mscis thesis Πρόληψη denial of service Επιθέσεων σε publish/subscribe ...

MScIS Thesis

Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα

Επιβλέποντες: Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος

Δημήτρης Β. Χρηστίδης

ΠρόβλημαΠρόβλημα• Αυξανόμενη δραστηριότητα κακόβουλων

χρηστών• Έλλειψη γενικευμένου τρόπου αντιμετώπισης• Τα ήδη χρησιμοποιούμενα και προτεινόμενα

μέτρα υπερφορτώνουν το δίκτυο και δημιουργούν ευκαιρίες για νέες επιθέσεις

• Οι reactive μηχανισμοί λειτουργούν αφού πρώτα επιτευχθεί η επίθεση

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

ΣτόχοιΣτόχοι• Δημιουργία πλαισίου για την πρόληψη των DoS

επιθέσεων σε Publish/Subscribe δίκτυα• Αύξηση επιπέδου δυσκολίας για την ανάπτυξη

επιθέσεων• Διαχωρισμός των χρηστών ανάλογα με την

επικινδυνότητά τους• Υπολογιστικά φτηνή λύση για το δίκτυο

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

MotivationMotivation

• Σχεδιασμός της Publish/Subscribe Internet Routing (PSIRP) αρχιτεκτονικής

• Σχεδίαση γενικευμένου πλαισίου ασφάλειας για Publish/Subscribe δίκτυα

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επισκόπηση ΠαρουσίασηςΕπισκόπηση Παρουσίασης• Χαρακτηριστικά και λειτουργίες

Publish/Subscribe συστημάτων• Χαρακτηριστικά PSIRP• Επιθέσεις DoS/DDoS και προτεινόμενα μέτρα• Εισαγωγή στα Puzzles• Χρήση των Puzzles• Μοντέλο κατάταξης• Πρωτότυπο λειτουργίας• Λοιπά θέματα

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Publish/Subscribe Publish/Subscribe Συστήματα (1)Συστήματα (1)

• Ασύγχρονη επικοινωνία

• Αποκεντρωμένη διανομή πληροφοριών

• Υποστήριξη πληροφοριοκεντρικών εφαρμογών

• Σχετική ανωνυμία συμμετεχόντων

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Publish/Subscribe Publish/Subscribe Συστήματα (2)Συστήματα (2)

ΣυγχρονισμόςΧρηστών

ΣυντονισμόςΧρηστών

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χαρακτηριστικά Χαρακτηριστικά PSIRPPSIRP• Rendezvous System – Rendezvous

Points/Identifiers

• Scopes – Scope Identifiers

• Algorithmic Identifiers

• Publication Identifiers

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επιθέσεις Επιθέσεις DoSDoS• Χρησιμοποιούν υπηρεσίες του δικτύου• Καταναλώνουν ή αλλοιώνουν δικτυακούς

πόρους • Καθιστούν συγκεκριμένες υπηρεσίες μη-

διαθέσιμες • Αυξάνονται και εκσυγχρονίζονται

Smurf Attacks (ICMP Flooding) SYN Flooding Attacks DNS Cache Poisoning

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επιθέσεις Επιθέσεις DDoSDDoS• Εξελιγμένες DoS επιθέσεις• Εκμεταλλεύονται μεγάλη υπολογιστική ισχύ• Χρησιμοποιούν BotNets για διαμοιρασμό του

κόστους• PSIRP

Attach-based flooding attack Handshaking-based flooding attack Spamming

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Υπάρχουσες Προτάσεις και ΤεχνικέςΥπάρχουσες Προτάσεις και Τεχνικές• Μοντελοποίηση επιθέσεων (Taxonomy [1], Attack

Trees)• Εφαρμογές

Ασφαλής Διανομή Ενημερώσεων [2] Encrypted Event Data

Ασφαλής Συσσωμάτωση Δεδομένων [3] Anonymity, Verification (MAC)

Πρόληψη Spam [4] Detection, Mitigation

Κρυπτογραφική Νοθεία [5] Puzzle Predecessor, Simple Encryption

Honeypots Captchas

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Εισαγωγή στα Puzzles (1)Puzzles (1)• Αρχές

Η δημιουργία ενός Puzzle και ο έλεγχος της λύσης του είναι μια διαδικασία υπολογιστικά φτηνή για τον εξυπηρετητή

Το υπολογιστικό κόστος λύσης ενός Puzzle είναι εύκολα προσαρμόσιμο

Τα Puzzles μπορούν να λυθούν στις περισσότερες συνθέσεις υλικού

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Εισαγωγή στα Puzzles (2)Puzzles (2)• Αρχές (συνέχεια)

Δεν είναι δυνατό να προϋπολογιστεί η λύση ενός Puzzle, ούτε και από αυτόν που το δημιουργεί

Όσο ο χρήστης λύνει το Puzzle ο εξυπηρετητής δεν είναι υποχρεωμένος να αποθηκεύει πληροφορίες σχετικές με τον χρήστη

Το ίδιο Puzzle μπορεί να δοθεί σε πολλούς ξεχωριστούς χρήστες, ενώ το να βρει κάποιος τη λύση ενός από αυτά δεν σημαίνει ότι μπορεί να βοηθήσει τους άλλους

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Εισαγωγή στα Puzzles (3)Puzzles (3)• Αρχές (συνέχεια)

Ένας χρήστης μπορεί να ξαναχρησιμοποιήσει το Puzzle δημιουργώντας πολλαπλά αντίγραφά του

Το Puzzle δεν θα πρέπει να λύνεται γρηγορότερα από ένα προκαθορισμένο χρονικό παράθυρο

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λειτουργία των Λειτουργία των Puzzles (1)Puzzles (1)• Ο Server στέλνει Ns , k

• O Client δημιουργεί Nc και ψάχνει να βρει X ώστε h(Ns , Nc , C , X) = Y όπου το Υ πρέπει να έχει μηδενικά στα k πιο σημαντικά ψηφία του

• Το k προσδιορίζει τη δυσκολία του Puzzle

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λειτουργία των Λειτουργία των Puzzles (2)Puzzles (2)

Πρότυπο επικοινωνίαςκαι χρήσης Puzzle

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χρήση των Χρήση των Puzzles (1)Puzzles (1)• Συνεδρία Διασύνδεσης Δικτύου (Network

Attachment Session)

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χρήση των Χρήση των Puzzles (2)Puzzles (2)

• Εκτός από την ΣΔΔ τα Puzzles χρησιμοποιούνται Κάθε φορά που ένας χρήστης ξεκινάει ένα

Publication/Subscription Κάθε φορά που ένας broker διεκπεραιώνει N

Publications/Subscriptions

• Επιπλέον για τους brokers Ψηφιακό πιστοποιητικό

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Πάροχος Πάροχος PuzzlePuzzle• Οντότητα Ελέγχου – ΕΤΟ • Αρμοδιότητες

Δημιουργία/Διανομή Puzzle Έλεγχος λύσης Διαφύλαξη απαραίτητων δεδομένων που αφορούν

στην ακεραιότητα και λειτουργικότητα των Puzzles Διαμοιρασμός cookies για έλεγχο σύνθεσης υλικού

• Στόχος Προστασία των brokers Puzzles καθολικής αποδοχής

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Διαχειριστής ΚατάταξηςΔιαχειριστής Κατάταξης• Οντότητα Ελέγχου – ΕΤΟ• Αρμοδιότητες

Διαφύλαξη και ανανέωση πληροφοριών που αφορούν στο ιστορικό κάθε χρήστη και που χρησιμοποιούνται για την κατάταξή του

Διεξαγωγή υπολογισμών και συσχετίσεων για να αποφασιστεί η κατάταξη ενός χρήστη

Ανανέωση της κατάταξης του χρήστη Ενημέρωση των ενδιαφερόμενων για την

κατάταξη συγκεκριμένων χρηστών του δικτύου

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λοιπά Θέματα Κατάταξης (1)Λοιπά Θέματα Κατάταξης (1)• Επίπεδα

Έμπιστοι χρήστες Σχετικά Έμπιστοι χρήστες Σχετικά Μη-Έμπιστοι χρήστες Μη-Έμπιστοι χρήστες Άγνωστοι χρήστες Αποκλεισμένοι χρήστες

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λοιπά Θέματα Κατάταξης (2)Λοιπά Θέματα Κατάταξης (2)• Κριτήρια

Χρόνος Επίλυσης Puzzle Puzzles που λύθηκαν Puzzles που δεν λύθηκαν Συχνότητα Συμμετοχής Ιστορικό Επιθέσεων

• Παράγοντας γήρανσης Recency Dependency

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Δυσκολία και ΚατάταξηΔυσκολία και Κατάταξη• Το k ορίζει τη δυσκολία του Puzzle• Επίπεδα

Εύκολα (k=1-33) για Έμπιστους χρήστες Σχετικά Εύκολα (k=33-65) για Σχετικά Έμπιστους

χρήστες Σχετικά δύσκολα (k=65-97) για Σχετικά Μη-

Έμπιστους χρήστες και Άγνωστους χρήστες Δύσκολα (k=97-128) για Μη-Έμπιστους χρήστες

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

MobilityMobility• Διαμοιρασμός πιστοποιητικών από τον

Διαχειριστή Κατάταξης• Πιστοποίηση της κατάταξης των χρηστών με τον

έλεγχο του πιστοποιητικού• Τα πιστοποιητικά διανέμονται όποτε αλλάζει η

κατάταξη του χρήστη• Έλεγχος εγκυρότητας με χρήση Ψηφιακών

Υπογραφών

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Μοντέλο ΕπικοινωνίαςΜοντέλο Επικοινωνίας

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Θέματα ΔυσκολίαςΘέματα Δυσκολίας• Το 2001 εκτίμηση για μέγιστο k=64 [6]• Το 2004 πειράματα με αποτέλεσμα το παρακάτω• Χρόνος ελέγχου λύσης περίπου 0.02 ms [7]

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Ανοιχτά ΘέματαΑνοιχτά Θέματα• Διεξαγωγή νέων πειραμάτων για εύρεση

μέγιστου «εύχρηστου» k

• Εύρεση ακριβούς συνάρτησης κατάταξης Trust Management

• Εξάρτηση δυσκολίας από το μέγεθος των δεδομένων σε Publications/Subscriptions

• Green-IT Trend και Grid

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

ΑναφορέςΑναφορές[1] - A. Wun, A. Cheung, H.-A. Jacobsen (2007). A Taxonomy for

Denial of Service Attacks in Content-based Publish/Subscribe Systems

[2] - M. Srivatsa, L. Liu (2007). Secure Event Dissemination in Publish-Subscribe Networks.

[3] - K. Minami, A. J. Lee, M. Winslett, N. Borisov (2008). Secure Aggregation in a Publish/Subscribe System.

[4] - S. Tarkoma (2006). Preventing Spam in Publish/Subscribe IEEE DEBS

[5] - D. Park, J. Kim, C. Boyd, E. Dawson (2001). Cryptographic Salt: A Countermeasure against Denial-of-Service Attacks.

[6] - T. Aura, P. Nikander, J. Leiwo (2000). DoS-resistant Authentication with Client Puzzles.

[7] - V. Bocan (2004). Threshold Puzzles: The Evolution of DoS-resistant Authentication.

Δημήτρης Β. Χρηστίδης

Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα