You are here: HomeTeachingEEL878Redes1-2015-1Seminários-Graduacao

Segurança

Quando articula-se sobre segurança de redes, normalmente tais técnicas são atribuídas nas quais a informação transmitida pode ter valor para um terceiro, ou que mesmo que não tenha é necessário garantir aspectos como a integridade desta e estar preparado para ataques aleatórios que podem vir a ocorrer, será que é de fato necessário garantir a confidencialidade da informação numa RSSF? A resposta é depende, por exemplo para redes de baixo alcance em regiões remotas onde os dados colhidos ou a atuação de um sensor não tem valor para ninguém, a confidencialidade pode não ser um fator primordial, porém para uma rede num projeto em que sensores são atuantes e seu trabalho demanda condições de perigo, garantir segurança é necessário. Pelo fato de que estas redes transmitem informação pelo ar pode-se ter facilidade em observar o canal onde é feita a troca de pacotes, abaixo serão analisadas técnicas visando garantir segurança para estas redes.

5.1) Condições para segurança

Uma rede é dita segura quando atende uma série de requisitos comumente aceitos na área:

Deve estar sempre disponível para usuários permitidos, de forma a ser resistente a ataques DoS (Denial of Service).

Confidencialidade dos dados, se um usuário não autorizado conseguir obter acesso a informação que ele não consiga entender a informação em si, pode-se obter isso com criptografia, que será apresentada posteriormente.

Autenticidade, garante que as informação emitidas por um sensor foram de fato recolhidas por ele, lembrando que há a possibilidade de um malfeitor tentar “injetar” dados na rede.

Atualização, a informação deve ter uma validade, para evitar que um malfeitor retransmita dados da própria rede num tempo posterior, a informação seria legitimada, porém não estaria correta.

Integridade, tal processo deve garantir que a mensagem não foi alterada por um terceiro, para isso é calculada uma função unívoca do tipo hash em cima da mensagem, o resultado é enviado junto a mensagem, e posteriormente recalculada na recepção da mesma, isto garante que ela não foi alterada.

Também deve existir policiamento na rede, de maneira a tentar manter uma certa colaboração de todos os nós, dependendo de critérios como energia, poder de processamento, etc. Os nós também devem ser resistentes a alteração por terceiros.

5.2) Criptografia

O modo imediato para se tentar garantir confidencialidade é encriptando a informação obtida pelos sensores com um sistema de par de chaves, onde o sensor teria uma chave para encriptar e só poderia ocorrer a decriptação utilizando as duas chaves, porém só o usuário final iria dispor desta segunda chave, este mecanismo funciona, no entanto é extremamente custoso e como já abordado na seção de arquitetura, os nós tem poucos recursos disponíveis tanto em processamento quanto memória e principalmente energia, para se ter ideia nos sensores do projeto Smart Dust da Universidade de Berkeley é utilizado um CPU com 4Mhz de clock, memória RAM de 512 bytes e memória flash de 8kHz, logo tem-se que partir para o modo clássico de encriptação, na qual cada mensagem é encriptada com uma chave, processo um pouco custoso, todavia eficiente, agora só falta pensar numa maneira de distribuir estas chaves entre os sensores. A primeira possibilidade é utilizar uma chave igual para todos por tempo indeterminado, tal método é quase tão ruim como transmitir em claro, uma vez descoberta esta chave, por manipulação dos sensores por exemplo, a rede não é mais segura. Logo deve ocorrer um processo interno a rede de geração e distribuição de chaves, o primeiro tipo de distribuição é dito aberto, onde todos os nós recebem uma chave mestra de tempos em tempos, como anteriormente esse esquema ainda é sensível a ataques, o segundo tipo de distribuição é o dito específico por nó, no qual seria gerada uma chave para cada possível combinação dos nós, tal método é o ideal, porém os sensores não tem recursos para armazenar tantas chaves simultaneamente, o que se tenta fazer então são modos intermediários entre esses dois, a eficiência não fica tão ruim quanto o primeiro, mas não tão boa quanto o segundo.

5.3) Métodos de segurança no roteamento das mensagens

Tais métodos são implementados por algoritmos presentes nos nós, estes por sua vez devem proteger as mensagens ao mesmo tempo em que o consumo de energia utilizado pelos mesmos deva ser mínimo, obviamente isso impede instruções que provém alto nível de segurança sejam utilizadas, e portanto isto se torna um campo para pesquisa, tem-se diversos propostos como Ariadne, INSENS, Watchdog se destacando o chamado SPINS, que tem maior aceitação atualmente.

5.4) Segurança dos Sorvedouros

A maioria destes protocolos assume que o nó sorvedouro é sempre seguro, pois em geral estes tem maior poder de processamento e podem rodar algoritmos de segurança mais confiáveis, o problema é que nem sempre ele é de fato confiável, portanto devem haver métodos para assegurar esta condição, o primeiro método é inserir sorvedouros a mais na rede, assim a chance de que todos fossem danificados seria menor, outro método é não deixar o endereço dos pacotes claro, assim um nó malicioso não poderá distinguir se a mensagem vai para o sorvedouro ou não, e uma terceira medida é fazer com que os sorvedouros fossem móveis na topologia da rede, tornando difícil sua identificação. Tais métodos foram listados por Deng em [Deng 2003]

5.5) Ataques

Figura 7 - "Attacks on routing" Adaptado de [Law 2002]

Spoofing: Este ataque tem como alvo principal os pacotes responsáveis pelas informações de roteamento, ele pode tentar alterar esses pacotes ou reenviá-los de tempos em tempos, como consequência ele pode criar caminhos falsos, atrair tráfego para uma região, etc. O chamado spoofing de reconhecimento positivo sucede quando através desta alteração ou reenvio dos pacotes de controle ele consiga fazer parecer que um nó ou canal ruim está em pleno funcionamento, como consequência ele atrai o tráfego para aquela região.

Encaminhamento Seletivo: Uma vez que um malfeitor consiga alocar nós maliciosos na rede ele pode administrar o tráfego de informação por este novo nó, podendo por exemplo impedir a passagem de pacotes, técnica chamada “black hole”, se este nó malicioso estiver numa das principais rotas até o nó sorvedouro este ataque pode ser muito efetivo, ainda mais se houver um policiamento enviando mais pacotes para aqueles nós que estão “trabalhando” pouco, como as RSSF devem ser tolerantes a nós defeituosos, passado certo tempo este nó seria dispensado da rede.

Ataque sorvedouro: Como os sensores em geral transmitem mensagens direcionadas aos nós sorvedouros, no caso de um nó malicioso se passar por um sorvedouro tería-se grandes problemas, ainda mais que estes nós devido a sua função podem ter um hardware melhor, numa rede em que a seleção de caminhos se der utilizando o número de saltos, os sorvedouros por terem melhor hardware indicam menos saltos e atraem o tráfego pra si.

Sybil: Para garantir o encaminhamento da mensagem algumas redes enviam por múltiplos caminhos, um nó malicioso pode tirar proveito disso, pode apresentar múltiplas identificações, controlando uma certa parte da rede, o restante da rede pode acreditar que há múltiplos nós defeituosos, quando na verdade só há um malicioso. Este ataque pode ser evitado distribuindo nós ditos seguros, que devem certificar os demais nós da rede.

Wormhole: Assim como o nome sugere, neste ataque há pelo menos dois nós maliciosos na rede, eles criam um suposto túnel entre si, como se um tivesse acesso direto ao outro, se um deles estiver próximo ao nó sorvedouro os demais nós podem ser persuadidos a enviar mensagens por este túnel, mais uma maneira dos nós malfeitores de atrair o tráfego para si.

Inundação Hello: Para verificar a conectividade da rede alguns protocolos geram pacotes Hello, os nós enviam estes pacotes e seus vizinhos o recebem, um nó comprometido pode se aproveitar disso, ele pode enviar Hello para todos na rede, fazendo-os acreditar que é vizinho de todo mundo, neste caso ele necessitaria ter maior potência de transmissão, após aceito isso ele pode influenciar os demais nós a manter caminhos especificados por ele, esses caminhos direcionam o tráfego para a região em que o malfeitor prefira.

Ring of Evil: Um dos piores tipos para se remediar, acontece quando um nó comum da rede é cercado por nós maliciosos, estes podem se negar a retransmitir qualquer informação passada, e também podem injetar informação no nó bom.

Loop ou detour: nesse tipo os nós maliciosos, através do envio de pacotes responsáveis pelo roteamento, podem fazer com que pacotes fiquem circulando pela rede num ciclo vicioso, tal ataque tem como foco comum esgotar a energia dos sensores.

Há ainda muitas possibilidades de ataque, acima estão os mais comuns em nível de roteamento.

AnteriorTopo Próxima

"Este trabalho foi totalmente produzido pelos autores que declaram não terem violado os direitos autorais de terceiros, sejam eles pessoas físicas ou jurídicas. Havendo textos, tabelas e figuras transcritos de obras de terceiros com direitos autorais protegidos ou de domínio público tal como idéias e conceitos de terceiros, mesmo que sejam encontrados na Internet, os mesmos estão com os devidos créditos aos autores originais e estão incluídas apenas com o intuito de deixar o trabalho autocontido. O(s) autor(es) tem(êm) ciência dos Artigos 297 a 299 do Código Penal Brasileiro e também que o uso do artifício de copiar/colar texto de outras fontes e outras formas de plágio é um ato ilícito, condenável e passível de punição severa. No contexto da Universidade a punição não precisa se restringir à reprovação na disciplina e pode gerar um processo disciplinar que pode levar o(s) aluno(s) à suspensão;"

Autores:
Eric Oliveira
Roseli Araújo
Vinícius A. Alves