Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Weitere Magazine

Empfehlungen

Info

KAPITEL 3. INTRUSION DETECTION die Quelle der Intrusion zu lokalisieren. Der Agent migriert Knoten zu Knoten in Richtung der Quelle und untersucht auch alle anderen bereisten Systeme auf Anzeichen dieser Intrusion. • Information Gathering Agent wird durch den Tracing Agent auf dem jeweiligen aktuellen System aktiviert. Dieser Agent übernimmt die eigentliche Aufgabe, nach Anzeichen der Intrusion auf diesem System zu suchen. Der Agent kehrt nach getaner Arbeit zum Manager zurück und berichtet die gefundenen Daten. Dieser Agent kann keine Entscheidung darüber treffen, ob eine Intrusion stattgefunden hat oder nicht! • Bulletin Board und Message Board. Das Message Board dient der internen Agenten Kommunikation auf jedem Knoten. Das Bulletin Board gibt es nur auf dem Manager und es dient als Ablage der Ergebnisse der Information Gathering Agents. Bewertung Das System zielt in erster Linie auf Erkennung von Intrusions in das System als solches. Es kann keine Manipulationen an dem anfälligen Routing erkennen. Es geht damit nicht auf die speziellen Probleme eines Ad hoc Netzwerkes ein, ist aber wegen seiner verteilten Architektur dennoch interessant. Die Agenten selbst sind nicht gegen Manipulationen auf dem Wirtsystem geschützt. Ist dieses System schon befallen, kann ein Angreifer den Agenten so verändern, dass der Agent keine Spuren meldet und die Verfolgung abbricht. Das wird begünstigt, da das IDA System nur Angriffe erkennen kann, nachdem diese passiert sind. IDA an sich hat aber auch Probleme, da es einen zentralen, und damit angreifbaren, Manager besitzt. Die Agentenstruktur führt einen großen Overhead ein, da einerseits Agenten transportiert werden müssen, und andererseits die Information Gathering Agents doch mit einem Großteil der Daten zum Manager zurückkehren. 3.4.2.6 Nuglets, ein Vermeidungsansatz Unter Hubaux und Blascevic wurde das Terminodes Projekt [HBC01] [BBC + 01] vorangetrieben. Es befasst sich in erster Linie mit lokationsabhängigem Routing in Ad hoc Netzen, aber es stellt auch einen einzigartigen Ansatz der Motivation zur Kooperation dar. Es ist also kein IDS, sondern versucht Sicherheitsprobleme durch ein geeignetes Design zu vermeiden. Kooperation soll durch Einführung einer künstlichen Währung erreicht werden, die Nuglets genannt wird. Die Idee ist, alle Knoten für die Nutzung eines Services Nuglets bezahlen zu lassen, Anbieter von Services bekommen Nuglets. Jede Kommunikation in diesem Netz verursacht also Kosten, für die ein Knoten aufkommen muss. Dadurch ist das kein IDS mehr, das auf die Erkennung abzielt, sondern ein System, das durch geeignetes Routingregeln die Knoten zur Kooperation motiviert. Es wurden zwei Abrechnungsmodelle vorgeschlagen: Einmal zahlt der Sender einer Nachricht für den Versand (Packet Purse Model), die andere Möglichkeit ist den Empfänger bezahlen zu lassen (Packet Trade Model). Das Problem der ersten Methode ist, nicht genau die Kommunikationskosten im voraus zu kennen, die nötig sind, um ein Ziel zu erreichen. Diese müssen aber schon vor dem Versand dem Konto abgezogen werden. 34
KAPITEL 3. INTRUSION DETECTION Um die Integrität der Nugletskonten zu gewährleisten, wird von ”tamper proof hardware” ausgegangen: Hardware, die so gestaltet ist, dass nur das Nuglets System den Kontostand verändern darf, der Benutzer aber keinen direkten Zugriff hat. Die zweite Methode lässt jeden Empfänger (auch die Knoten, die Pakete weiterleiten) entlang der Route für das Paket bezahlen. Diese wird dann für eine bestimmte Zahl Nuglets eingekauft und für mehr Nuglets ”weiterverkauft”. Dadurch erhöht jeder Knoten durch forwarding des Pakets seinen Bestand an Nuglets. Effektiv bezahlt damit das Ziel den Transport. Die zweite Methode hat aber Schwächen, denn einem Knoten können durch Senden vieler unnützer Pakete alle Nuglets entzogen werden. Die Wirkung wäre ein Denial of Service auf diesen Knoten; denn wenn ein Knoten nicht bezahlen kann, kann er auch keine Pakete empfangen. Bewertung Das Nuglets Konzept ist interessant, weil es Kooperation wie in keinem anderen Modell stimulieren kann. Knoten könnten sogar am Verkehr teilnehmen, nur um Nuglets zu verdienen, auch wenn sie zu diesem Zeitpunkt gar nicht kommunizieren wollen. Allerdings gib es schwerwiegende Probleme am Konzept. Man muss davon ausgehen, dass das Kommunikatiosnverhalten der einzelnen Knoten stark variiert. Manche Knoten werden wahrscheinlich überwiegend senden, z.B. wenn sie bestimmte Services für andere Teilnehmer beherbergen. Diesen Knoten würden je nach Abrechnungsmodell schnell alle Nuglets entzogen. Knoten, die in der Peripherie im Netzwerk positioniert sind, können wesentlich seltener Pakete weiterleiten als solche im Zentrum. Es würden sich also die Nuglets im Zentrum sammeln und die Peripherie aushungern. Wie oben schon erwähnt, sind auch Denial of Service Angriffe durch Entziehen aller Nuglets eines Knoten möglich. Zuletzt zeigt auch die Erfahrung, dass es ”tamper proof hardware” nicht gibt, also davon auszugehen ist, dass es Knoten im System gibt, die beliebig Nuglets zum Eigennutzen generieren können. Ein ganz anderes Problem ist, dass das Nuglets-Konzept keine Möglichkeit der Erkennung von Angriffen bietet. Nuglets kann Egoismus entgegen treten, aber bei Angriffen, zum Beispiel durch einen Knoten, der Pakete einfach verwirft, kann das System das weder erkennen noch den Angreifer identifizieren und bestrafen. 3.4.3 Bewertung der aktuellen Forschung 3.4.3.1 Vergleich aktueller IDS In diesem Kapitel werden nun viele Systeme vorgestellt, die versuchen Egoismus und Böswilligkeit zu verhindern oder zu reduzieren. Besonders herausragend war dabei CORE mit seinem Bewertungsschema, das die Idee des Promiscuous Mode von Watchdog und Pathrater erweiterte. Nuglets bot eine innovative Herangehensweise durch sein Bezahlmodell für die Weiterleitung von Nachrichten. Es bleibt festzustellen, dass der Forschungsgemeinschaft der große Wurf eines praxistauglichen IDS noch nicht geglückt ist. Verteilte Erkennung und automatische Reaktion sind bis jetzt nur im Konzeptstadium 35
Seite 1: UNIVERSITÄT ULM · SCIENDO · DOCE
Seite 4 und 5: INHALTSVERZEICHNIS 3.3.1.5 Der Anfa
Seite 6 und 7: INHALTSVERZEICHNIS 7 Fazit von MobI
Seite 8 und 9: KAPITEL 1. EINLEITUNG den Teilnehme
Seite 10 und 11: KAPITEL 2. AD HOC ROUTING, EINE NEU
Seite 16 und 17: KAPITEL 3. INTRUSION DETECTION 3.2
Seite 18 und 19: KAPITEL 3. INTRUSION DETECTION Dies
Seite 20 und 21: KAPITEL 3. INTRUSION DETECTION - Ve
Seite 22 und 23: KAPITEL 3. INTRUSION DETECTION Verb
Seite 24 und 25: KAPITEL 3. INTRUSION DETECTION Date
Seite 26 und 27: KAPITEL 3. INTRUSION DETECTION •
Seite 28 und 29: KAPITEL 3. INTRUSION DETECTION Eine
Seite 30 und 31: KAPITEL 3. INTRUSION DETECTION Anfo
Seite 32 und 33: KAPITEL 3. INTRUSION DETECTION die
Seite 34 und 35: KAPITEL 3. INTRUSION DETECTION Ein
Seite 36 und 37: KAPITEL 3. INTRUSION DETECTION auch
Seite 38 und 39: KAPITEL 3. INTRUSION DETECTION Es w
Seite 42 und 43: KAPITEL 3. INTRUSION DETECTION vorh
Seite 44 und 45: KAPITEL 3. INTRUSION DETECTION 38
Seite 46 und 47: KAPITEL 4. VERWUNDBARKEITEN DES DSR
Seite 54 und 55: KAPITEL 5. SIMULATION VON AD HOC NE
Seite 64 und 65: KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 90 und 91:
KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
KAPITEL 7. FAZIT VON MOBIDS durchdr
Seite 106 und 107:
ANHANG A. SIMULATIONSARCHITEKTUR In
Seite 108 und 109:
ANHANG B. GLOSSAR Overhead bezeichn
Seite 110 und 111:
ABBILDUNGSVERZEICHNIS 6.6 Aktivitä
Seite 112 und 113:
LITERATURVERZEICHNIS [BdSM00] M. C.
Seite 114 und 115:
LITERATURVERZEICHNIS [Joh94] David
Seite 116 und 117:
LITERATURVERZEICHNIS [PH02b] Panagi
Seite 119:
Andreas Klenk Matrikelnummer 372292
Alle anzeigen

Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?