Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanAlican Mehmed Değiştirilmiş 9 yıl önce
1
1 Duyarga Ağ Güvenliği Pınar SARISARAY
2
2 Duyarga Ağ Tanımı Belirli bir olguyu algılamak için tasarlanmış yapılar duyarga olarak adlandırılır. Duyarga ağ amaca uygun olarak bir araya gelen duyargalardan oluşmuş, işbirlikçi olarak çalışmaya dayanan bir ağdır.
3
3 Haberleşme Topolojisi Sink / Baz istasyon İş Yöneticisi Internet veya Uydu Kendi kendine örgütlenen, homojen olmayan duyarga ağ Son Kullanıcı Çok Sekmeli Duyarga Cluster-Başı ya da Toplayıcı N = A’da ki düğüm sayısı R =Radyo Aralığı Alan A
4
4 Duyarga Düğüm Yapısı Konum BulucuHaraket Ettirici Güç Birimi Algılayıcı ADC İşlemci Bellek TX/RX Tetiklendirici Güç Üreteci
5
5 Duyarga Ağ Kısıtları Hata Toleransı Düğüm Kaybı Yönetimi Ölçeklenebilirlik Çok sayıdaki düğümlerin sisteme uyarlanması Maliyet Düğümlerin kaybı ile maliyet ilişkisi Donanım Sınırlamaları İşlem gücü, saklama kapasitesi sınırlı Değişen Topoloji Haraketli düğümler, ölen düğümler Tehlikelere Açık Ortam Haberleşmenin Devamı ve Sürekliliği İletim Ortamı Duyarga: RF, optik, kızıl ötesi Güç Sınırlı Tx, hesaplama, ve yaşam süresi Güvenlik Güvenilir, yetkilendirme, DoS Saldırılara dayanıklılık vs.
6
6 Duyarga Ağ Güvenlik Kısıtları Scalability Çok sayıda ki düğümlerin sisteme uyarlanması, Değişen Topoloji Yol Bilgisi Değişimi, şifreleme mekanizması gerektirir. İletim Ortamı İletim Ortamı Kolayca mesaj dinleme, yanlış mesajları iletebilme Güç Açık anahtar yöntemi uygun değil. Simetrik anahtar uygun Güvenlik Güvenilirlik, yetkilendirme, DoS saldırılarına dayanıklılık vs.
7
7 Duyarga Ağ Güvenlik Amaçları (I) Kullanılabilirlik(Availability): Duyarga ağ çalıştığı zaman diliminde, saldırılara maruz kalsa bile (DoS gibi) kesintiye uğramamalıdır. Ağ’ın yaşam süresi, duyarga düğümlerin kaynaklarını koruma esasına dayanır. (Enerji tüketimi minimizasyonu) (DoS’a karşı önlemler) Gizlilik: Duyarga ağ düğümleri ve baz istasyon arasında güvenilir bir iletim kanalı kurulmalıdır. Bu durumda kötü niyetli kişilerin bu mesajları ele geçirmemeleri amaçtır. Standart çözüm, verinin şifrelenmesidir. (SPINS) Ölçeklenebilirlik ve kendi kendine organize olabilme: Düğüm sayısının artmasıyla haberleşme maliyeti ve gecikmeler artmaktadır. Buna bağlı olarak anahtar kullanarak yapılan güvenli haberleşmeler için uygun anahtarlama mekanizması seçilmelidir.
8
8 Duyarga Ağ Güvenlik Amaçları (II) Veri Asıllama: Göndericinin kimliğinin alıcı düğüm tarafından doğrulanma işlemidir. Burada problem iç ağda kötü niyetli düğümlerin uzlaştığı düğümlerdir. (SPINS) Veri Bütünlüğü: Verinin iletimi esnasında kötü niyetli düğümler tarafından bozulmamasını garantilemektedir. (SPINS) Tazelik: Anahtar ve veri için söz konusudur. Verinin yeni yollanılmış olması ve kötü niyetli bir düğümün önceden aldığı bir mesajı yollamadığı manasına gelir. Anahtarların tazeliği ise, çiftler arasındaki anahtarların yeni olduğunu ima etmektedir. (Daha önce kullanılmamış) (SPINS)
9
9 Protokol Yapısı ve Duyarga Ağ Yönetimi 5. Uygulama Katmanı 4. Ulaşım Katmanı 3. Ağ Katmanı 2. Veri Bağı Katmanı 1.Fiziksel Katman Güç Haraket İş Birliği Duyarga Ağ Yönetimi
10
10 1.1. Fiziksel Katman Frekans seçimi, modülasyon ve veri şifreleme Sorun: Güç Şifreleme ??? modülasyon Frek 915 MHz? 0 1 1 0 1 0 1... kaynak İletim Sink d Uzaklık
11
11 Fiziksel Katman Olası Saldırılar Radyo Mesajları Bozumu (Jamming Saldırısı) Tamper (Kurcalama) Saldırısı
12
12 Radyo Mesajları Bozumu Saldırısı Genel Özellikleri Legal düğümlerin kullandığı radyo frekansını bozma amaçtır. Kötü niyetli bir düğüm, normal düğümlerin yolladığı radyo frekansında alıcı antene sinyal yollamaktadır. Alıcı, ağı oluşturan legal düğümlerin yolladığı sinyalleri bu yöntemle alamamaktadır.
13
13 Mesaj Bozumu Saldırısından Korunma Genel Özellikleri Kullanılan spektrumun genişletilmesi Frekans Zıplaması Öncelikli Mesajlar Haberleşme için farklı bir mode kullanımı (optik, kızıl ötesi) Uyuma
14
14 Kurcalama (Tampering) Saldırısı Teknikler Bu saldırı düğümlere fiziksel erişim veya uzlaşma gibi nitelikleri içine almaktadır. Ağı oluşturan düğümler bu saldırı sonucunda bozulabilmektedir. Diğer bir etkisi de kötü niyetli bir düğüm, legal düğümlerle uzlaşıp, daha ilerki katmanlarla haberleşmek için gerekli olan şifreleme anahtarlarına erişilebilmektedir.
15
15 Kurcalama Saldırısından Korunma Teknikler Aktif Kurcalama Savunması: Hassas verilerin korunması için donanımsal bir devre içerir.Bu yöntem duyargalar da maliyet artışına neden olmaktadır. Pasif Kurcalama Savunması: Düğüm tamper saldırısını algılayarak, şifre bilgilerini veya program belleğini silerek devresini korumaktadır.
16
16 1.2. Veri Bağı Katmanı Haberleşme için gerekli alt yapı kurumu Haberleşme kaynaklarının adil paylaşılması Data akışının çoğullanması Hata kontrolü Komşu haberleşmesi için kanal aktarımı
17
17 Veri Bağı Katmanı DoS Olası Saldırıları Çarpışma: Kötü niyetli düğümler, çerçevenin iletimi sırasında çarpışma yaratarak, çerçevenin tekrar yollanılmasına neden olurlar. Bozulan ACK control mesajları, bazı protokollerde büyük bir yük getirmektedir. Güç Tüketimi: Çerçeveler arasında sürekli çarpışma yaratarak, ağdaki düğümlerin güçlerinin bitirilmesine çalışılır.
18
18 Çarpışma Saldırılarından Korunma Teknikler Bu saldırı çerçeve’de artıklık hatalarına neden olmaktadır. Bu nedenle bu tür saldırılar için aşırı yük getirebilmesine rağmen hata düzeltme kodları kullanılmalıdır. Çarpışmayı hisseden yöntem kullanılabilir. Fakat bu yöntem, ağ işlemleri sırasında düğümlerin birlikte çalışmasını gerektirmektedir.
19
19 Tüketim Saldırılarından Korunma Teknikler Bu tip saldırılar, çerçeveler arasında sürekli çatışmalar yapıp, çerçeveyi yollayan düğümün çerçeveyi tekrar yollamasına neden olmaktadır. Bu durumda MAC, aşırı çerçeve yollanılmasını önleyen bir eşik mekanizması koyar. Bu durumda, paket iletme sayısı en fazla MAC’in izin verdiği ölçüde olabilir.
20
20 1.3. Ağ Katmanı ŞemaTanım FloodingTüm komşu düğümlere veri yayın (boradcast) yapılır GossipingVeri rastgele seçilen komşulara yollanılır LEACHEnerji korunumu için kümeleme methodu kullanılır SPIN Very sadece ilgili (interested) düğümlere yollanılır. 3 tip mesaj formatı vardır. (ADV, REQ, DATA) Directed Diffusion İlgi paketleri vasıtasıyla seçilen düğümler vasıtasıyla kaynaktan sinke veri akışı Ulaşım Katmanı tarafından verilen verinin hedefe varması işlevi (Yol Bulma) ağ katmanına aitdir.
21
21 Ağ Katmanı Göz Ardı Etme ve Açgözlülük Saldırıları Göz Ardı Etme (Neglect) ve Aç Gözlülük (Greed) Saldırısı: Bu tip saldırı da kötü niyetli node ileticiden mesajı aldığını bildirir fakat mesajı iletmeden düşürür. Bu saldırı, mesajların tekrar yollanılmasına neden olduğundan, ağın bant genişliğinin verimsiz kullanılmasına neden olur.(DSR bu tip saldırıdan aşırı etkilenmektedir) Eğer bir node mesajlarına aşırı öncelik verirse, bu tip saldırı aç gözlülük (Greedy) olarak adlandırılır. Ağ kullandığı yolları tutup, bir sonra ki iletimde de aynı yolu kullanırsa, büyük bir bant genişliği kaybı olacaktır.
22
22 Göz Ardı Etme ve Açgözlülük Saldırılarından Korunma Teknikler Çoklu Yol Kullanımı: Kaynaktan hedefe birden fazla yolla mesaj yollanılır. Çoğullama:Bir mesajın birden fazla kere yollanımı (redundancy)
23
23 Ağ Katmanı Konumlama (Homing) Saldırısı Genel Özellikleri Bir duyarga ağda bazı düğümlere özel sorumluluklar atanmıştır. Konum temelli protokoller de coğrafik bilgiler iletilmektedir. Özellikle bu türde ki protokoller konumlama saldırılarına hedef olabilmektedir. Konumlama saldırın da kötü niyetli düğüm pasif bir biçimde ağı dinleyip, özel düğümlerin konum bilgisine sahip olmaktadır. Konum bilgisi, haraketli ve güçlü kötü düğümler tarafından alınmakta ve o konumda olan düğüme saldırılmaktadır. Nihayetinde düğümün fonksiyonunu kaybetmesine neden olmaktadır.
24
24 Konumlama Saldırılarından Korunma Teknik Mesaj başlıklarını şifreleyerek, önemli düğümlerin konum bilgisi saklanılabilmektedir.
25
25 Ağ Katmanı Yanlış Yönlendirim Saldırısı Genel Özellikleri Bu tip saldırı da kötü niyetli düğümler aldıkları mesajları yanlış bir yol boyunca yönlendirilir. Bu yönlendirme kötü niyetli bir düğümün bulunduğu yol cazip gösterilerek de yapılabilir. Duyarga ağlarda, kötü niyetli düğüm herhangi bir düğümün adresini kullanarak, tüm düğümlere yol keşfetim mesajları yollayabilir.
26
26 Yanlış Yönlendirim Saldırılarından Korunma Bu tip saldırı egress filtreleme kullanılarak önlenebilir. Göndericinin asıllanması da bu tip saldırıların önlenmesine yardımcı olmaktadır.
27
27 Ağ Katmanı Kara Delik (Black Hole) Saldırısı Genel Özellikleri Uzaklık vektörü kullanarak yapılan yol bulma yöntemi bu tip saldırılara açıktır. Kötü niyetli düğüm tüm komşularına sıfır maliyetli yol bilgisini yollayarak ağa katılmayı başarır. Bu maliyet değerleri tüm ağa yayılarak, trafiğin kötü niyetli düğüme yönlenmesine neden olmaktadır. Bu durumda da kötü niyetli düğüme komşu olan düğümler de aşırı kaynak tüketimine neden olmaktadır.
28
28 Kara Delik Saldırılarından Korunma Teknikler Sadece asıllanmış düğümlerin yol bilgilerini paylaşmasına izin verilir. Düğümlerin komşu düğümler, gözlemlemesi ve düğüm Watch Dogs. Gözlem sonucun da en güvenilir yollar seçilir. Ağ’ın bağlılığının (connectivity) kontrol edilmesi. Özel paketler yollanılarak, kara delikler keşfedilmektedir. Mesajların çoğullanıp, farklı yollardan yollanılması
29
29 1.4. Ulaşım Katmanı Ulaşım katmanı tarafından ihtiyaç duyulan veri akışı, paket sıralanması, bağlantı durumu yönetiminden sorumludur. TCP: Duyarga ağa uymayan bir pencereleme yapısına sahiptir. End to end genel adresleme kullanır. (Duyarga ağda genel de düğümler nitelik temelli ya da konum temelli adresleme kullanabilirler.) TCP ve UDP, güç kontrollü tüketimi ve ölçeklenebilirlik gibi özellikleri göz önüne alarak çalışmaz.
30
30 Ulaşım Katmanı (II) TCP Splitting: Bir tarafta TCP, ve diğer tarafta yeniden uyarlanmış UDP çalışabilir. Ulaşım Katmanı, duyarga ağlar da güvenilirlik (reliability) ve duyarga düğüm uygulamaları için oturum kontrolü yapmaktadır. Asıl ihtiyaç duyulan görevi ise akış kontrolü, hata düzeltme ve bağlantı durum yönetimimidir. UDP Sink İş Yönetim Düğümü Internet TCP UDP Son Kullanıcı
31
31 Ulaşım Katmanı Sel (Flooding) Saldırısı Genel Özellikleri TCP/SYN saldırılarına benzer. Kötü niyetli düğüm tamamlanmayan bağlantılar kurarak, karşısında ki düğümün kaynaklarını kullanmaya çalışır. Çözüm, bir düğümle kurulabilen maksimum bağlantı sayısını azaltmak gibi görünse de normal bir düğümün diğer düğümlere erişimi, bu yöntemle kısıtlanmaktadır.
32
32 Sel Saldırılarından Korunma Teknikler Bu tip saldırı müşteri şaşırtmacası ile çözülebilir.Her düğüm başka bir düğümle bağlantı kurmadan önce baz istasyonundan aldığı bir şaşırtmacayı çözmelidir. Bu tip şaşırtmacalar, hesaplama açısından pahalı olacağından, kötü niyetli düğümler için caydırıcı etkiye sahip olabilir. Fakat legal düğümler için de oldukça maliyetlidir. (Güç, İşleme)
33
33 Ulaşım Katmanı Senkronizasyon Bozma Saldırısı Genel Özellikleri Bu tip saldırı iki legal düğüm arasında ki bağlantı esnasında, bu düğümlerin senkronize hallerini bozup, bağlantının kesilmesi esasına dayanır. Bu saldırı da sürekli olarak düğümlere Seq, kontrol bayrakları gibi bilgiler yollanarak haberleşen çiftin senkronize hallerini bozmak amaçtır. Eğer saldırgan uygun bir zamanlama kullanırsa iki düğüm arasında ki zaman senkronizasyonu bozarak, yararlı bilginin değiş tokuş edilmesini önlemektedir.
34
34 Senkronizasyon Bozma Saldırılarından Korunma Teknikler Kontrol paketleri için mesaj asıllama kullanılır.
35
35 1.5. Uygulama Katmanı İş Yönetim Düğümü Internet Sink Son Kullanıcı İş yönetim düğümü için (son kullanıcı), düşük katmanlarda ki yazılım ve donanımın saydamlığını sağlar.
36
36 2. SPINS Duyarga ve sınırlı kaynağa sahip ortamlar için optimize edilmiş bir protokoldür. İki kısımdan oluşmaktadır: SNEP –Duyarga Ağ Şifreleme Protokolü –Noktadan noktaya haberleşmeyi güvenli kılar –Veri güvenilirliği, iki düğüm arasında veri asıllama, veri tazeliği TESLA –Micro Timed Efficient Stream Loss-tolerant Authentication –Yayın asıllaması sağlar
37
37 2.1. 2.1. SNEP (I) Düşük haberleşme yükü Mesaj başına sadece 8 bit ekler. Veri şifreleme esnasında belirli sayaç değeri kullanılır. Her iki son uçta sayaç değeri tutulur. Semantik güvenlik içerir. Bu mekanizmayla paketleri dinleyen saldırganların, şifreli mesajların içeriğinin bozmalarına izin vermez.
38
38 SNEP (II) Haberleşen düğümler, başlangıç vektörü olarak kullanılan bir sayaç tutarlar. Sayaç mesajla birlikte yollanılmaz. Blok Şifreleyiciler sayaç modunda çalışırlar. Her bloktan sonra sayaç arttırılır. Veri onaylama ve veri bütünlüğü için MAC kullanılır. Sayaç değeri asla tekrarlanmaz. MAC’deki sayaç değeri “replay saldırılarını” önler.
39
39 2.2.1 TESLA Duyarga ağlar için oldukça pahalıdır. Her pakette kullanılan anahtarın ortaya çıkarılması çok fazla enerji gerektirir. (24 bytes/packet) Tek yönlü anahtar zinciri saklamak maliyetlidir. Sayısal imza ile başlangıç paketlerini onaylar.
40
40 2.2.2. TESLA (I) Simetrik mekanizma kullanır. Her iletimde bir kez anahtar açığa çıkabilir. Sınırlı sayıda onaylı gönderici miktarı
41
41 2.2.2. TESLA (II) Baz istasyon (BS) onaylanmış mesajı tüm düğümlere yayınlar. BS ve diğer düğümler gevşek bir zaman senkronizasyonuna sahiptirler. Her düğüm maksimum senkronizasyon hatasının üst limitini bilmektedir. BS paket için bir MAC hesaplar. Anahtar bu nokta da gizlidir. Duyarga paketi alıp, tamponun da saklar. BS onaylama anahtarını yayınlar. Düğüm bu keyi sınar. Düğümler, tamponlarında ki paketleri sınadıkları anahtarla onaylarlar.
42
42 1. Güvenli yol bulma duyarga ağlarda hayati önem taşır 2. Kullanılan protokoller kalıtımsal olarak güvenli değil 3. Onaylama ve Şifreleme mekanizmaları yeterli değildir 4. Duyarga Ağlar da hala güvenlik konusunda pek çok açık vardır 4. Duyarga Ağlar da hala güvenlik konusunda pek çok açık vardır SONUÇLAR
43
43 References I. F. Akyildiz, W. Su, Y. Sankarasubramaniam, E. Cayirci, “ A survey on Sensor Networks”, Computer Networks, 38(4):393-422, March 2002 Fei Hu,Sharma,”Security Considerations in Ad-Hoc Network”, Sience Direct, September 2003 Shi,Perrig,”Designing Secure Sensor Network”, IEEE Wireless Communications, December 2004 Chan, Perrig,“Security and Privacy in Sensor Networks”,IEEE Computer Magazines, October 2003 Wood, Stankovic,”Denial of Service in Sensor Networks”, IEEE Computer Magazines, October 2002 Perrig A., Szewczyk R., Wen V., Culler D. and Tygar J. D., “SPINS: Security Protocols for Sensor Networks”, ACM Mobile Computing and Networking, 2001.
44
44 Sorular ??
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.