Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Weitere Magazine

Empfehlungen

Info

KAPITEL 3. INTRUSION DETECTION Eine weitere Arbeit auf diesem Gebiet war IDES von Denning und Neumann [DN85]. Für das IDES System wird angenommen, dass es ein normales Verhalten der Benutzer gibt: Angriffe und Manipulationen am System weichen dagegen von dem Standard Verhalten ab und sind deshalb verdächtig. Dieses System wertete Audit Daten des Systems aus und erstellte für jeden Benutzer ein Profil über die letzten 50 Tage. Es wurden Audit über CPU Last, Loginversuche pro Stunde oder auch ausgeführte Befehle je Session ausgewertet. Diese ersten Systeme haben alle nachfolgenden IDS entscheidend geprägt, nun sollen aber die Lösungen für Ad hoc Netzwerke vorgestellt werden. 3.3.2 Diskussion der Ansätze und ihrer Verwendbarkeit für Ad hoc Netzwerke Es wurden bis jetzt IDS Systeme für drahtgebundene Netzwerke vorgestellt. Diese haben sich in der Praxis bewährt und sind inzwischen unverzichtbarer Bestandteil für den Schutz von Computer Netzwerken geworden. Können diese bestehenden Systeme, entsprechend modifiziert, ein gleiches Maß an Sicherheit auch für Ad hoc Netzwerke etablieren? Viele Ansätze der ID sind bisher zentral organisiert; dies ermöglichte eine leichtere Administration und reduzierte die Angriffsmöglichkeiten auf das IDS selbst. Ad hoc Netzwerke gehen dagegen von einer sehr dynamischen Struktur mit ständig wechselnden Teilnehmern aus. Zuerst wäre ein Teilnehmer auszuwählen, dessen Hardware ein solches zentrales System beherbergen sollte. Dieser Teilnehmer müsste vertrauenswürdig sein, sein System müsste von allen Punkten im Netz erreicht werden können und das System selbst müsste Zugriff auf die Kommunikation zwischen allen Knoten haben. • Das erste Problem ist schon, in einem Netzwerk den erforderlichen, absolut vertrauenswürdigen Teilnehmer zu finden. In Ad hoc Netzen sind per se beim Eintritt eines Teilnehmers keine Informationen über diesen verfügbar. Vertrauen muss in irgendeiner Form erst aufgebaut werden - unmöglich eine Wahl zu treffen in der initialen Phase, wenn ein Ad hoc Netz sich erstmals bildet. • Das nächste Problem wäre die Kommunikation des zentralen IDS mit den Teilnehmern. Durch die Hop zu Hop Kommunikation eines Ad hoc Netzes würden alle Daten über die umliegenden Knoten des IDS geleitet. Diese wären also stark beansprucht und, abgesehen von dem hohen Energieverbrauch an diesen Knoten, würden die Nachbarn alleine schon wegen der geringen zur Verfügung stehenden Bandbreite einen Bottelneck in der Kommunikation darstellen. • Schließlich müsste das IDS auch noch alle verfügbaren Daten im Netz analysieren können. Es ist davon auszugehen, dass sich immer ein Teil der Kommunikation außerhalb der Empfangsreichweite des zentralen IDS zuträgt. Bei einer solchen zentralen Lösung müssten viele Datenströme über das IDS umgeleitet werden. Das wäre bei der typischen Kommunikationshardware eines Ad hoc Netzwerkes nicht realisierbar. 22
KAPITEL 3. INTRUSION DETECTION • Wenn es ein solches zentrales IDS gäbe, müsste immer noch das Nachfolgeproblem gelöst werden: Was ist zu tun, wenn der Teilnehmer, der das IDS betrieben hat, das Netz verlässt oder zeitweise von den anderen Knoten nicht erreicht werden kann? Dann müsste ein IDS an anderer Stelle gestartet werden, möglichst mit dem Wissen von den bisher gesammelten Daten. 3.4 Intrusion Detection im mobilen Ad hoc Netzwerk 3.4.1 Die besonderen Probleme der traditionellen IDS mit Ad hoc Netzwerken Zu den Problemen der typischen zentralen IDS Systemen kommen noch spezifische Sicherheitsprobleme eines Ad hoc Netzes. • Die Kommunikation erfolgt über ein öffentliches Medium, die Luft. Jeder in Empfangsreichweite kann die Radiowellen belauschen und erhält somit Zugriff auf die Kommunikation. Ein böswilliger Knoten könnte sogar Daten in den Verkehr einschleusen und fremde Daten fälschen. • Das Kommunikationsmedium, die Luft als Radiowellenträger, muss mit allen Teilnehmern geteilt werden. Die verfügbare Bandbreite ist begrenzt und zudem sind die Übertragungen störanfällig gegenüber anderen Teilnehmern und äußeren Einflüssen. • Bei den traditionellen ID Systemen fallen große Datenmengen an, die eine hohe Rechenleistung benötigen, um diese zu analysieren. Bei Ad hoc Netzwerken sind typischerweise die Ressourcen begrenzt. Die meisten Geräte werden mit Batterien oder Akkumulatoren als Energiequelle betrieben und müssen sparsam mit Rechen- und Festplattenressourcen umgehen. • Die meisten bestehenden IDS verlassen sich in letzter Instanz auf das Urteil eines gelernten Administrators, der die Entscheidung über Reaktion und Schwere eines Angriffs fällt. In Ad hoc Netzwerken muss von ungelernten Endnutzern ausgegangen werden, denen das Verständnis von Netzinterna und Sicherheitsmechanismen fehlt. Deshalb können diese nur schwer ein Urteil über eventuelle Angriffe fällen. • Ad hoc Netzwerke brauchen, um zu funktionieren, die Kooperation möglichst aller Teilnehmer. Speziell der Aufbau der Routen im Netz sowie das Weiterleiten von Paketen liegen in der Pflicht jedes einzelnen Knoten. Diese Knoten könnten aber versuchen die eigenen Ressourcen zu schonen, indem nur im eigenen Nutzen kommuniziert wird. Fremde Pakete würden dann nicht weitergeleitet und ein solcher Knoten würde dann auch am Aufbau von Routen nicht teilnehmen. Ein solches Verhalten nennen wir Egosimus. 23
Seite 1: UNIVERSITÄT ULM · SCIENDO · DOCE
Seite 4 und 5: INHALTSVERZEICHNIS 3.3.1.5 Der Anfa
Seite 6 und 7: INHALTSVERZEICHNIS 7 Fazit von MobI
Seite 8 und 9: KAPITEL 1. EINLEITUNG den Teilnehme
Seite 10 und 11: KAPITEL 2. AD HOC ROUTING, EINE NEU
Seite 16 und 17: KAPITEL 3. INTRUSION DETECTION 3.2
Seite 18 und 19: KAPITEL 3. INTRUSION DETECTION Dies
Seite 20 und 21: KAPITEL 3. INTRUSION DETECTION - Ve
Seite 22 und 23: KAPITEL 3. INTRUSION DETECTION Verb
Seite 24 und 25: KAPITEL 3. INTRUSION DETECTION Date
Seite 26 und 27: KAPITEL 3. INTRUSION DETECTION •
Seite 30 und 31: KAPITEL 3. INTRUSION DETECTION Anfo
Seite 32 und 33: KAPITEL 3. INTRUSION DETECTION die
Seite 34 und 35: KAPITEL 3. INTRUSION DETECTION Ein
Seite 36 und 37: KAPITEL 3. INTRUSION DETECTION auch
Seite 38 und 39: KAPITEL 3. INTRUSION DETECTION Es w
Seite 40 und 41: KAPITEL 3. INTRUSION DETECTION die
Seite 42 und 43: KAPITEL 3. INTRUSION DETECTION vorh
Seite 44 und 45: KAPITEL 3. INTRUSION DETECTION 38
Seite 46 und 47: KAPITEL 4. VERWUNDBARKEITEN DES DSR
Seite 54 und 55: KAPITEL 5. SIMULATION VON AD HOC NE
Seite 64 und 65: KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 78 und 79:
KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
KAPITEL 7. FAZIT VON MOBIDS durchdr
Seite 106 und 107:
ANHANG A. SIMULATIONSARCHITEKTUR In
Seite 108 und 109:
ANHANG B. GLOSSAR Overhead bezeichn
Seite 110 und 111:
ABBILDUNGSVERZEICHNIS 6.6 Aktivitä
Seite 112 und 113:
LITERATURVERZEICHNIS [BdSM00] M. C.
Seite 114 und 115:
LITERATURVERZEICHNIS [Joh94] David
Seite 116 und 117:
LITERATURVERZEICHNIS [PH02b] Panagi
Seite 119:
Andreas Klenk Matrikelnummer 372292
Alle anzeigen

Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?