MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες: Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος Δημήτρης Β. Χρηστίδης

Πρόβλημα Αυξανόμενη δραστηριότητα κακόβουλων χρηστών Έλλειψη γενικευμένου τρόπου αντιμετώπισης Τα ήδη χρησιμοποιούμενα και προτεινόμενα μέτρα υπερφορτώνουν το δίκτυο και δημιουργούν ευκαιρίες για νέες επιθέσεις Οι reactive μηχανισμοί λειτουργούν αφού πρώτα επιτευχθεί η επίθεση Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Στόχοι Δημιουργία πλαισίου για την πρόληψη των DoS επιθέσεων σε Publish/Subscribe δίκτυα Αύξηση επιπέδου δυσκολίας για την ανάπτυξη επιθέσεων Διαχωρισμός των χρηστών ανάλογα με την επικινδυνότητά τους Υπολογιστικά φτηνή λύση για το δίκτυο Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Motivation Σχεδιασμός της Publish/Subscribe Internet Routing (PSIRP) αρχιτεκτονικής Σχεδίαση γενικευμένου πλαισίου ασφάλειας για Publish/Subscribe δίκτυα Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επισκόπηση Παρουσίασης Χαρακτηριστικά και λειτουργίες Publish/Subscribe συστημάτων Χαρακτηριστικά PSIRP Επιθέσεις DoS/DDoS και προτεινόμενα μέτρα Εισαγωγή στα Puzzles Χρήση των Puzzles Μοντέλο κατάταξης Πρωτότυπο λειτουργίας Λοιπά θέματα Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Publish/Subscribe Συστήματα (1) Ασύγχρονη επικοινωνία Αποκεντρωμένη διανομή πληροφοριών Υποστήριξη πληροφοριοκεντρικών εφαρμογών Σχετική ανωνυμία συμμετεχόντων Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Publish/Subscribe Συστήματα (2) Συγχρονισμός Χρηστών Συντονισμός Χρηστών Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χαρακτηριστικά PSIRP Rendezvous System – Rendezvous Points/Identifiers Scopes – Scope Identifiers Algorithmic Identifiers Publication Identifiers Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επιθέσεις DoS Χρησιμοποιούν υπηρεσίες του δικτύου Καταναλώνουν ή αλλοιώνουν δικτυακούς πόρους Καθιστούν συγκεκριμένες υπηρεσίες μη- διαθέσιμες Αυξάνονται και εκσυγχρονίζονται Smurf Attacks (ICMP Flooding) SYN Flooding Attacks DNS Cache Poisoning Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Επιθέσεις DDoS Εξελιγμένες DoS επιθέσεις Εκμεταλλεύονται μεγάλη υπολογιστική ισχύ Χρησιμοποιούν BotNets για διαμοιρασμό του κόστους PSIRP Attach-based flooding attack Handshaking-based flooding attack Spamming Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Υπάρχουσες Προτάσεις και Τεχνικές Μοντελοποίηση επιθέσεων (Taxonomy [1], Attack Trees) Εφαρμογές Ασφαλής Διανομή Ενημερώσεων [2] Encrypted Event Data Ασφαλής Συσσωμάτωση Δεδομένων [3] Anonymity, Verification (MAC) Πρόληψη Spam [4] Detection, Mitigation Κρυπτογραφική Νοθεία [5] Puzzle Predecessor, Simple Encryption Honeypots Captchas Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Puzzles (1) Αρχές Η δημιουργία ενός Puzzle και ο έλεγχος της λύσης του είναι μια διαδικασία υπολογιστικά φτηνή για τον εξυπηρετητή Το υπολογιστικό κόστος λύσης ενός Puzzle είναι εύκολα προσαρμόσιμο Τα Puzzles μπορούν να λυθούν στις περισσότερες συνθέσεις υλικού Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Puzzles (2) Αρχές (συνέχεια) Δεν είναι δυνατό να προϋπολογιστεί η λύση ενός Puzzle, ούτε και από αυτόν που το δημιουργεί Όσο ο χρήστης λύνει το Puzzle ο εξυπηρετητής δεν είναι υποχρεωμένος να αποθηκεύει πληροφορίες σχετικές με τον χρήστη Το ίδιο Puzzle μπορεί να δοθεί σε πολλούς ξεχωριστούς χρήστες, ενώ το να βρει κάποιος τη λύση ενός από αυτά δεν σημαίνει ότι μπορεί να βοηθήσει τους άλλους Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Εισαγωγή στα Puzzles (3) Αρχές (συνέχεια) Ένας χρήστης μπορεί να ξαναχρησιμοποιήσει το Puzzle δημιουργώντας πολλαπλά αντίγραφά του Το Puzzle δεν θα πρέπει να λύνεται γρηγορότερα από ένα προκαθορισμένο χρονικό παράθυρο Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λειτουργία των Puzzles (1) Ο Server στέλνει N s, k O Client δημιουργεί N c και ψάχνει να βρει X ώστε h(N s, N c, C, X) = Y όπου το Υ πρέπει να έχει μηδενικά στα k πιο σημαντικά ψηφία του Το k προσδιορίζει τη δυσκολία του Puzzle Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λειτουργία των Puzzles (2) Πρότυπο επικοινωνίας και χρήσης Puzzle Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χρήση των Puzzles (1) Συνεδρία Διασύνδεσης Δικτύου (Network Attachment Session) Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Χρήση των Puzzles (2) Εκτός από την ΣΔΔ τα Puzzles χρησιμοποιούνται Κάθε φορά που ένας χρήστης ξεκινάει ένα Publication/Subscription Κάθε φορά που ένας broker διεκπεραιώνει N Publications/Subscriptions Επιπλέον για τους brokers Ψηφιακό πιστοποιητικό Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Πάροχος Puzzle Οντότητα Ελέγχου – ΕΤΟ Αρμοδιότητες Δημιουργία/Διανομή Puzzle Έλεγχος λύσης Διαφύλαξη απαραίτητων δεδομένων που αφορούν στην ακεραιότητα και λειτουργικότητα των Puzzles Διαμοιρασμός cookies για έλεγχο σύνθεσης υλικού Στόχος Προστασία των brokers Puzzles καθολικής αποδοχής Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Διαχειριστής Κατάταξης Οντότητα Ελέγχου – ΕΤΟ Αρμοδιότητες Διαφύλαξη και ανανέωση πληροφοριών που αφορούν στο ιστορικό κάθε χρήστη και που χρησιμοποιούνται για την κατάταξή του Διεξαγωγή υπολογισμών και συσχετίσεων για να αποφασιστεί η κατάταξη ενός χρήστη Ανανέωση της κατάταξης του χρήστη Ενημέρωση των ενδιαφερόμενων για την κατάταξη συγκεκριμένων χρηστών του δικτύου Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λοιπά Θέματα Κατάταξης (1) Επίπεδα Έμπιστοι χρήστες Σχετικά Έμπιστοι χρήστες Σχετικά Μη-Έμπιστοι χρήστες Μη-Έμπιστοι χρήστες Άγνωστοι χρήστες Αποκλεισμένοι χρήστες Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Λοιπά Θέματα Κατάταξης (2) Κριτήρια Χρόνος Επίλυσης Puzzle Puzzles που λύθηκαν Puzzles που δεν λύθηκαν Συχνότητα Συμμετοχής Ιστορικό Επιθέσεων Παράγοντας γήρανσης Recency Dependency Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Δυσκολία και Κατάταξη Το k ορίζει τη δυσκολία του Puzzle Επίπεδα Εύκολα (k=1-33) για Έμπιστους χρήστες Σχετικά Εύκολα (k=33-65) για Σχετικά Έμπιστους χρήστες Σχετικά δύσκολα (k=65-97) για Σχετικά Μη- Έμπιστους χρήστες και Άγνωστους χρήστες Δύσκολα (k=97-128) για Μη-Έμπιστους χρήστες Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Mobility Διαμοιρασμός πιστοποιητικών από τον Διαχειριστή Κατάταξης Πιστοποίηση της κατάταξης των χρηστών με τον έλεγχο του πιστοποιητικού Τα πιστοποιητικά διανέμονται όποτε αλλάζει η κατάταξη του χρήστη Έλεγχος εγκυρότητας με χρήση Ψηφιακών Υπογραφών Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Μοντέλο Επικοινωνίας Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Θέματα Δυσκολίας Το 2001 εκτίμηση για μέγιστο k=64 [6] Το 2004 πειράματα με αποτέλεσμα το παρακάτω Χρόνος ελέγχου λύσης περίπου 0.02 ms [7] Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Ανοιχτά Θέματα Διεξαγωγή νέων πειραμάτων για εύρεση μέγιστου «εύχρηστου» k Εύρεση ακριβούς συνάρτησης κατάταξης Trust Management Εξάρτηση δυσκολίας από το μέγεθος των δεδομένων σε Publications/Subscriptions Green-IT Trend και Grid Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα

Αναφορές [1] - A. Wun, A. Cheung, H.-A. Jacobsen (2007). A Taxonomy for Denial of Service Attacks in Content-based Publish/Subscribe Systems [2] - M. Srivatsa, L. Liu (2007). Secure Event Dissemination in Publish- Subscribe Networks. [3] - K. Minami, A. J. Lee, M. Winslett, N. Borisov (2008). Secure Aggregation in a Publish/Subscribe System. [4] - S. Tarkoma (2006). Preventing Spam in Publish/Subscribe IEEE DEBS [5] - D. Park, J. Kim, C. Boyd, E. Dawson (2001). Cryptographic Salt: A Countermeasure against Denial-of-Service Attacks. [6] - T. Aura, P. Nikander, J. Leiwo (2000). DoS-resistant Authentication with Client Puzzles. [7] - V. Bocan (2004). Threshold Puzzles: The Evolution of DoS- resistant Authentication. Δημήτρης Β. Χρηστίδης Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα