Transcript スライド 1
ワイヤレスアドホックネットワークに
おける802.11 MACを用いた攻撃防御手法の提案
ECN B3 kanny
親 : masato さん
背景
ノートPC,携帯ゲーム機,センサノードなど他端末と
アドホック通信のできる製品の増加
アドホック通信の利用用途の拡大
会議室やイベント会場などで即席のネットワーク
(不特定多数との通信)
携帯ゲーム機の新しい通信形態
アドホック通信利用の拡大・一般化
問題意識
新しい通信規格 -> 攻撃の新出
ワイヤレス(アドホック)ネットワークにおける攻撃
有線ネットワークと違ったアプローチ
他ノードに大量にパケットを送りつける(DoS)
他ノードの脆弱性を突く(ウイルス等も含む)
物理層から(電波妨害)
データリンク層から(802.11 MAC)
有線ネットワークと同じようなアプローチ
それ以上のレイヤ(IP,TCP etc…)
問題意識
アドホックネットワークの主役となるのは小型デバイス
バッテリなどで駆動し,持ち運びできる
PCに比べると性能は制限される
従来のような重いPFW,IDSを動作させることが難しい状況も
ネットワーク自体が移動可能であり,ネットワーク設置型
IDS/IPSなどに監視させることはできない
アドホックネットワークに対応した新しい
攻撃検知/防御手法が必要
既存研究/製品
ワイヤレスネットワークへの攻撃を検知,阻止する
IDS,IPS
管理されたネットワーク(会社のオフィスなど)が対象
ワイヤレス(アドホック)デバイス向けのIDSは
研究が進んでいる
ノードが協調して侵入検知を行うもの(Cooperative)
A General Cooperative Intrusion Detection Architecture for MANETs
Third IEEE International Workshop on Information Assurance
D. Sterne, P. Balasubramanyam, D. Carman, B. Wilson, R. Talpade, C. Ko, R. Balupari,
C. Tseng, T. Bowen, M. Res
March,2005
各ノード内単体で検知を行うもの(Lightweight)
OpenLIDS:A Lightweight Intrusion Detection System for Wireless Mesh Networks
ACM MobiCom 2009
Fabian Hugelshofer,Paul Smith,David Hutchison,
Nicholas J.P. Race
目的
攻撃検知に関しては研究が進んでいるが,その防止に
関しての研究はあまりない
攻撃を検知した後,どのように対処するか?
攻撃者にとって,対象ノードと接続されていることが
最大のアドバンテージ
攻撃ノードを
素早くネットワークから切り離す
想定環境
802.11 を利用し,バッテリで駆動できるような
携帯用小型デバイス
アドホック通信を利用し,不特定多数と通信を行うような
ネットワーク
ex.) 携帯ゲーム機による多人数対戦
切り離しを実現するレイヤ
アプリケーション層における攻撃
ネットワーク層における攻撃
ex) ESS ID Jack,Disassociation Flooding
物理層における攻撃
ex) TCP SYN Flooding など
本研究の防御対象
データリンク層における攻撃
ex) SSH Brute Force
ex) ジャミングなど
より下のレイヤで防御を行う
手法
802.11 MAC frame
Deauthentication frame を利用
企業向け無線IPSなどで利用されている
通常の802.11通信終了のため,Deauthentication frame が
送られる
無線IPSなどでは,不正(勝手)なアドホック通信を行うノード
に対して送信し,通信を解除させている
攻撃を受けてリソースが逼迫している/する可能性があるた
め,代わりに別のノードがフレームの送信を行う
攻撃手法としても用いられるが,この手法を防御のために利用
攻撃検知はCooperativeなものを想定
攻撃を,その対象ではない(攻撃を受けていない)ノードが検知できるもの
動作イメージ
攻撃
Deauthentication
frame 送信
Detect
被害ノードの情報
IDSにより攻撃を受けているノードを検知(D)し,被害ノード(B)を設定しネットワーク内ノードに通知
被害ノードから2ホップ以内で通信できるノードはNICをプロミスキャスモードに設定し,問題となる通信を
送っているノードを加害(A)ノードに設定
加害ノードに1ホップで通信できるノードが介助ノード(C)に(介助ノードは複数でも良い)
介助ノードが被害ノードに代わりDeauthentication frame を送信
加害/被害ノード間接続が解除
以降,加害ノードが認証されないよう設定
実装
ノードにDeauthentication frame を送るモジュールを実装
シミュレータ上で実装を行い,手法の評価を行う
NS-3
Network Simulator
実機での実装が可能かどうかは現在調査中
評価方針
手法の効果
本手法で実際に攻撃を止められるか
シミュレーションによる被害ノード上のトラフィック
介助ノード選定成功の割合
複数のノードがある際に,加害ノードにフレームを送信できる
(介助ノードとなりうる)ノードを選定できるか
実装環境
NS-3(ネットワークシミュレータ)
C言語
Python
Mac OS X 10.5 (Leopard)
Mac Pro
スケジュール
~12月末: 実装環境の調整
シミュレータを扱った経験がないため
~1月中旬: 実装
~最終発表:実験,評価
関連研究
A General Cooperative Intrusion Detection Architecture for MANETs
Third IEEE International Workshop on Information Assurance,2005
D. Sterne, P. Balasubramanyam, D. Carman, B. Wilson,
R. Talpade, C. Ko, R. Balupari, C. Tseng, T. Bowen, M. Res
OpenLIDS:A Lightweight Intrusion Detection System for Wireless Mesh
Networks
ACM MobiCom,2009
Fabian Hugelshofer,Paul Smith,David Hutchison,Nicholas J.P. Race
802.11 Denial-of-Service Attacks:
Real Vulnerabilities and Practical Solutions
USENIX Security Symposium,2003
John Bellardo,Stefan Savage