geht von einer zufalligen Verteilung der Knotenuber die Flache aus. EinKnoten wartet eine definierte Zeit, die sogenannte ”Pause Time”, und bewegt sich dann mit einer zufalligenGeschwindigkeit in eine zufallige Richtung (deshalb: random waypoint). Die gewahlte Geschwindigkeitubersteigt dabei nicht die definierte Maximalgeschwindigkeit. Nach einer zufalligen Zeit (aber innerhalbder definierten Flache) kommt der Knoten zum Stehen und wartet wieder wahrend der Pause Time, bis ersich schließlich wieder in eine weitere zufallige Richtung in Bewegung setzt. Alle Knoten bewegen sichnach diesem Modell bis zum Simulationsende.

Parameter Wert

ns2 Version ns2.1b8aRouting Protokoll DSRAnzahl Knoten 50Lange 1500Breite 300Datenverkehr CBRSenderate 4.0maximale Verbindungen 20Paketgroße 512Bewegungsmodell Random-WaypointPausezeit 0Simulationslaufe je Parameter 10

Tabelle 5.1: Parameter der Simulation

Forschungsergebnisse zeigen, dass es mit einer kleinen Pause Time mit DSR schwieriger wird Pakete zuzu-stellen. Da der maximale Effekt von Routing Anomalien und deren Auswirkungen auf die Zustellungsrate

48


mit DSR interessiert, wird mit der Pause Time 0 simuliert.Simulationen mit ns2 konnen eine sehr langwierige Angelegenheit sein, weshalb in dieser Arbeit jeweilszehn Simulationsdurchlaufe, fur jedes untersuchte Szenario, unternommen werden. Die Erfahrung hat ge-zeigt, dass mit diesen zehn Durchlaufen bereits ein breites Spektrum der Konstellationen der Knoten in denSzenarien durchgespielt wird.

Simulationen mit ns2 sind langsam und die Ergebnisse in den sogenannten Trace-Dateien sehr umfangreich(bis zu 300 MB fur eine einzelne Simulation). Die Laufzeit und der Platzverbrauch hangen entscheidendvon der Lange der Simulation ab. Deshalb war die erste Aufgabe, die Simulationsergebnissen abhangig vonder Zeit zu bewerten, um eine sinnvolle Laufzeit fur spatere Simulationen festzulegen.

Zu diesem Zweck wurden mit den Standardparametern Simulationen mit den Laufzeiten 200, 300, 600, 900,1200 und 1500 Sekunden durchgefuhrt. Es wurden die Zustellungsrate und der Routing Overhead gemes-sen. Die Zustellungsrate ist das Verhaltnis der Datenpakete, die beim Empfanger angekommen sind zu allenDatenpaketen, die gesendet wurden. Um nun auch zu erfassen, wie viele Pakete fur den Routen-Aufbau ansich anfallen, wurde auch noch der Routing Overhead, definiert als alle DSR Routing Pakete im Verhaltniszu allen gesendeten Datenpaketen, gemessen. Fur unsere Untersuchungen zahlen wir keine Pakete auf MACEbene. Innerhalb der ersten 200 Sekunden der Simulation werden die CBR Verbindungen gestartet, deshalbist das der kleinste Zeitparameter fur die Simulationsreihe.

Sekunden200 400 600 800 1000 1200 1400

%

0

0.5

1

1.5

2

2.5

3

Routing Overhead mit DSR bei 1m/s

Abbildung 5.1: Normalisierter Routing Overhead alsFunktion der Zeit

Sekunden200 400 600 800 1000 1200 1400

%

97

97.5

98

98.5

99

99.5

100

Empfangsrate mit DSR bei 1m/s

Abbildung 5.2: Zustellungsrate als Funktion der Zeit

Simulationszeit 200 300 600 900 1200 1500Routing Overhead (%) 2.83 2.25 2.24 1.99 1.62 1.92Zustellungsrate (%) 99.97 99.81 99.81 99.44 99.82 99.45

Abbildung 5.3: Zustellungsrate und Routing Overhead bei 1m/s

Die erste Simulation lief mit der Maxmimalgeschwindigkeit von 1m/s. Die Abbildungen 5.1 und 5.2 zei-gen die Ergebnisse der Simulation. Interessant ist, dass sich in Abbildung 5.1 der anfangliche Aufwand dieRouten zu bilden schnell einpendelt unduber die Simulationsdauer konstant bleibt. Die Zustellungsrate ist

49


bei dieser niedrigen Geschwindigkeit konstant, was daher ruhrt, dass Pakete in kurzer Zeit einen Weg zumZiel finden.

200 400 600 800 1000 1200 1400

%

14

16

18

20

22

24

26

28

30

32

Routing Overhead mit DSR bei 20 m/s

Abbildung 5.4: Normalisierter Routing Overhead alsFunktion der Zeit

Sekunden200 400 600 800 1000 1200 1400

%

80

82

84

86

88

90

Empfangsrate mit DSR bei 20 m/s

Abbildung 5.5: Zustellungsrate als Funktion der Zeit

Simulationszeit 200 300 600 900 1200 1500Routing Overhead (%) 28.3 25.3 22.9 19.9 18.4 17.1Zustellungsrate (%) 88.7 81.8 83.3 84.6 83.9 84.1

Abbildung 5.6: Zustellungsrate und Routing Overhead bei 20m/s

Bei 20m/s kann man nun in Abbildungen 5.4 und 5.5 sehen, wie mit der schnelleren Knotenbewegung dieZustellung der Pakete schwieriger wird. Zu sehen ist, wie in der Startphase 28% aller Pakete nur fur dieRoute Discovery vewendet werden; dieser Wert stabilisiert sich mit steigender Simulationszeit auf ungefahr19%. Die Zustellungsrate insgesamt liegt mit um 84% deutlich unter der Simulation bei 1m/s, dieuber99% erreichen konnte. Dieses Szenario ist aber bereits sehr anspruchsvoll, wenn man sich verdeutlicht, dass20m/s einer Bewegung von 72km/h entspricht, und dies stelltublicherweise das extremste simulierte Sze-nario dar.

Die Ergebnisse zeigen, dass mit einer Simulationszeit von 900 Sekunden zuverlassige Ergebnisse gewonnenwerden konnen. Die Laufzeit bei 900 Sekunden und jeweils 10 Durchlaufen mit 15 verschiedenen Wertenkann so immer noch 18 Stunden sein. Diese Simulationszeit stellt somit einen ausgewogenen Kompromisszwischen Laufzeit und Ergebnisgenauigkeit dar.

5.2 Simulation egoistischer Knoten

Es wurde bereits dargelegt, welche Moglichkeiten das DSR Protokoll egoistischen Knoten lasst, um eigeneRessourcen zu schonen. Egoistische Knoten konnen aber dennoch das Ad hoc Netzwerk zur Kommunikati-on benutzen. Der Anreiz fur einen einzelnen Knoten ist damit hoch nicht zu kooperieren und das Netzwerk

50


dennoch zu gebrauchen.Egoismus und seine Auswirkungen auf die Leistungsfahigkeit der Ad hoc Netzwerke wurden bisher nurwenig untersucht. Welche Auswirkungen haben also egoistische Knoten auf die Zustellungsrate? Fur dieSimulation wird das Verhalten eines egoistischen Knotens folgendermaßen definiert:

• Eigene Pakete werden regular empfangen und gesendet.

• Fremde Route Discoverys werden verworfen.

Das Ignorieren von Route Requests genugt bereits, um spater keine Pakete weiterleiten zu mussen. Deshalbwerden in der Simulation die egoistischen Knoten keine Route Requests weiterleiten. Die Simulation startetmit einem Referenzszenario ohne egoistische Knoten, dann werden zwischen 1 und 50 egoistische Knotensimuliert. Da insgesamt 50 Knoten im Szenario vorliegen, sind 50 egoistische Knoten logischerweise 100%der vorhandenen Knoten.

Anzahl egoistischer Knoten0 10 20 30 40 50

Em

pfan

gsra

te %

0

20

40

60

80

100

Bewegung der Knoten: 1 m/s

Anzahl Knoten 0 1 3 5 7 10 15Zustellungsrate 99.38 98.82 97.55 96.71 96.82 94.16 90.40


Abbildung 5.7: Auswirkung von Egoismus auf die Zustellungsrate bei 1m/s

Die Ergebnisse in Abbildung 5.7 mit 1m/s zeigen bereits bei einem egoistischen Knoten eine geringe Aus-wirkung auf die Zustellungsrate. Wir konnen beobachten, dass bei 30 egoistischen Knoten die Zustellungs-rate fast linear bis auf 84% fallt. Danach bricht sie schließlich bis auf 35% ein, wohlgemerkt bei 100%egoistischen Knoten! Alle Pakete, die zu Zielen adressiert sind, die Weiterleitung durch einen Knoten aufdem Weg benotigen, werden von den anderen egoistischen Knoten verworfen. Daraus kann abgeleitet wer-den, dass 35.8% der Pakete von Knoten direkt zu Knoten in unmittelbarer Nachbarschaft geschickt werden.Diese Pakete wurden im Grunde auch ohne das DSR Protokoll am jeweiligen Ziel ankommen.

51


Anzahl egoistischer Knoten0 10 20 30 40 50

Em

pfan

gsra

te %

0

20

40

60

80

100




Abbildung 5.8: Auswirkung von Egoismus auf die Zustellungsrate bei 20m/s

Ein ahnliches Bild ergibt sich bei 20m/s in Abbildung 5.8. Auch hier ist ein Sockelsatz der Kommunikationmit den direkten Nachbarn mit einer Zustellungsrate von 36.5% vorhanden. Die Ergebnisse scheinen sogarbesser besser zu sein als bei dem Szenario mit 1m/s. Das ist folgendermaßen erklarbar: ein Paket, das ge-sendet werden soll, wartet im Send Buffer, bis eine Verbindung durch die Antwort auf eine Route Discoveryerkannt wird. Diese Route Discoverys werden periodisch wiederholt, bis das Paket irgendwann spater seineLebenszeituberschreitet und verworfen wird.Bei dieser hohen Geschwindigkeit durchqueren die Knoten aber tendenziellofters ihre gegenseitige Sende-reichweite als bei 1m/s. Ein Paket das im Send Buffer gewartet hat wird also dann gesendet, wenn geradezufallig das Ziel in Sendereichweite gekommen ist. Die hohe Mobilitat hilft hier also ein Paket doch nochauszuliefern.

Das Fazit dieser Simulationen ist, dass DSR auch bei vielen egoistischen Knoten noch eine gute Zustel-lungsrate erreicht. Selbst bei 50% egoistischen Knoten kommen immerhin noch um die 80% der Pakete amZiel an.Problematisch ist allerdings, dass Knoten, die sich in den Randbereichen aufhalten, wesentlich schlechtereZustellungsraten erreichen. Es kann vorkommen, dass der einzige Knoten, der Pakete weiterleiten konnte,gerade ein egoistischer, nicht kooperativer Knoten ist. Damit ware ein solcher Randknoten dann vom Netz-werk isoliert.

Einige wenige egoistische Knoten mogen noch tolerabel sein, ist man geneigt zu sagen, aber die Spieletheo-rie warnt vor dem Trittbrettfahrerproblem. Die Spieletheorie wurde von John von Neumann begrundet und

52


modellierte das Trittbrettfahrerproblem wie folgt:

• Ein Knoten versucht seinen individuellen Gewinn zu maximieren.

• Je mehr Knoten zu einem Kollektivgut beitragen, desto hoher ist die Auszahlung durch dieses Kol-lektivgut fur jeden Knoten.

• Der Beitrag zum Kollektivgut durch den einzelnen Knoten ist großer als der Ruckgang der Auszahlungaus dem Kollektivgut zuruck an diesen Knoten.

Ein Beispiel:Wenn Knoten A 100mW Sendeleistung in das Kollektivgut Ad hoc Routing investiert, profitiert er unmit-telbar erst einmal gar nicht. Andere Knoten erhalten eine Auszahlung durch das erfolgte Routing. A konntenun versuchen nur noch das Ad hoc Netzwerk fur sich selbst zu nutzen und nicht zu kooperieren; dadurchspart er die Sendeleistung und profitiert trotzdem von den kooperierenden Knoten.Andere Knoten konnen nun dieselbe Strategie verfolgen. Dadurch steigt die Last auf den kooperativen Kno-ten, bis deren Kosten so hoch sind, dass sie keine Motivation mehr haben weiterhin zu kooperieren. Selbstwenn sie noch kooperieren, werden sie niemals eine Auszahlung haben, die an den Aufwand fur das frem-de Routing heranreicht. Das Ergebnis ist ein Netzwerk, bei dem niemand mehr kooperiert und alle Knotenegoistisch sind.

5.3 Simulation boswilliger Knoten

Der andere Typus des Fehlverhaltens von Knoten in Netzwerken sind die boswilligen Knoten. Diese wollennicht nur maximal individuell profitieren, sondern auch noch Schaden zufugen. Angriffe auf Applikationenund Betriebssysteme sind bekannt und hinreichend untersucht. Von Interesse sind deshalb vor allem Angrif-fe auf das Routing mit DSR.Es wurde ein simples bosartiges Verhalten definiert:

• Eigene Pakete werden regular empfangen und gesendet.

• Fremde Route Discoverys werden weitergeleitet.

• Fremde Datenpakete werden verworfen.

Dieses bosartige Verhalten ist nicht gegen einen einzelnen Knoten gerichtet, sondern gegen das Routing ansich. Wie schon bei den egoistischen Szenarien wurde auch hier mit zwischen 0 und 50 boswilligen Knotensimuliert.

53


Anzahl bösartiger Knoten0 10 20 30 40 50

Em

pfan

gsra

te %

0

20

40

60

80

100




Abbildung 5.9: Auswirkung von Boswilligkeit auf die Zustellungsrate bei 1m/s

Anzahl bösartiger Knoten0 10 20 30 40 50

Em

pfan

gsra

te %

0

20

40

60

80

100




Abbildung 5.10: Auswirkung von Boswilligkeit auf die Zustellungsrate bei 20m/s

54


Erkennbar ist im Gegensatz zu den Ergebnissen der Simulation von egoistischem Verhalten in Kapitel 5.2,dass schon wenige boswillige Knoten eine deutliche Auswirkung in den Ergebnissen der Abbildung 5.9zeigen. Bereits drei boswillige Knoten fuhren zu einer Zustellungsrate von 81.4%; es waren immerhin 25egoistische Knoten notig, um einahnlich negatives Ergebnis zu bewirken. Bei nur sieben boswilligen Kno-ten werden nun schon 33% der Pakete boswillig verworfen.Auch hier ist einahnlicher Sockel feststellbar wie bei dem Egoismus, denn auch hier werden Pakete in ei-genem Interesse noch korrekt verschickt und empfangen.

Auch Abbildung 5.10 zeigt, wie schon wenige Knoten genugen, um einen großen Teil der Pakete zu zerstoren.Interessant ist, dass bei 20m/s ein einzelner Knoten fast 14,5% der Pakete verwirft. Damit ist ein einzelnerKnoten in der Lage das Netzwerk relevant zu beeintrachtigen. Waren es bei 1m/s noch sieben boswilligeKnoten, die 33% der Pakete verwerfen, so erreichen dies nun bereits drei Knoten. Das zeigt, dass bei hohenGeschwindigkeiten wenige Knoten einen starken Einfluss auf das Routing haben. Da diese Knoten bewusstboswillig sind und Route Replys ordnungsgemaß beantworten und weiterleiten, Datenpakete aber verwer-fen, wird DSR die Moglichkeit genommen, um diese Knoten Pakete herumzuleiten. Deshalb ist jetzt einenstarker Effekt als bei Egoismus ersichtlich.

Diese Ergebnisse sind besonders bedeutsam, da bisher nur Auswirkungen von Egoismus auf DSR simu-liert wurden. Mit dieser Arbeit konnte der bisher in der Literatur nicht untersuchte gravierende Effekt vonBoswilligkeit auf das DSR Routing gezeigt werden.

Als Ziel eines Intrusion Detection Systems bleibt damit die Erkennung und Unterdruckung von boswilligemVerhalten als primares Ziel. Um die Kooperation zu stimulieren, um effektive Ad hoc Netzwerke zu errei-chen, mussen in einem weiteren Schritt Egoismus erkannt und ausgemerzt werden.

55


56

Kapitel 6

MobIDS, ein Intrusion Detection System furmobile Ad hoc Netzwerke

Erklartes Ziel dieser Arbeit war es ein mobiles IDS zu schaffen, das standig wechselnden Netzwerktopo-logien zum Trotz in der Lage ist, bosartige und egoistische Knoten zu erkennen und Gegenmaßnahmeneinzuleiten. Dieses System wird kurz MobIDS (Mobile Intrusion Detection System) genannt.Es werden verschiedene neuartige Methoden der lokalen Erkennung vorgestellt und im Anschluss Bewer-tungsverfahren sowie die Reaktion auf bosartige Knoten behandelt.

6.1 Ein sicheres Rahmenwerk fur ein IDS

Jedes IDS in dem schwierigen Umfeld von mobilen Ad hoc Netzwerken macht Annahmenuber die Teil-nehmer und die durch andere Systemkomponenten garantierte Sicherheit. Diese Arbeit nimmt moglichstwenige Beschrankungen an, denen die Teilnehmer unterworfen sind.Dennoch benotigt MobIDS ein abgestimmtes Sicherheitsrahmenwerk, um damit zusammen das Netz besserzu schutzen, als die bisher diskutierten Ansatze es vermochten. Jeder kann Teilnehmer in einem von Mo-bIDS kontrolliertem Netzwerk werden. Aber jeder muss eine Instanz von MobIDS auf dem mobilen Geratam Laufen haben sowieuber eine eindeutige von MobIDS bestimmbare Identitat verfugen, die zyklischan zentraler Stelle erneuert werden muss. Das Netzwerkprotokoll muss, zum Beispiel durch ein krypto-grafisches System, sicherstellen, dass Routing Informationen nur durch den jeweiligen Erzeuger verandertwerden konnen. Im Netzwerk mussen entlang einer Route paarweise Schlussel mit der Quelle einer Routeausgetauscht worden sein, um verschlusselte Datenubertragung zu ermoglichen.Diese Annahmen sind realistisch und werden von den anderen aktuellen Arbeiten der Abteilung Medienin-formatik der Universitat Ulm abgedeckt. Im Gegensatz zu den bisher in dieser Arbeit diskutierten Ansatzenwird weder von einer globalen Zeit im Netzwerk ausgegangen noch von sicherer Hardware; weder unterlie-gen die Teilnehmer einer Beschrankung noch werden unerschutterliche Vertrauensbeziehungen vorausge-setzt.

57

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FUR MOBILE AD HOC NETZWERKE

6.2 Konzept des Intrusion Detection Systems

MobIDS operiert in drei Stufen: DieErkennunglauft immer, in dieser wird ein Knoten als bosartig, egoi-stisch oder aber auch als kooperativ erkannt. DieBewertungfuhrt die Einzelbewertungen der beobachtetemVerhalten zu einem Wert zusammen. Dieser wird verbreitet, sofern die Bewertung einen negativen Schlussuber einen Knoten zulasst. DieReaktionerfolgt, sobald einige negative Bewertungen von einem Knotenempfangen wurden.

6.2.1 Aufbau von MobIDS

MobIDS besteht, wie in Abbildung 6.1 dargestellt, aus vier Komponenten: Der IDSAgent ist auf untererEbene angesiedelt,ubernimmt die Kommunikation und erzeugt die Pakete fur das IDS, die IDSApplicati-on(IDSApp) bietet die Schnittstelle nach außen, um die Funktionen des IDS nutzbar zu machen. Innerhalbder IDSApp wird die Instanz des eigentlichen IDS erzeugt.Das IDS hat drei Hauptteile: Die Analysis Komponente ist zustandig fur die Koordination und Auswertungvon Untersuchungen und Audit Daten. Das Ergebnis wird bewertet und der Rating Komponenteubergeben.Im Rating werden diese zu Bewertungen aggregiert und zu einer Gesamtbewertung verdichtet.Alle relevanten Ereignisse, die fur eine spatere Auswertung interessant sein konnten, werden eine gewisseZeit in Audit gespeichert. Ebenso werden dort die Ergebnisse der Analyse abgelegt sowie die Bewertungenverwaltet.

ProbingOverhearingMalicious

Check

Analysis

HopsLinks

ProbesDSR Graph

Audit

Behaviour positive

negativeactivity

Rating

IDS SystemCommand API

IDSApp

CommunicationInterface

IDSAgent

NS

2 un

d D

SR

Abbildung 6.1: Aufbau des IDS

58


Diese Struktur kann auch auf das CIDF Modell abgebildet werden:Die Aufgabe der Event-Box wird auf mehrere Komponenten verteilt, denn der IDSAgent und die Schnitt-stelle zum DSR Protokoll liefern die benotigten Ereignisse auf unterer Protokollebene. Die Analysis Boxwird einerseits auf Analysis und andererseits auf Rating aufgeteilt. Die Aufgabe der Storage Box (D-Box)wird durch IDS Audit wahrgenommen. Die Countermeasure Box schließlich ist ein Konglomerat von Funk-tionen und Aufrufen, die direkt an das DSR Protokoll gerichtet sind.Am Ende dieses Kapitels werden die einzelnen Komponenten und Funktionen im Detail besprochen. DieImplementierungen der Algorithmen zur lokalen Erkennung werden direkt im Zusammenhang mit dem je-weiligen Erkennungskonzept erklart.

6.3 Lokale Erkennung

Die lokale Erkennung ist von zentraler Bedeutung bei einem IDS. Wenn sie nicht zuverlassig in Erkennungund Identifikation des Angreifers ist, sind die weiteren Schritte, die Bewertung und die Reaktion obsolet.Spater in diesem Kapitel in Abschnitt 6.4 werden die Bewertungsfunktionen diskutiert. Momentan genugtes zu wissen, dass es eine Bewertungsfunktion gibt, die aus mehreren Einzelverhalten einen Wert fur einGesamtverhalten ableiten kann... .

6.3.1 Overhearing mit dem Promiscuous Mode

Dies ist wohl die meist verwendete Technik bei aktuellen IDS, wie bereits in Kapitel 3 dargelegt wurde.Auch in diesem System wird sie eine wichtige Rolle einnehmen.

6.3.1.1 Die Problematik des Overhearing

Im normalen Betrieb einer Netzwerkkarte nach dem IEEE 802.11 Standard werden nur Unicast Pakete emp-fangen und gesendet, also immer nur Pakete, die von einem Sender an einen Empfanger adressiert sind. Eskann daruber hinaus auch noch im Broadcast Modus gesendet werden; dann empfangen alle Knoten in Emp-fangsreichweite dieses Paket.Aktuelle Netzwerkkarten bieten zusatzlich noch die Moglichkeit auch alle Unicast Pakete in Empfangs-reichweite zu verarbeiten (overhearing). Dadurch konnen also Pakete mitgehort werden, die nicht fur diesenKnoten bestimmt sind. Diesen Modus nennt man auch ”Promiscuous Mode”.

Wie gezeigt wurde nutzen viele IDS fur Ad hoc Netzwerke diesen Modus, ebenso wie das DSR Protokoll.Nun soll auf die spezielle Problematik des Promiscuous Mode eingegangen werden.

Das generelle Problem des Energieverbrauchs in Funknetzwerken wurde in [LF01] analysiert. Eine IE-EE 802.11 Netzwerkkarte verbraucht demnach selbst im Ruhemodus(idle Zustand) 800mW. Senden kostet1400mW, wahrend der Empfang immer noch 1000mW verbraucht. Es ist ersichtlich, dass einfache Daten-verarbeitung im Promiscuous Mode zusatzliche Kosten verursacht. Diese zusatzlichen Kosten mogen aber

59


tolerabel sein, da der großte Energieverbrauch in einem Rechner von Display, Speicher und Prozessor ver-ursacht wird.

Viele IDS nehmen an, dass man mit dem Horen eines Paketes mit dem Promiscuous Mode folgern kann,dass dieses Paket sein Ziel erreicht hat. Es gibt aber eine Reihe von Problemen mit dem Empfang vonPaketen im Promiscuous Mode:

1. Kollision beim Knoten im Promiscuous Mode: Wenn es beim Senden an irgendeinem Knoten imPromiscuous Mode zu einer Kollision kommt, hort der lauschende Knoten nichts mehr. Es kann alsonicht gesagt werden, ob das Paket nun geschickt wurde oder nicht.

2. Selbst wenn der lauschende Knoten eineUbertragung des Paketes hort, kann er nicht feststellen, ob esnicht beim Empfanger des Paketes zur Kollision gekommen ist. In diesem Fall hatte der Empfangernamlich trotzdem dieses Paket nicht bekommen.

3. Mit mancher Hardware kann die Sendeleistung reguliert werden. Dann kann ein boswilliger Knotenseine Leistung so anpassen, dass der lauschende Knoten das Paket hort, das Paket sein eigentlichesZiel aber nicht erreicht.

4. Ein anderes Problem ist, dass kooperative Angriffe nicht erkennbar sind. Wenn der erste boswilligeKnoten sein Paket weiterleitet, aber ein zweiter boswilliger Knoten das Paket direkt danach verwirft,wird es der lauschende Knoten hochst wahrscheinlich nicht erkennen.

6.3.1.2 Eine verbesserte Technik des Overhearing

Meistens konnen die Knoten ihre Transmissionen gegenseitig horen manchmal treten aber die oben be-schriebenen Probleme auf. Es ist also notig zu erkennen, wann man von einem Knoten nichts hort, weileiner der beschriebenen Effekte aufgetreten ist, und wann man den Knoten gut horen kann, aber er sichweigert das Paket weiter zu senden.

Der Gedanke ist mitzuhoren, ob ein Knoten im eigenen Interesse aktiv ist. Wenn man diese Aktivitatenwahrnimmt, kann davon ausgegangen werden, dass man zu diesem Zeitpunkt auch horen wurde, wie derKnoten das gewunschte Paket sendet.

Die Methode besteht nun darin, Protokolluber alle Sendeaktivitaten der Nachbarn zu fuhren. Ist beabsich-tigt, dass M ein Paket weiterleitet, senden wir dieses und warten. Horen wir von M, dass er das Paket sendet,werten wir das als kooperatives Verhalten positiv.Horen wir in einer Zeitspanne allerdings nicht, dass M das Paket weiterleitet, prufen wir seine Aktivitat.Wenn wir eine hohe, gut wahrnehmbare Aktivitat in einer gewissen Zeitspanne vor oder wahrend dem War-ten feststellen, dann werten wir dies als boswilliges Verhalten. Denn wer in eigenem Interesse senden kannund bei uns damit zu horen ist, sollte auch beim Senden unseres Paketes horbar sein.

60


Die Schwierigkeit liegt nun darin die Aktivitat passend festzustellen. Wir wollen die Aktivitat, nur kurzbevor wir den Auftrag erteilen und wahrend wir warten, einbeziehen. Zusatzlich muss der Schwellenwertgunstig gelegt sein, um noch eine hinreichend gute Erkennungsrate zu gewahrleisten.

Details der Implementierung

Das aktivitatsbasierte Overhearing basiert auf dem Promiscuous Mode: Pakete werden in diesem empfangenund direkt in einer zeitlich geordneten Warteliste gespeichert. Mit Hilfe dieser Liste erfolgt eine Prufung al-ler Pakete, die empfangen werden, ob diese Teil der Liste sind. Kann ein entsprechendes Paket gefunden wer-den, wird dieses aus der Warteliste entfernt und mit dem empfangenen Paket verglichen. FallsAnderungenfestgestellt werden, wird dies als boswillige Manipulation gewertet und fuhrt zu einer negativen Bewertung.Ist der Inhalt des empfangenen Paketes wie erwartet, wird eine positive vergeben.

Die Bewertungen werden fur den einzelnen beobachteten Knoten in drei getrennten Queues1 gespeichert: jeeine Queue fur positive und negative Bewertungen sowie eine Queue zur Erfassung der Aktivitat. Es han-delt sich dabei um separate Queues um zu verhindern, dass beispielsweise positive Bewertungen negativeverdrangen konnen. Jeder Eintrag dieser Listen umfasst die Zeit, die vergebene Bewertung und die Identi-fikationsnummer des Pakets. Die Queues haben eine maximale Lange, um einUberlasten des Systems zuverhindern. In der Aktivitats-Queue wird jedes empfangene Paket mit konstanter Bewertung gespeichert.Diese Queue ist zudem kurzer als die beiden anderen.Die Einzelbewertungen werden, wie in Abschnitt 6.4 vorgestellt wird, zu einer Gesamtbewertung unter Ein-beziehung der Zeit aggregiert. Wenn eine Bewertung zeitlich keine Relevanz mehr hat, wird sie aus derQueue entfernt.

Werden Pakete nunuberhaupt nicht empfangen, warten sie theoretisch fur immer in der Warteliste. Damitdieser Fall nicht eintritt, wird jedes Paket dort mit einer maximalen Wartezeit versehen. Die Bewertungensind in der Aktivitats-Queue ebenso lange enthalten wie die Wartezeit. Nach Ablauf der Wartezeit wird dasPaket entfernt. Nun muss entschieden werden, ob eine negative Bewertung vergeben wird.Zeigt die Aktivitats-Bewertung eine hinreichende Aktivitat des beobachteten Knotens, um daraus zu schlie-ßen, dass guter Empfang bestand, wird eine negative Bewertung vergeben. Ansonsten wird das Paket still-schweigend aus der Warteliste geloscht.

6.3.1.3 Ergebnisse des neuen Overhearing Systems

Overhearing ist der in der Literatur am starksten verbreitete Ansatz, um bosartiges Verhalten lokal zu erken-nen. Deshalb wurde Overhearing als Erkennungssystem implementiert und mit den Szenarien aus Kapitel5.3uberpruft.

1Queue siehe Glossar

61


Anzahl bösartiger Knoten0 2 4 6 8 10 12 14

0

0.5

1

1.5

2

Erkennungen eines einzelnen bösartigen KnotensFehlerkennungen

Abbildung 6.2: Erkennungsrate von bosartigen Knotenmit Overhearing bei 1m/s

Anzahl bösartiger Knoten0 5 10 15 20 25 30

0

0.5

1

1.5

2

2.5

3

3.5

4


Abbildung 6.3: Erkennungsrate von bosartigen Knotenmit Overhearing bei 20m/s

Bosartige Knoten 0 1 2 3 4 5 6 7 10 15Erkennungsrate bei 1m/s 0.6 1.1 1.8 1.3 1.8 1.5 1.4 1.0 0.5Fehlerkennungen bei 1m/s 1.7 1.2 0.4 0.7 0.6 0.1 0.4 0.1 0.1 0Erkennungsrate bei 20m/s 2.9 2.9 3.1 3.0 3.4 3.4 3.1 2.4 0.9Fehlerkennungen bei 20m/s0.4 0.2 0.1 0.1 0 0 0 0 0 0

Abbildung 6.4: Erkennungsraten von bosartigen Knoten mit Overhearing

Alle Ergebnisse wurden abhangig von der Anzahl der bosartigen Knoten simuliert. Dabei wurden zwei ver-schiedene Großen gemessen; die Erkennungsrate von bosartigen Knoten ist dabei von besonderem Interesse.Es ist dabei zu beachten, dass diese Große die durchschnittliche Anzahl der Erkennungen eines einzelnenKnotens angibt. Wurden beispielsweise 5 Knoten simuliert und die Ergebnisse weisen eine Erkennungsratevon 1.8 aus, dann bedeutet dies, dass im Durchschnitt jeder einzelne Knoten 1.8 mal richtig als boswilligerkannt wurde. Absolut betrachtet gab es also 9 richtige Erkennungen bei 5 simulierten Knoten.Dagegen ist die Fehlerkennung ein absolutes Maß, auch wenn sie im gleichen Diagramm gezeichnet wird.Sie gibt alle Fehlerkennungen an, die wahrend der Simulation aufgetreten sind. Da jeweils 10 Simulati-onslaufe zu Grunde gelegt sind, muss diese Große gemittelt werden. Fur alle Fehlerkennungen in diesemKapitel gilt, dass es sich dabei um verschiedene Knoten gehandelt hat, dass also kein Knoten in einem Si-mulationslauf mehr als einmal falschlicherweise beschuldigt wurde.

Wie die Ergebnisse zeigen, konnte das herkommliche Overhearing nicht die erhofften Resultate liefern. Beieinem simulierten Knoten bei 1m/s konnte dieser eine Knoten 0.6 mal richtig erkannt werden, 1.7 verschie-dene andere Knoten wurden dagegen falschlicherweise beschuldigt und stellen eine Fehlerkennung dar.Zwei simulierte bosartige Knoten wurden jeweils 1.2 mal erkannt, absolut betrachtet wurden also 2.4 Kno-ten richtig erkannt. Bei der hoheren Geschwindigkeit von 20m/s konnten die Knoten besser erkannt werden;es wurde jeder Knoten stabil 3 mal richtig erkannt, bei nur wenigen Fehlerkennungen. Diese bessere Er-kennung ist auf erhohte Aktivitat zum Routen Aufbau zuruckzufuhren. Die Topologieandert sich schnell,dadurch mussen standig neue Routen aufgebaut werden; der boswillige Knoten befindet sich entsprechendin mehreren Routen und kann dort seinen Angriff ausfuhren. Dadurch haben mehr Knoten die Chance die-sen bosartigen Knoten zu erkennen. 62



0

1

2

3

4

5

6

7

8


Abbildung 6.5: Aktivit atsbasiertes Overhearing bei1m/s


0

1

2

3

4

5

6

7

8


Abbildung 6.6: Aktivit atsbasiertes Overhearing kom-biniert mit normalem Overhearing bei 1m/s

Bosartige Knoten mit 1m/s 0 1 2 3 4 5 6 7 10 15Erkennungsrate aktivitatsbasiert 6.2 4.5 2.8 2.1 1.3 1.2 0.9 0.7 0.5Fehlerkennungen aktivitatsbasiert 1.8 1.0 0.4 0.6 0.2 0 0.1 0 0 0Erkennungsrate mit beiden Methoden 6.8 5.6 4.2 2.9 2.3 2.0 1.6 1.2 0.7Fehlerkennungen mit beiden Methoden2.9 1.8 0.8 1.0 0.6 0 0.4 0.1 0.2 0

Abbildung 6.7: Overhearing und aktivitatsbasiertes System

Die bereits diskutierten Probleme des Overhearings beim Empfang von Paketen scheinen eine wichtige Rol-le zu spielen. Knoten versuchen mittels Overhearing die Verarbeitung eines Paketes zu empfangen, wahrendaber eine Storung vorliegt, die den Empfang verhindert. Im Resultat wird ein Knoten falschlicherweise be-schuldigt obwohl er kooperativ war. Die Schwellenwerte mussen entsprechend angepasst werden, um zuviele Fehlerkennungen zu verhindern, dadurch fallt aber auch die Erkennungsleistung.

Overhearing mitUberprufung der Aktivitat ist ein in dieser Arbeit neu entwickelter Ansatz, deshalb musssich nun zeigen, ob es die erwunschten Erkennungsraten liefern kann. Der Grundgedanke, dass Knoten, vondenen eine Aktivitat empfangen werden kann, auch durch Overhearinguberprufbar sind.

Aktivit atsbasiertes Overhearing fuhrt wie in Abbildung 6.7 zu besseren Ergebnissen als herkommlichesOverhearing. Ein bosartiger Knoten wird nun von bis zu 6.2 Knoten in einer Simulation erkannt. Das isteine deutliche Steigerung gegenuber herkommlichem Overhearing mit Erkennungsraten kleiner zwei. DieTrennscharfe zwischen Fehlerkennungen und echten bosartigen Knoten ist besser; das zeigt sich durch dasMaximum von 1.8 Fehlerkennungen je Simulation.

63


Herkommliches Overhearing kann auch mit aktivitatsbasiertem Overhearing kombiniert werden, indem Er-eignisse des herkommlichen Overhearings schwach bewertet werden. Die beiden Methoden zusammen zei-gen, dass die Erkennung noch etwas gesteigert werden kann; zudem fallt die Erkennungsrate mit steigenderAnzahl der bosartigen Knoten spater ab. Bei 3 bosartigen Knoten wurde nun jeder 4.2 mal erkannt, wogegendas aktivitatsbasierte Overhearing alleine 2.8 Erkennungen lieferte. Diese Ergebnisse sind auch noch besserals die Erkennung von 1.8 des herkommlichen Overhearings.


0

2

4

6

8

10

12

14

16


Abbildung 6.8: Aktivit atsbasiertes Overhearing bei20m/s


0

2

4

6

8

10

12

14

16


Abbildung 6.9: Aktivit atsbasiertes Overhearing kom-biniert mit normalem Overhearing bei 20m/s

Bosartige Knoten mit 20m/s 0 1 2 3 4 5 6 7 10 15Erkennungsrate aktivitatsbasiert 12.7 8.2 4.4 3.8 2.6 1.9 1.6 1.1 0.7Fehlerkennungen aktivitatsbasiert 0.6 0.2 0.1 0.3 0.2 0.2 0.2 0.2 0.2 0.2Erkennungsrate mit beiden Methoden 13.7 10.7 7.0 5.7 4.4 3.5 2.9 2.1 1.1Fehlerkennungen mit beiden Methoden1.0 0.5 0.2 0 0.4 0.4 0.4 0.4 0.4 0.4

Abbildung 6.10: Overhearing und aktivitatsbasiertes System

Bei der hoheren Geschwindigkeit tritt eine deutliche Steigerung der Erkennungsrate auf. Wie bei herkommlichemOverhearing ist die gesteigerte Aktivitat, die fur den Routen Aufbau benotigt wird, ausschlaggebend. Die-se Aktivitat liegt dem aktivitatsbasierten Overhearing zu Grunde und fuhrt zu haufigeren Erkennungen. Jemehr Aktivitat an einem Knoten empfangen wird, desto sicherer kann gefolgert werden, dass ein Knoten,von dem man keine kooperative Nachrichtenweiterleitung empfangt, bosartig ist.Alleine das aktivitatsbasierte Overhearing liefert eine Erkennung des einzelnen bosartigen Knotens durch12.8 Knoten. Wird das herkommliche Overhearing noch dazu genommen, kann die Erkennung noch ge-ringfugig gesteigert werden.

64


Bewertung

Die Simulation hat also bestatigt, dass der neue Ansatz des aktivitatsbasierten Overhearings bessere Er-gebnisse liefert als herkommliches Overhearing, ohne dafur zusatzliche Kommunikationsressourcen zubenotigen. Eine gute Erkennung ist damit also moglich.Aktivit atsbasiertes Overhearing ist damit ein fundamentaler Bestandteil von MobIDS zur lokalen Erken-nung. Allerdings muss beachtet werden, dass der Promiscuous Mode in der Realitat anfalliger ist, als esdie Simulation zeigt. Die Ergebnisse sind stark von der Gelandebeschaffenheit abhangig. Ein Gebaude aneiner ungunstigen Stelle hat bereits gravierende Auswirkungen auf den Empfang und konnte bei hohen Ge-schwindigkeiten zusatzliche Fehlerkennungen erzeugen.

6.3.2 Probing

Aktivit atsbasiertes Overhearing wurde als effektive Moglichkeit vorgestellt, um bosartige Knoten zu erken-nen. Nun soll ein Verfahren untersucht werden, das sich Probing nennt und das bestehende Verbindungengezielt auf bosartige Knoten hin untersucht.

6.3.2.1 Probing in der Literatur

Awerbuch und Holmer stellen in [AH02] eine Technik NamensProbingfur Ad hoc Netzwerke vor. Probingist dabei eine Technik, die gezielte Tests unternimmt, um daraus Ruckschlusse auf das Fehlverhalten einesKnotens zu ziehen. Awerbuch geht dabei von einem Routing Protokoll aus, das DSR mit seinen Route Re-quest und Route Discovery Phasenahnelt. Zusatzlich werden aber noch Bestatigungsnachrichten fur jedesPaket vom Ziel zur Quelle geschickt. Die Weiterleitung der Pakete erfolgt ebenso wie bei DSR entlang vonSource Routen, nur dass jetzt auch noch nach dem Zwiebelschalenmodell verschlusselt wird. Diese Ver-schlusselung und der Austausch der Schlussel geschieht folgendermaßen:

Es werden Schlussel, frei nach Diffie Hellman, zwischen der Quelle und allen Knoten entlang der SourceRoute ausgetauscht. Damit werden paarweise geheime Schlussel zwischen Quelle und allen Knoten auf demPfad etabliert.Nun wird die Adresse des letzten KnotensZiel mit dem Schlussel vonD verschlusselt und in die Liste ge-geben. Danach wird der Liste der vorletzte KnotenD hinzugefugt und wiederum mit dem Schlussel vonCverschlusselt. So geht es weiter, bis die gesamte Route verschlusselt in einer Liste enthalten ist.Dieses Zwiebelschalenmodell, wie in 6.11 dargestellt, stellt sicher, dass nur der Knoten, der an der Reiheist, das nachste Ziel auf der Route entschlusseln und weiterleiten kann.

Das Probing nutzt diese Verschlusselung, indem fur jeden Knoten zusammen mit dem nachsten Ziel auchein Kommandofeld einer Stufe verschlusselt wird. Dieses Feld kann fur einen Knoten entlang der Route dasKommando enthalten, eine Antwort zu schicken.Erhalt ein Knoten ein Paket, entpackt er es und erhalt sein nachstes Ziel und das Kommandofeld. Wenn imKommandoeld steht, dass das eineProbewar, dann schickt er eine Antwort zuruck.

65


Quelle A B C D Ziel

Schlüsselvon B

Schlüsselvon C

Schlüsselvon D

Schlüsselvon A

Abbildung 6.11: Zwiebelschalenmodell fur Verschlusselung

Nun kann, wenn die Bestatigungsnachricht ausbleibt, mit dem Probing eine Suche nach dem potentiellbosartigen Knoten gestartet werden. Awerbuch schlagt dazu eine binare Suche vor:Zuerst wird der Knoten in der Mitte der Route gewahlt und diesem im nachsten Datenpaket eine Probesignalisiert. Wenn dieser antwortet, muss der boswillige Knoten hinter dem mittleren Knoten im Pfad kom-men. Antwortet der mittlere Knoten nicht, ist das Problem entweder der mittlere Knoten oder ein Knotenzuvor. Es wird nun das Intervall entsprechend vor oder nach dem mittleren Knoten genommen und hal-biert. Der neue mittlere Knoten im Intervall bekommt die nachste Probe. Das wird solange wiederholt, bisdie beiden Intervallgrenzen keine Knoten mehr zwischen sich haben. Dann muss nur noch eine Nachrichtzu der der Quellen naheren Intervallgrenze gesendet werden, um den bosartigen Knoten zu identifizieren.Kommt nun eine Antwort, ist die weiter entfernte Intervallgrenze als bosartig identifiziert, ansonsten dieandere Intervallgrenze.

Wie in Abbildung 6.12 zu sehen, gehen wir in unserem Beispiel von funf Knoten aus, von denenB boswilligist. Eine normale Nachricht kam nicht am Ziel an, weilB sie verworfen hatte, und entsprechend kam auchkeine Bestatigungsnachricht zur Quelle zuruck. Diese schickt nun zuerst ein Probepaket zum mittleren Kno-ten auf der Route und bekommt wiederum keine Antwort. Nun wird eine 3. Probe anA (in der Mitte desnachsten Intervalls) geschickt. Dort bekommen wir Antwort. Da wirB schonuberpruft und keine Antwortbekommen haben, schließt Awerbuch, dass der bosartige KnotenB ist.

Awerbuchs Ansatz hat eine Reihe von Nachteilen. Einige sind vermeidbar, wie der Einsatz der Zwiebel-schalenverschlusselung. Wie wir in dieser Arbeit sehen werden, kann der Verschlusselungsaufwand auf einkleines Feld in der Nachricht begrenzt werden. Eine komplette Nachricht fur jeden Knoten entlang der Rou-te zu verschlusseln und dann dieses Paket am jeweiligen Knoten zu entschlusseln, ist ein großer Aufwand.Durch die zusatzlich notwendigen Berechnungen erhoht sich die Laufzeit eines Paketes von der Quelle zumZiel deutlich.Vermeidbar ist auch, fur jedes Paket eine Bestatigungsnachricht zu schicken. Dadurch wird selbst bei gutfunktionierenden Verbindungen eine große Menge von vermeidbaren Status Paketen verschickt.

6.3.2.2 Das Probing Dilemma

Das dringendste Problem von Awerbuchs Ansatz aber ist, dasskeine zuverlassige Erkennungdes bosartigenKnotens gewahrleistet ist. Sobald ein bosartiger Knoten einmal eine Probe erhalten hat, stellt sich diesemdie Wahl, ob er auf die Probe antwortet oder nicht. Wenn der Knoten weiß, dass binar nach ihm gesucht

66


Quelle

A

Bböse

C

Ziel

Probe 1B

böse

Probe 2

B bö

se

Probe 3

Abbildung 6.12: Probing mit binarer Suche

wird, leitet er einfach fur eine begrenzte Zeit alle Pakete weiter. Der boswillige Knoten spekuliert namlichdarauf, dass einige der folgenden Pakete Probes fur eine binare Suche enthalten.

Da alle Probes nun beantwortet werden, solange der boswillige Knoten kooperiert, kann das Intervall, in demder boswilliger Knoten liegt, nicht bestimmt werden. Verwirft der boswillige Knoten plotzlich wahrend derbinaren Suche wieder Pakete, wird von der Quelle ein anderer Knoten als boswillig erkannt!Ist der Algorithmus naiv implementiert und alle Probes der binaren Suche kommen vorhersehbar in dennachsten Paketen vor, kann der boswillige Knoten sogar gezielt einen anderen Knoten als boswillig markie-ren. Das stellt damit einen kritischen Angriffspunkt dar.

Iteratives Probing als Losung?

Das binare Suchen bereitet offensichtlich Probleme fur das Probing, da der bosartige Knoten sein Verhal-ten andern kann. Es ist eine naheliegende Idee, einfach den Knoten, iterativ vom Ziel ausgehend, Probeszu schicken und sich dann Richtung Quelle vorzuarbeiten. Es wird zusatzlich vorausgesetzt, dass das Felddurch Verschlusselung geschutzt ist, mit dem die Probe signalisiert wird; damit kann ein bosartiger Knotennie sagen, obuber ihn eine Probe geschickt wurde oder nicht. Die Antwort auf die Probe sollte zu diesemZweck entweder in regular gesendete Datenpakete verpackt werden, um die Antwort zu tarnen, oder siekannuber eine andere Route zur Quelle geschickt werden. Diese Route sollte dann keinen Knoten des Pfa-

67


des enthalten, der in der Route bis zu dem Knoten, der die Probe empfangen hat, war.

Quelle

A

Bböse

C

Ziel

Probe 1

Probe 2B bö

seProbe 3

B bö

se

Probe 4

Abbildung 6.13: Iteratives Probing

In 6.13 ist erkennbar, wie iteratives Probing funktioniert. Ab und zu werden Probes an das Ziel geschickt;wenn keine Antwort vom Ziel innerhalb eines Zeitfensters ankommt, wird das Iterative Probing gestartet.Zuerst wird eine Probe zuC geschickt, dann zuB und schließlich zuA. Von A kann auf jeden Fall eineAntwort erwarten werden, dennA kennt das Protokoll und als ein kooperativer gutartiger Knoten wird erantworten.

Was aber ist mit dem bosartigen KnotenB?B hat die Wahl, ob er antwortet oder nicht; es kann damit nicht mit Bestimmtheit gesagt werden, wieBreagieren wird. Es gibt zwei Moglichkeiten (wie in 6.3.2.2 dargestellt):

1. WennB antwortet, kann aus der SichtB entweder der erste kooperative Knoten sein oder aberB istder bosartige Knoten der trotzdem antwortet! Damit ist einer der beiden Knoten{B,C} ein bosartigerKnoten, ohne dass wir sagen konnen, welcher.

2. WennB nichtantwortet, istA entweder der erste kooperative Knoten oder aberA ist der Knoten der dieProbe fur B zuvor verworfen hat. Damit ist wiederum einer der beiden Knoten{A,B} ein bosartigerKnoten.

68


Quelle

A

Bböse

C

Ziel

Probe 3

Probe 4

Probe reply: von B zu Quelleals böswillig verdächtigte

Knoten {B,C}

Abbildung 6.14: B antwortet: potentiell bosartig sind{B,C}

Quelle

A

Bböse

C

Ziel

Probe 3

B bö

se

Probe 4

Probe reply: von A zu Quelleals böswillig verdächtigte

Knoten {A,B}

Abbildung 6.15: B antwortet nicht: potentiell bosartigsind{A,B}

Damit gibt es immer zwei Kandidaten und es kann nur willkurlich eine Auswahl getroffen werden. Mit demProbing alleine wird offensichtlich keine eindeutigen Identifikation des bosartigen Knotens erreicht.

6.3.2.3 Ein Probing mit eindeutiger Identifikation des Angreifers

Das Probing Dilemma ist losbar, indem zwei Techniken kombiniert werden.Probingzusammen mitOver-hearingkann helfen den Knoten eindeutig zu identifizieren; diese Technik wirdeindeutiges Probingge-nannt. Es wird jetzt ein Probe Paket mehr verschickt als bisher. Der erste Knoten, der auf eine Probe geant-wortet hat, kann potentiell boswillig sein, also muss er zusatzlichuberpruft werden. Da es unwahrscheinlichist, dass zwei direkt aufeinander folgende bosartige Knoten zusammenarbeiten, kann dem Knoten, der vordem zu prufenden Knoten kommt, getraut werden. Diesem Knoten wird eine weitere Probe in einem etwasgeanderten Format geschickt.

Das geanderte Format der Probe enthalt nun zusatzlich die Paket ID der vorvorletzten gesendeten Probe.Diese Probe hatte von dem Verdachtigen weitergeleitet werden mussen. Diese Weiterleitung ware aber demkooperativen Knoten dank des Overhearings aufgefallen. Der kooperative Knoten kann nun in seinen AuditDaten suchen, ob er die Weiterleitung der vorvorletzten Probe mit der spezifizierten Paket ID gehort hat odernicht.

69


Overhearing alleine ist normalerweise nicht zuverlassig genug, um sicher sagen zu konnen, ob ein Knotenein Paket weiterleitet oder nicht. Treffen aber beide Ereignisse, also keine Probeantwort erhalten und keineWeiterleitung gehort, zusammen, dann ist die Wahrscheinlichkeit groß, dass dieser Knoten bosartig ist. Istdas Overhearing einer einzelnen Probenachricht zu unsicher, konnen auch mehrere Probe Nachrichten ge-sendet werden und dann von allen Probes gepruft werden, ob diese angekommen sind.

Quelle

A

Bböse

C

Ziel

Probe 3Overhearing durch A:

B hat Probe nichtweitergeleitet

Probe 4

Abbildung 6.16: B antwortet nicht: Ziel erkennt Wei-terleitung der Probe durch A

Quelle

A

Bböse

C

Ziel

Probe 3

Overhearing durchQuelle:

A hat Probe weitergeleitet Probe 4

B bö

seAbbildung 6.17: B antwortet: A erkennt keine Weiter-leitung der Probe durch B

Das Probing System und der Aufbau der Probe Nachrichten

Das Probing System wurde nun konkret mit der neuen Erkennung mittels Overhearing implementiert. EineProbe wird in drei verschiedenen Fallen verschickt:

1. Nach demAufbau der Routedurch einen Route Reply wird in dem ersten Paket eine Probe geschickt.Diese Probe dient der Erkennung von byzantinischen Fehlern im Netzwerk. Ein Knoten, der durcheinen Defekt Pakete verwirft, fallt so sofort auf.

2. Nach einemIntervall , dessen Dauer durch einen Zufallswert variiert wurde, wird eine Probe ge-schickt. Dies dient derUberprufung bereits bestehender Routen.

3. Eine Probe als Teil einerIterativen Suche

70


In den ersten beiden Fallen wird eine Probe verschickt und dann fur eine gewisse Zeitspanne gewartet. Trifftin dieser Zeitspanne eine Antwort ein, dann werden alle Knoten auf der Route positiv bewertet. Alle Knotenmussten schließlich kooperieren, um dieses Paket auszuliefern und die Antwort zuruck zu schicken. Kommtkeine Antwort, wird noch eine begrenzte Anzahl von Versuchen unternommen, die Probe nochmals zu sen-den. War keine Probe erfolgreich, wird die Iterative Suche gestartet.Diese funktioniert wie im vorigen Abschnitt beschrieben. Von hinten (dem Ziel), in Richtung der Quelle,wird allen Knoten versucht die festgesetzte Anzahl Probes zu schicken. Es wird dabei zuerst dem vorletztenKnoten eine Probe geschickt und dann auf Antwort gewartet. Bei ausbleibender Antwort wird dem vorvor-letzten Knoten eine Probe geschickt und so fort, bis entweder ein Knoten gefunden wurde, der antwortet,oder bis keine Knoten mehr in der Route vorhanden sind.

Details der Implementierung

Das Probing ist eng mit der DSR Implementierung von ns2 verflochten. Die Initiative des Probings gehtaber vom IDSAgent aus. Dieser sendet in den drei oben beschriebenen Fallen Probes. Dazu braucht derIDSAgent einen Timer; zum einen, um die Lebenszeiten der Probes zuuberprufen und beiUberschreitunggegebenenfalls zu entfernen, und zum anderen, um periodisch Probes zurUberprufung einer Verbindungzu senden. Damit sind die Lebenserwartungen der Probes mit einer gewissen Varianz behaftet. Die Probeswerden also vom IDSAgent erzeugt, dieser fugt sie in eine Warteliste von Probes ein.Das IDS System hat in IDSAudit eine Reprasentation des Netzwerkes mit allen Knoten. Jedem Knoten istdarin eine Warteliste von Probes zugeordnet. In der Warteliste befinden sich Probes, die noch nicht gesendetwurden, sowie Probes, die gesendet wurden, aber noch auf Antwort warten. Wir wollen Probes in regulareDatenpakete einbetten, deshalb mussen wir warten, bis ein solches gesendet wird. Fur dieses System wurdedas mittels eines Callback realisiert, der von der Implementierung des DSR Protokolls aus vor dem Sendeneines Datenpakets eine Funktion im IDSAgent aufruft. Falls eine Probe mit diesem Knoten als Ziel gewar-tet hat ausgesendet zu werden, liefert diese Funktion die Daten fur die Probe zuruck. Probes haben einegroßzugige maximale Wartezeit, um mit einem Datenpaket verschickt zu werden; wird dieseuberschritten,wird davon ausgegangen, dass die Verbindung inaktiv geworden ist, und die Probe wird stillschweigendentfernt. Kann eine Probe gesendet werden, wird die Zeit gespeichert, zu der die Probe gesendet wurde.Uberschreitet nun die Lebenszeit der Probe ihr Maximum, wird diese Probe entfernt und entweder eineweiterer Versuch unternommen, dieses Ziel mit einer Probe zu erreichen, oder aber die nachste Iteration derSuche wird gestartet.

Bei einer solchen Probe ist darauf zu achten, dass die Iterative Suche mit Probes nur entlang des untersuch-ten Pfades erfolgt. Wurde die Probe nur mit dem Ziel assoziiert, konnte sie das Zieluber einen beliebigenPfad erreichen. Damit ware also keine Aussageuber einen bestimmten Pfad getroffen. Deshalb muss er-zwungen werden, dass die Probesuber den zuuberprufenden Pfad geschickt werden.

Da nun also eine Probe verschickt ist, mussen alle Knoten, die das Datenpaket erhalten, versuchen das ver-schlusselte Feld zu dechiffrieren. Kann das Feld entschlusselt werden und enthalt es das Kommando fur eineProbeantwort, muss der Knoten eine Antwort schicken. Momentan werden die Antworten noch als separate

71


Pakete verschickt, weiter oben im Text wurden aber Moglichkeiten besprochen, dies unauffalliger zu tun.Die DSR Ebene leitet, um das zu leisten, jedes Paket mit einem Funktionsaufruf an das IDS weiter. Die-ses entschlusselt dann das Feld unduberpruft, ob es ein Kommando enthalt. War das eine Probe, enthaltdas Kommandofeld einen zusatzlichen Eintrag mit der Sequenznummer des Probe Pakets, das an denubernachsten Knoten geschickt wurde. Derubernachste Knoten ist derjenige, der nach dem Knoten kommt,den wir verdachtigen. Wiruberprufen mit Hilfe der durch das Overhearing gewonnenen Audit Daten, ob dernachste Knoten dieses Probe Paket weitergeschickt hat, und fugen das Ergebnis in die Probe Antwort ein.Dieses Ergebnis ist spater fur die zweite Probe, die wir schicken, wichtig. Zur Erinnerung: die erste Probe,die beantwortet wird, kann von einem potentiell bosartigen Knoten kommen. Deshalb schicken wir einezweite Probe an den Knoten, der vor dem verdachtigen Knoten kommt. Dessen Antwort enthalt dann, obder verdachtige Knoten Probe Pakete weitergeleitet hat oder nicht.

Jetzt endlich kommt die Probe zum Absender zuruck. Das DSR Protokoll erkennt die Antwort und leitetsie an das IDS weiter. Dieses entschlusselt die Daten und erhalt eine Antwort, ob der verdachtigte Knotendas Paket weitergeschickt hat oder nicht. Entsprechend wird dieser Knoten negativ bewertet, wenn keineWeiterleitung festgestellt wurde.

Um die Berechenbarkeit des Protokolls fur bosartige Knoten zu erschweren, konnen die Probes mit va-riablen Abstanden verschickt werden. Dazu kann eine zufallige Anzahl von Paketen verstreichen, bis dienachste Probe verschickt wird. In der naiven Implementierung kann mit dem Wissen um die Intervalle, nachdenen eine Probe verfallt, vorausgesagt werden, wann die nachste Probe verschickt wird.

6.3.2.4 Ergebnisse der Probing Mechanismen

Im letzten Abschnitt wurden zwei Probing Methoden vorgestellt; je nachdem, ob lediglich byzantinisch feh-lerhafte Knoten erkannt oder aber bosartige Knoten identifiziert werden sollen, wurde der einfache ProbingMechanismus zum Einsatz kommen oder der Mechanismus mit eindeutiger Identifikation des Angreifers.

Ergebnisse des einfachen Probing Mechanismus

Im einfachen Fall werden regelmaßig Probes in den Datenstrom, von Quelle zu Ziel, eingebettet. Kommtkeine Antwort zuruck, werden solange Probes der Reihe nach an die Knoten auf dem Pfad geschickt, bis dieerste Antwort empfangen wird. Der folgende Knoten wird als Ursache der gebrochenen Verbindung ange-sehen und als bosartig bewertet.Die Simulation wurde mit demselben Angriffsszenario wie in Kapitel 5.3 durchgefuhrt; alle Parameter wur-den gleich gewahlt.

Die Erkennungsrate dieses Ansatzes liefert eine zuverlassige Identifikation der Angreifer. Ein einzelner An-greifer wird bei 1m/s von 4.9 Knoten korrekt als boswillig erkannt. Mit steigender Zahl der Angreifer falltdieser Wert langsam ab, bis schließlich bei 15 simulierten Angreifern jeder einzelne immer noch von 1.1Knoten als bosartig erkannt wird. Das alles, wohlgemerkt mit einem Ansatz, der nur den ersten bosartigen

72



0

1

2

3

4

5

Erkannte bösartige Knoten

Fehlerkennungen

Abbildung 6.18: Erkennungsrate von bosartigen Kno-ten mit Probing bei 1m/s

Anzahl bösartiger Knoten0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

0

2

4

6

8

10

12

14


Fehlerkennungen


Bosartige Knoten 0 1 2 3 4 5 6 7 10 15Erkennungsrate bei 1m/s 4.9 4.4 4.3 3.5 3.4 3.2 2.7 1.9 1.1Fehlerkennungen bei 1m/s 0.1 0 0 0 0.2 0 0.2 0.1 0 0Erkennungsrate bei 20m/s 10.8 9.5 9.4 7.7 7.3 7.0 6.6 4.9 2.5Fehlerkennungen bei 20m/s0.1 0.1 0.3 0.1 0.1 0 0.1 0 0 0

Abbildung 6.20: Erkennungsraten von bosartigen Knoten mit Probing

Knoten in einem Pfad erkennen kann. Die Fehlerkennungen sind mit maximal 0.2 gering.Bei der hoheren Geschwindigkeit von 20m/s ist eine deutliche Steigerung der Erkennungsleistung auf 10.8Erkennungen des einzelnen bosartigen Knotens ersichtlich. Die Erkennungsleistung fallt auch nicht so tiefab wie bei 1m/s, sondern ist mit 2.5 Erkennungen bei 15 bosartigen Knoten immer noch stabil. Diese Steige-rung gegenuber 1m/s ist dadurch erklarbar, dass durch die hohe Geschwindigkeit viele verschiedene Pfadeim Laufe der Zeit benotigt werden, um ein und dieselbe Verbindung aufrecht zu erhalten. Die Wahrschein-lichkeit, dass ein bosartiger Knoten Teil einer solchen Verbindung wird und erkannt werden kann, steigtdamit rapide an.

Probing Mechanismus mit eindeutiger Identifikation des Angreifers

Im einfachen Fall zeigte der Angreifer immer das gleiche Verhalten: er vewarf alle Pakete, bis auf RoutingPakete. Es ist aber leicht einen Angriff so zu implementieren, dass der Angreifer, sobald er ein Probing Paketbekommt, eine Antwort schickt und fur eine gewisse Zeit danach kooperiert. Genau dieses Szenario wurdeimplementiert und durch Simulation analysiert, ansonsten sind die Parameter die gleichen wie zuvor. DasProbing mit der eindeutigen Identifikation des Angreifers kann nun trotzdem den Angreifer erkennen, auchwenn dieser versucht nicht aufzufallen.

73



0

0.5

1

1.5

2

2.5

3

3.5

4


Fehlerkennungen



0

0.5

1

1.5

2

2.5

3

3.5


Fehlerkennungen


Bosartige Knoten 0 1 2 3 4 5 6 7 10 15Erkennungsrate bei 1m/s 2.8 3.0 2.4 1.9 1.9 1.7 1.9 1.2 0.6Fehlerkennungen bei 1m/s 0.1 0.3 0.1 0.1 0.3 0.2 0.5 0.4 0.1 0.1Erkennungsrate bei 20m/s 2.5 2.2 1.8 1.5 1.7 1.7 1.2 1.0 0.4Fehlerkennungen bei 20m/s1.3 1.3 1.6 1.2 0.9 1.1 0.5 1.2 0.7 0.1

Abbildung 6.23: Erkennungsraten von bosartigen Knoten mit Probing

Bei 1m/s wird ein Angreifer von 2.8 Knoten erkannt. Die Anzahl der Erkennungen geht nur langsam zuruck,es wird selbst bei sieben Knoten jeder einzelne dieser sieben Knoten noch 1.9 mal erkannt. Es werden zudemmaximal 0.5 Fehlerkennungen erreicht. Das lasst sich folgendermaßen interpretieren: In zwei Simulationenhatte nur eine Fehlerekennung vorgelegen.

Die Erkennungsrate bei 20m/s ist etwas schlechter; 2.5 Knoten erkennen den einzelnen Angreifer jetzt kor-rekt. Diese Erkennungsrate fallt dann bei sieben Knoten auf 1.7 Erkennungen je Knoten ab, dabei wer-den je Simulation maximal 1.3 Knoten falschlicherweise als bosartig beschuldigt. Die spater eingefuhrtenBewertungs- und Reaktionsalgorithmen sind gegenuber diesem Wert noch tolerant und es kommt zu keinernachteiligen Reaktion fur den falschlicherweise beschuldigten Knoten.

Bewertung

Die Erkennungleistung ist immer noch ausreichend, um eine Reaktion gegen die bosartigen Knoten einzu-leiten; allerdings bringt die Abhangigkeit vom Overhearing dieser Technik geringere Erkennungsleistungenals die der reinen Probing Technik.Insgesamt ist das vorgestellte Probing besser als die bisher diskutierten Verfahren und kann mit einer hohenPrazision bosartige Knoten erkennen. Der zusatzliche Kommunikationsaufwand ist gering, da nur spora-disch Probes geschickt werden. Unter anderem deshalb ist diese Technik effizienter als Awerbuchs Ansatz,

74


da nicht auf jedes einzelne Paket ein Acknowledgement gesendet wird, sondern nur fur die sparlichen Pro-bes Antworten verschickt werden. Daruber hinaus kann der neue Ansatz, was den Fortschritt gegenuberAwerbuch darstellt, jetzt auch mit echten bosartigen und byzantinischen Knoten umgehen, die nicht deter-ministisch Pakete weiterleiten oder verwerfen.

6.3.3 Erkennung von Egoismus

Knoten, die nicht beim Aufbau eines Ad hoc Netzwerkes kooperieren wollen, sind sicherlich das schwie-rigste Problem der zuverlassigen Erkennung fur ein IDS. Es gibt bisher mit dem Nuglets System (3.4.2.6)erst einen Ansatz in der Literatur, um Egoismus zu begegnen. Die konzeptionellen Nachteile dieses Motiva-tionsansatzes verhindern aber seine Praxistauglichkeit, wie bereits in 3.4.2.6 nachgewiesen wurde.In diesem Kapitel wird nun ein Erkennungssystem vorgeschlagen, das schon wahrend der Route Discoverydie Erkennung eines egoistischen Knotens ermoglicht.

6.3.3.1 Die Notwendigkeit Egoismus zu erkennen und zu bestrafen

Nach der von John Nash begrundeten Spieletheorie [Nas50] ist Egoismus dann interessant, wenn der personlicheGewinn durch das egoistische Verhalten großer ist als der Verlust, der als Ruckkopplung dieses Verhaltensauf den Mitspieler entsteht.Ziel ist also, den Verlust durch Bestrafung abschreckend hoch zu gestalten, indem ein Erkennungssystemgegen Egoismus eingesetzt wird. Dieses muss nur einen gewissen Anteil an egoistischen Knoten erkennenkonnen, um den notigen Abschreckungseffekt zu erzielen. Es ist damit nicht mehr notig einen Knoten zurWeiterleitung jedes einzelnen Paketes zu motivieren, sondern es genugt eine Abschreckung durch ein Be-drohungsszenario zu erreichen.

6.3.3.2 Aufbau des Erkennungssystems

Egoismus kann in zwei verschiedenen Phasen beim DSR Protokoll auftreten: entweder wahrend des Rou-ten Aufbaus oder wahrend der normalen Weiterleitung von Paketen innerhalb des Netzwerkes. Wenn einKnoten im zweiten Fall aus Egoismus Pakete verwirft, kann das bereits mit dem Probing oder mit dem akti-vitatsbasierten Overhearing entdeckt werden. Knoten, die nicht an der Route Discovery teilnehmen, werdendagegen bisher nicht erkannt.

Es gibt eine Methode, um diese egoistischen Knoten, wahrend des Route Requests, zu identifizieren: Diesebasiert auf einem zuverlassigen Wissen von den Knoten, die sich in der Nachbarschaft aufhalten. Die Er-kennung der Knoten in der Nachbarschaft wird in dem nachsten Abschnitt behandelt.

75


Alle Knoten werden in MobIDS verpflichtet jeden Route Request mindestens einmal weiterzuleiten, soferndie maximal Reichweite dieses Route Requests noch nicht erreicht ist. Fur die Erkennung eines egoistischenKnotens genugt es zuuberprufen, ob alle Nachbarn wahrend einer festgelegten Zeit (die sogenannteWar-tezeit Egoismus) den Route Request weiterleiten. Leitet ein bekannter Nachbar den Request nicht weiter,wird er als egoistisch bewertet. Dass es bei diesem System auch zu Fehlerkennungen kommen kann, isteinsichtig; deshalb mussen die Gewichtung der Bewertung und der Schwellenwert, der zu einer Reaktionfuhrt, dementsprechend sinnvoll festgelegt sein.

markiere Absender alskooperativ

Route Request mit dieser Nummerbereits gesendet?

Route Request

Knoten

Ja Nein

entferne Absender ausWarteliste

gib positive Bewertung

Abbildung 6.24: Ablauf nach Erhalt eines Route Requests

Ein Knoten muss alle Route Requests, die er erhalt, mindestens bis zum Ablauf der Wartezeit Egoismusspeichern, nachdem er selbst diesen Route Request versendet hat. Sobald ein Knoten einen Route Requesterhalt, der seine Maximalreichweite noch nicht erreicht hat, baut er eine Liste mit allen Nachbarn fur dieSequenznummer des Route Requests auf (die sogenannteKandidatenliste Egoismus). Der Knoten, von demer den Route Request erhalten hat, wird in der Liste als kooperativ markiert. Ist die Maximalreichweite imRoute Request erreicht, wird der letzte Absender in einer gesonderten Liste als kooperativ markiert, aberes wird keine Kandidatenliste Egoismus aufgebaut. Wird eine Kandidatenliste Egoismus aufgebaut, werdenKnoten, die fur eine Sequenznummer in der gesonderten Liste stehen, nicht aufgenommen, denn diese ha-ben fruher schon einmal kooperiert.

MobIDS erwartet nun, dass innerhalb der Wartezeit Egoismus die Knoten in der Kandidatenliste Egoismusden Route Request mindestens einmal weiterleiten. In diesem Fall werden sie aus der Liste entfernt. NachAblauf der Wartezeit Egoismus werden alle Knoten, die noch in der Kandidatenliste Egoismus sind, entferntund als egoistisch bewertet.

76


6.3.3.3 Erkennung der Knoten in der Nachbarschaft

Manche Ad hoc Routing Protokolle wie AODV kennen die Knoten in ihrer Nachbarschaft. Das hier analy-sierte DSR Protokoll hat dieses Wissen nicht, sondern muss es explizit aufbauen.

Fur die Erkennung egoistischer Knoten interessieren jetzt nur Knoten in direkter Nachbarschaft, also dieKnoten, die in Sendereichweite des aktuellen Knotens liegen und die er empfangen kann. Es wurde deshalbeinHeartbeat Algorithmusverwandt, um die Nachbarschaftsbeziehungen herzustellen:Nach einem bestimmten Intervall wird eine vom Sender signierte Nachricht ausgeschickt, die die Sequenz-nummer und die Identifikationsnummer des Knotens (ID) enthalt. Alle Knoten, die diese Nachricht erhalten,speichern sie fur eine definierte Zeit in der Nachbarschaftsliste. Nach dieser Zeit wird diese Heartbeatnach-richt entfernt, sofern es noch jungere Heartbeatnachrichten gibt. Gibt es keine jungeren Nachrichten mehr,wird die Heartbeatnachricht behalten, aber als verfallen markiert.Erfolgt nun eine Route Discovery, wird fur jeden Nachbarn in der Liste die letzte authentifizierte Heartbeat-nachricht angehangt. Diese Teilliste wird wiederum durch den am Route Discovery teilnehmenden Knotensigniert.

Durch die authentifizierten Eintrage wird sichergestellt, dass keine Eintrage erfunden und hinzugefugt wer-den konnen. Eine Gefahr sind aber nun alte Heartbeatnachrichten, deren Kopien von einem Angreiferfalschlicherweise ausgesendet werden konnten. Die anderen Knoten wurden die alte Nachricht nicht voneiner Originalnachricht unterscheiden konnen. Die Wirkung ware ein Denial of Service gegen den Besitzerdes Original Heartbeats, denn dieser wurde sehr wahrscheinlich gar nicht kooperieren, da er nicht in Emp-fangsreichweite ist.Deshalb gibt es die Sequenznummer. Alle Knoten gehen von der gleichen Haltbarkeit einer Heartbeatnach-richt aus und merken sich zudem die jungste ungultig gewordene Sequenznummer. Bekommt ein Knotenjetzt eine Heartbeatnachricht mit einer Sequenznummer, die bereits verbreitet worden ist, ist das offensicht-lich eine Kopie (Dieser Angriff wird auchReplay Attackegenannt). Es gibt nun leider keine Moglichkeitfestzustellen, wer dieses Paket verschickt hat, deshalb soll die Reaktion darauf beschrankt sein, das Netz-werk in einem weiten Umkreis vor den alten Heartbeatpaketen zu warnen. Das wird einfach dadurch erreicht,dass eine Warnnachricht ausgeschickt wird, die die letzte authentifizierte Heartbeatnachricht des Opfers undeine Identifikation als Replay Warnnachricht enthalt. Alle Knoten werden diese dann in ihre Listen aufneh-men und sind damit gegen das Auftretenalterer Sequenznummern geimpft.

Eine Frage ist bisher offen geblieben: Warum sollte ein Knoten am Heartbeat Protokoll teilnehmen? Kno-ten, die keine Heartbeats von einem Knoten empfangen haben, leiten keine Pakete dieses Knotens weiter.Damit die Aufbauphase der Topologie dadurch nicht gebremst wird und keine Fehlerkennungen entstehen,wird noch ein Zeitfenster eingefuhrt, in dem trotzdem Pakete weitergeschickt werden, auch wenn keineHeartbeatnachricht empfangen wurde. Dieses Zeitfenster ist typischerweise ein Vielfaches des Heartbeatin-tervalls.Der Algorithmus kann daruber hinaus abgesichert werden, indem Verbindungen von Knoten getrennt wer-den, die keine Heartbeatnachrichten mehr schicken. Es ist auch denkbar zuuberprufen, ob Knoten, die

77


aufhoren Heartbeatnachrichten zu schicken, mit einemPing auf unterster Ebene auf Anwesenheit gepruftwerden. Ein solcher Ping wurde auf MAC Ebene signalisieren ein Paket an den Knoten zu schicken. DerKnoten muss dem gemaß IEEE 802.11 antworten, um das Paket gesendet zu bekommen; dadurch hat er aberseine Anwesenheit verraten und kann als egoistisch angesehen werden.

6.3.3.4 Erkennungsrate von egoistischen Knoten

Anzahl egoistischer Knoten0 2 4 6 8 10 12 14

0

5

10

15

20

Erkennungen eines einzelnen egoistischen KnotensFehlerkennungen

Abbildung 6.25: Erkennungsrate von egoistischenKnoten bei 1m/s

Anzahl egoistischer Knoten0 2 4 6 8 10 12 14

0

5

10

15

20

Erkennungen eines einzelnen egoistischen KnotensFehlerkennungen

Abbildung 6.26: Erkennungsrate von egoistischenKnoten bei 20m/s

Egoistische Knoten 0 1 2 3 4 5 6 10 15Erkennungsrate bei 1m/s 4.4 5.5 6.0 7.5 7.5 7.6 14.1 16.0Fehlerkennungen bei 1m/s 0 0 0 0 0 0 0 0 0.1Erkennungsrate bei 20m/s 12.5 11.9 12.7 13.2 12.9 16.1 15.6 17.4Fehlerkennungen bei 20m/s0 0 0 0 0 0 0 0 0

Abbildung 6.27: Erkennungsraten von egoistischen Knoten

Es wurde Egoismus wie in Kapitel 5.2 simuliert, abhangig von der Geschwindigkeit werden verschiedeneSchwellenwerte fur die Erkennung benotigt. Die Schwellenwerte wurden fur diese Simulationen handischoptimiert; es ist aber auch denkbar, diese dynamisch zu bestimmen. Um eine gute Bewertung des reinenErkennungsansatzes zu ermoglichen, wurde der Simulator so abgeandert, dass er die Nachbarn zu einembestimmten Zeitpunkt liefern kann. Die Implementierung der Nachbarschaftserkennung hatte den Umfangdieser Diplomarbeit gesprengt und ist ein Thema, das noch statistisch sowie durch Simulation in anderemRahmen aufbereitet werden sollte.

Die Ergebnisse zeigen eine gute Erkennungsleistung bei faktisch keinen Fehlerkennungen. Bei der Ge-schwindigkeit von 1m/s erkennen 4.4 Knoten den einzigen simulierten egoistischen Knoten richtig. Bei 15simulierten egoistischen Knoten wird jeder einzelne davon von 16.0 anderen Knoten als egoistisch erkannt.Das ist eine bedeutender Anstieg der Erkennungsrate!

78


Erklaren lasst sich dies dadurch, dass mit der Steigerung der egoistischen Knoten im Netz immer wenigerKnoten zur Bildung von Routen zur Verfugung stehen. Die Pfade werden dadurch langer, wodurch auch dieChance steigt, sie als egoistisch zu erkennen. Zudem werden wesentlich mehr Route Requests abgesetzt undbei jedem Route Request kann ein Knoten nochmals als egoistisch bewertet werden. Diese beiden Faktorenzusammen ergeben die beobachtete Steigerung der Erkennungsleistung.

Bei 20 m/s gibt es auch eine Steigerung der Erkennungsrate, die aber geringer ausfallt. Der einzige simulier-te egoistische Knoten wird bereits von 12.5 anderen Knoten richtig erkannt. Bei 15 simulierten egoistischenKnoten wird jeder einzelne davon von jeweils 17.4 Knoten richtig erkannt. Bei vielen egoistischen Knotenlasst sich eine geringe 0.1 Fehlerkennung beobachten.

Die Ergebnisse sind damit sehr gut ausgefallen und erlauben eine effektive Bestrafung von egoistischemVerhalten. Obwohl der Empfang von Route Requests durch seine Broadcast Natur dem Overhearing ver-wandt ist und mit den gleichen Problemen kampft, konnten hier die Schwellenwerte so gewahlt werden,dass eine gute Erkennung gewahrleistet ist.

Das Empfangsverhalten von Route Requests wird durch diese Simulationsergebnisse realistisch abgedeckt,sie nehmen aber die ideale Erkennung der Nachbarschaft an. Der nachste Schritt ware die Nachbarschaftser-kennung zu analysieren und zu implementieren. Daruber hinaus musste betrachtet werden, welcher zusatzlicherAufwand dem Netzwerk durch die benotigten Heartbeats entsteht. Dieser Aufwand fallt aber in jedem Fallan, denn die Verteilung von Anschuldigungen basiert ebenfalls auf Heartbeats. Es ist zu erwarten, dass beiimplementierter Nachbarschaftserkennung Fehlerkennungen entstehen werden, aber auch, dass es immernoch eine praktikable Erkennungsrate geben wird.

6.4 Bewertungsverfahren

Mit dem CORE Ansatz in Abschnitt 3.4.2.3 wurde bereits ein ausgearbeitetes Bewertungsverfahren vor-gestellt. Das hier vorgestellte Verfahren ist, besonders was die lokale Bewertung angeht, CORE verwandt.In der Kommunikation von Bewertungen zwischen den Knoten im Netzwerk unterscheiden sie sich aberdeutlich voneinander.

6.4.1 Lokale Bewertung

Der Knoten muss alle beobachteten Verhalten seiner Nachbarn intern bewerten und zu einem Wert zusam-menfassen; dieser Schritt wirdlokale Bewertunggenannt.

6.4.1.1 Subjektives Ansehen

Die Definition des subjektive Ansehens wurde bereits eingefuhrt, zur Wiederholung hier noch einmal dieDefinition:

79


rtsi(sj | f ) = ∑ρ(t, tk) ·σk

Subjektive Ansehen eines Knotensi zur Zeit t von einem Knotenj wird mit rtsi(sj | f ) bezeichnet. Dieses

Ansehen ist immer auf das Verhalten bezuglich der Ausfuhrung der Funktionf durch Knotenj. Die k-teBewertung wird durchσk ausgedruckt. Einσk > 0 steht fur eine positive Beobachtung, ein negativer Wertentsprechend fur eine negative Beobachtung.

Fur unser IDS definieren wir die zeitabhangige Funktionρ(t, tk) nun folgendermaßen mitTρ als der Lebens-dauer einer Bewertungσk:

ρ(t, tk) = 1− tk− tλ

mit einer linearen Abbaurate der Bewertungλ, definiert als

λ =1Tρ

Es gilt ρ(t, tk) ∈ [0,1], denn eine Bewertung verfallt spatestens nach der ZeitTρ. Wie zu sehen ist, ist dieFunktionρ(t, tk) linear. Das bewirkt fur das subjektive Ansehen, dass viele alte schwachere Bewertungeneine hohere Relevanz haben als wenige neue starkere Bewertungen. Dadurch kann vermieden werden, dassein kurzfristig auftretendes Fehlverhalten das Ansehen zu sehr beschadigt.Es bleibt festzuhalten, dass es schwierig ist ein positivessubjektives Ansehenaufzubauen, aber unkoopera-tives Verhalten deutlich bestraft wird.

Es galt bisherσk ∈ [−1,1]; das ist aber mit der neuen linearen Funktionρ(t, tk) nicht mehr sinnvoll. Einboswilliger Knoten konnte sich namlich einfach durch gute Bewertungen tarnen, indem er zum Beispielimmer ein Paket weiterschickt und das nachste Paket verwirft. Damit kame er an eine Bewertung nahe Null.Diesem Effekt kann man entgegen treten, indemσk ∈ [−∞,1] ist. Bewertungen zur Bestrafung konnen damitkleiner als -1 sein und haben damit ein großeres Gewicht als die Belohnung der Kooperation.

6.4.1.2 Die Bildung des Ansehens eines Knotens

rtsi(sj) = ∑

cwc · rt

si(sj | fc)

fc ist wieder die verwendete Funktion, die mit der Gewichtungwc in das Ansehen des Knotens eingeht.Somit stehtrt

si(sj) fur das Ansehen, das ein Knotenj bei einem Knoteni besitzt. Diewc sind geeignet zu

wahlen, um der Sicherheit der Erkennung und der Bedeutung der Funktion gerecht zu werden.

80


6.4.1.3 Implementierungsdetails

Die einzelnen Bewertungen werden in Form einerQueue2 gespeichert. Gerade bei mobilen Geraten ist Spei-cherplatz knapp und muss daher sparsam genutzt werden. Es kann demnach also vorkommen, dass es mehrBewertungen gibt als Platz in der Queue. Gibt es nur eine Queue, konnen positive Bewertungen negativeverdrangen. Deshalb hat dieser Entwurf je eine Queue fur negatives und eine Queue fur positives Verhaltenje Knoten.Um zusatzlich noch die Aktivitat der Knoten fur das Probing festzuhalten, gibt es noch eine separate kurzeQueue fur mitgehorte Aktivitaten. Diese Queue kann deutlich kleiner sein. Ihre Eintrage haben zudem nocheine nur kurze Lebensdauer.

Aktivität

Negatives Verhalten

Positives VerhaltenLebensdauerüberschritten

Queue

Abbildung 6.28: Queues von Bewertungen

Queues in C++ verwalten ihren Speicherbedarf dynamisch und belegen, wenn sie leer sind, nur wenig Platz.Vorerst wurde die einfache Verdrangungsstrategie FIFO (first in first out) gewahlt. Es ist aber auch denkbar,andere Eintrage mit geringerem Informationsgewinn zu verdrangen, um eine bessere Verteilung der Bewer-tungenuber die Zeit zu erreichen.

6.4.2 Verteilte Bewertungsverfahren

Ein Knoten, der fur sich alleine einen Eindringling erkennt, hat wenige Moglichkeiten Gegenmaßnahmeeinzuleiten; er kann hochstens die Kommunikation mit diesem einstellen. Die Wirkung ist, wie man sichleicht vorstellen kann, begrenzt. Eine Sanktionierung durch viele Knoten dagegen kann den Ausschluss desEindringlings aus dem Netzwerk erzwingen und ist deshalb eine effektive Strafe.

6.4.2.1 Verteilung von Anschuldigungen

Nach einer eindeutigen Erkennung eines Angreifers muss das Wissen kommuniziert werden. Nach diesemSchritt sollten die Knoten entweder gemeinsam Gegenmaßnahmen ergreifen oder weitere Beobachtungenanstellen, sofern die Anschuldigung nicht stichhaltig genug war. Da im Ad hoc Netzwerk immer eine Loka-lit at der Ereignisse und Beziehungen herrscht, genugt es die Abstimmung der Reaktionen auf eine Menge

2Queue siehe Glossar

81


von Knoten in der Umgebung zu beschranken. Die Dynamik des Ad hoc Netzwerks macht die deterministi-sche Bestimmung von Knoten, die Bewertungen empfangen sollen, schwierig, denn es gibt immer Knoten,die gerade das relevante Gebiet betreten haben oder auf Grund von Kollisionen Bewertungen nicht horenkonnen. Damit entsteht eine gewisse Unscharfe in der Verteilung des Wissensuber bosartigen Knoten. EinBewertungsverfahren muss dies berucksichtigen und trotzdem eine in einem Gebietubereinstimmende Be-wertung erreichen konnen.

Die Kommunikation muss also folgenden Bedingungen genugen: Sie muss in einer gewissen Reichweitedie Bewertungen in der Umgebung verteilen, sie sollte in der Reichweite beschrankt sein, außerdem nurrelevante Informationen verteilen und sie muss sicher gegen gefalschte Nachrichten sein.Da wir bereits einen Heartbeat Algorithmus zur Erkennung der Nachbarschaft eines Knotens einsetzen,konnen wir die Heartbeatnachrichten noch etwas erweitern, damit sie zusatzlich auch Bewertungen trans-portieren konnen. Wir wollen uns darauf konzentrieren, besonders aussagekraftige Bewertungen zu verbrei-ten, deshalb werden nur Bewertungen verschickt, die bestimmte Schwellenwerteuberschreiten.Alle Knoten, die eine Heartbeatnachricht erhalten, nehmen diese in eine interne Matrix auf. Jedem Absenderwird eine Zeile in der Matrix zugeordnet. Die Zeile hat fur jeden bewerteten Knoten einen Eintrag. DieserEintrag wiederum steht in einer Liste der erhaltenen positiven und negativen Bewertungen vom Absenderuber diesen Knoten.Die Nachricht wird außerdem zwischengespeichert, um dann spater mit der nachsten Heartbeatnachrichtweiter geschickt zu werden. Durch diesen Mechanismus werden die Bewertungen verteilt. Damit Paketenicht endlos im Netzwerk reisen, muss gezahlt werden, wie viele Knoten dieses Paket schon weitergeleitethatten. Nur wenn dieser Wert kleiner als eine definierte Grenze ist, wird die Bewertung verbreitet. Um zuverhindern, dass Pakete mehrfach durch einen Knoten gesendet werden, muss der Knoten jedes einkommen-de Paket mit seiner Matrix vergleichen, ob er dieses Paket schon gesehen hat. Wenn er dieses Paket oder einPaket mit einer hoheren Identifikationsnummer schon kennt, wird es stillschweigend verworfen.

Dieses Verfahren bietet den Vorteil die Anzahl der Pakete zu begrenzen, die benotigt werden, um alle Knotenim Umkreis mit einer Bewertung zu erreichen. Das Verfahren ist damit effizient, da es Paket Overhead ein-spart und die Bandbreite in geringerem Maße in Anspruch nimmt. Durch die fest definierten Sendeintervallekann außerdem gut abgeschatzt werden, wann eine Bewertung ihre maximale Weglange zuruckgelegt hat.Allerdings werden Pakete langsamer verteilt als bei einer Flutung des Netzwerkes durch Broadcast Pakete.

6.4.2.2 Bewertung eines Knotens

Die endgultige Bewertung des Verhaltens eines Knotens fuhrt direkt zur Reaktion. Um bei der Reaktion einebreite Wirkung zu erzielen, mussen die Knoten fremden Bewertungen vertrauen. Dabei besteht naturlich dieGefahr, dass genau dieser Mechanismus fur einen Denial of Service Angriff gegen einen Knoten ausgenutztwird. Es gilt also die Balance zwischen Vertrauen und Misstrauen gegenuber den anderen Systemen zu fin-den.Wir haben gerade erst gesehen, wie Bewertungen mit Hilfe des Heartbeat Algorithmus verteilt werdenkonnen. Damit erhalten wir die benotigten Bewertungen. Nun mussen wir aber die Bewertungen zu einer

82


A

M

Runde

1 Rund

e2

Runde

3

Abbildung 6.29: Verteilung von Anschuldigungen

Schlussfolgerung verdichten, nach der wir handeln konnen. Dazu wollen wir eine laxe Form einer Abstim-mung verwenden, indem wir eine Sanktionierung nur erlauben, wenn eine bestimmte Anzahl von Knoteneinen anderen Knoten als bosartig bewertet hat. Durch die Abstimmung reduzieren wir die Anzahl derFehlerkennungen der lokalen Erkennungsalgorithmen. Wie bereits nachgewiesen wurde, ist die lokale Er-kennung nicht gegen falsche Erkennungen gefeit, aber diese sind stochastisch gleichmaßiguber die Mengeder unschuldigen Knoten verteilt. Damit eliminiert die Abstimmung die Fehlerkennungen.Ein anderes Problem, das nun auftreten konnte, ist, dass ein Knoten, der zu Recht einen anderen Knotensanktioniert, genau fur dieses Verhalten von anderen, die die negativen Bewertungen nicht erhalten haben,schlecht bewertet wird. Der sanktionierende Knoten konnte auf einmal selbst als bosartig erkannt werden.

Die erste einfache Moglichkeit verbietet eine negative Bewertung eines Knotens, der potentiell eine Sank-tionierung eines Knotens M durchfuhrt, wenn aus einer anderen Quelle eine negative Bewertung von Mverteilt wurde. Durch die Anforderung negative Bewertungen aus anderen Quellen zu besitzen, ist garan-tiert, dass ein Knoten sich nicht selbst durch negative Bewertungen einen Freibrief zum Angriff auf einenKnoten ausstellen kann.Die Fehlerkennung kann außerdem vermieden werden, indem nur negative Bewertungen verwendet werden,die noch mindestens einmal weitergeleitet werden mussen. Damit wird sichergestellt, dass die direkte Nach-barschaft auch zur gleichen Gesamtbewertunguber den bosartigen Knoten kommt. Da sich die Knoten aberbewegen und die Nachbarschaft sich fortlaufendandert, mussen trotzdem nicht alle Nachbarn zum gleichenSchluss kommen. Langfristig wird ein Knoten, der sich bosartig verhalt, aber so viele negative Bewertun-gen einfangen, dass er im Laufe der Zeit vollstandig vom Netzwerk isoliert wird. Damit ist eine hinreichend

83


Mt1

Mt2

Mt3

O1

P2

P3P1

O2

Abbildung 6.30: Ein bosartiger Knoten erzeugt im Laufe der Zeit viele Anschuldigungen

abschreckende Sanktionierung moglich und daruber hinaus eine Selbstheilung des Netzwerkes gegenuberbyzantinischen Fehlern.

In Abbildung 6.30 wird verdeutlicht, wie ein bosartiger Knoten durch Bewegung Teil mehrerer Routen wird.Bei fortgesetztem bosartigem Verhalten wird er dann auch von verschiedenen Knoten durch das Probing unddurch das Overhearing erkannt. Diese Knoten werden dann Beschuldigungsnachrichten verbreiten, die nachein paar Runden bei allen Knoten im Umkreis ankommen.

6.5 Reaktion

Wenn ein Angreifer oder egoistischer Knoten erkannt wurde, erfolgt eine Reaktion. Diese Reaktion kannim einfachsten Fall von der Benachrichtigung des Benutzers bis zum anderen Extrem, dem Ausschluss desKnotens reichen.Es ist nun vor allem von Interesse, welche automatischen Reaktionen denkbar sind, die die stabile Funktiondes Netzwerkes gewahrleisten.

6.5.1 Reaktion auf erkannte Angreifer im Ad hoc Netzwerk

Ein Knoten ist schon allein aus eigenem Interesse daran interessiert die Funktionsfahigkeit des ihn umge-benden Netzwerkes zu erhalten. Das Ziel ist deshalb, einen erkannten boswilligen Knoten auszuschließen,

84


um fortdauernde Storungen und Angriffe zu unterbinden.Bei der Analyse der Erkennungsverfahren wurde deutlich, dass jede Erkennung mit einem gewissen Unsi-cherheitsfaktor behaftet ist. Das System muss zudem sicher gegen falsche Beschuldigungen sein, sonst kannein boswilliger Knoten das IDS benutzen, um andere Knoten aus dem Netzwerk auszuschließen.

Knoten in MobIDS, die einen boswilligen Knoten erkannt haben, erstellen eine signierte Nachricht, welcheeinen Knoten zu einem bestimmten Zeitpunkt beschuldigt boswillig zu sein. Die Nachricht ist mit einer Ma-ximalreichweite versehen, um die Information von Knoten fern zu halten, die wahrscheinlich nie in direktemKontakt mit dem boswilligen Knoten stehen, weil sie zu weit entfernt sind. Zeitlich wird die Nachricht andie Heartbeatnachrichten der Nachbarschaftserkennung gekoppelt, um eine lose zeitliche Synchronisationzu erreichen.

Es sind nun mehrere gegen einen Knoten gerichtete Beschuldigungsnachrichten aus verschiedenen Quel-len notig, um einen Knoten auszuschließen. Wenn die Anzahl der erhaltenen Beschuldigungen an einemKnoten eine definierte Schwelle, dieAuschlussschwelle, uberschreitet, dann wird der beschuldigte Knotenfortan ignoriert. Da aber viele Knoten im Netzwerk hinreichend viele Beschuldigungen bekommen haben,wird der Knoten somit von der weiteren Teilnahme im Ad hoc Netzwerk ausgeschlossen. Es ist darauf zuachten, dass die Ausschlussschwelle groß genug ist, um resistent gegen eine Koalition mehrerer Angreiferzu sein. Ein sinnvoller Wert, der durch die Simulation untermauert wurde, ware zum Beispiel die Anzahl vondrei Knoten als Ausschlussschwelle. Es sind bei einer großeren Laufzeit des IDS auch hohere Schwellenrealistisch.

Nun stellt sich aber das Problem, dass ein Knoten genugend Beschuldigungsnachrichten bekommen hat undbeginnt den beschuldigten Knoten zu ignorieren. Das IDS eines dritten Knotens kann aber jetzt erkennen,dass ein Knoten einen anderen ignoriert und zum Schluss kommen, dass dieser bosartig ist. Die IDS mussendeshalb tolerieren, dass ein Knoten einen anderen ignoriert, wenn eine gewisse Mindestzahl von Beschuldi-gungsnachrichten, dieToleranzschwelle, uberstiegen wurde. Es kann beispielsweise festgelegt werden, dassnoch mindestens eine andere Beschuldigungsnachricht vorliegt, außer einer moglichen Nachricht von demKnoten, der einen anderen Knoten gerade ignoriert. Auch fur die Toleranzschwelle gilt, dass diese hinrei-chend groß zu wahlen ist, um resistent gegen eine Koalition von Angreifer zu sein.

Bei der Ausbreitung der Beschuldigungsnachrichten ist nicht deterministisch bestimmbar, ob oder wann einKnoten diese erhalt. Indem die Beschuldigungsschwelle um mindestens zwei großer gewahlt wird als dieToleranzschwelle, kann dieses Problem abgemildert werden.

6.5.2 Ein globaler Reaktionsmechanismus fur alle MobIDS Netzwerke

Das Rahmenwerk, in welchem das IDS eingebettet ist, bindet Identitaten direkt an die Hardware. Ohnedie Moglichkeit, Identitaten zu entziehen, wird der Mechanismus der lokalen Reaktion wirkungslos. Wennbosartige Identitaten fur immer Bestand hatten, ware ein gefahrlicher Angriff, mehrere Identitaten auf ei-nem Gerat zu sammeln, um mehrere Knoten vorzuspielen und damit die Toleranzschwelle und die Be-schuldigungsschwelle zuuberbieten. In den Zeiten globaler Netzwerke ware es ein Leichtes Identitaten zu

85


tauschen.Konnen nun aber Identitaten widerrufen werden, steigt das Risiko Identitaten zu verbreiten betrachtlich.Sobald die Identitat veroffentlicht wurde, kann sie auch jederzeit durch eine bosartige Verwendung gesperrtwerden. Das Tauschen von Identitaten ist damit fast ausgeschlossen, trotzdem kann ein Angreifer Hardwaremehrfach erwerben, um einen Angriff zu ermoglichen. Die Kosten, Identitaten durch Erwerb von Hardwarezu beschaffen, wirken prohibitiv. Realistisch ist deshalb die Annahme, dass nur wenige Angreifer diese Ko-sten aufwenden werden, nur um das Netzwerk zu storen oder egoistisch zu sein.

Die Notwendigkeit eines globalen Ausschlusses wurde somit belegt; wie aber lauft dieser vonstatten?Knoten, die einen Knoten beschuldigen und auch mehr Beschuldigungsnachrichten als die Beschuldigungschwel-le erhalten haben, speichern auf einem persistenten Medium den Knoten in einer Liste als boswillig ab. Zueinem spateren Zeitpunkt, wenn der Knoten zu geringen Kosten mit der globalen Erneuerungsinstanz Kon-takt aufnehmen kann, wird er seine Liste signieren und an die globale Erneuerungsinstanz schicken. Danachkann der Knoten die Liste loschen.Die globale Erneuerungsinstanz sammelt nun alle globalen Beschuldigungen in einer Datenbank; es wird jeQuelle immer nur die letzte Beschuldigung eines Ziels vermerkt. Haufen sich diese Beschuldigungen nunderart, dass mit hoher Sicherheit von einem andauerndem bosartigen Verhalten ausgegangen werden kann,wird der beschuldigte Knoten in eine schwarze Liste aufgenommen.

über die gesamte Welt verteilteAd Hoc Netzwerke

GlobaleErneureungs

Instanz

Bes

chul

digu

ng

SchwarzeListe

BeschuldigungGlobale

ErneureungsInstanz

Ern

euer

ung

der S

igna

tur

SchwarzeListe

Anfrage

M

Abbildung 6.31: Globale Instanz verweigert Erneuerung der Identitat nach Beschwerden

Die Knoten in der schwarzen Liste konnen ihre Identitaten nicht mehr erneuern und werden somit automa-tisch von allen Ad hoc Netzwerken mit MobIDS ausgeschlossen. Die Intervalle fur die Erneuerung der Iden-titaten konnen so gewahlt werden, dass nur wenige Kontakte pro Jahr mit der globalen Erneuerungsinstanznotig werden. Selbstverstandlich ist die zentrale Instanz verteilt zu implementieren, um den Erfordernisseneines weltweiten Netzwerkes gerecht zu werden.Diese Grundlagen wurde in der parallel entstandenen Diplomarbeit von Raimund Specht [Spe03] vertieftund genauer untersucht.

86


6.5.3 Bewertung der Reaktionsmechanismen

Automatisierte Reaktion und Bestrafung im IDS sind immer auch eine zusatzliche Angriffspunkt. Die um-rissenen Mechanismen der lokalen und globalen Reaktion konnen aber das Risiko gering halten und eineeffektive Selbstreinigung von Ad hoc Netzwerken von bosartigen Knoten erreichen.Die globale Reaktion macht Identitaten wertvoll und stellt eine große Abschreckung fur viele Angreiferdar. Durch die trage Kommunikation wird der Aufwand auf ein Minimum reduziert, ohne seine Wirkung zuverlieren.Die lokale Reaktion ist die unmittelbare Verteidigung gegen Angriffe. Das Netzwerk kann sich durch die-sen Mechanismus gegen eine akute Bedrohung wehren und seine Funktionsfahigkeit erhalten. Durch denMechanismus der Maximalreichweite von Beschuldigungsnachrichten wird das Netzwerk nicht unnotig be-lastet. Die Signatur sowie die zeitliche Kopplung erschweren die Replay Attacke insofern, dass sie keinenennenswerte Wirkung haben: Nur innerhalb der kurzen Zeitspanne zwischen den Heartbeats konnen dieNachrichten mehrfach gesendet werden. Dadurch wird die maximale Reichweite der Nachricht erhoht.

6.6 MobIDS auf den Punkt gebracht

Anzahl bösartiger Knoten0 2 4 6 8 10 12 14A

usge

schl

osse

ne b

ösar

tige

Kno

ten

%

0

20

40

60

80

100


Abbildung 6.32: Ausschluss von bosartigen Knotenbei 1m/s

Anzahl bösartiger Knoten0 2 4 6 8 10 12 14A

usge

schl

osse

ne b

ösar

tige

Kno

ten

%

0

20

40

60

80

100


Abbildung 6.33: Ausschluss von bosartigen Knotenbei 20m/s

Bosartige Knoten 0 1 2 3 4 5 6 7 10 15Ausschluss in Prozent bei 1m/s 100 100 100 100 100 90 42 30 0Ausschluss in Prozent bei 20m/s 100 100 100 100 60 60 60 50 7

Abbildung 6.34: Ausschluss von bosartigen Knoten

87


Um die Wirksamkeit des Verfahrens abzuschatzen, wurde der in dem vorigen Abschnitt beschriebene Bewertungs-und Abstimmungsalgorithmus auf die vorhandenen Ergebnisse angewendet. Die Offline-Analyse der gene-rierten Daten und der Erkennungen der einzelnen Knoten ergab die in 6.34 dargestellten Ausschlussraten.Es kamen in dieser Analyse keinerlei falschlicherweise ausgeschlossene Knoten vor.Die Ausschlussrate erfullt mit stabilen 100% bei bis zu 5 bosartigen Knoten die Anforderungen an ein mo-dernes IDS fur mobile Ad hoc Netzwerke. Die Wirksamkeit durch Abschreckung und Reaktion von MobIDSist damit bestatigt.

Der Nachteil von MobIDS ist die Laufzeit, die es benotigt, bis ein Knoten vom Netzwerk ausgeschlossenwerden kann. Bevor die erste Reaktion erfolgen kann, mussen viele negative Erkennungen stattgefundenhaben; bis dorthin hat der bosartige Knoten viel Zeit, um einen Angriff zu bewerkstelligen. Damit ist derSchutz von Netzwerken mit harten Echtzeitanforderungen eingeschrankt. In lose gekoppelten Netzwerken,die uber einen langeren Zeitraum interagieren, konnen Sicherheit und Zuverlassigkeit damit gewahrleistetwerden.

6.7 Die Implementierung von MobIDS

In Abschnitt 6.2.1 wurde der Aufbau von MobIDS bereits umrissen, die Algorithmen wurden bereits beiden Erkennungs- und Verteilungskonzepten diskutiert. Nun soll die konkrete Implementierung anhand derSchnittstellen und Klassendefinitionen erklart werden:

6.7.1 IDSAgent

Im Folgenden soll der IDSAgent genauer betrachtet werden. Die wichtigsten Primitiven, die ein Agent ausSicht des ns2 Simulators implementieren muss, sind:

void send(int realsize, AppData* data);void recv(Packet *, Handler *);

Die Funktionsend()ist verantwortlich fur das Senden von Paketen, entsprechend entscheidetrecv() beieinkommenden Paketenuber die weitere Verarbeitung. Bei dem IDSAgent nimmt recv() das Paket entgegenund leitet die enthaltenen Daten an IDSApp weiter.Im normalen ns2 werden die Verbindungen von einer Quelle zu einem Ziel exklusiv durch Skripte aufgebaut.In unserem IDS muss das System aber in der Lage sein selbststandig Verbindungen herzustellen; deshalbwird die Primitivesendto()eingefuhrt, die zu einem bestimmten Ziel eine Verbindung herstellt.

void sendto(int dst, AppData* data);

88


6.7.2 IDSApp

Die Applikation steuert die Funktion des IDS. Alle Kommandos werden an die Applikation gerichtet, wel-che diese dann im passenden Teil des Systems behandelt. IDSApp ist außerdem dafur verantwortlich dieankommenden Daten zu verarbeiten.

int command(int argc, const char*const* argv);void processData(int size, AppData* data);

command()stellt dabei die Schnittstelle zwischen den Steuerungsskripten von ns2(geschrieben in TCL) undden in C++ implementierten Teilen dar. Ein Kommando Code inargc fuhrt zu einem Aufruf einer Funk-tion in C++ mit denubergebenen Parametern inargv. Die FunktionprocessData()wird durch IDSAgentaufgerufen, wenn Daten mittels recv() empfangen wurden.

6.7.3 Audit

Die Audit Komponente nimmt eine zentrale Stellung in MobIDS ein. Alle Daten, dieuber langeren Zeit-raum verfugbar sein mussen, werden in seinen Datenstrukturen gespeichert. Es folgt ein kurzer Auszug derDeklaration der Klasse mit seinenoffentlichen Datenstrukturen.

class Audit {public:

VectorFWD* FWDpackets();DequeProbes* probes();Egoistic* egoistic();MapPaths* paths();LTree* dsrtree();..

FWDPacket ist die Struktur, die fur dasOverhearinggenutzt wird. In ihr wird ein Paket gespeichert, dasvon diesem Knoten gesendet wird. An Hand der Informationen in FWDPacket kann dannuberpruft werden,ob das Paket ordnungsgemaß weitergeleitet wurde.

class FWDpacket {public:

FWDpacket(Packet* packet,double time,bool rm,int addr);

double sendTime;int controlAddr;//address of hop to forward packetPacket* pkt;

};

89


FWDPacket enthalt das komplette zu horende Paket sowie die Zeit, zu der es gesendet wurde. Außerdemwird die Adresse des Knotens gespeichert, von dem erwartet wird, dass er das Paket weiterleitet. Wirdinnerhalb einer definierten Zeitspanne keine erwartete Weiterleitung des Paketes wahrgenommen, wird dasentsprechende FWDPacket freigegeben und eine negative Bewertung zugeteilt. Wurde dagegen die korrekteWeiterleitung angezeigt, resultiert eine positive Bewertung.Diese Informationen werden unter anderem auch vom Probing benutzt, um festzustellen, ob ein Knoten,der auf einen Route Request antwortet, kooperativ ist oder nicht. Die Details dieses Verfahrens werden inAbschnitt 6.3.2.3 vorgestellt.Probeenthalt nun alle Daten, die fur das Probing im Einzelnen benotigt werden.

class Probe {public:

int dst;//destination of probe..int id;//id of probes sent to this hostint globalId;//id for all probes sent by local hostfloat sendTime;//time the probe was sentfloat receiveTime;//time the probe was receivedint attempt;//#attempts to send an ACK

bool search;//this probe was sent while performing a backwards searchbool checkLastHop;//probe hop before first hop who answered

Vector_Path* path;//path this probe is used forinline bool fresh();//true if probe hasn’t been sent yet

};

Eine Probe wird bekanntlich im System kreiert und wartet danach auf ein Paket, mit dem es geschickt wer-den kann. Solange die Probe auf dieses Paket wartet, ist siefresh(). Andere Felder enthalten den notigenStatus wie die Identifikationsnummer, die Sendezeit, die Empfangszeit, um den wievielten Versuch es sichhandelt, etc.Um die Ruckwartssuche zu ermoglichen, enthalt die Struktur zudem den Pfad, entlang dem diese Probegesendet wurde. Der Ablauf des Probing ware in etwa wie folgt:Zuerst wir eine Probe mit Ziel undid initialisiert. Alle anderen Felder nehmen einen sinnvollen Standard-wert an. Danach wird die Probe gesendet und entsprechendsendTimeund Pfad gesetzt. Kommt die Probezuruck, wird in ihr diereceiveTimevermerkt, eine Bewertung wird vergeben und danach kann sie freigege-ben werden.Kommt die Antwort nicht rechtzeitig an, wird die alte Probe entfernt und eine neue Probe kreiert. Diese hatidentische Felder, bis darauf, dass fresh und sendTime wieder zuruckgesetzt wurden sowieattemptnun umeins hochgezahlt wurde.Ubersteigt attempt eine definierte Schranke, dann wird dem im Pfad vorhergehen-den Knoten ein Probe gesendet, search=true gesetzt und attempt wieder auf null gesetzt.Der letzte Block wird so oft wiederholt, bis entweder eine Antwort gekommen ist oder keine Knoten im Pfadmehr vorhanden sind. In beiden Fallen kann die Probe dann freigegeben und entsprechende Bewertungen

90


konnen vergeben werden.

Egoistic speichert die Informationen zur Erkennung von egoistischen Knoten. Zur Erinnerung, der Ablaufwar wie folgt:Wir verschicken einen Route Request und markieren alle Knoten in einer Liste, von denen wir erwarten,dass sie den Route Request weiterleiten. Empfangen wir nun von einem dieser Knoten die Weiterleitungdes Route Request, loschen wir ihn aus der Liste. MitaddNeighbour()wird ein Knoten in die so genannteMultimapEgoisticEntriesListe aufgenommen. Dazu wird der Liste einEgoisticEntryhinzugefugt, der In-formationenuber die Knotenidentitat, die Zeit und den Weiterleitungsstatus enthalt.Knoten, die den Route Request bereits vor uns geschickt haben, mussen ihn logischerweise nicht mehr wei-terleiten. Deshalb mussen wir uns auch alle Route Requests merken, die wir noch nicht selbst geschickthaben. Dies geschieht ebenso mit der Funktion addNeighbour(), die den gehorten Route Request fur denNachbarn speichert, aber zusatzlich noch vermerkt, dass der Route Request bereits verschickt wurde.Nun mussen nur noch nachUberschreitung einer bestimmten Zeit die EgoisticEntrys entfernt werden. DieKnoten der Eintrage, die noch keinen Route Request weitergeschickt haben, werden nun negativ bewertet.

class Egoistic {public:

void addNeighbour(int id,int seq,double time);void addNeighbour(int id,int seq,double time,bool fwd);

MultimapEgoisticEntries egoistic;};

class EgoisticEntry {public:

EgoisticEntry(int id,double time,bool fwd);bool fwd();int id();double time();

};

Audit liefert uber die drei besprochenen Strukturen hinaus noch Informationenuber alle Knoten im Netzund die Verbindungen zwischen den Knoten in Form eines Graphen, der durchdsrtree()zuruckgeliefertwird. Zusatzlich werden separat noch einmal alle Pfade von derpaths()Funktion zuruckgeliefert, die durchdiesen Knoten verlaufen sind.

6.7.4 Analysis

Dies ist nun die Kernkomponente von MobIDS. Hier werden die Erkennungssysteme im Einzelnen imple-mentiert, deshalb wird diese Klasse nun ausfuhrlicher behandelt.

class IDSAnalysis {

91


public://probing related functionsIDSProbe* newProbe(Hop* dst,Vector_Path* path);int probe(Hop* dst,Path &path,double time);void probeReplyReceived(int dst,int id,int fwd,double time);void backwardsSearch(int dst,IDSProbe* probe,bool reply);

//overhearing techniquesvoid checkFwdPkt(Packet* packet,float time);void overheardPkt(Packet* packet);void noticeDeadLink(int from, int to);

//egoistic node detectionvoid checkNeighbours(int seq,int dst,double time);void fwdRouteReply(int dst,int seq,double time);

.

.protected:

ProbeTimer* probeTimer_;FwdTimer* fwdTimer_;ExpireTimer* expireTimer_;

void addBehaviour_(int addr,int rating,float behaviour,float time);..

};

Analysis enthalt die in diesem Kapitel bereits vorgestellten lokalen Erkennungssysteme: es handelt sich na-mentlich um Probing, Overhearing und Egoismus-Erkennung.

Probing ist mittels dreier Funktionen umgesetzt:newProbe()erzeugt eine neue Probe, die aber noch aufein Paket wartet, das mit entsprechendem Pfad durch das Ziel geht, um sich dort anzuhangen. Die Funkti-on int probe()stellt die Schnittstelle zum DSRAgent dar, um anzuzeigen, ob das nachste Paket eine Probeaufnehmen soll oder nicht. Wenn eine Antwort auf eine Probe am DSRAgent ankommt, wird dieser dieFunktion probeReplyReceived()aufrufen, um die Antwort anzuzeigen. Zusatzlich gibt es noch denpro-beTimerder Probes, deren Lebenszeit abgelaufen ist, entfernt und danachbackwardsSearch()aufruft. DieMethode backwardsSearch() koordiniert die Ruckwartssuche und entscheidet fur jede verfallene Probe, obnoch weitere Probes geschickt werden sollen oder ob eine Bewertung erteilt wird. Wenn eine Antwort aufeine Probe kommt, wird ebenso backwardsSearch() aufgerufen um festzustellen, ob der Knoten vor demantwortenden Knoten auch nochuberpruft werden soll.

Overhearing benutzt checkFwdPkt(), um ein Paket in eine Liste aufzunehmen und zuuberprufen, ob esvon dem nachsten Knoten ordnungsgemaß verarbeitet wird. Der DSRAgent teilt Analysis mit dem Aufruf

92


von overheardPkt() mit, dass er ein Paket mit Hilfe von Overhearing empfangen hat. Analysis kann dannprufen, ob es auf dieses Paket wartet, es aus der Liste entfernen und eine positive Bewertung vergeben. Wirdeine Verbindung getrennt und DSR sendet einen RouteError, wirdnoticeDeadLink()aufgerufen, um nochauf das Overhearing wartende Probes fur diese Verbindung zu loschen. DerfwdTimerhat nun die Aufgabe,nach Ablauf der Lebenszeit der noch nicht gehorten Pakete diese aus der Liste zu entfernen und negativeBewertungen fur den Fall ’Paket nicht weitergeleitet’ zu geben.

Schließlich gibt es auch noch den Programmteil, um Knoten zu erkennen, die egoistisch sind und keinefremden Route Requests bearbeiten, um zu vermeiden spater Pakete weiterleiten zu mussen. Mitcheck-Neighbours()wird fur einen Route Request fur einen Nachbarn vermerkt, dass dieser den Route Requestweiterleiten muss. Die FunktionfwdRouteReply()dagegen zeigt an, dass ein Knoten einen RouteReply wei-tergeleitet hat, und resultiert in einer positiven Bewertung. Auch fur die Egoismus Erkennung gibt es wiedereinen Mechanismus, der nach einer gewissen Zeit alle Nachbarn in der Liste schlecht bewertet, die denRoute Request nicht weitergeleitet haben.

6.7.5 Rating

Die Rating Komponente verwaltet nun die lokalen Bewertungen und kann die jeweiligen Bewertungen einesVerhaltens zu einer lokalen oder zu einer Gesamtbewertung verdichten. Alte Bewertungen, die zeitlich nichtmehr relevant sind, werden mit expire(time) entfernt. Intern werden die Bewertungen getrennt nach positivenBewertungen, negativen Bewertungen und nach dem Maß der Aktivitat getrennt in einem Rating Objektgespeichert.

class Behaviour {public:

//total assessment considering alls local and received ratingsfloat assess();float assessLocal();float assessReceived();

void expire(float time);

Rating* positive();Rating* negative();Rating* activity();

};

Das Rating Objekt verwaltet nun die einzelnen Bewertungen und bietet die benotigten Funktionen an, um einVerhalten hinzuzufugen (addBehaviour), um ein Verhalten wieder zuruckzubekommen (getBehaviour) oderum alte Verhalten zu entfernen (expire(time))). Die Funktionassess(time)liefert die Gesamtbewertunguberalle durch dieses Objekt gespeicherten Bewertungen mit Zeit als Parameter, denn die einzelnen Bewertungengehen abhangig von der Zeit in die Gesamtbewertung ein.

class Rating {

93


public:Rating(int max_size,float lambda,float lifetime);

void expire(float time);void addBehaviour(NodeBehaviour* behaviour);NodeBehaviour& addBehaviour(float behaviour,float time,int id);NodeBehaviour* getBehaviour(int id);

float assess(float time);//returns assessment of total behaviour};

6.7.6 Die Anpassungen des DSRAgent fur MobIDS

Der ns2 musste zur Integration von MobIDS an einigen Stellen modifiziert werden. Der DSRAgent benotigtdeshalb eine API mit mindestens neun Funktionsaufrufen, um MobIDS einzubinden.

Die recv() Funktion stellt eine gute Moglichkeit dar, Zugriff auf alle Pakete zu bekommen, unabhangigdavon, wie der DSRAgent spater damit verfahrt. Eine wichtige Funktion fur MobIDS wird durch die Signa-lisierung von Probe Replys wahrgenommen.

void recv(Packet* packet, Handler*);

Die verschiedenen Angriffsszenarien wurdenuberwiegend in dieser Funktion implementiert; so wurde dieMoglichkeit geschaffen alle fremden Pakete zu verwerfen, nur bestimmte Pakete oder alle Route Requests,bis eine Probe erhalten wird, um danach fur eine bestimmte Zeit zu kooperieren.

In der FunktionhandlePktWithoutSR()werden wartende Probes in die Pakete integriert. Dazu wird in Ana-lysis probe(dst,path,time)aufgerufen um zu testen, ob fur diesen Pfad und dieses Ziel eine Probe wartet.Wenn dies so ist, werden die entsprechenden Flags in dem Paket gesetzt.

void handlePktWithoutSR(SRPacket& p, bool retry);

In handlePacketReceipt()und in handleForwarding()werden die Pakete daraufhinuberpruft, ob sie eineProbe fur diesen Knoten enthalten. Wenn ja, dann wird die FunktionprobeReply()auf dem IDSAgent auf-gerufen, welcher dann die ProbeReply erstellt.

void handlePacketReceipt(SRPacket& p)void handleForwarding(SRPacket &p)

In der Funktion handleRoute Request() geschehen nun zwei Dinge zur gleichen Zeit: Einerseits werdenmit einem Aufruf von checkNeighbours(rtreqSeq,dest) in Analysis alle Nachbarn zu diesem Zeitpunkt indie MultimapEgoisticEntries Listeubernommen, andererseits wird mit einem Aufruf von fwdRouteRep-ly(lastSenderAddr,rtreqSeq) der letzte Knoten auf dem Pfad in die MultimapEgoisticEntries Listeubernommenum anzuzeigen, dass dieser Knoten fur diesen Route Request kooperiert hat.

94


void handleRoute Request(SRPacket &p)

Die folgende Funktion wird fur das Overhearing benotigt. Alle Datenpakete, die der DSRAgent verschickt,werden in dieser Funktion verarbeitet. Deshalb wird durch einen Aufruf von checkFwdPkt() in Analysis dasPaket in die Overhearing Liste eingereiht.

void sendOutPacketWithRoute(SRPacket& p, bool fresh, Time delay)

In der Methode acceptRouteReply() wird die initiale Probe vorbereitet. Sobald eine von diesem Knotengesuchte Route zu Stande kommt, wird er fur die Anfangsphase eine Probe kreieren um sicher zu stellen,dass die Verbindung funktionell ist.

void acceptRouteReply(SRPacket &p)

In processBrokenRouteError() werden schließlich RouteError Nachrichten entgegengenommen und nochaktive Eintrage in der Overhearing Liste entfernt.

processBrokenRouteError(SRPacket& p)

tap() ist eine Routine, die, nachdem ein Paket mit dem Promiscuous Mode empfangen wurde, dieses zur Ver-arbeitung erhalt. In dieser Methode wird dann dementsprechend der Aufruf overheardPkt(pkt) nach Analysisgetatigt, um das Paket auch dem IDS anzuzeigen.

tap(const Packet *packet)

95


96

Kapitel 7

Fazit von MobIDS

Ziel dieser Diplomarbeit war es ein System aufzustellen, mit dem Angreifer im drahtlosen Ad hoc Netz-werk erkannt werden konnen. Mit MobIDS wurde ein System geschaffen, das diesen Anforderungen ge-recht wird.Es wurden drei Methoden der lokalen Erkennung entwickelt, die in Leistung und Zuverlassigkeit einendeutlichen Fortschritt gegenuber der aktuellen Forschung darstellen. Das aktivitatsbasierte Overhearing lie-fert eine bessere Erkennungsleistung als herkommliches Overhearing, da es die Gute des Empfangs desuberpruften Knotens mit einbezieht. Das eindeutige Probing kann zuverlassig bosartige Knoten im Pfaderkennen, muss dafur aber eine geringere Erkennungsleistung in Kauf nehmen. Eindeutiges Probing kanndamit nicht nur konstant fehlerhafte Knoten erkennen, sondern auch bosartiges Verhalten. Egoistisches Ver-halten kann mit derUberprufung der Route Requests bestimmt werden. Diese drei Verfahren zusammenkonnen alle erkannten Falle von Angriffen auf das DSR Protokoll zuverlassig entdecken und sind die Vor-aussetzung fur eine wirkungsvolle Reaktion

Das automatische Reaktionssystem kann erkannte Schadlinge aus dem aktuellen Netzwerk entfernen; stel-len mehrere IDS das bosartige Verhalten eines Knotens fest, wird dieser vom Netzwerk isoliert und kann indiesem Netz nicht mehr kommunizieren.Zusatzlich wird eine globale Instanzuber das bosartige Verhalten verstandigt. Wenn viele Meldungen vondem bosartigen Verhalten registriert werden, kann dieser auch fur immer ausgeschlossen werden, indemseine Identitat nicht mehr erneuert wird. Der Knoten kann namlich nur mit einer regelmaßig erneuertenIdentitat am Netzwerk teilnehmen.MobIDS kann damit mobile Ad hoc Netzwerke wirkungsvoll schutzen und erfullt damit die gestellten Auf-gaben.

7.1 Ausblick auf Entwicklungsmoglichkeiten

Mit MobIDS wurde ein System entwickelt, dasuber die bestehende Forschung hinaus geht und eine Basisfur weitere Entwicklung bietet. Die Kommunikation der Bewertungen ist einsichtig und wurde konzeptionell

97

KAPITEL 7. FAZIT VON MOBIDS

durchdrungen, muss allerdings noch implementiert werden. Dabei sind dann die tatsachlichen Ausschlussra-tenuber die Zeit durch Simulation zu bestimmen sowie der ducrh MobIDS erzeugte Kommunikationsover-head.

Die lokale Erkennung ist durch Implementation und Simulation verifiziert, eine Aufgabe ware es weiterge-hende Simulationen durchzufuhren, die von harteren Bedingungen ausgehen. Bisher wird in der Forschungnur mit einem flachen Gelande ohne Hindernisse simuliert, die Erfahrung zeigt aber die große Relevanz derUmgebung fur den Empfang. Es ist eher unwahrscheinlich, dass das simulierte Bewegungsmuster auf dieTeilnehmer des Netzwerkes zutrifft, auch hier gilt es, passende Simulationen zu unternehmen.Die lokale Erkennung von Egoismus basiert momentan auf der perfekten Erkennung der Nachbarschaftsbe-ziehungen. Es gilt hier die bestehende Algorithmen der Literatur umzusetzen, um die Nachbarn sicher zuidentifizieren.

MobIDS wurde als Prototyp fur den ns2 Simulator umgesetzt, der letzte Schritt ware es die bestehendeImplementierung fur den Endbenutzer tauglich zu machen, um Teilnehmer an Ad hoc Netzwerken vor An-greifern zu schutzen.

98

Anhang A

Simulationsarchitektur

Es war absehbar, dass viele Szenarien mit dem Simulator durchgerechnet werden mussen. Da der Simulatorkeine Moglichkeiten der Analyse und der Generation von vielen Szenarien bietet, war die erste Aufgabe dieErstellung einer Simulations- Steuerungs- und Auswertungs-Architektur. Diese Architektur setzt sich auszwei Teilen zusammen: aus der Generation der Szenarien und der Auswertung der Ergebnisse.

Es gibt eine Reihe von Skripten, die die Simulation steuern, dasctrl Skript steuert die Simulation und ruftuntergeordnete Skripte auf.

#!/bin/cshset dir = $1

echo Creating Scenario Filemake-scen.csh $dir

echo Creating TCL filesforeach no_a (0 1 2 4 5 6 7 10 15 25)

autogen.pl $dir 1 $no_a 1 1.0 tmplt.tcl

echo Starting Simulationstart.pl $dir "ˆid.*tcl" ns_detour > result_detour_$no_a

echo Analysing Filesstats.pl $dir "id\d_.*\.tr" > result_stat_$no_a

end

Zuerst erfolgt der Aufruf desmake-scen.cshSkriptes. Dieses generiert die Bewegungsmuster der simuliertenKnoten sowie die Kommunikationsverbindungen; es werden zehn Szenarien als separate Dateien angelegt.

99

ANHANG A. SIMULATIONSARCHITEKTUR

In make-scen.csh sind auch Parameter wie die Anzahl der Knoten, die Geschwindigkeit oder die Einstellun-gen des Kommunikationsverhaltens zu finden.

Danach kommt ctrl in eine Schleife, in der mit derautogen.plRoutine fur jedes Szenario eine Steuerungs-datei in TCL generiert wird. Das autogen.pl Skript hat mehrere Parameter, wie z.B. das Verzeichnis der mitmake-scen.csh erzeugten Szenariodateien oder dietemplate Datei. Diese Datei ist ein TCL Skript, in dembestimmte Schlusselworter fur autogen.pl stehen. Indem die Schlusselworter dynamisch durch autogen.plersetzt werden, kann das template an das jeweilige Szenario angepasst werden. Die autogen.pl Routine hatnoch andere Optionen: sie erzeugt abhangig vonattack typedie verschiedenen Angriff in TCL und bautdiese in die Steuerungsdatei ein.

Skripte und Parameter:autogen.pl <directory of scenario files> <attack_type> <malicious nodes>

<cycles> <random seed> [template file]

stats.pl <directory> <regular expression>

Danach werden mit dem Skriptstart.pl alle Szenarien mit derubergebenen Simulatordatei sequentiell ge-startet. Ns2 erzeugt eine sogenannteTrace Datei, in die der Simulator seine Ergebnisse schreibt. Ist derSimulator außerdem noch eine Version von MobIDS, werden von jedem Knoten alle Bewertungn von sei-nen Nachbarn ausgegeben und diese in eineErgebnisdateiumgeleitet.Diese Ergebnisse des ns2 konnen sofort durch einen Aufruf vonstats.plausgewertet werden. Dieses Skriptkann die Ausgabe des ns2 Simulators analysieren und stellt eine interne Reprasentation aller gesendetenPakete in einer Objektstruktur auf. Durch Analyse dieser Struktur konnen statistische Aussagenuber dieAuslieferungsrate von Paketen, die verworfenen Pakete und die verlorenen Pakete gemachet werden. DerDurchsatz, die Latenz und die durchschnittliche Pfadlange sind zusatzliche Ergebnisgroßen von stats.pl.Die umgebende Schleife lauft von 0 bis 25 und simuliert in jedem Durchlauf die entsprechende Anzahl vonAngreifern.

Nachdem die Simulationen abgeschlossen sind, konnen die Ergebnisdateien von MobIDS analysiert werden.Die enthaltenen Bewertungen konnen durch einen Aufruf vonthreshold.plfur jede Ergebnisdatei ausgewer-tet werden.

threshold.pl <file> <malicious threshold> <malicious nodes simulated><num nodes>

threshold.planalysiert die infile ubergebene Datei und zahlt eine Bewertung, die unterhalb desmaliciousthresholdliegt, als bosartig. Durch diese nachtragliche Einteilung konnen die thresholds genauer und zeit-sparender angepasst werden. Abhangig vonmalicious nodes simulatedwerden die Erkennungen dann nachrichtigen Erkennungen und Fehlerkennungen sortiert. Mit diesen Ergebnissen wurden dann die Diagrammeerzeugt.

100

Anhang B

Glossar

Bottleneck bezeichnet einen meist temporaren Engpass in der Datenverarbeitung. Charakteristischfur die Situation ist, dass zu wenig Kapazitat einer nachgefragten Ressource vorhanden ist.

Broadcastist ein Sendemodus im drahtlosen Netzwerk, indem ein Paket an alle Knoten adressiert ist.Oft werden diese Broadcastpakete bis zum Ablauf der Lebenszeit als Broadcast weitergeleitet.

Callback ist eine Programmiertechnik, bei der eine Komponente an der anderen eine Prozedur regi-striert. Die andere Komponente kann dann mit Hilfe der registrierten Prozedur einen Aufruf in dieursprungliche Komponente machen unduber diesen Weg Daten und Kommandos austauschen.

Denial of Servicebeschreibt einen Angriff, der dazu dient Netzwerkdienste fur die Außenwelt un-zuganglich zu machen. Das kann durch schlichteUberlastung des Opfers geschehen oder durch Ein-griffe in das Routing, um das Opfer unerreichbar zu machen. Berechtigte Anfragen erreichen dasOpfer dann nicht mehr.

Forwarding bezeichnet dasWeiterleiten von Paketen. Ein Knoten empfangt ein Paket, wertet diesesaus und sendet es dementsprechend weiter.

Heartbeat ist ein Mechanismus im Netzwerk, der wie ein ’Herzschlag’ funktioniert: periodisch wirdeine Nachricht ausgesendet.

ID ist die Identifikationsnummer, die eine eindeutige Zuordnung zu einem Objekt erlaubt.

Knoten ist ein anderer Ausdruck fur einen Punkt in einem Netz in dem mehrere Verbindungen zu-sammenlaufen. Im Ad hoc Netzwerk wird damit das mobile Gerat bezeichnet. Im Englischen werdendiese auch aslHop bezeichnet.

Latenz ist ein Maß, das die Zugriffszeit auf ein Medium angibt. Es wirdublicherweise als die Zeitvon dem Absenden der Anforderung bis zum Eintreffen der ersten Information gemessen.

Malicious Nodekommt aus dem Englischen und bezeichnet einen bosartigen Knoten.

101

ANHANG B. GLOSSAR

Overhead bezeichnet die Daten, die zusatzlich zu den Nutzdaten verarbeitet werden. Im Netzwerksind dasublicherweise Routing Daten, um den Fluss der Pakete zu regeln.

Paket ist ein Block von Daten, die fur die weitere Verarbeitung beim Empfanger bestimmt sind, sowievon Kontroll- und Steuerinformationen. Netzwerke unterteilen typischerweise zu sendende Daten inPakete und schicken diese einzeln zum Empfanger.

Ping ist eine Nachricht, auf die der Empfanger unverzuglich eine Antwort schickt. Ein Ping brauchtdazu keine Daten zu enthalten.

Host ist ein Hauptrechner oder auch ein Wirt einer Applikation. Dieser beherbergt die Applikationen,die in Zusammenhang mit Host genannt werden.

Queue ist eine ’Warteschlange’ fur Daten in einem Informationssystem. Daten, die zuerst ankom-men, stehen an erster Stelle fur eine spatere Weiterverarbeitung und verlassen die Queue auch zuerst.Queues sind fur vielen Programmiersprachen verfugbar, unter anderem als Teil der STL von C++.

Route ist eine Beschreibung einesPfadesvon einem Punkt im Netzwerk zu einem anderen. Dazuenthalt die Route alle Knoten, die zwischen diesen beiden Punkten liegen.

Routing ist der Vorgang Routen aufzubauen, sie zu verwalten und Pakete entlang von Routen zuverschicken.

STL ist ein Akronym fur die Standard Template Library von C++. Dies ist eine Bibliothek vonKlassen-Templates, unter anderem von Listen und Queues.

Throughput gibt den Durchsatz von Daten je Zeiteinheit an.

Timer ist eine Routine, die periodisch aufgerufen wird und damit regelmaßige Aufgaben wahrnehmenkann.

Topologie ist die Bezeichnung fur den raumlich organisatorischen Aufbau von komplexen Systemen.

102

Abbildungsverzeichnis

2.1 DSR Route Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.2 DSR Route Reply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1 Schichtenmodell eines Sicherheitssystems fur Ad hoc Netzwerke . . . . . . . . . . . . . . . 10

3.2 Komponenten eines IDS nach CIDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.3 Watchdog mit Overhearing einer Nachricht . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.4 Trust Architektur des Grudger Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.5 Komponenten eines IDS nach Wenke Lee . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.6 Tabellarischer Vergleich der aktuellen Forschung in der Intrusion Detection . . . . . . . . . 37

5.1 Normalisierter Routing Overhead als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . 49

5.2 Zustellungsrate als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5.3 Zustellungsrate und Routing Overhead bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . 49

5.4 Normalisierter Routing Overhead als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . 50

5.5 Zustellungsrate als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.6 Zustellungsrate und Routing Overhead bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . 50

5.7 Auswirkung von Egoismus auf die Zustellungsrate bei 1m/s . . . . . . . . . . . . . . . . . 51

5.8 Auswirkung von Egoismus auf die Zustellungsrate bei 20m/s . . . . . . . . . . . . . . . . . 52

5.9 Auswirkung von Boswilligkeit auf die Zustellungsrate bei 1m/s . . . . . . . . . . . . . . . . 54

5.10 Auswirkung von Boswilligkeit auf die Zustellungsrate bei 20m/s . . . . . . . . . . . . . . . 54

6.1 Aufbau des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2 Erkennungsrate von bosartigen Knoten mit Overhearing bei 1m/s . . . . . . . . . . . . . . 62

6.3 Erkennungsrate von bosartigen Knoten mit Overhearing bei 20m/s . . . . . . . . . . . . . . 62

6.4 Erkennungsraten von bosartigen Knoten mit Overhearing . . . . . . . . . . . . . . . . . . . 62

6.5 Aktivitatsbasiertes Overhearing bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

103

ABBILDUNGSVERZEICHNIS

6.6 Aktivitatsbasiertes Overhearing kombiniert mit normalem Overhearing bei 1m/s . . . . . . . 63

6.7 Overhearing und aktivitatsbasiertes System . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.8 Aktivitatsbasiertes Overhearing bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.9 Aktivitatsbasiertes Overhearing kombiniert mit normalem Overhearing bei 20m/s . . . . . . 64

6.10 Overhearing und aktivitatsbasiertes System . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.11 Zwiebelschalenmodell fur Verschlusselung . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.12 Probing mit binarer Suche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

6.13 Iteratives Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

6.14 B antwortet: potentiell bosartig sind{B,C} . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

6.15 B antwortet nicht: potentiell bosartig sind{A,B} . . . . . . . . . . . . . . . . . . . . . . . . 69

6.16 B antwortet nicht: Ziel erkennt Weiterleitung der Probe durch A . . . . . . . . . . . . . . . 70

6.17 B antwortet: A erkennt keine Weiterleitung der Probe durch B . . . . . . . . . . . . . . . . 70

6.18 Erkennungsrate von bosartigen Knoten mit Probing bei 1m/s . . . . . . . . . . . . . . . . . 73

6.19 Erkennungsrate von bosartigen Knoten mit Probing bei 20m/s . . . . . . . . . . . . . . . . 73

6.20 Erkennungsraten von bosartigen Knoten mit Probing . . . . . . . . . . . . . . . . . . . . . 73

6.21 Erkennungsrate von bosartigen Knoten mit Probing bei 1m/s . . . . . . . . . . . . . . . . . 74

6.22 Erkennungsrate von bosartigen Knoten mit Probing bei 20m/s . . . . . . . . . . . . . . . . 74

6.23 Erkennungsraten von bosartigen Knoten mit Probing . . . . . . . . . . . . . . . . . . . . . 74

6.24 Ablauf nach Erhalt eines Route Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6.25 Erkennungsrate von egoistischen Knoten bei 1m/s . . . . . . . . . . . . . . . . . . . . . . 78

6.26 Erkennungsrate von egoistischen Knoten bei 20m/s . . . . . . . . . . . . . . . . . . . . . . 78

6.27 Erkennungsraten von egoistischen Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

6.28 Queues von Bewertungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

6.29 Verteilung von Anschuldigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

6.30 Ein bosartiger Knoten erzeugt im Laufe der Zeit viele Anschuldigungen . . . . . . . . . . . 84

6.31 Globale Instanz verweigert Erneuerung der Identitat nach Beschwerden . . . . . . . . . . . 86

6.32 Ausschluss von bosartigen Knoten bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . . . 87

6.33 Ausschluss von bosartigen Knoten bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . . . 87

6.34 Ausschluss von bosartigen Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

104

Literaturverzeichnis

[ACPea01] Patrick Albers, Olivier Camp, Jean-Marc Percher und et al. Security in ad hoc networks: a ge-

neral intrusion detection architecture enhancing trust based approaches.The 1st International

Workshop on Wireless Information Systems (WIS-2002), 2001.

[AH02] Baruch Awerbuch und David Homer. An on-demand secure routing protocol resilient to

byzantine failures.In Proceedings of WiSe’02, 2002.

[And80] Anderson. Computer security threat, monitoring and surveillance.Technical Report, 1980.

[AOG02] Midori Asaka, Takefumi Onabura und Shigeki Goto. Remote attack detection method in ida:

Mlsi-based intrusion detection using discriminant analysis.2002 Symposium on Applications

and the Internet (SAINT), 2002.

[AOT+98] Midori Asaka, Shunji Okazawa, Atsushu Taguchi, IPA und Shigeki Goto. A method of tracing

intruders by use of mobile agents.In Proceedings of the 9th Annual Conference of the Internet

Society (INET’99), 1998.

[ATIG99] Midori Asaka, Atsushu Taguchi, IPA und Shigeki Goto. The implementation of ida: An

intrusion detection agent system.Systems and Computers in Japan, Vol. 30 No. 2, 1999.

[BB01] Sonja Buchegger und Jean-Yves Le Boudec. Nodes bearing grudges: Towards routing securi-

ty, fairness, and robustness in mobile ad hoc networks.Proceedings of IEEE/ACM Workshop

on Mobile Ad Hoc Networking and Computing (MobiHOC), 2001.

[BB02] Sonja Buchegger und Jean-Yves Le Boudec. Performance Analysis of the CONFIDANT

Protocol: Cooperation Of Nodes - Fairness in Distributed Ad-hoc Networks.Proceedings

of IEEE/ACM Workshop on Mobile Ad Hoc Networking and Computing (MobiHOC), June

2002.

[BBC+01] Ljubica Blazevic, Levente Buttyan, Srdan Caokun, Silvia Giordanom, Jean Pierre Hubaux

und Jean Yves Le Boudec. Self organization in mobile ad-hoc networks: the approach of

terminodes.Proceedings of 2nd International Workshop on Electronic Commerce (WELCOM

2001), 2001.

105

LITERATURVERZEICHNIS

[BdSM00] M. C. Bernardes und E. dos Santos Moreira. Implementation of an intrusion detection system

based on mobile agents.In International Symposium on Software Engineering for Parallel

and Distributed Systems, 2000.

[BGFDIZ98] J. S. Balasubramaniyan, J. O. Garcia-Fernandez, E. Spafford D. Isacoff und D. Zamboni.

An architecture for intrusion detection using autonomous agents.In 14th IEEE Computer

Security Applications Conference, December 1998.

[Bin96] James Binkley. Authenticated ad hoc routing at the link layer for mobile systems.Technical

Report 96-3, 1996.

[Bis99] Matt Bishop. proceedings of the 2nd international workshop on recent advances in intrusion

detection (raid’99).Special Issue of Wireless Communications and Mobile Computing, Wiley

Interscience Press, 1999.

[CCD+99] S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, J. Rowe, S. Staniford-

Chen, R. Yip und D. Zerkle. The design of grids: A graph-based intrusion detection system.

CSE-99-2, Januar 1999.

[CCF02] Sean Convery, David Cook und Matthew Franz. An attack tree for the border gateway proto-

col. Internet-Draft, 2002.

[Daw76] R. Dawkins. The selfish gene.Oxford University Press 1989, 1976.

[Den87] Dorothy E. Denning. An intrusion detection model.In IEEE Transactions on software engi-

neering, SE-13, 1987.

[DLRS01] Bridget Dahill, Brian Levine, Elizabeth Royer und Clay Shields. A secure routing protocol

for ad hoc networks.in The 8th ACM International Conference on Mobile Computing and

Networking, 2001.

[DN85] Denning und Neumann. Requirements and models for ides - a real time intrusion detection

system. 1985.

[FBR+99] Richard Feiertag, Lee Benzinger, Sue Rho, Stephen Wu, Karl Levitt, Dave Peticolas und Mark

Heckman. Intrusion detection inter-component adaptive negotiation.Computer Networks 34,

1999.

[FV00] K. Fall und E. Varadhan. The ns manual (formerly ns notes and documentation). 2000.

[GM98] Juan A Garay und Yoram Moses. Fully polynomial byzantine agreement for 3t processors in

t+1 rounds.SIAM Journal of Computing, 27(1), 1998.

106


[HBC01] Jean Pierre Hubaux, Levente Buttyan und Srdan Capkun. The quest for security in mobile

ad hoc networks.Proceeding of the ACM Symposium on Mobile Ad Hoc Networking and

Computing (MobiHOC), 8(5), 2001.

[Hei02] Steffen Hein. Intrusion detection in mobilen netzen.Seminar: Sicherheit in mobilen Netzen,

2002.

[HJP02a] Yi Chun Hu, David B. Johnson und Adrian Perrig. Sead: Secure efficient distance vector

routing for mobile wireless ad hoc networks.Proceedings of the 4th IEEE Workshop on

Mobile Computing Systems & Applications (WMCSA 2002), 2002.

[HJP02b] Yih-Chun Hu, David B. Johnson und Adrian Perrig. SEAD: Secure Efficient Distance Vector

Routing for Mobile Wireless Ad Hoc Networks.Proceedings of the 4th IEEE Workshop on

Mobile Computing Systems and Applications (WMCSA 2002), June 2002.

[HK98] Helden und Karsch. Grundlagen, forderungen und marktubersicht fur intrusion detection

systeme und intrusion response systeme.http://www.bsi.de/literat/studien/ids/doc0000.htm,

1998.

[HLM91] Heberlein, Levitt und Mukherjeeh. A method to detect intrusive activity in a networked

environment.In Proceedings of the 14th National Computer Security Conference, 1991.

[HPJ01] Yih-Chun Hu, Adrian Perrig und David B. Johnson. Wormhole detection in wireless ad hoc

networks.Technical Report TR01-384, 2001.

[HPJ02] Yih-Chun Hu, Adrian Perrig und David B. Johnson. Ariadne: A secure on-demand routing

protocol for ad hoc networks.Proceedings of MobiCom 2002, 2002.

[iee] Ieee 802.11 wireless local area networks.http://grouper.ieee.org/groups/802/11/index.html.

[IKP95] K. Ilgun, R. A. Kemmerer und P. A. Porras. State transition analysis: A rule-based intrusion

detection approach.IEEE Transactions on Software Engineering, 1995.

[itu] International telecommunication union. http://www.itu.int/home/index.html.

[JMB01] David B. Johnson, David A. Maltz und Josh Broch. Dsr: The dynamic source routing protocol

for multihop wireless ad hoc networks. 2001.

[JMHJ02a] David B. Johnson, David A. Maltz, Yih-Chun Hu und Jorjeta G. Jetcheva. The dynamic

source routing protocol for mobile ad hoc networks (dsr).Mobile Computing, 2002.

[JMHJ02b] David B. Johnson, David A. Maltz, Yih-Chun Hu und Jorjeta G. Jetcheva. The dynamic sour-

ce routing protocol for mobile ad hoc networks (dsr).http://www.ietf.org/internet-drafts/draft-

ietf-manet-dsr-07.txt, February 2002.

107


[Joh94] David B. Johnson. Routing in ad hoc networks of mobile hosts.Workshop on Mobile Com-

puting Systems and Applications, 1994.

[JWZ03] Ramaprabhu Janakiraman, Marcel Waldvogel und Qi Zhang. Indra: A peer-to-peer approach

to network intrusion detection and prevention.Proceedings of IEEE WETICE 2003, 2003.

[Kar03] Frank Kargl. Sicherheits-mechanismen in mobilen ad-hoc netzen.to appear, 2003.

[KF98] Axel W. Krings und Thomas Feyer. The byzantine agreement problem, optimal early stop-

ping. Thirty-second Annual Hawaii International Conference on System Sciences-Volume 8,

1998.

[KFL96] Ko, Fink und Levitt. Execution monitoring of security-critical programs in a distributed sy-

stem: A specification-based approach.Ph.D. Thesis at the University of California, 1996.

[KLX +01] Jiejun Kong, Haiyun Luo, Kaixin Xu, Daniel Lihui Gu, Mario Gerla und Songwu Lu. Adap-

tive security for multi-layer ad-hoc networks.Special Issue of Wireless Communications and

Mobile Computing, Wiley Interscience Press, 2001.

[Kar01] Vesa Karpijoki. Security in ad hoc networks.Master Thesis, 2001.

[KT00] C. Krugel und T. Toth. A survey on intrusion detection systems.Technical Report TUV-1841-

00-11, 2000.

[KZL +01] Jiejun Kong, Petros Zerfos, Haiyun Luo, Songwu Lu und Lixia Zhang. Providing robust

and ubiquitous security support for mobile ad-hoc networks.IEEE Military Communications

Conference (MILCOM’02), 2001.

[LF01] Martin Nilsson Laura Feeney. Investigating the energy consumption of a wireless network

interface in an ad hoc networkinh environment.INFOCOM 2001, 2001.

[LL00] Haiyun Luo und Songwu Lu. Ubiquitous and robust authentication services for ad hoc wire-

less networks.UCLA Computer Science Technical Report 2000, 2000.

[LSP82] Leslie Lamport, Robert Shostak und Marshall Pease. Byzantine generals problem.

http://citeseer.nj.nec.com/article/lamport82byzantine.html, 1982.

[Lun88] Teresa Lunt. Automated audit trail analysis.Proceedings of the 11th National Computer

Security Conference, 1988.

[Lun00] Janne Lundberg. Routing security in ad hoc networks.http://citeseer.nj.nec.com/400961.html,

2000.

108


[LX00] Wenke Lee und Dong Xiang. Information theoretic measures for anomaly detection.IEEE

Symposium on Security and Privacy, 2000.

[LZK +01] Haiyun Luo, Petros Zerfos, Jiejun Kong, Songwu Lu und Lixia Zhang. Self-securing ad hoc

wireless networks. IEEE 7th Symposium on Computers and Communications (ISCC’02),

2001.

[MGB00] Sergio Marti, T.J. Giuli und Mary Baker. Mitigating routing misbehavior in mobile ad hoc

networks.Mobile Computing and Networking, 2000.

[MM] Pietro Michiardi und Refik Molva. Prevention of Denial of Service attacks and Selfishness in

Mobile Ad Hoc Networks.http://www.eurecom.fr/ michiard/pub/michiardiadhocdos.ps.

[MM01] Pietro Michiardi und Refik Molva. Core: A collaborative reputation mechanism to enforce

node cooperation in mobile ad hoc networks.Proceedings of the 6th IFIP Communication

and Multimedia Security Conference, 2001.

[MM02a] Pietro Michiardi und Rafik Molva. Prevention of denial of servie attacks and selfishness in

mobile ad hoc networks.Research Report RR-02-063, 2002.

[MM02b] Pietro Michiardi und Refik Molva. Simulation-based analysis of security exposures in mobile

ad hoc networks.European Wireless Conference 2002, 2002.

[Nas50] John Nash. Equilibrium points in n-person games.In Proceedings of the National Academy

of Sciences 1950, 36:48–49, 1950.

[ns2a] The network simulator - ns-2, introduction and code.http://www.isi.edu/nsnam/ns/.

[ns2b] The network simulator - ns-2, release notes ns2.26.http://www.isi.edu/nsnam/ns/ns-

problems.html.

[Pau98] Manfred Paul. Parallele und verteilte programmierung.http://wwwbroy.informatik.tu-

muenchen.de/ lehre/vorlesungen/vertprog/, 1998.

[PCTS02] Adrian Perrig, Ran Canetti, J.D. Tygar und Dawn Song. The TESLA Broadcast Authentica-

tion Protocol.RSA CryptoBytes, 5 (Summer), 2002.

[Per88] Radia Perlmen. Network layer protocols with byzantine robustness.MIT/LCS/TR 429, 1988.

[Per01] Charles E. Perkins (Herausgeber).Ad Hoc Networking. Addison-Wesley, 2001.

[PH02a] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure routing for mobile ad

hoc networks. SCS Communication Networks and Distributed Systems Mode-

ling and Simulation Conference (CNDS 2002), January 2002. Also available as

http://wnl.ece.cornell.edu/Publications/cnds02.pdf.

109


[PH02b] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure Routing for Mobile Ad Hoc Net-

works. Working Session on Security in Wireless Ad Hoc Networks, EPFL, (published in

Mobile Computing and Communications Review, vol.6, no.4), June 2002.

[PH03] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure Link State Routing for Mobile Ad

Hoc Networks.IEEE Workshop on Security and Assurance in Ad hoc Networks, in conjunc-

tion with the 2003 International Symposium on Applications and the Internet, January 2003.

[PHS02] Panagiotis Papadimitratos, Zygmunt J. Haas und P. Samar. The Secure Routing Protocol

(SRP) for Ad Hoc Networks.draft-papadimitratos-secure-routing-protocol-00.txt, December

2002.

[Por92] Porras. Stat - a state transition analysis tool for intrusion detection.Masters Thesis at the

University of California, 1992.

[PR02] Charles E. Perkins und Elizabeth M. Royer. Ad hoc on demand distance vector (aodv) routing.

http://www.ietf.org/internet-drafts/draft-ietf-manet-aodv-12.txt, November 2002.

[Qin01] Liang Qin. Pro-active route maintenance in dsr. 2001.

[RG92] D. Russel und Gangemi. Computer security basics.G.T. Sr. 1992 O’Reilly & Associates, Inc.,

1992.

[RZFK76] P. Resnick, R. Zeckhauser, E. Friedman und K. Kuwabara. Reputation systems.Communica-

tions of the ACM, 43, 1976.

[Sch99a] Bruce Schneier. Attack trees.Dr. Dobb’s Journal, 1999.

[Sch99b] Bruce Schneier. Modeling security threats.Dr Dobb’s Journal, December 1999.

[SDL+02] Kimaya Sanzgiri, Bridget Dahill, Brian Neil Levine, Clay Shields und Elizabeth M. Belding-

Royer. A Secure Routing Protocol for Ad Hoc Networks. November 2002.

[SF02] Paul Sass und Jim Freebersyser. Fcs communications technology for the objective force.

2002.

[Sha79] A. Shamir. How to share a secret.Communications of the ACM, 24(11), 1979.

[SHF+99] S.F.Wu, H.C.Chang, F.Jou, F.Wang, F-Gong und C.Sargor. Jinao: Design an implementation

of a scalable intrusion detection system for the ospf routing protocol.Journal of Computer

Networks and ISDN Systems, 1999.

[Spe03] Raimund Specht. Authentifikation und schlusselaustausch in mobilen ad-hoc netzwerken.

Diplomarbeit, 2003.

110


[Tan96] Andrew S. Tannenbaum.Computer Networks. Prentice Hall PTR, 1996.

[TDC+95] Tushar, Deepak, Chandra, Hawthorne, Sam und Ithaca. Unreliable failure detectors for relia-

ble distributed systems.Journal of the ACM, 43(2), 1995.

[WC] Brad Williams und Tracy Camp. Comparison of broadcasting techniques for mobile ad hoc

networks.Proceedings of the ACM International Symposium on Mobile Ad Hoc Networking

and Computing (Mobihoc.

[WMB99] Thomas Wu, Michael Malkin und Dan Boneh. Building intrusion-tolerant applications.Pro-

ceedings of 8th USENIX Security Symposium, 1999.

[YNK00] Seung Yi, Prasad Naldurg und Robin Kravets. A security-aware routing protocol for wireless

ad hoc networks.The 6th World Multi-Conference on Systemics, Cybernetics and Informatics

(SCI 2002), 2000.

[Zap02] Manel Guerrero Zapata. Secure Ad hoc On-Demand Distance Vector Routing.ACM Mobile

Computing and Communications Review (MC2R), 6, July 2002.

[ZH99] Lidong Zhou und Zygmunt J. Haas. Securing ad hoc networks.(IEEE) Network, 13(6):24–30,

1999.

[Zhu] Feng Zhu. Paper list: Security for ad hoc networks.http://www.ccs.neu.edu/home/zhufeng/.

[ZL01] Yongguang Zhang und Wenke Lee. Intrusion detection in wireless adhoc networks.Mobile

Computing and Networking, 2001.

[ZLH02] Yongguang Zhang, Wenke Lee und Yi-An Huang. Intrusion detection techniques for mobile

wireless networks.Mobile Computing and Networking, 2002.

111

Andreas Klenk Matrikelnummer 372292

Erkl arung

Ich erklare, dass ich die Diplomarbeit selbstandig verfasst und keine anderen als die angegebenen Quellen

und Hilfsmittel verwendet habe.

1. Ich bin damit einverstanden, dass die Arbeit veroffentlicht wird und dass in wissenschaftlichen Ver-

offentlichungen darauf Bezug genommen wird.

2. Der Universitat Ulm, vertreten durch die Abteilung Medieninformatik, wird ein (nicht ausschließli-

ches) Nutzungsrecht an dieser Arbeit sowie an den im Zusammenhang mit ihr erstellten Programmen

eingeraumt.

Ulm, den 5. Juni 2003

Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken › fileadmin › TUM › members ›...

Documents

Transcript of Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken › fileadmin › TUM › members ›...