Sistemas Detectores de Intrusão em Redes Ad Hoc

ANTONIO ALEXANDRE DE CASTRO SOARES1 OTTO CARLOS MUNIZ BANDEIRA DUARTE 1

1UFRJ – Universidade Federal do Rio de Janeiro GTA – Grupo de Teleinformática e Automação

Centro de Tecnologia – Bloco H Av. Brigadeiro Trompowski s/n

Cidade Universitária – Ilha do Fundão Cx. Postal 68504 – CEP 21945-970 Rio de Janeiro (RJ)

{asoares,otto}@gta.ufrj.br

Resumo: Devido a forte tendência observada nos últimos anos por aplicações onde a mobilidade é um requesito fundamental, assistimos uma rápida expansão das redes sem fio, em especial as redes ad hoc, que devido a suas características particulares, apresentam diversas possibilidades de intrusão. Este artigo apresenta de maneira tutorial, as motivações, arquiteturas e modelos de detecção atualmente utilizados nos sistemas detectores de intrusão em redes ad hoc .

Palavras Chaves: Segurança, SDI, redes ad hoc.

1 Introdução

Temos observado nos últimos anos uma forte tendência na utilização das tecnologias de comunicação sem fio, este crescimento vem de encontro às necessidades de diversas aplicações e contribui para a solução de uma grande variedades de problemas, onde a mobilidade é um requesito fundamental.

Um ambiente de rede sem fio possível, onde estas soluções podem ser oferecidas são as chamadas redes móveis ad hoc, que são constituídas por um conjunto de nodos autônomos que possuem a capacidade de comunicação com outros membros da rede sem que exista uma infra-estrutura de comunicação previamente disponível. Esta rede tem como característica fundamental a cooperação de seus membros, o que a torna um complexo sistema dinâmico.

Os membros desta rede, geralmente compartilham o mesmo meio físico, onde a transmissão e recuperação da informação ocorre na mesma freqüencia: assim o Data Link Layer (DLL) tem a função de gerenciar o meio sem fio e coordenar o acesso entre os seus vizinhos. O protocolo Medium Access Control (MAC) é essencial para a rede ad hoc, porque os membros móveis compartilham o mesmo canal broadcast. A camada de rede tem como função principal manter as rotas través da rede, logo todos os nodos deverão ter a função de roteadores além de serem responsáveis por descobrir e manter as rotas de acesso a outros nodos.

Devido a natureza cooperativa da rede sem fio ad hoc, diversas vulnerabilidades são expostas, tornando-a suscetível a diversas ameaças, sejam estas passivas como os espiões ou ativos como os utilizados por atacantes que objetivam alterar ou interromper o encaminhamento de mensagens de roteamento comprome tendo o funcionamento geral de toda a rede.

Assim, diferentemente das redes cabeadas onde os atacantes devem inicialmente obter o acesso físico da rede ou ultrapassar diversas linhas de defesa tais como: filtros de roteadores, regras de agrupamento broadcast, proxy e firewalls numa rede ad hoc, o atacante pode lançar o seu ataque contra todos os nodos independente da direção da mensagem, isto se deve a ausência de um ponto único de distribuição de tráfego ou gateway.

As redes ad hoc, estão submetidas às mesmas vulnerabilidades, observadas em redes cabeadas, onde são possíveis ataques como spoofing, replay, denial of service, etc. Estas vulnerabilidades [Debar, 1998] são classificadas em três grandes grupos: a primeira é chamada de vulnerabilidade acentuada pelo contexto, ou seja, são vulnerabilidades resultantes da combinação da topologia, alcance das emissões de rádio e a natureza dinâmica de seus nodos tornando assim impossível estabelecr contornos físicos claros, o que impede a transposição de elementos de controle de acesso como firewall largamente utilizado em redes cabeadas.

A segunda é chamada de vulnerabilidade presente no interior de uma rede ad hoc, isto é, são vulnerabilidades que residem nos mecanismos de roteamento e autoconfiguração que por sua vez estão baseados na confiança e cooperação total dos nodos de uma rede e por fim a vulnerabilidade inerente ao nodo, ou seja, são vulnerabilidades que estão presentes na esfera funcional do nodo, tais como falhas do sistema operacional, comunicação, etc.

Desta forma os sistemas detectores de intrusão tem por finalidade oferecer um mecanismo que venha a reduzir a possibilidade de intrusão, porém este sistema sozinho não oferece nenhuma garantia de eliminar esta possibilidade, assim esta introdução aos sis temas de detecção de intrusão tem por finalidade apresentar a principais técnicas utilizadas para a identificação de ameças em redes ad hoc, bem como explorar os diversos modelos de detecção e arquiteturas de implementação.

2 Funcionamento Geral dos Sistemas Detectores de Intrusão

Os sistemas detectores de intrusão são sistemas automáticos baseados em mecanismos de monitoração em

tempo real que observam o comportamento do tráfego de rede e ambientes operacionais, que em seu conjunto procuram identificar padrões considerados hostis. Os principais benefícios do uso desta tecnologia estão na antecipação e acompanhamento dos ataques, bem com auxiliar a compreensão das estratégias utilizadas pelos atacantes e códigos de computador maliciosos.

Associada a estes ganhos, destaca -se a possibilidade de respostas articuladas da infra-estrutura de segurança a eventos considerados de elevado risco, para tanto é necessário que a solução adotada seja altamente aderente aos diversos componenetes de rede.

Os modelos de reconhecimento de ameaças presente nos sistemas detectores de intrusão atualmente estão distribuídos em três grandes grupos, a saber: o primeiro é baseado em assinaturas, ou seja, monitora o tráfego de rede coletado, buscando a ocorrência de seqüências específicas presentes em um repositório especial.

Esta seqüência é descrita por meio de uma linguagem específica que tem a função de caracterizar o tráfego hostil. A vantagem desta abordagem está em apresentar um nível baixo de falsos positivos, porém mostra-se ineficiente para detectar ataques baseados em novas técnicas ou abordagens cuja representação de suas caracteristicas não está representada em seu repositório de assinaturas.

O segundo modelo é centrado no entendimento do comportamento do perfil padrão do nodo, ou seja, utiliza técnicas que procuram identificar, diferenças baseadas na comparação de padrões de tráfego considerado seguro, isto é, livre de qualquer traço de tentativas de intrusão com um padrão anomalo de rede ou comportamento atípico do nodo.

Por fim o terceiro modelo é baseado em especificações, e está orientado a acompanhar o fluxo de tráfegos buscando características específicas do comportamento de uma aplicação ou protocolo, esta abordagem apresenta o mais baixo nível de falsos positivos, porém sua aplicabilidade é restrita a cenários muito específico, atualmente presente em aplicações militares e de operações globais de transações financeiras.

A captura dos tráfegos ocorre de maneira total, ou seja, o detector de intrusos conhece o estado completo da informação, permitindo assim analizar o conteúdo do pacote por inteiro isto oferece à solução uma grande confiabilidade na detecção de ataques, o que contribui de maneira definitiva a identificação de pacotes cujo os cabeçarios tenham sido forja dos, evitando que este comportamento de tráfego seja encaminhado para os sistemas finais por longo tempo, a camada de coleta dos sistemas detectores de intrusão possibilita a análise de conteúdo de alguns protocolos eliminando distorsões presentes em seus parâmetros de especificação que comprometem a disponibiliade de intrusão de um atacante.

Os modelos atuais são concebidos de maneira modular, onde podem ser associados diversas funções que possibilitam a visão completa da segurança e seus impactos em diferentes disciplinas, tais como: análise forense, gerenciamento, anomalias, etc.

Com o aumento significativo do detalhamento presente nestas funcionalidades, torna-se necessário compreender as diferentes dimensões dos eventos de segurança, este esforço tem estimulado uma área de grande produção acadêmica que procura desenvolver modelos de correlação de dados e análises segundo critérios fixos conhecidos como regras de associação que devem ser realizadas em tempo real.

Como foi anteriormente observado os sistemas detectores de intrusão devem ser entendido como uma solução composta por uma coleção de módulos especializados que em seu conjunto ou individualmente, definem as seguintes características: capacidade de auditar a localização da fonte, metodologia de detecção, localização dos detectores, freqüencia de coleta, gerenciamento e reposta de uma intrusão.

Estas características devem ser atendidads por três requerimentos fundamentais: o primeiro não introduzir novas vulnerabilidades, ou seja, o SDI deve garantir que a solução de detecção não introduza nenhuma fragilidade no sistema observado. Para tanto, deve utilizar funções de integridade que avaliam de maneira continuada o seu comportamento. O segundo requerimento tem como objetivo garantir um baixo consumo sistêmico de recursos, computacionais como também garantir a continuidade operacional e por último a transparência, tornando sua presença na rede de difícil detecção por um atacante externo ou interno.

3 Desafios do uso de SDI em Redes ad hoc

Muito embora ambas as redes cabeadas e ad hoc estejam submetidas às mesmas vulnerabilidades, torna-se

virtualmente impossível a transposição direta dos modelos de SDI atualmente praticadas nas redes cabeadas. Tal impossibilidade está presente na profunda diferença de características funcionais existente entre as duas redes.

Na rede cabeada é possível estabelecer de maneira clara diversas fronteiras de tráfego, o que permite a segmentação dos diversos fluxos e assim localizar diversos detectores de intrusão por todo núcleo central de comunicação da infra-estrutura, que poderá funcionar de maneira localizada ou distribuída. Nesta abordagem os diferentes detectores se comunicam por meio de um protocolo seguro que permite ao elemento agregador central uma interpretação mais ampla dos diversos correlacionamentos existentes entre os diferentes eventos de segurança.

Estas análises e conclusões ocorrem em tempo real, e estão fortemente integradas aos sistemas de gerenciamento que tem a função de sinalizar por meio de alarmes aos responsáveis pela segurança dos possíveis eventos considerados ameaçadores e reagir de maneira manual ou automática baseada em regras fixas de ações pré-determinadas.

Já a rede ad hoc, devido a sua natureza dinâmica e cooperativa torna-se impossível estabelecer de maneira clara e duradoura limites físicos que permitam por exemplo a utilização de tecnologias já largamente empregadas como firewalls, ou qualquer outro mecanismos centralizador de controle de tráfego.

Associado a estas questões os nodos de uma rede ad hoc estão submetidos a outras limitações [Law, 2002] tais como: limitações de energia, links de comunicação, largura de banda, capacidades reduzidas de armazenamento e processamento, possibilidade de operação descontínua de um nodo e comportamentos bizantinos no interor da rede.

Assim, a combinação destas questões exigem uma abordagem diferenciada da utilizada nas redes cabeadas [Capkun, 2002], onde a solução proposta para redes ad hoc devem estar orientadas às características cooperantes e dinâmicas.

4 Modelos de Detecção de Ataques

A detecção de anomalias é um importante componente dos sistemas detectores de intrusão, tendo como

função principal a identificação dos eventos maliciosos. Para tanto realiza um processo de auditoria de informações c oletadas dos tráfegos de rede, logs do sistema e comportamento de system calls.

Estes modelos normalmente estão localizadas no interior de um sistema detector de intrusão e pertencente a alguma camada da arquitetura de implementação, e são construídos a partir de algumas premissas, tais como: Todas as atividades do sistema são passíveis de observação; É possível distinguir claramentes atividades consideradas normais e intrusivas; A camada de detecção é inviolável, não sendo possível o seu comprometimento funcional por nenhuma ação maliciosa; O comportamento Bizantino não é considerado devido a integridade da camada de detecção que deve ser garantida.

4.1 Modelo de Detecção Baseado em Assinaturas

O modelo de detecção baseado em assinaturas [Anjum, 2002], apres entado na figura 1, está localizado na

camada de arquitetura chamada de detecção local de ameaças, atualmente esta abordagem encontra -se em desenvolvimento e apresentam diversos aspectos positivos e negativos a serem ponderados a seguir.

Os aspectos positivos desta abordagem, está no baixo nível de falsos positivos, pois a identificação é baseada em características particulares de cada ataque, que foram identificadas no tráfego de rede, comportamento sistêmico das system calls e informações que estão presentes em arquivos de log.

Os aspectos negativos deste modelo estão associados ao consumo de energia gasto pelos dispositivos na atualização do banco de assinaturas, bem como nos requerimentos extremamente restritos de armazenamento e processamento presente na maioria dos dispositivos móveis.

Esta atualização, utiliza um número potencialmente expressivo de mensagens de atualização, sendo responsável por um grande volume de dados na rede, podendo em casos mais graves, afetar o tempo de vida da mesma, o que em última análise não tem sentido, pois o processo como um todo estaria protejendo uma rede cujo a vida está fortemente comprometida.

Por outro lado, os defenssores deste modelo salientam que o número de assintaturas não seriam expressivos e assim comparado com a certeza da identifacação poderiam tornar este modelo mais adequado.

Figura 1 – Modelo de Identificação Baseado em Assinaturas

4.2 Modelo de Detecção Baseado em Anomalias

O modelo de detecção baseado em anomalias permite a identificação de uma tentativa de intrusão a partir do

desvio do comportamento considerado normal [Sekar, 2002], com isso torna-se possível a detecção de ataques cujo a identificação formal de sua assinatura ainda está sob investigação, oferencendo aos recursos da rede mecanismos que permitam isolar completamente uma ameaça muito rapidamente, oferecendo uma maior robustez funcional se comparado ao modelo baseado em assinaturas.

Contudo, por dispensar o arquivo de assintaturas o modelo precisa estabelecer um padrão considerado normal para sua utilização referencial. Este comportamento é obtido a partir de um período de treinamento onde são observados o funcionamento sistêmico do nodo bem como o tráfego de rede e estabelecido um perfil que será utilizado como referencia que fundamentalmente resume todos os padrões deste período.

O perfil referencial é atualizado periodicamente, como mostrado na figura 2, e para identificar um comportamento malicioso utiliza algoritmos estatísticos que avaliam os desvios deste padrão, porém este modelo apresenta um elevado índice de falsos positivos, além de ser sensível à mudança temporal do comportamento de uso da rede.

5 Arquiteturas dos SDI em Redes Ad Hoc

A arquitetura considerada ideal de um SDI para rede sem fios ad-hoc pode depender da própria infra -estrutura

de rede. A rede ad-hoc pode ser configurada em sua infra-estrutura de maneira plana ou multi-camada. Em uma infra-estrutura de rede plana, todos os nodos são considerados iguais e podem participar das funções de roteamento. Esta infra-estrutura pode ser satisfatória a aplicações civis, como numa sala de aula ou conferência.

Em uma infra -estrutura de rede multi-camada, todos os nodos não são considerados iguais. Nodos no interior da gama de transmissão são organizados em um agrupamento, e elege uma Cluster-Head (CH) com a função de centralizar as funções de roteamente de um grupo de nodos.

Os nodos de Cluster-Head (CH) formam um backbone virtual para a rede, e dependendo dos protocolos intermediários utilizados no gateway, os nodos podem retransmitir pacotes entre nodos de diferentes Cluster-Head (CH).

Figura 2 – Modelo de Identificação Baseado em Anomalias

5.1 Arquiteturas Stand-alone

Em uma arquitetura stand-alone cada nodo possui um sistema detector de intrusão que é executado de maneira

independente de seus vizinhos e tem como objetivo detectar apenas ações maliciosas locais dispensando a cooperação global.

Como todo o funcionamento de detecção de ações maliciosas está restrito às fronteiras de um SDI, não existindo cooperação entre os nodos vizinhos a visibilidade é muito restrita e a decisão destes eventos ficam presentes somente nestas fronteiras.

Assim como maneira de ampliar a ação de um SDI que utiliza uma arquitetura Stand-alone, foi desenvolvido um mecanismo chamado watchdog, esta facilidade objetiva facilitar a descoberta dentro de sua gama de transmissão a presença d e nodos com o comportamento bizantinos.

Logo o nodo watchdog transmitiria apenas pacotes para nodos vizinhos, que não sejam atingidos por este problema. A efetividade desta solução é limitada, porém adequada em ambientes onde nem todos os nodos são capazes de executar um sistema detector de intruções cooperante devido a limitações de processamento ou armazenamento.

5.2 Arquiteturas Cooperativas

Esta arquitetura mostra-se mais adequada à realidade das redes ad-hoc uma vez que está baseada em um

modelo distribuído e cooperativo, assim os agentes SDI estão localizados no interior dos dispositvos e operam de maneira independente de seus vizinhos na identificação das ameaças locais e de forma cooperativa para a confirmação do comprometimento de um nodo ou para a identificação de novos ataques.

Nesta arquitetura, se um nodo descobrir uma intrusão baseada em uma evidência fraca ou inconclusiva, pode iniciar um procedimento de descoberta de intrusão global e cooperativa aos nodos vizinhos, que iniciarão um processo de avaliação do comportamento de seu tráfego e em conjunto confirmarão seu comprometimento ou não.

Por outro lado uma arquitetura SDI cooperativa e distributiva poderia ser suscetível a ataques de nodos que apresentem um comportamento bizantino, assim poderiam fazer falsas reivindicações com o objetivo de descobrir vulnerabilidades presentes no ambiente operacional ou nas aplicações nas quais são responsáveis.

No protocolo baseado na confiança, os nodos cooperam e compartilham as mensagens de alarme com outros nodos na rede sem fios ad-hoc pois por meio de listas específicadas são cadastrados os nodos que em um determinado período são considerados confiáveis.

Como estas listas são reavaliadas periodicamente a cada ciclo de roteamento é possível minimizar o comportamento bizantino de um nodo que falsamente acusa um nodo de estar apresentando um comportamento que indique seu comprometimento.

6 Resposta a uma Intrusão em redes ad-hoc

A resposta a intrusão considerada mais adequada a rede sem fios ad-hoc tem c omo objetivo isolar um ou mais

nodos que apresentem comportamentos ameaçadores ou claramente bizantinos que venham a comprometer o funcionamento de toda da rede.

Para tanto são adotados conceitos usualmente praticados nas redes cabeadas, tais como: a “quarentena eletrônica”, esta prática cria regras específicas de maneira dinâmica que avisam aos nodos vizinhos que evitem um determinado membro da rede enquanto as ações locais não tenham sido efetivadas.

7 Apresentação de um SDI em Redes Ad Hoc

As redes ad hoc, tem como característica a cooperação e distribuíção para o encaminhamento de seus pacotes,

onde devida ausência de uma entidade centralizadora dos diferentes fluxos oriundos dos diversos nodos, torna-se incompatível a transposição do modelo referencial praticado nas redes cabeadas, onde os tráfegos podem ser agrupados em diferentes centros de distribuição, e poderão estar presentes diversos SDI ao longo do núcleo central de tráfego que poderão operacionalizar ações locais ou globais.

Assim os sistemas detectores de intrusão, deverão ser compatíveis com as características funcionais da rede ad hoc. Para tanto a localização dos SDI deverão estar presentes nos diversos dispositivos, como mostrado na figura 3, que funcionalmente monitoram todas as atividades locais de maneira independente de seus vizinhos, não se restringindo apenas as atividades de comunicação, assim são observadas todos os comportamentos sistêmicos, bem como a atividade dos usuários que utilizam os diversos recursos da rede.

Caso seja identificado algum evento classificado como possivelmente ameaçador onde o processo de investigação local de deteção de anomalias teve como resultado final um julgamento inconclusivo, inicia -se um processo de cooperação global de investigação, onde os vizinhos avaliarão o comportamento do nodo que solicitou a ajuda global, caso a conclusão dos nodos cooperantes seja a confirmação de um comprometimento do nodo que solicitou a ajuda global, inicia-se uma resposta igualmente cooperante que basicamente poderão ser operacionalizadas diversas ações, como a alteração das tabelas de roteamento que isolará este nodo comprometido, solicitação de reatualização operacional do nodo comprometido e alteração do endereço MAC.

IDS

IDS

IDSIDS

IDS

IDS

IDS

IDS

IDS

Figura 3 - Apresentação do cenário de execução

8 Modelo Referencial Atualmente Praticado em Redes Ad Hoc

O modelo referencial atualmente praticado pelos sistemas detectores de intrusão em redes ad hoc [Zhang,

2000], como mostrado na figura 4, é compreendido por diversas camadas presentes no nodo, porém funcionalmente existem elementos restritos a visibilidade local, que observam apenas as funcionalidades do nodo e outras globais, que dependem da interação de seus vizinhos.

O modelo apresenta duas dimensões de processamento da informação coletada: uma restrita ao próprio dispositvo local e outra distribuída, assim as ações em resposta a uma intrusão quando não classificáveis localmente, dependem da avaliação de seus vizinhos.

Para que este modelo possa ser praticado são observados algumas premissas importantes, tais como: a camada de detecção local de anomalias informa a seus vizinhos uma informação verdadeira, onde, o compormamento bizantino não é considerado; o nodo mesmo totalmente comprometido a camada de detecção local de anomalias é inviolável e o processamento global apresentará uma resposta conclusiva.

A respeito do comportamento de um nodo cuja funcionalidade existe uma suspeita de comprometimento a segurança da comunicação entre os diversos vizinhos é considerada forte o suficiente para que a mesma não possa ser comprometid a ou alterada de nenhuma maneira por um elemento ameaçador.

Figura 4 – Modelo Referencial dos Sistemas Detectores de Intrusão

A segurança da comunicação entre os nodos, como mostrado na figura 3, está restrita funcionalmente às camadas descritas a seguir: detecção local de anomalias, mecanismo de detecção cooperativo, resposta global e local. Esta comunicação é criptografada, sendo este processo baseado em mecanismos de chaves assimétricas, onde os nodos conhecem e validam os seus membros.

9 Implementação de um SDI em Redes Ad Hoc

A implementação do modelo referencial dos sistemas de detecção de intrusão em redes ad hoc atualmente está

orientado segundo uma arquitetura em camadas especializadas totalmente localizada no nodo da rede. Porém o detalhamento da intrusão e a resposta são oriundos de modelos de processamento distribuídos, onde a comunicação é segura. Esta arquitetura é apresentada na figura 6.

Figura 5 – Comunicação segura entre os componentes

Figura 6 – Arquitetura de Implementação do Modelo Referencial

A primeira camada chamada de “coleta de dados local”, se destina a capturar diversas informações que estão disponíveis no nodo, tais como: o tráfego de rede oriunda de diversas fontes que são obtidas a partir da unidade de comunicação bem como as atividades sistêmicas. Estas informações são obtidas a parir de repositórios de log e agentes específicos presente no ambiente operacional do nodo que rastreia a utilização de system calls controlando o comportamento geral do núcleo deste sistema operacional.

Nesta camada são realizadas diversos tratamentos objetivando a redução e a agregação da informação com o objetivo de reduzir a quantidade de informação a ser analizada na camada seguinte, pois toda a solução está comprometida em garantir o rápido processamento e assim possibilitar a identificação de qualquer ameaça em andamento.

A segunda camada do modelo conceitual chamada de “Mecanismo de Detecção Local” é o módulo responsável pelo processamento em tempo real das informações já agregadas do módulo de “coleta de dados local”. Assim este módulo processa uma quantidade menor de informações, não sendo obrigado a manipular os dados brutos oriundos dos tráfegos de rede e eventos sistêmicos, o que facilita o seu processamento.

Nesta camada são utilizados algoritmos estatísticos que identificam o comportamento do nodo em um cenário específico de tráfego. Este cenário é continuamente atualizado com o objetivo de acomodar a natureza dinâmica do comportamento do nodo em uma rede ad hoc, como mostrado na figura 6. Para tanto este processo exige um período de treinamento que tem por finalidade a construção do perfil considerado normal e assim identificar desvios pontuais deste comportamento. A combinação destes elementos tem por objetivo atenuar o número de falsos positivos além de possibilitar a identificação de novos eventos de segurança não conhecidos.

A terceira camada chamada de “Resposta Local” tem por finalidade receber os sinais de alerta proveniente dos “Mecanismos de Detecção Local” e alarmar o usuário local de um evento possivelmente ameaçador detectado nos tráfegos de rede e nas atividades do sistema local do nodo. Estes alarmes são disparados sob duas situações onde a primeira o sistema de investigação não necessitou solicitar uma investigação global, ou seja, a ameaça foi identificada localmente; na segunda abordagem é o recebimento de sinais que foram concluídos a partir do processamento cooperativos entre os nodos, assim por vezes é necessário sincronizar os alarmes e ações para que não haja deslizamento de atuações.

A quarta camada do modelo chamada de “Resposta Global” tem por finalidade receber solicitações oriundas da camada de “Mecanismo de Detecção Cooperativo” que exija uma coordenação global, ou seja, entre os outros nodos da rede e sua ação é efetivamente sincronizada.

O “Mecanismo de Detecção Cooperativo”, é melhor descrito compreendendo que os nodos localmente conhecem uma intrusão ou anormalidade a partir de fortes evidências e podem identificar se estão sob ameaça. Em caso de intrusão iniciar uma resposta, no entanto se o nodo detecta uma anormalidade ou intrusão baseada em fracas evidencias isto é classificado como um evento inconclusivo, que não poderá ser simplesmente descartado pelo SDI, logo o modelo deverá garantir uma maior investigação, e para tanto inicia uma solicitação de cooperação global com o objetivo de auxiliar na melhor identificação da qualidade desta ameaça.

Assim, os nodos vizinhos recebem mensagens especiais chamadas de níveis de confiabilidade que expressam a credibilidade de um nodo ser ou não um potencial intruso, com esta informação é construído uma distribuição de consenso que avaliará o comportamento deste nodo por seus vizinhos definindo para o nodo em suspeita um estado especial, que poderá excluí-lo ou não das tabelas de roteamento, isolando-o da ação cooperativa da rede ad hoc.

E por fim a comunicação, garante a segurança entre os diversos nós a partir de algoritmos de encriptação de mensagens baseados em algoritmos onde as chaves são assimétricas.

10 Arquiteturas Futuras

Como desenvolvimento futuro, os sistemas de detecção de intrusão sofrerão uma modificação conceitual no

“Mecanismo de Detecção Local”, que diferente da abordagem monolítica atual, desenvolvida com objetivo de identificar apenas anomalias em roteamento, e provar a viabilidade do modelo geral de funcionamento, terão como perspectivas futuras de desenvolvimento, arquiteturas mais abertas e modulares similares ao modelos presentes nos sistemas detectores de intrusão em redes cabeadas.

Atualmente quatro grandes módulos estão em desenvolvimento, como mostrado na figura 7, todos eles pressupõem uma visão modular do “Mecanismo de Detecção Local”, estes módulos funcionam de maneira integrada sendo que o processamento dos eventos de segurança, ocorrem de maneira serializada e especializada, uma vez que um algoritmo único seja extremamente difícil ou até mesmo impossível de ser obtido.

Os módulos onde a pesquisa encontra-se mais intensa diz respeito às técnicas de identificação de anomalias, que sugerem o uso de diferentes abordagens, como por exemplo as baseadas em fuzzy logic, modelos imunológicos, inteligência artificial, e os de correlação de eventos que analisam ocorrências em diferentes níveis no próprio nodo e no estado geral de seus vizinhos imediatamente mais próximos, tal abordagem vem encontrando grande aceitação, mas tem encontrado enormes dificuldades devido a complexidade de implementação dos algoritmos distribuídos.

Todos apontam como fato o gerenciamento geral do estado de segurança da rede, similar ao mapeamento atualmente utilizado para energia em rede de sensores, onde seria gerado uma superfície que apresenta o estado geral de segurança na rede.

Figura 7 – Melhorias Futuras

11 Conclusões

Como apresentado neste artigo, os sistemas detectores de intrusão em redes ad hoc, capturam diversos

conceitos já praticados nas redes cabeadas, e em muitos aspectos o modelo geral de funcionamento das redes infra-estruturadas auxiliaram o desenvolvimento dos modelos para redes sem fio, que obviamente não foram utilizados em sua totalidade devido as particularidades de seu complexo funcionamento.

Esta complexidade se deve ao fato da rede ad hoc ser um sistema dinâmico e cooperante, assim o modelo proposto deve reproduzir tal comportamento em sua arquitetura de solução, este padrão é verificado nos modelos de detecção de anomalias que atuam em duas dimensões fundamentais do problema da intrusão, uma restrita ao nodo e outra de ação global, esta ação cooperante utiliza complexos algoritmos distribuídos baseados em premissas consideradas válidadas dentro dos requerimento operacionais da rede ad hoc.

Como ação coordenada de reação a instrusão, diversos aspectos ainda estão em aberto, pois somente isolar o nodo do tráfego geral da rede, pode não ser adequado quando associado a continuidade de serviço, que pode estar sendo representada no nodo que está sendo excluído, assim novos estudos na área apontam para estratégias chamadas de aviso antecipado de intrusão, que basicamente procuram alertar e articular uma ação global antes que uma intrusão possa ser detectada no nodo de um serviço.

Atualmente as ações de reação além da quarentena eletrônica, podemos apontar a re-autenticação que poderá usufruir de estudos que procuram oferecer certificações digitais as redes ad hoc, porém esta abordagem é considerada polêmica uma vez que isto implicaria num deslizamento do conceito cooperante e descentralizado.

Assim as ações atuais procuram dotar de maior liberdade e inteligência as ações locais, possibilitando até mesmo a re-inicialização funcional do dispositivo, porém novos estudos apontam para a adoção de controladores de serviço especializados que teriam a função de um “firewall” que suspenderia temporariamente as funções que estão sob suspeita porém não impedindo o seu funcionamento para outras modalidades de serviço.

Referências Bibliográficas

[Debar, 1998] H. Debar, M. Dacier, and A. Wespi. “Towards a taxonomy of intrusion detection systems.” IBM Zurich Research Laboratory, Ruschlikon, Switzerland, 1998.

[Sekar, 2002] R. Sekar, A. Gupta, J. Frullo, T. Shanghag, A. Tiwari, H. Yang, S. Zhou. “Specification-based Anomaly Detection: A New Approach for Detecting Netwo rk Intrusions”

[Anjum, 2002] Farooq Anjum, Dhanant Subhadrabandhu, Saswati Sarkar, “Signature based intrusion detection for wireless ad-hoc networks: A comparative study of varius protocols” MOBIHOC 2002

[Vaidya, 2002] Nitin H. Vaidya, “Weak Duplicate Address Detection in Mobile Ad Hoc Networks” MOBIHOC 2002

[Capkun, 2002] Srdjan Capkun, Jean-Pierre Hubaux, Levente Buttyan, “Mobility Helps Security in Ad Hoc Networks” MOBIHOC 2003

[Law, 2002] Y. W. Law, P. Hartel, S. Etalle. “Security of Ad Hoc Networks: A Preliminary Discussion” September 2002.

[Kumar, 1995] Sandeep Kumar, Eugene H. Spafford, “A Software Architecture to Support Misuse Intrusion Detection” Technical Report CSD-TR-95-009, Purdue University

[Zhang, 2000] Yongguang Zhang, Wenke Lee, “Intrusion Detection in Wireless Ad-Hoc Networks” MOBICON 2000

[Ilgun, 1995] K. Ilgun, R. A. Kemmerer, P. A. Porras, “State Transions Analysis: A rule Based Intrusion Detection Approach” IEEE Transactions on Software Engineering, March 1995