mscis thesis Πρόληψη denial of service Επιθέσεων σε publish/subscribe ...
DESCRIPTION
MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες : Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος. Δημήτρης Β. Χρηστίδης. Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα. Πρόβλημα. Αυξανόμενη δραστηριότητα κακόβουλων χρηστών - PowerPoint PPT PresentationTRANSCRIPT
MScIS Thesis
Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα
Επιβλέποντες: Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος
Δημήτρης Β. Χρηστίδης
ΠρόβλημαΠρόβλημα• Αυξανόμενη δραστηριότητα κακόβουλων
χρηστών• Έλλειψη γενικευμένου τρόπου αντιμετώπισης• Τα ήδη χρησιμοποιούμενα και προτεινόμενα
μέτρα υπερφορτώνουν το δίκτυο και δημιουργούν ευκαιρίες για νέες επιθέσεις
• Οι reactive μηχανισμοί λειτουργούν αφού πρώτα επιτευχθεί η επίθεση
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
ΣτόχοιΣτόχοι• Δημιουργία πλαισίου για την πρόληψη των DoS
επιθέσεων σε Publish/Subscribe δίκτυα• Αύξηση επιπέδου δυσκολίας για την ανάπτυξη
επιθέσεων• Διαχωρισμός των χρηστών ανάλογα με την
επικινδυνότητά τους• Υπολογιστικά φτηνή λύση για το δίκτυο
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
MotivationMotivation
• Σχεδιασμός της Publish/Subscribe Internet Routing (PSIRP) αρχιτεκτονικής
• Σχεδίαση γενικευμένου πλαισίου ασφάλειας για Publish/Subscribe δίκτυα
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Επισκόπηση ΠαρουσίασηςΕπισκόπηση Παρουσίασης• Χαρακτηριστικά και λειτουργίες
Publish/Subscribe συστημάτων• Χαρακτηριστικά PSIRP• Επιθέσεις DoS/DDoS και προτεινόμενα μέτρα• Εισαγωγή στα Puzzles• Χρήση των Puzzles• Μοντέλο κατάταξης• Πρωτότυπο λειτουργίας• Λοιπά θέματα
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Publish/Subscribe Publish/Subscribe Συστήματα (1)Συστήματα (1)
• Ασύγχρονη επικοινωνία
• Αποκεντρωμένη διανομή πληροφοριών
• Υποστήριξη πληροφοριοκεντρικών εφαρμογών
• Σχετική ανωνυμία συμμετεχόντων
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Publish/Subscribe Publish/Subscribe Συστήματα (2)Συστήματα (2)
ΣυγχρονισμόςΧρηστών
ΣυντονισμόςΧρηστών
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Χαρακτηριστικά Χαρακτηριστικά PSIRPPSIRP• Rendezvous System – Rendezvous
Points/Identifiers
• Scopes – Scope Identifiers
• Algorithmic Identifiers
• Publication Identifiers
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Επιθέσεις Επιθέσεις DoSDoS• Χρησιμοποιούν υπηρεσίες του δικτύου• Καταναλώνουν ή αλλοιώνουν δικτυακούς
πόρους • Καθιστούν συγκεκριμένες υπηρεσίες μη-
διαθέσιμες • Αυξάνονται και εκσυγχρονίζονται
Smurf Attacks (ICMP Flooding) SYN Flooding Attacks DNS Cache Poisoning
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Επιθέσεις Επιθέσεις DDoSDDoS• Εξελιγμένες DoS επιθέσεις• Εκμεταλλεύονται μεγάλη υπολογιστική ισχύ• Χρησιμοποιούν BotNets για διαμοιρασμό του
κόστους• PSIRP
Attach-based flooding attack Handshaking-based flooding attack Spamming
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Υπάρχουσες Προτάσεις και ΤεχνικέςΥπάρχουσες Προτάσεις και Τεχνικές• Μοντελοποίηση επιθέσεων (Taxonomy [1], Attack
Trees)• Εφαρμογές
Ασφαλής Διανομή Ενημερώσεων [2] Encrypted Event Data
Ασφαλής Συσσωμάτωση Δεδομένων [3] Anonymity, Verification (MAC)
Πρόληψη Spam [4] Detection, Mitigation
Κρυπτογραφική Νοθεία [5] Puzzle Predecessor, Simple Encryption
Honeypots Captchas
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Εισαγωγή στα Εισαγωγή στα Puzzles (1)Puzzles (1)• Αρχές
Η δημιουργία ενός Puzzle και ο έλεγχος της λύσης του είναι μια διαδικασία υπολογιστικά φτηνή για τον εξυπηρετητή
Το υπολογιστικό κόστος λύσης ενός Puzzle είναι εύκολα προσαρμόσιμο
Τα Puzzles μπορούν να λυθούν στις περισσότερες συνθέσεις υλικού
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Εισαγωγή στα Εισαγωγή στα Puzzles (2)Puzzles (2)• Αρχές (συνέχεια)
Δεν είναι δυνατό να προϋπολογιστεί η λύση ενός Puzzle, ούτε και από αυτόν που το δημιουργεί
Όσο ο χρήστης λύνει το Puzzle ο εξυπηρετητής δεν είναι υποχρεωμένος να αποθηκεύει πληροφορίες σχετικές με τον χρήστη
Το ίδιο Puzzle μπορεί να δοθεί σε πολλούς ξεχωριστούς χρήστες, ενώ το να βρει κάποιος τη λύση ενός από αυτά δεν σημαίνει ότι μπορεί να βοηθήσει τους άλλους
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Εισαγωγή στα Εισαγωγή στα Puzzles (3)Puzzles (3)• Αρχές (συνέχεια)
Ένας χρήστης μπορεί να ξαναχρησιμοποιήσει το Puzzle δημιουργώντας πολλαπλά αντίγραφά του
Το Puzzle δεν θα πρέπει να λύνεται γρηγορότερα από ένα προκαθορισμένο χρονικό παράθυρο
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Λειτουργία των Λειτουργία των Puzzles (1)Puzzles (1)• Ο Server στέλνει Ns , k
• O Client δημιουργεί Nc και ψάχνει να βρει X ώστε h(Ns , Nc , C , X) = Y όπου το Υ πρέπει να έχει μηδενικά στα k πιο σημαντικά ψηφία του
• Το k προσδιορίζει τη δυσκολία του Puzzle
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Λειτουργία των Λειτουργία των Puzzles (2)Puzzles (2)
Πρότυπο επικοινωνίαςκαι χρήσης Puzzle
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Χρήση των Χρήση των Puzzles (1)Puzzles (1)• Συνεδρία Διασύνδεσης Δικτύου (Network
Attachment Session)
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Χρήση των Χρήση των Puzzles (2)Puzzles (2)
• Εκτός από την ΣΔΔ τα Puzzles χρησιμοποιούνται Κάθε φορά που ένας χρήστης ξεκινάει ένα
Publication/Subscription Κάθε φορά που ένας broker διεκπεραιώνει N
Publications/Subscriptions
• Επιπλέον για τους brokers Ψηφιακό πιστοποιητικό
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Πάροχος Πάροχος PuzzlePuzzle• Οντότητα Ελέγχου – ΕΤΟ • Αρμοδιότητες
Δημιουργία/Διανομή Puzzle Έλεγχος λύσης Διαφύλαξη απαραίτητων δεδομένων που αφορούν
στην ακεραιότητα και λειτουργικότητα των Puzzles Διαμοιρασμός cookies για έλεγχο σύνθεσης υλικού
• Στόχος Προστασία των brokers Puzzles καθολικής αποδοχής
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Διαχειριστής ΚατάταξηςΔιαχειριστής Κατάταξης• Οντότητα Ελέγχου – ΕΤΟ• Αρμοδιότητες
Διαφύλαξη και ανανέωση πληροφοριών που αφορούν στο ιστορικό κάθε χρήστη και που χρησιμοποιούνται για την κατάταξή του
Διεξαγωγή υπολογισμών και συσχετίσεων για να αποφασιστεί η κατάταξη ενός χρήστη
Ανανέωση της κατάταξης του χρήστη Ενημέρωση των ενδιαφερόμενων για την
κατάταξη συγκεκριμένων χρηστών του δικτύου
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Λοιπά Θέματα Κατάταξης (1)Λοιπά Θέματα Κατάταξης (1)• Επίπεδα
Έμπιστοι χρήστες Σχετικά Έμπιστοι χρήστες Σχετικά Μη-Έμπιστοι χρήστες Μη-Έμπιστοι χρήστες Άγνωστοι χρήστες Αποκλεισμένοι χρήστες
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Λοιπά Θέματα Κατάταξης (2)Λοιπά Θέματα Κατάταξης (2)• Κριτήρια
Χρόνος Επίλυσης Puzzle Puzzles που λύθηκαν Puzzles που δεν λύθηκαν Συχνότητα Συμμετοχής Ιστορικό Επιθέσεων
• Παράγοντας γήρανσης Recency Dependency
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Δυσκολία και ΚατάταξηΔυσκολία και Κατάταξη• Το k ορίζει τη δυσκολία του Puzzle• Επίπεδα
Εύκολα (k=1-33) για Έμπιστους χρήστες Σχετικά Εύκολα (k=33-65) για Σχετικά Έμπιστους
χρήστες Σχετικά δύσκολα (k=65-97) για Σχετικά Μη-
Έμπιστους χρήστες και Άγνωστους χρήστες Δύσκολα (k=97-128) για Μη-Έμπιστους χρήστες
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
MobilityMobility• Διαμοιρασμός πιστοποιητικών από τον
Διαχειριστή Κατάταξης• Πιστοποίηση της κατάταξης των χρηστών με τον
έλεγχο του πιστοποιητικού• Τα πιστοποιητικά διανέμονται όποτε αλλάζει η
κατάταξη του χρήστη• Έλεγχος εγκυρότητας με χρήση Ψηφιακών
Υπογραφών
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Μοντέλο ΕπικοινωνίαςΜοντέλο Επικοινωνίας
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Θέματα ΔυσκολίαςΘέματα Δυσκολίας• Το 2001 εκτίμηση για μέγιστο k=64 [6]• Το 2004 πειράματα με αποτέλεσμα το παρακάτω• Χρόνος ελέγχου λύσης περίπου 0.02 ms [7]
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
Ανοιχτά ΘέματαΑνοιχτά Θέματα• Διεξαγωγή νέων πειραμάτων για εύρεση
μέγιστου «εύχρηστου» k
• Εύρεση ακριβούς συνάρτησης κατάταξης Trust Management
• Εξάρτηση δυσκολίας από το μέγεθος των δεδομένων σε Publications/Subscriptions
• Green-IT Trend και Grid
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
ΑναφορέςΑναφορές[1] - A. Wun, A. Cheung, H.-A. Jacobsen (2007). A Taxonomy for
Denial of Service Attacks in Content-based Publish/Subscribe Systems
[2] - M. Srivatsa, L. Liu (2007). Secure Event Dissemination in Publish-Subscribe Networks.
[3] - K. Minami, A. J. Lee, M. Winslett, N. Borisov (2008). Secure Aggregation in a Publish/Subscribe System.
[4] - S. Tarkoma (2006). Preventing Spam in Publish/Subscribe IEEE DEBS
[5] - D. Park, J. Kim, C. Boyd, E. Dawson (2001). Cryptographic Salt: A Countermeasure against Denial-of-Service Attacks.
[6] - T. Aura, P. Nikander, J. Leiwo (2000). DoS-resistant Authentication with Client Puzzles.
[7] - V. Bocan (2004). Threshold Puzzles: The Evolution of DoS-resistant Authentication.
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα