1 / 61

ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK

ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK. Pelin Ç. Nar İbrahim Bilgin. ÖZET. Duyarga düğüm. İşbirlikli Nesne Ağları. Tetikleyici düğüm. D üğümlerin donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı,

dory
Download Presentation

ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ASKERİ İŞBİRLİKLİ NESNE AĞLARINDA GÜVENLİK Pelin Ç. Nar İbrahim Bilgin

  2. ÖZET Duyarga düğüm İşbirlikli Nesne Ağları Tetikleyici düğüm Düğümlerin donanımsal kısıtları, kablosuz iletişim ortamı, gerçek zamanda işlem ihtiyacı, heterojen yapı, düğüm sayısının fazlalığı, ölçeklenebilirlik ihtiyacı, gezginlik, uygulama ortam şartlarının ağırlığı maliyet GÜVENLİK AÇIĞI

  3. Bu çalışmada; • işbirlikli nesne ağlarının güvenliğine etki eden özellikleri, • bu özelliklerden kaynaklanan güvenlik açıkları, • muhtemel saldırı türleri ve çözüm önerileri

  4. Konular • İşbirlikli Nesne Ağları nedir? • İşbirlikli Nesne Ağlarının kullanım alanları • İşbirlikli Nesne Ağlarının Özellikleri

  5. Konular • İşbirlikli Nesne Ağlarında Güvenlik • Etki eden Faktörler • Güvenlik Açıkları • Saldırı Yöntemleri • Güvenlik Çözümleri • Sonuç

  6. İşbirlikli Nesne Ağları nedir? Duyarga (sensor) ve tetikleyici (actuator)ağlarınınimkan ve kabiliyetlerinden daha iyi istifade edebilme arayışı İşbirlikli Nesne Ağları işbirlikli nesneler (YN) “belli bir amacı gerçekleştirmek üzere, ortamla ve birbirleriyle etkileşebilen ve iş birliği içerisinde üzerlerine düşen görevleri otonom olarak gerçekleştirebilenduyargalar, tetikleyiciler ve yardımlaşannesnelerşeklinde tanımlanabilir. Heterojen Yapı

  7. Duyarga Ağı Yapısı

  8. Duyarga (sensor) ve tetikleyici (actuator)ağlarının yapısı Task Manager Node Sink Sensor/Actor field Sensor Actor

  9. İşbirlikli Nesne Ağlarının Kullanım Alanları • Ana kara güvenliği (Homeland security) • Askeri sistemler (Military applications) • Yıkım onarımı (Disaster recovery) • Arama kurtarma (Search and rescue) • Sağlık (Health care) zaman-kritik , hayati önem arz eden

  10. İşbirlikli Nesne Ağlarının Özellikleri Sualtı Gözetleme ve Savunma Sistemi SGSS İlişki Şeması SGS Sistemi

  11. ROBOAT:küçük ve hafif suüstü vasıtaları -> YN tahrik sistemi+radyo transiver Görevleri:denizaltı duyargalarını (DD) harekat sahasına dağıtmaktır. Denizaltı duyargaları (DD) ->YN • ses, sıcaklık ve manyetik duyargaları, • bir adet radyo alıcı/vericisi, • deniz içerisinde aşağı yukarı hareket edebilmeyi sağlayan bir mekanizma • düğümün satıhta kalmasını sağlayan ve radyo alıcı/vericisini üzerinde bulunduran bir şamandıra ROBOAT’lar tarafından su sathına bırakılan her DD, harekat sahasının maksimum kaplamasını sağlamak üzere kendi derinliğini otomatik olarak ayarlamaktadır.

  12. Duyargalardan herhangi birinin muhtemel bir denizaltı teması alması durumunda: • bahse konu bölgenin daha hassas algılanması maksadıyla ROBOAT’lar tarafından o bölgeye ilave duyargalar atılmaktadır. • Temasın kesin denizaltı olarak sınıflandırılması durumunda, ROBOAT’lar tarafından durum bir işaret ile kendilerini bölgeye getiren suüstü aracına bildirilmekte ve torpido angajmanı için bölge boşaltılmaktadır. • Torpido angajman sonucunun değerlendirlmesi de yine ROBOAT’lar tarafından bölgeye atılan uygun duyargalara sahip YN’ler tarafından gerçekleştirilmektedir.

  13. Görev sonunda suüstü aracı tarafından yapılan bir yayımla tüm düğümler duyargalarını satha çekmekte ve düğümler ROBOAT’lar tarafından toplanmaktadır.

  14. İşbirlikli Nesne Ağlarında Güvenlik • Kullanım alanlarından dolayı güvenlik önemli bir ihtiyaç • Askeri alandaki kullanım • Kritik bilgilerin taşınması

  15. Güvenliğe Etki Eden Faktörler • Donanımsal Kısıtlılık • Kablosuz İletişim • Heterojen Yapı • Ölçeklenebillirlik İhtiyacı • Gezginlik • Ortam • Maaliyet • Gerçek Zamanda İşlem İhtiyacı

  16. Donanımsal Kısıtlılık • Örnek: MICA mote (duyarga düğümü)

  17. DD ve ROBOAT İletişim Donanımı

  18. Donanımsal Kısıtlılık • Klasik güvenlik uygulamaları kapasitenin üzerinde • Gerçek- Zaman (Real-time) kısıtı • Uzun süre çalışma – Enerji tasarrufu • Düşük band genişliği

  19. Kablosuz İletişim Ortamı • Gürültüye açık • Güç harcaması kısıtından dolayı menzil kısıtlı: Doğrudan baz istasyonuna iletim yerine düğümden düğüme (multi-hop) yöntemi

  20. Heterojen Yapı • YN • basit bir düğüm • Diğer YN’lerin bir araya gelmesiyle olusan üst düzey bir nesne de olabilir. • Yazılımlar bu heterojen yapıyı idare edebilmek için daha karmaşık bir yapıya sahip Bu da güvenlik açıklarına sebep olmakta

  21. Ölçeklenebilirlik • Temel ihtiyaçlardan biri • Devre dışı kalan düğümlerin yerini yenilerinin alması söz konusu • Dinamik bir ağ topolojisi şart Dinamik topoloji güvenlik problemlerini beraberinde getiriyor

  22. Gezginlik (Mobility) • Kendileri hareketli olabilir • Ortam hareketiyle pasif bir harekete sahip olabilirler Dinamik yönlendirme ile birlikte güvenlik problemi artıyor

  23. Ortam Özellikleri • Zorlu ortamlar • Kimyasal kirlilik • Deniz • Açık hava • Yıkım bölgeleri Çevresel faktörlere/saldırganlara açık

  24. Maliyet • İnsan güvenliğini daha az tehlikeye sokmaları tercih sebebi • Düğümlerin toplam maliyeti düşük olmalı • Yoksa tercih sebepleri azalacaktır Maaliyet – Güvenlik ikilemi

  25. Gerçek Zamanlı İşlem İhtiyacı • Zaman- kritik, hayati uygulamalarda kullanılmaktalar • Gerçek zamanda (real-time)işlem ihtiyacı doğuyor • Güvenlik uygulamaları işlem yükü getirir Güvenlik - Gerçek zamanda işlem ikilemi

  26. Güvenlik Açıkları • Bazı kabullenmeler gerekli: • Kablosuz iletişim güvensizdir • Fiziksel ortam güvensizdir • Düğümler ele geçirilip ağa karşı kullanılabilir • Düğümler ele geçirilip sahip oldukları bilgi ve yazılım saldırgan lehine kullanılabilir • Baz istasyonları güvenlidir

  27. Tehdit Grupları • Gizliliğe yönelik • Bütünlüğe yönelik • Kullanılabilirliğe yönelik

  28. Gizliliğe Yönelik Tehditler • Pasif dinleme: • Uygun yerden paketler pasif olarak dinlenebilir • İşbirlikçi düğüm kullanma: • Casus düğümler yardımıyla bilgi sızdırma

  29. Bütünlüğe Yönelik Tehditler • Temelde: Asılama + veri bütünlüğü hedef alınır • 2 tip saldırı: • Duyulan veri değiştirilerek ağa verilir • Ağa doğrudan yanlış bilgi enjekte edilir • Tümüyle kullanılmaz durumda veri • Kullanılabilir ancak yanlış bilgi • İki yöntem kullanılabilir: • Dinleme ve Aktif İletim • İşbirlikçi Düğüm Kullanma • Ağların kullanım alanlarından dolayı doğru bilgilendirme hayati önem taşıyabilir

  30. Kullanılabilirliğe Yönelik Tehditler • Kullanılabilirlik: • “Tasarlandıkları amaca hizmet etme” • Duyargalar vasıtasıyla algılamak ve tetikleyiciler vasıtasyla uygun tepkiyi göstermek • DoS (Denial of Service) saldırıları servis dışı bırakmayı amaçlar. • Gerçekleştirme yöntemleri: • Fiziksel katmanda yapılan saldırılar • Güç tüketimini arttırmaya yönelik saldırılar • Temelde gerekjsiz trafik yaratılması • İşbirlikçi düğümlerin kullanılması

  31. Saldırı Yöntemleri • Taklit edilen, değiştirilen veya yinelenen yönlendirme bilgisi • Seçici İletim • Sinkhole Saldırısı • Sybil Saldısısı • Solucan Delikleri • Hello Baskın Saldırısı • Alındı Taklidi

  32. 1. Taklit Edilen, Değiştirilen ve Yinelenen Yönlendirme Bilgisi • Hedef, doğrudan ağ yönlendirmesidir • Yönlendirme bilgisi • Taklit edilir • Değiştirilir • Yinelenir • Amaç: • Yönlendirme döngüleri oluşturmak • Ağ trafiğinin belli bölgelere ulaşımını engelemek • Trafiği istenen casus düğümlere yönlendirmek • Trafik yollarını uzatmak/kısaltmak • Ağı parçalamak

  33. 2. Seçici İletim (Selective Forwarding) • Paketlerin alıcıya (çoğunlukla baz istasyonuna) ulaşmasının engellenmesi • Çeşitli yöntemler kullanılarak gerçeklenir • 2 şekilde olabilir • Kara Delik: Alınan tüm paketler ağdan düşürülür. (Tespit edilmesi kolay) • Seçici: Bazı paketler dışındakiler normal bir şekilde iletilir. (Tespit edilmesi zor)

  34. 3. Sinkhole Saldırıları • Ağ trafiğini belli bir merkeze odaklamak amaçlanır • Ağa cazip bir yönlendirme bilgisi sunulur • Takdim edilen yönlendirme bilgisi: • Sahte olabilir • Doğru (Ağ dışından daha güçlü bir bağlantıyla direkt baz istasyonuna iletim) olabilir. • Seçici iletim saldırılarına imkan verir

  35. 4. Sybil Saldırıları • Casus düğüm ağa kendini farklı kimliklerle tanıtır • Çoklu yol (Multi-path) yönteminde bütün paketler ayni casus düğüme gönderiliyor olabilir. • Cğrafi yönlendirme ağlarında kendilerini birkaç noktada bulunuyormuş gibi gösterebilirler

  36. A at (3,2) A1at (2,3) A2at (2,1) A3at (1,2) Örnek: Coğrafi Yönlendirmeye Sybil Saldırısı A1(2,3) C(0,2) A3(1,2) B(2,2) A (3,2) A2(2,1)

  37. 5. Solucan Delikleri (Wormholes) • Ağın Bir Bölgesinden alınan mesajların başka bir bölgesine gecikmesi az olan bir bağlantı üzerinden tünellenmesidir • 2 iş birlikçi düğüm • Hop sayısı düşük gösterilerek etraftaki düğümler için cazip bir yol sağlanır. • Sinkhole ve seçici yönlendirme saldırıları ile birlikte kullanılır.

  38. Örnek: Solucan Deliği Base

  39. 6. Hello Baskın Saldırısı • Güçlü vericiye sahip saldırgan düğüm ağa hello mesajı gönderir • Mesajı alanlar saldırgan düğüme komşu olduklarıdı düşünür • Bu düğümlerin çıkış güçleri yeterli olmayacağından bu düğüme gönderilen mesajlar kaybolur • Ağ trafiğini kesebilir

  40. Örnek: Hello Baskın Saldırısı

  41. 7. Alındı Taklidi (Acknowledgement Spoofing) • Link katmanı alındı paketleri kulanılır • Düğümlerin gönderdiği paketler için sahte alındı yollanır. • Zayıf bir linkin çalıştığı veya ölü bir düğümün canlı olduğu izlenimi verilebilir. • Seçici iletim saldırılarına imkan verir

  42. Güvenlik Çözümleri • TinySec • SPINS • Enerji Verimli Güvenlik Protokolü • Seviyelendirilmiş Güvenlik Katmanları • Karantina Bölgesi Yöntemi

  43. TinySec • Berkeley Ünv. tarafından geliştirilmiş • Bağlantı Katmanı üzerinde tanımlı • Yetkisiz mesajlar baz istasyonuna ulaşmadan, ağa ilk girişte yakalanması amaçlanmış • DoS saldırılarına karşı etkili

  44. TinySec: Gerçeklenme • 2 şekilde: • Asıllama+şifreleme • Sadece asıllama • Asıllama için paketlere sasıllama kodu (MAC) eklenir • Şifrelemede: • Skipjack blok şifrelemesi • IV (8 Byte) • Şifre Bloğu Zincirlemesi (CBC) • Anahtarlama güvenlik seviyesine bağlı • Örn: Her ağ için bir anahtar çifti: • Veriyi şifrelemek için • MAC hesaplaması için

  45. Tinysec: Performans Yükü • Asıllama + Şifreleme kullanılıyorsa • Band genişliğinde %10 ek yük • Sadece asıllama kullanılıyorsa: • Band genişliğinde %3 ek yük

  46. SPINS(Security Protocols For Sensor Networks) • Berkeley Ünv. tarafından geliştirilmiş • Temelde 2 protokol yapı taşı • µTESLA • SNEP

  47. SNEP • Semantik Güvenlik: • Birden fazla şifreli kopyadan açık metin çıkarılamaz • Her mesaj alış verişinde arttırılan, paylaşılan bir sayaç sayesinde gerçeklenir (IV) • Blok şifreleyicileri sayaç madunda çalışır (CTR): • Sayaç her blokta arttırılır

  48. SNEP • Kimlik Kanıtlaması: • MAC • Tekrar koruması: • Sayaç MAC içinde karşıya gönderilir • Tazelik Tespiti: • MAC içinde karşıya gönderilen sayaç garantiler • Düşük haberleşme Ek Yükü: Sayaç alıcı ve vericide tutulduğu için az. (8 Byte)

  49. SNEP • Şifrelenmiş veri: E = {D} (Kencr,C) • MAC: M = MAC (Kmac,C|E) • Şifreleme ve MAC anahtarları K anahtarından elde edilir • A -> B: {D} (Kencr,C) ,MAC (Kmac,C|{D} (Kencr,C)) • - D açık metin • - C başlangıç vektörü (IV) • - Kencr şifreleme anahtarı • - Kmac MAC alma anahtarı

  50. µTESLA • Asıllanmış çoklu yayın (Broadcast) için kullanılır • Asıllama simetrik yapılır • Sadece gönderen tarafından bilinen bir anahtar ve tek yönlü bir fonksiyonla MAC oluşturulur. • Anahtar mesajdan bir süre sonra yayınlanır. • Arabellekte tutulan paket alınan anahtar bilgisi ile asıllanır. • Paket içeriğinin değiştirilme ihtimali ortadan kalkmış olur.

More Related