Aller au contenu

Détection d'intrusions depuis des liens radio

Un article de Wikipédia, l'encyclopédie libre.

La détection d'intrusions depuis des liens radio est le processus permettant de détecter une intrusion dans un réseau communicant par onde radio. La détection d'intrusions est un des piliers de la sécurité des systèmes d'informations actuels en complément ou en appui de la prévention d'intrusions et de la tolérance aux intrusions.

La rapide prolifération des technologies sans fil (notamment les réseaux WLAN, la téléphone mobile) est due principalement à des couts d'installation et de maintenance plus faibles[1],[2]. La détection d'intrusions vient généralement se placer après le mécanisme de prévention d'intrusions. Ce dernier est chargé d'empêcher l'accès non autorisé à un réseau (principalement en utilisant des mécanismes de chiffrement des données et d'authentification). Si l'accès non autorisé est commis malgré le système de prévention d'intrusions, le rôle du système de détection d'intrusions est de détecter qu'un tel accès a eu lieu. Les systèmes de détection d'intrusions ont été utilisés en premier lieu pour les réseaux filaires d'entreprises et d'organisation. Aujourd'hui l'utilité de tels systèmes dans les réseaux sans fil est fortement recommandée si ce n'est nécessaire. La principale difficulté rencontrée lors de la sécurisation des réseaux sans fil par rapport à celle des réseaux filaires est la volatilité de leur médium physique de transport de données. Tant les réseaux filaires sont dans l'enceinte d'un bâtiment avec des mécanismes de sécurité plus ou moins importants empêchant l'accès à un intrus, tant les réseaux sans fil sont par nature diffusés via des ondes hertziennes et sont donc susceptibles d'être interceptés (attaque dite passive) ou corrompus via des données injectées modifiées/altérées sur le médium (attaque active : typiquement appelé jamming)[3],[4].

Il existe des outils qui permettent d'utiliser certaines des techniques citées plus bas, dont :

  • AirDefense ;
  • Snort wireless ;
  • ou IBM RealSecure Server Sensor.

Type d'architectures cibles

[modifier | modifier le code]

Il existe différents types d'architecture de réseaux sans fil. Les technologies sans fil peuvent être regroupées en deux grandes catégories qui sont les réseaux infrastructure qui dépendent de réseaux filaires sous-jacents et déjà existants (le Wifi fonctionne généralement dans ce mode avec le réseau filaire des fournisseurs d'accès) et les réseaux de type ad hoc ou les équipements sont capables de communiquer entre eux sans nécessité de nœud central ou point d'accès pour relayer l'information. Certaines techniques de détection (détaillées plus bas dans la section...) sont plus spécifiques à une architecture qu'à d'autres. On peut trouver aujourd'hui les sous-architectures suivantes[1] :

  • les WLAN (Wireless Local Area Network) ;
  • les WPAN (Wireless Personal Area Network) ;
  • les WSN (Wireless Sensors Networks) ;
  • les réseaux Ad hoc ;
  • la téléphonie mobile ;
  • et les WMN (Wireless Mesh Networks).

Aussi, certaines sous architectures sont plus vulnérables dans certaines couches que dans d'autres. Un exemple simple est le système de routage dynamique des réseaux mobiles ad hoc (MANET pour Mobile Ad hoc Networks en anglais) dans lesquels les déplacements des nœuds dans le réseau modifient continuellement le routage des données. Dans le cas des protocoles de routage dirigés par les tables (ou tous les nœuds possèdent en permanence localement une version complète des routes du réseau), les nœuds communiquent entre eux les nouvelles routes à utiliser. Ainsi il est possible pour un attaquant de communiquer de fausses routes pour rediriger les données vers lui-même[5].

Détection d'intrusion multi-couche

[modifier | modifier le code]

Les systèmes de détection d'intrusions se basent tous sur un ou plusieurs jeux de données qu'il faut analyser pour détecter s'il y a présence ou non d'intrusions. Le jeu de données peut provenir de journaux du système, de journaux d'applications, ou de données transmises ou reçues sur le réseau. Le niveau global de sécurité d'un système d'information étant défini par le niveau de sécurité du maillon le plus faible du système, les recherches en détections d'intrusions sont principalement tournées vers une détection en multi-couches[4],[5]. Ainsi plusieurs études proposent des mécanismes de détections à certaines couches du systèmes comme la couche réseau[6] du modèle OSI alors que d'autres proposent des modèles de mécanismes de détection sur plusieurs couches[5]. Ces derniers mécanismes effectuent une première analyse et peuvent passer des informations sur l'analyse à une couche inférieure lors d'une émission par exemple. Ainsi, la détection d'une anomalie possible uniquement à une couche spécifique du modèle OSI peut rendre une détection d'intrusion possible et une meilleure segmentation des modules de détection.

Sécurisation du médium physique

[modifier | modifier le code]

Dans une communication par liens radio, les interceptions (eavesdropping en anglais) sont critiques pour la confidentialité des données tout comme la modification ou la perturbation des transmissions compromet la bonne communication entre transmetteurs. Ainsi sont mis en place des mécanismes dit TRANSEC (pour Transmission security). Ces mécanismes sont composés de cinq étapes[4] qui sont :

  • l'authentification et la non-répudiation ;
  • la confidentialité et le contrôle d'accès ;
  • l'intégrité et la disponibilité ;
  • la résistance au brouillage ;
  • et la résistance à l'écoute passive.

Empreinte radio

[modifier | modifier le code]

Une des méthodes d'identification utilisées dans les communications radios est l'empreinte radio. En effet dans les communications radios, il n'est en théorie pas possible de savoir si une donnée vient d'un nœud intrus ou autorisé. Cela est vrai dans le cas par exemple des usurpations d’adresses MAC dans les WLAN où une adresse MAC d'un équipement est modifiée pour usurper l'identité d'autres équipements sur le réseau sans fil. L'empreinte radio est une technique d'identification qui permet de différencier chaque équipement réseau grâce à son empreinte unique et non modifiable (car propre aux variations de signal émis par chaque équipement au niveau hardware)[7],[8]. Techniquement deux méthodes peuvent permettre une telle identification :

  • l'identification transitoire ;
  • l'identification de modulation.

L'identification transitoire permet d'identifier uniquement l'équipement en analysant le passage absence/présence de transmission de signal (le début de la mise sous tension de l'émetteur radio)[9]. Au début utilisé pour trouver le constructeur de l'équipement ainsi que le modèle, de récentes recherches montrent qu'il est également possible d'identifier l'équipement parmi d'autres équipements du même modèle/constructeur de manière unique[10]. L'identification de modulation permet d'identifier uniquement l'équipement en analysant les particularités/imperfections au niveau de la modulation de fréquence de l'émetteur[11]. Ainsi il est possible d'utiliser ce type de méthode pour alerter directement ou pour fournir un nouveau jeu de données permettant de détecter au niveau de la couche physique de possibles trames forgées permettant une usurpation dans un réseau comme un WLAN par exemple[12].

Détection de brouillage

[modifier | modifier le code]

La détection de brouillage est utilisée pour détecter et contrer des attaques de type déni de service, au niveau de la couche physique (ou même sur la couche MAC pour une attaque plus sophistiquée) sur les réseaux sans fil, connues sous le nom de brouillage radio (jamming en anglais). Alors que certaines études montre la possibilité de générer un brouillage pour augmenter la performance[13] ou la sécurité[14] de leurs propres communications sans fil, la présence de brouillage est en général un phénomène que l'on souhaite neutraliser. Pour permettre la détection de brouillage, plusieurs métriques (metrics en anglais) largement utilisées nous renseignent sur la qualité des données transmises/reçues entre deux transmetteurs radio[15].

Force du signal

[modifier | modifier le code]

La force du signal (ou signal strength en anglais) peut nous renseigner sur l'utilisation des transmissions sur un canal [15]. Deux méthodes basées sur la force du signal sont présentées. La première est utilisée en calculant la moyenne ou la somme totale de la force du signal perçu sur une fenêtre de N échantillons. La deuxième méthode utilise N échantillons du spectre des signaux sur lesquels on peut éventuellement appliquer un traitement différent pour calculer la force du signal. L'inconvénient de cette technique est qu'elle convient plus à la détection de brouillage par signaux constant où un signal identique est envoyé continuellement sur le médium.

Ratio de paquets envoyés

[modifier | modifier le code]

Les paquets destinés à être envoyés et qui sont dans une file d'attente de la couche MAC le sont tant que le médium n'est pas libre, utilisé par un autre équipement ou possiblement sujet à un brouillage comme pour la classe de protocoles CSMA (pour Carrier Sense Multiple Access). Un certain délai est accordé à chaque paquet pour être envoyé sur le médium au-delà duquel le paquet est supprimé de la file d'attente sans avoir été envoyé. Le ratio ′paquets destinés à être envoyés/paquets réellement envoyés′ est nommé PSR pour Packet Send Ratio (ou ratio de paquets envoyés). L'inconvénient de cette méthode est qu'elle ne permet pas de différencier les phénomènes de congestion des phénomènes de brouillage qui ont les mêmes effets sur le protocole CSMA.

Ratio de paquets délivrés

[modifier | modifier le code]

Dans le cas d'un brouillage réactif où le brouilleur attend que l'émission de données d'un certain équipement soit effectuée pour immédiatement envoyer son signal de brouillage, lorsqu'un paquet est reçu par le récepteur légitime, il traverse l'ensemble des couches réseaux pour arriver au niveau applicatif du récepteur. Si une des couches détecte une erreur comme une erreur du CRC (pour contrôle de redondance cyclique) au niveau de la couche MAC, alors le paquet est rejeté. Le ratio paquets acceptés/paquets rejetés est appelé PDR pour Packets Delivery Ratio (ou ratio de paquets délivrés). L'inconvénient de cette méthode est qu'elle ne permet pas de différencier des phénomènes engendrés par exemple par une distance trop importante entre les deux équipements.

La détection de brouillage peut utiliser une technologie d'étalement de spectre. Il existe plusieurs types de méthode d'étalement de spectre qui servent principalement à permettre l'accès multiple sur un canal de communication radio (utilisé dans les réseaux GSM, Wifi, satellites, etc.), à permettre un certain niveau de confidentialité des données transmises mais également à permettre une détection de brouillages/d’interférences[16].

Étalement de spectre à séquence directe

[modifier | modifier le code]

L'étalement de spectre à séquence directe est une des nombreuses méthodes d'étalement de spectre utilisées pour la détection de brouillage. Dans cette méthode on utilise une suite de n 1 et de −1 pseudo aléatoire et unique pour chaque utilisateur/transmetteur nommé PN code (pour Pseudo Noise code). Il est nécessaire que les deux parties possèdent ce code. Lors de la transmission, la période du signal de base est multipliée par n. Pour chaque période résultante, on multiplie le signal de base par 1 ou −1 suivant la valeur dans la suite ayant pour index le numéro pour cette période. Côté réception, la même étape est effectuée pour récupérer le signal de base (1 x 1 = 1 , -1 x -1 = 1). Il existe des variantes permettant d'utiliser cette méthode sans la connaissance préalable par les deux parties de la clé secrète[17].

Étalement de spectre à saut de fréquence

[modifier | modifier le code]

L'étalement de spectre par saut de fréquence est une méthode d'étalement de spectre qui utilise la réplication, non pas sur des périodes à une fréquence donnée comme pour la méthode à séquence directe, mais sur d'autres fréquences que celle de base. Ainsi lorsqu'un émetteur veut envoyer un signal vers un récepteur, les deux doivent se mettre d'accord sur une série de fréquences à utiliser séquentiellement. L'émetteur envoie le signal sur ces fréquences vers le récepteur qui récupère le signal grâce à sa connaissance préalable de la séquence pseudo-aléatoire utilisée. Outre le fait que cette méthode répond aussi à plusieurs problématiques des communications sans fil telles que le multipath (multi-trajets en anglais) ou le fading (atténuation en anglais), elle permet également de détecter et contourner la présence de brouillages qui opèrent souvent sur une fréquence unique.

Techniques de détections d'intrusions

[modifier | modifier le code]

Il existe principalement trois types d'analyse dans les systèmes de détection d'intrusions sans fil qui sont la détection basée sur les signatures, sur les anomalies ou sur la réputation.

Détection basée sur les signatures

[modifier | modifier le code]

La détection basée sur les signatures est une analyse de détection utilisant une base de données aussi appelée dictionnaire d'attaques contenant les signatures des attaques les plus connues sur le système utilisé. Cette technique de détection est connue pour avoir un taux de faux positifs très faible. Cependant elle est aussi connue pour avoir un taux de faux négatifs plus important pour les nouveaux types d'attaques[1],[5].

Détection basée sur les anomalies

[modifier | modifier le code]

La détection basée sur les anomalies est une technique de détection qui utilise des valeurs limites sur certaines données du trafic réseau pour détecter une intrusion ou non. Pour une détection de ce type, il est parfois nécessaire d'employer des méthodes plus modernes comme l'apprentissage automatique (machine learning en anglais). Le principe est de fournir un jeu de données de trafic réseau à un système de détection d'intrusion. Ce jeu de données étant considéré comme du trafic normal/autorisé, l'apprentissage automatique peut ainsi fixer des valeurs limites sur des caractéristiques permettant de classifier le trafic réseau dans une catégorie ou dans une autre (ici catégorie normale ou anormale)[5]. D'autres recherches utilise la fouille de données pour automatiser la création de modèle permettant une détection d'anomalie en regroupant des caractéristiques pertinentes sur les jeux de données de trafic normaux ou permettant par la suite de classifier le trafic à tester en normal ou anormal. L'avantage de ce type d'analyse est qu'elle permet d'automatiser une détection sur de nouveaux types d'attaque qui peuvent ne pas être détectés par une détection basée sur les signatures. L'inconvénient est qu'elle fournit un taux de faux positif plus important que la détection basée sur les signatures[1]. Il existe également des méthodes utilisant des algorithmes tels que le K-moyens, pour regrouper le trafic réseau selon un critère de distance séparant la provenance du trafic et le centre du nœud central. Testée sur des réseaux WLAN, cette méthode a permis une détection des intrusions entre 65,3 et 82,5 %[18].

Détection basée sur la réputation

[modifier | modifier le code]

La détection basée sur la réputation permet de savoir si un nœud du réseau est corrompu et doit être écarté du réseau. La gestion de la réputation des nœuds est calculée pour chaque nœud puis partagée avec les nœuds voisins[19],[20]. Les réputations des nœuds sont ainsi échangées entre tous les nœuds dans le rayon d'émission/réception des voisins du nœud corrompu.

Détection d'intrusion coopérative

[modifier | modifier le code]

Sur des réseaux ad hoc, les recherches récentes poussent à utiliser des systèmes de détection d'intrusions distribués et coopératifs. Sur les réseaux filaires, Il peut exister des nœuds qui font office de système centralisé de détection ou de prévention d'intrusion (passerelle réseau / pare-feu). Sur des réseaux sans fil et plus spécifiquement sur les réseaux ad hoc, la mise en place d'agents sur les nœuds permet de répondre à plusieurs problématiques propres aux communications radio dont la principale est le champ de diffusion des ondes radios émises ou reçues. En effet un nœud central ne peut couvrir toute la surface d’émission/réception de tous les nœuds du réseau. Les systèmes de détection distribués sont ainsi une réponse possible à cette problématique[21],[22].

Le principe de la détection d'intrusion distribuée et coopérative consiste à déployer des agents sur les nœuds du réseau et à analyser localement le ou les jeux de données recueillis. Cette première analyse peut permettre de détecter une intrusion locale. Il est aussi possible, dans un second temps, de fournir l'information pertinente à des nœuds du réseau, ou de recueillir auprès de nœuds voisins des informations permettant de classifier une donnée comme provenant d'une intrusion. Les échanges d'informations se font sur un canal séparé qui doit être sécurisé (authentification et chiffrement). Ainsi, au lieu de ne traiter que depuis le jeu de données local, la détection se base à la fois sur le jeu de données local ainsi que sur celui des nœuds voisins[5].

D'autres études se basent sur ce type de détection pour fournir plus d'informations sur la source de l'intrusion et sur le type d'intrusion perpétré. Par exemple, dans le cas de l'attaque de l'homme du milieu, la détection est effectuée sur les nœuds via l’intégration d'un système de détection logicielle. Celui-ci est basé sur un noyau Linux modifié qui va notifier qu'une attaque de ce type est en cours dès qu'il perçoit une trame de dé-authentification avec son adresse MAC, sachant qu'il n'est pas l'émetteur de cette trame. Le client/récepteur, lui, est averti que cette attaque est en cours via la valeur du champ 'numéro de séquence' de la trame qui ne correspond pas à la véritable valeur et peut ainsi informer de ce type d'attaques aux nœuds voisins (typiquement ici le nœud point d'accès)[23].

Références

[modifier | modifier le code]

Bibliographie

[modifier | modifier le code]
  • Robert Mitchell et Ing-Ray Chen, « A survey of intrusion detection in wireless network applications », Computer Communications, vol. 42,‎ , p. 1–23 (ISSN 0140-3664, DOI 10.1016/j.comcom.2014.01.012, lire en ligne, consulté le )
  • Yi-an Huang et Wenke Lee, « A cooperative intrusion detection system for ad hoc networks », Proceedings of the 1st ACM workshop on security of ad hoc and sensor networks, ACM,‎ , p. 135–147 (ISBN 1581137834, DOI 10.1145/986858.986877, lire en ligne, consulté le )
  • (en-US) Zhiqi Tao et A. Ruighaver, « Wireless Intrusion Detection: Not as easy as traditional network intrusion detection », TENCON 2005 - 2005 IEEE Region 10 Conference, IEEE,‎ (ISBN 0780393120, DOI 10.1109/tencon.2005.300907, lire en ligne, consulté le )
  • (en-US) Yi-Sheng Shiu, Shih Chang, Hsiao-Chun Wu et Scott Huang, « Physical layer security in wireless networks: a tutorial », IEEE Wireless Communications, vol. 18, no 2,‎ , p. 66–74 (ISSN 1536-1284, DOI 10.1109/mwc.2011.5751298, lire en ligne, consulté le )
  • (en) Yongguang Zhang, Wenke Lee et Yi-An Huang, « Intrusion Detection Techniques for Mobile Wireless Networks », Wireless Networks, vol. 9, no 5,‎ , p. 545–556 (ISSN 1022-0038, DOI 10.1023/a:1024600519144, lire en ligne, consulté le )
  • Yih-Chun Hu, David B. Johnson et Adrian Perrig, « SEAD: secure efficient distance vector routing for mobile wireless ad hoc networks », Ad Hoc Networks, vol. 1, no 1,‎ , p. 175–192 (ISSN 1570-8705, DOI 10.1016/s1570-8705(03)00019-2, lire en ligne, consulté le )
  • (en-US) Benjamin W. Ramsey, Barry E. Mullins, Michael A. Temple et Michael R. Grimaila, « Wireless Intrusion Detection and Device Fingerprinting through Preamble Manipulation », IEEE Transactions on Dependable and Secure Computing, vol. 12, no 5,‎ , p. 585–596 (ISSN 1545-5971, DOI 10.1109/tdsc.2014.2366455, lire en ligne, consulté le )
  • (en) K. J. Ellis et N. Serinken, « Characteristics of radio transmitter fingerprints », Radio Science, vol. 36, no 4,‎ , p. 585–597 (ISSN 0048-6604, DOI 10.1029/2000rs002345, lire en ligne, consulté le )
  • (en-US) Kasper Bonne Rasmussen et Srdjan Capkun, « Implications of radio fingerprinting on the security of sensor networks », 2007 Third International Conference on Security and Privacy in Communications Networks and the Workshops - SecureComm 2007, IEEE,‎ (ISBN 9781424409747, DOI 10.1109/seccom.2007.4550352, lire en ligne, consulté le )
  • Vladimir Brik, Suman Banerjee, Marco Gruteser et Sangho Oh, « Wireless device identification with radiometric signatures », Proceedings of the 14th ACM international conference on mobile computing and networking, ACM,‎ , p. 116–127 (ISBN 9781605580968, DOI 10.1145/1409944.1409959, lire en ligne, consulté le )
  • (en-US) A. Tomko, C. Rieser et L. Buell, « Physical-Layer Intrusion Detection in Wireless Networks », MILCOM 2006, IEEE,‎ (ISBN 142440617X, DOI 10.1109/milcom.2006.302476, lire en ligne, consulté le )
  • Haithem Al-Mefleh et Osameh Al-Kofahi, « Taking advantage of jamming in wireless networks: A survey », Computer Networks, vol. 99,‎ , p. 99–124 (ISSN 1389-1286, DOI 10.1016/j.comnet.2016.02.011, lire en ligne, consulté le )
  • (en-US) Michael Atallah, Georges Kaddoum et Long Kong, « A Survey on Cooperative Jamming Applied to Physical Layer Security », 2015 IEEE International Conference on Ubiquitous Wireless Broadband (ICUWB), IEEE,‎ (ISBN 9781467365550, DOI 10.1109/icuwb.2015.7324413, lire en ligne, consulté le )
  • Wenyuan Xu, Wade Trappe, Yanyong Zhang et Timothy Wood, « The feasibility of launching and detecting jamming attacks in wireless networks », Proceedings of the 6th ACM international symposium on mobile ad hoc networking and computing, ACM,‎ , p. 46–57 (ISBN 1595930043, DOI 10.1145/1062689.1062697, lire en ligne, consulté le )
  • (en-US) R. Pickholtz, D. Schilling et L. Milstein, « Theory of Spread-Spectrum Communications - A Tutorial », IEEE Transactions on Communications, vol. 30, no 5,‎ , p. 855–884 (ISSN 0090-6778, DOI 10.1109/tcom.1982.1095533, lire en ligne, consulté le )
  • (en-US) Yao Liu, Peng Ning, Huaiyu Dai et An Liu, « Randomized Differential DSSS: Jamming-Resistant Wireless Broadcast Communication », 2010 Proceedings IEEE INFOCOM, IEEE,‎ (ISBN 9781424458363, DOI 10.1109/infcom.2010.5462156, lire en ligne, consulté le )
  • (en-US) Shi Zhong, T.M. Khoshgoftaar et S.V. Nath, « A clustering approach to wireless network intrusion detection », 17th IEEE International Conference on Tools with Artificial Intelligence (ICTAI'05), IEEE,‎ (ISBN 0769524885, DOI 10.1109/ictai.2005.5, lire en ligne, consulté le )
  • (en-US) Junghwa Shin, Taehoon Kim et Sungwoo Tak, « A Reputation Management Scheme Improving the Trustworthiness of P2P Networks », 2008 International Conference on Convergence and Hybrid Information Technology, IEEE,‎ (ISBN 9780769533285, DOI 10.1109/ichit.2008.266, lire en ligne, consulté le )
  • (en-US) G. Bella, G. Costantino et S. Riccobene, « Managing Reputation over MANETs », 2008 The Fourth International Conference on Information Assurance and Security, IEEE,‎ (ISBN 9780769533247, DOI 10.1109/ias.2008.24, lire en ligne, consulté le )
  • (en-US) Wang Hairui et Wang Hua, « Research and Design of Multi-agent Based Intrusion Detection System on Wireless Network », 2008 International Symposium on Computational Intelligence and Design, IEEE,‎ (ISBN 9780769533117, DOI 10.1109/iscid.2008.43, lire en ligne, consulté le )
  • Shahaboddin Shamshirband, Nor Badrul Anuar, Miss Laiha Mat Kiah et Ahmed Patel, « An appraisal and design of a multi-agent system based cooperative wireless intrusion detection computational intelligence technique », Engineering Applications of Artificial Intelligence, vol. 26, no 9,‎ , p. 2105–2127 (ISSN 0952-1976, DOI 10.1016/j.engappai.2013.04.010, lire en ligne, consulté le )
  • (en-US) T.R. Schmoyer, Yu Xi Lim et H.L. Owen, « Wireless intrusion detection and response: a classic study using main-in-the-middle attack », 2004 IEEE Wireless Communications and Networking Conference (IEEE Cat. No.04TH8733), IEEE,‎ (ISBN 0780383443, DOI 10.1109/wcnc.2004.1311303, lire en ligne, consulté le )
  • (en-US) Nam Tuan Nguyen, Guanbo Zheng, Zhu Han et Rong Zheng, « Device fingerprinting to enhance wireless security using nonparametric Bayesian method », 2011 Proceedings IEEE INFOCOM, IEEE,‎ (ISBN 9781424499199, DOI 10.1109/infcom.2011.5934926, lire en ligne, consulté le )