Transcript スライド 1
ワイヤレスアドホックネットワークに おける802.11 MACを用いた攻撃防御手法の提案 ECN B3 kanny 親 : masato さん 背景 ノートPC,携帯ゲーム機,センサノードなど他端末と アドホック通信のできる製品の増加 アドホック通信の利用用途の拡大 会議室やイベント会場などで即席のネットワーク (不特定多数との通信) 携帯ゲーム機の新しい通信形態 アドホック通信利用の拡大・一般化 問題意識 新しい通信規格 -> 攻撃の新出 ワイヤレス(アドホック)ネットワークにおける攻撃 有線ネットワークと違ったアプローチ 他ノードに大量にパケットを送りつける(DoS) 他ノードの脆弱性を突く(ウイルス等も含む) 物理層から(電波妨害) データリンク層から(802.11 MAC) 有線ネットワークと同じようなアプローチ それ以上のレイヤ(IP,TCP etc…) 問題意識 アドホックネットワークの主役となるのは小型デバイス バッテリなどで駆動し,持ち運びできる PCに比べると性能は制限される 従来のような重いPFW,IDSを動作させることが難しい状況も ネットワーク自体が移動可能であり,ネットワーク設置型 IDS/IPSなどに監視させることはできない アドホックネットワークに対応した新しい 攻撃検知/防御手法が必要 既存研究/製品 ワイヤレスネットワークへの攻撃を検知,阻止する IDS,IPS 管理されたネットワーク(会社のオフィスなど)が対象 ワイヤレス(アドホック)デバイス向けのIDSは 研究が進んでいる ノードが協調して侵入検知を行うもの(Cooperative) A General Cooperative Intrusion Detection Architecture for MANETs Third IEEE International Workshop on Information Assurance D. Sterne, P. Balasubramanyam, D. Carman, B. Wilson, R. Talpade, C. Ko, R. Balupari, C. Tseng, T. Bowen, M. Res March,2005 各ノード内単体で検知を行うもの(Lightweight) OpenLIDS:A Lightweight Intrusion Detection System for Wireless Mesh Networks ACM MobiCom 2009 Fabian Hugelshofer,Paul Smith,David Hutchison, Nicholas J.P. Race 目的 攻撃検知に関しては研究が進んでいるが,その防止に 関しての研究はあまりない 攻撃を検知した後,どのように対処するか? 攻撃者にとって,対象ノードと接続されていることが 最大のアドバンテージ 攻撃ノードを 素早くネットワークから切り離す 想定環境 802.11 を利用し,バッテリで駆動できるような 携帯用小型デバイス アドホック通信を利用し,不特定多数と通信を行うような ネットワーク ex.) 携帯ゲーム機による多人数対戦 切り離しを実現するレイヤ アプリケーション層における攻撃 ネットワーク層における攻撃 ex) ESS ID Jack,Disassociation Flooding 物理層における攻撃 ex) TCP SYN Flooding など 本研究の防御対象 データリンク層における攻撃 ex) SSH Brute Force ex) ジャミングなど より下のレイヤで防御を行う 手法 802.11 MAC frame Deauthentication frame を利用 企業向け無線IPSなどで利用されている 通常の802.11通信終了のため,Deauthentication frame が 送られる 無線IPSなどでは,不正(勝手)なアドホック通信を行うノード に対して送信し,通信を解除させている 攻撃を受けてリソースが逼迫している/する可能性があるた め,代わりに別のノードがフレームの送信を行う 攻撃手法としても用いられるが,この手法を防御のために利用 攻撃検知はCooperativeなものを想定 攻撃を,その対象ではない(攻撃を受けていない)ノードが検知できるもの 動作イメージ 攻撃 Deauthentication frame 送信 Detect 被害ノードの情報 IDSにより攻撃を受けているノードを検知(D)し,被害ノード(B)を設定しネットワーク内ノードに通知 被害ノードから2ホップ以内で通信できるノードはNICをプロミスキャスモードに設定し,問題となる通信を 送っているノードを加害(A)ノードに設定 加害ノードに1ホップで通信できるノードが介助ノード(C)に(介助ノードは複数でも良い) 介助ノードが被害ノードに代わりDeauthentication frame を送信 加害/被害ノード間接続が解除 以降,加害ノードが認証されないよう設定 実装 ノードにDeauthentication frame を送るモジュールを実装 シミュレータ上で実装を行い,手法の評価を行う NS-3 Network Simulator 実機での実装が可能かどうかは現在調査中 評価方針 手法の効果 本手法で実際に攻撃を止められるか シミュレーションによる被害ノード上のトラフィック 介助ノード選定成功の割合 複数のノードがある際に,加害ノードにフレームを送信できる (介助ノードとなりうる)ノードを選定できるか 実装環境 NS-3(ネットワークシミュレータ) C言語 Python Mac OS X 10.5 (Leopard) Mac Pro スケジュール ~12月末: 実装環境の調整 シミュレータを扱った経験がないため ~1月中旬: 実装 ~最終発表:実験,評価 関連研究 A General Cooperative Intrusion Detection Architecture for MANETs Third IEEE International Workshop on Information Assurance,2005 D. Sterne, P. Balasubramanyam, D. Carman, B. Wilson, R. Talpade, C. Ko, R. Balupari, C. Tseng, T. Bowen, M. Res OpenLIDS:A Lightweight Intrusion Detection System for Wireless Mesh Networks ACM MobiCom,2009 Fabian Hugelshofer,Paul Smith,David Hutchison,Nicholas J.P. Race 802.11 Denial-of-Service Attacks: Real Vulnerabilities and Practical Solutions USENIX Security Symposium,2003 John Bellardo,Stefan Savage