SICHERHEIT IN AD-HOC-NETZEN

Transkript

1 SICHERHEIT IN AD-HOC-NETZEN DIPLOMARBEIT ZUR ERLANGUNG DES AKADEMISCHEN GRADES DIPLOMINGENIEUR VORGELEGT DER FAKULTÄT FÜR INFORMATIK UND AUTOMATISIERUNG DER TECHNISCHEN UNIVERSITÄT ILMENAU VON LARS GRENZENDÖRFER BETREUENDER PROFESSOR: PROF. DR. RER. NAT. HABIL. JOCHEN SEITZ BETREUENDER MITARBEITER: DIPL.-ING. MAIK DEBES TAG UND ORT DER EINREICHUNG: ILMENAU, DEN 26. AUGUST 2004 INVENTARISIERUNGSNUMMER: /073/II98/2115

2 INHALTSVERZEICHNIS 1 EINLEITUNG SICHERHEIT EIGENSCHAFTEN BEDROHUNGEN KRYPTOGRAPHISCHE VERFAHREN NONCES UND ZEITSTEMPEL HASHFUNKTIONEN UND MESSAGE AUTHENTICATION CODES HASHCHAINS SYMMETRISCHE VERSCHLÜSSELUNG ASYMMETRISCHE VERSCHLÜSSELUNG DIGITALE SIGNATUREN PUBLIC-KEY INFRASTRUKTUR MOBILE AD HOC NETWORKING (MANET) WAS IST EIN MANET? KLASSIFIKATION DER KNOTEN ROUTING IM MANET ERSTE ROUTINGPROTOKOLLE SICHERE ROUTINGPROTOKOLLE SECURE AD HOC ON-DEMAND DISTANCE VECTOR ROUTING SECURE ROUTING PROTOCOL AUTHENTICATED ROUTING FOR AD HOC NETWORKS BEDROHUNGEN/ANGRIFFE IM MANET ALLGEMEINE ANGRIFFSSZENARIEN ANGRIFFE AUF SICHERE ROUTINGPROTOKOLLE SAODV SRP ARAN FAZIT BESTEHENDE SICHERHEITSARCHITEKTUREN WIRED EQUIVALENT PRIVACY (WEP) BESCHREIBUNG ANALYSE MODIFIKATION DES DATENVERKEHRS ENTSCHLÜSSELUNG VON INFORMATIONEN AUSSPIONIEREN VON SCHLÜSSELN FOLGERUNGEN PORT-BASED NETWORK ACCESS CONTROL (IEEE 802.1X) BESCHREIBUNG EXTENSIBLE AUTHENTICATION PROTOCOL (EAP) REMOTE AUTHENTICATION DIAL IN USER SERVICE (RADIUS) ANALYSE MAN-IN-THE-MIDDLE ATTACK SESSION HIJACKING FOLGERUNGEN KERBEROS BESCHREIBUNG Inv.-Nr.: /073/II98/2115 I

3 4.3.2 ANALYSE ANFORDERUNG FREMDER TICKETS SYNCHRONISATION DER UHREN FOLGERUNGEN INTERNET PROTOCOL SECURITY (IPSEC) BESCHREIBUNG IP AUTHENTICATION HEADER (AH) IP ENCAPSULATION SECURITY PAYLOAD (ESP) SECURITY ASSOCIATION (SA) INTERNET KEY EXCHANGE (IKE) IKE PHASE IKE PHASE ANALYSE KOMPLEXITÄT REDUNDANZ AUFGRUND AH UND ESP SCHWACHE VERSCHLÜSSELUNG FOLGERUNGEN SECURE SOCKET LAYER (SSL)/TRANSPORT LAYER SECURITY (TLS) BESCHREIBUNG RECORD LAYER CHANGE CIPHER SPEC PROTOCOL ALERT PROTOCOL HANDSHAKE PROTOCOL KRYPTOGRAPHISCHE BERECHNUNGEN UNTERSCHIEDE ZWISCHEN TLS UND SSL ANALYSE MANGEL BEIM BLOCKCHIFFRE IM CBC MODUS SCHWACHSTELLE IN RSA PKCS #1 BLOCK TYPE FOLGERUNGEN FAZIT ZUSAMMENSPIEL VON MENSCH UND SICHERHEIT ALLGEMEINE BETRACHTUNGSWEISEN DER SICHERHEIT INTEGRATIONSGRAD DES MENSCHEN IN DIE SICHERHEIT BETRACHTUNGEN DER ERLÄUTERTEN MECHANISMEN WIRED EQUIVALENT PRIVACY PORT-BASED NETWORK ACCESS CONTROL KERBEROS INTERNET PROTOCOL SECURITY SECURE SOCKET LAYER/TRANSPORT LAYER SECURITY FOLGERUNGEN MÖGLICHE KLASSIFIZIERUNGEN VON DIENSTEN FAZIT BEISPIELSZENARIEN EINES SICHEREN AD-HOC-NETZES VORAUSSETZUNGEN NETZWERKKONFIGURATION STAMMZERTIFIZIERUNGSSTELLE (OPENSSL) CERTIFICATE DISTRIBUTION POINT (APACHE) ABSICHERUNG AUF DER NETZWERKSCHICHT (IPSEC) BESCHREIBUNG Inv.-Nr.: /073/II98/2115 II

4 6.2.2 KONFIGURATION VON IPSEC (FREES/WAN) UNTERSUCHUNGEN ERGEBNISSE ABSICHERUNG AUF DER SITZUNGSSCHICHT (SSL) BESCHREIBUNG KONFIGURATION VON HTTPS (APACHE) UNTERSUCHUNGEN ERGEBNISSE AUSLASTUNG DES PROZESSORS BESCHREIBUNG UNTERSUCHUNGEN ERGEBNISSE AUSWERTUNG SCHLUSSFOLGERUNG ANHANG A - ABBILDUNGSVERZEICHNIS ANHANG B - ABKÜRZUNGSVERZEICHNIS ANHANG C - DIAGRAMME/TABELLEN ANHANG D - LISTINGS APACHE OPENSSL FREES/WAN IMPORTIERUNG VON ZERTIFIKATEN IM PKCS12 FORMAT ANHANG E - LITERATURVERZEICHNIS THESEN SELBSTÄNDIGKEITSERKLÄRUNG Inv.-Nr.: /073/II98/2115 III

5 1 EINLEITUNG Im Laufe der letzten Jahre stieg die Anzahl mobiler Endgeräte enorm an. Dazu zählen unter anderem Notebooks, Personal Digital Assistants und vor allem Mobiltelefone. In der Zukunft sollen diese Geräte nicht mehr an festgelegte Netzwerkstrukturen gebunden sein, wie es zum Beispiel bei einem Mobilfunkanbieter der Fall ist. Sind Daten vor Ort auszutauschen, so bilden die Teilnehmer ein Ad-hoc-Netz. Damit können Kosten eingespart werden, weil die Teilnehmer nicht mehr an ihre Netzbetreiber gebunden sind. Allerdings verlassen sie dadurch dessen Infrastrukturnetze und die damit verbundene Sicherheit. Aufgrund der Spontaneität des Ad-hoc-Netzes sind nicht zwangsläufig alle Teilnehmer bekannt. Es müssen besondere Sicherheitsvorkehrungen getroffen werden, um einen optimalen Schutz zu bieten. In dieser Studie wird der aktuelle Stand der Technik dargestellt, um eine Aussage über die derzeitigen Möglichkeiten für die Realisierung eines Ad-hoc-Netzes zu treffen. Diese Ausarbeitung beginnt mit der allgemeinen Definition der Sicherheit zum besseren Verständnis der folgenden Ausführungen. Es sind weiterhin kryptographische Verfahren aufgeführt, die einen Beitrag zur Absicherung des Netzes liefern. Danach wird auf die Eigenschaften eines Ad-hoc-Netzes eingegangen. Ein besonderer Schwerpunkt liegt auf den speziellen Routingprotokollen und der von ihnen gebotenen Sicherheit. Darauf aufbauend werden derzeit bestehende Sicherheitsmechanismen, die sich in Infrastrukturnetzen bereits bewährt haben, für die Eignung in einem Ad-hoc-Netz untersucht. Kernpunkte sind das Maß der Sicherheit sowie die Schwächen und deren Auswirkungen auf das Netz. Die daraus resultierenden Ergebnisse liefern Informationen, wie weit der Mensch in die Sicherheit einbezogen werden kann oder muss. Nach einer diesbezüglich allgemeinen Betrachtung stehen die untersuchten Mechanismen im Vordergrund. Die dabei vom Menschen aufzubringende Leistung ist ein Grad für die Spontaneität, die das Ad-hoc-Netz bietet. Die gesamten Betrachtungen liefern Kriterien, die zum Aufbau eines sicheren Ad-hoc-Netzes heranzuziehen sind. Die Realisierung erfolgt mit derzeit konventionellen Mitteln teils durch das Betriebssystem des Gerätes selbst und teils durch die Verwendung zusätzlicher Software. Inv.-Nr.: /073/II98/2115 1

6 2 SICHERHEIT Dieses Kapitel befasst sich mit dem Thema Sicherheit im Allgemeinen. Um eine Basis zu schaffen, werden zu Beginn der Begriff Sicherheit und die damit verbundenen Eigenschaften definiert. Danach folgt eine Erläuterung von Mechanismen und Verfahren, die einen Beitrag zur Absicherung der Kommunikation leisten. 2.1 EIGENSCHAFTEN Innerhalb eines Netzwerkes und dessen Komponenten werden Daten transportiert, verarbeitet und gespeichert. Der Absender einer Nachricht geht meist implizit davon aus, dass diese Nachricht nur diesen Empfänger unverändert erreicht. Aufgrund des Datenschutzes und der Privatsphäre der Teilnehmer ergeben sich nach [Sch02] folgende Anforderungen an ein Kommunikationssystem: Vertraulichkeit (engl. confidentiality): Auf Informationen sollen nur diejenigen Teilnehmer Zugriff haben, für die diese auch bestimmt sind. Authentizität (engl. authenticity): Die Identität, die ein Teilnehmer vorgibt, sollte zweifelsfrei überprüfbar sein. Dies ist von besonderer Bedeutung, um eine Nachricht eindeutig einem Absender zuordnen zu können (zum Beispiel durch digitale Signaturen). Integrität (engl. integrity): Veränderungen/Manipulationen von Informationen sollten erkannt werden (zum Beispiel durch einen Message Authentication Code) und möglichst auch der Teilnehmer, der für diese verantwortlich ist. Verfügbarkeit (engl. availability): Die Dienste, die innerhalb eines Netzwerkes angeboten werden, sollten immer verfügbar sein und fehlerfrei arbeiten. Aufgrund dessen sind die Hardware sowie die dadurch bereitgestellten Ressourcen ausreichend abzusichern. Verbindlichkeit (engl. non repudiation): Die von einem Teilnehmer durchgeführten Transaktionen sollten eindeutig feststellbar sein, so dass er diese später nicht leugnen kann. Von besonderem Interesse ist das bei Finanztransaktionen und den damit verbundenen rechtlichen Bestimmungen. Inv.-Nr.: /073/II98/2115 2

7 Zugriffskontrolle (engl. controlled access): Es sollte nur bestimmten Teilnehmern möglich sein, einzelne Dienste eines Netzes nutzen zu können. Dazu baut die Zugriffskontrolle auf der Authentizität auf. 2.2 BEDROHUNGEN Diese Anforderungen können je nach Zielsetzung und Zweck des Netzes unterschiedlich stark ausgeprägt sein. Ein Versuch, diese zu verletzen oder im negativen Sinne zu beeinflussen, wird als Angriff (engl. attack) bezeichnet. Dazu führt ein Angreifer verschiedene Aktionen aus, die eine Bedrohung (engl. threat) für das Netz darstellen. Diese lassen sich laut [Sch02] je nach angewandter Technik unterteilen: Verstellen (engl. masquerade): Ein Teilnehmer gibt sich für einen anderen aus, indem er dessen Identität benutzt. Lauschen (engl. eavesdropping): Dabei hört ein Teilnehmer Informationen mit, die nicht an ihn adressiert sind. Zugriffsverletzung (engl. authorization violation): Versucht ein Teilnehmer, seine eigenen Berechtigungen zu erweitern, um zum Beispiel mehr Rechte zu erlangen, so spricht man von Zugriffsverletzung. Verlust/Modifikation von Informationen (engl. loss or modification of (transmitted) information): Beim Löschen oder Verändern von Informationen kann die Funktion eines Netzes beeinträchtigt oder sogar komplett gestört werden. Verleugnung des Kommunikationsvorgangs (engl. denial of communication acts (repudiation)): Die Identität des Absenders einer Nachricht sollte man zweifelsfrei feststellen können, um diesen möglicherweise für sein Handeln zur Verantwortung zu ziehen. Fälschung von Informationen (engl. forgery of information): Ein Teilnehmer ändert oder erstellt Informationen unter einer anderen Identität. Sabotage: Dieser Begriff bezeichnet jede Aktion, die die Verfügbarkeit oder die korrekte Funktion eines Dienstes oder Systems innerhalb des Netzes beeinflusst. Inv.-Nr.: /073/II98/2115 3

8 2.3 KRYPTOGRAPHISCHE VERFAHREN Kryptographische Verfahren werden genutzt, um ein Kommunikationssystem abzusichern. Mit Hilfe der verschiedenen Algorithmen lassen sich unterschiedliche Sicherheitsanforderungen realisieren NONCES UND ZEITSTEMPEL Ein Nonce (engl. number used once) ist ein Zufallswert, der nur einmal pro Protokolldurchlauf verwendet werden darf. Anhand dieses Wertes kann der Empfänger die Gültigkeit der Nachricht überprüfen. Gleiches kann auch mit Zeitstempeln (engl. timestamp) erreicht werden - dazu müssen aber die Uhren zwischen Sender und Empfänger synchronisiert sein. Durch die Verwendung von Nonces oder Zeitmarken lässt sich die Aktualität einer Nachricht prüfen, um sicher zu gehen, dass sie nicht von einem Angreifer wiederholt versendet (engl. replay) wurde HASHFUNKTIONEN UND MESSAGE AUTHENTICATION CODES Hashfunktionen H berechnen aus einem beliebigen Eingabewert E einen Funktionswert h (Hashwert) mit fester Länge (h = H(E)). Dabei ist von besonderer Bedeutung, dass es sich bei H um eine Einwegfunktion handelt. Das heißt, dass sich der Eingabewert E nicht aus einem gegebenen Hashwert h und der Hashfunktion H berechnen lässt. Zu den bekanntesten Hashfunktionen zählen der Message-Digest Algorithm (MD5) [Riv92] und Secure Hash Algorithm (SHA-1) [EJ01]. Bei Verwendung dieser Funktionen lässt sich für eine Nachrichte eine Prüfsumme berechnen, welche die Integrität der Nachricht sicherstellt. Integriert man in die Prüfsummenberechnung noch einen geheimen Schlüssel K, so spricht man von einem Keyed Hash oder einem Message Authentication Code (MAC). Ein Vertreter davon ist der Hashed Message Authentication Code (HMAC) [CBK97], aus dessen Kombination mit verschiedenen Hashfunktionen sich der HMAC- MD5 und der HMAC-SHA-1 ergeben HASHCHAINS Hashchains ergeben sich durch die wiederholte Ausführung der Hashfunktion H auf deren letztes Ergebnis. Die Initialisierung erfolgt mit dem Startwert S. Inv.-Nr.: /073/II98/2115 4

9 h 1 = H(S), h 2 = H(h 1 ),, h n = H(h n-1 ) Aufgrund der Einwegeigenschaft lässt sich bei gegebenen h n der Folgewert h n+1 berechnen, jedoch nicht dessen Vorgänger h n-1. Anwendung finden Hashchains bei der Authentifizierung. Wurde dem Empfänger in einem vorherigen Paket h n gesendet, so braucht der Sender nur h n-1 zu übergeben. Der Empfänger berechnet dann h n = H(h n-1 ) und vergleicht das Ergebnis mit dem bereits empfangenen Wert SYMMETRISCHE VERSCHLÜSSELUNG Bei der symmetrischen Verschlüsselung einigen sich Sender und Empfänger auf einen gemeinsamen Schlüssel K (engl. shared key). Durch ein Verschlüsselungsverfahren E (engl. encryption) wird die Nachricht M (engl. message) in den Chiffretext C (engl. cipher text) umgewandelt. C = E K (M) Bei der Entschlüsselung D (engl. decryption) wird M wieder hergestellt. M = D K (C) = E -1 K (C) Dabei ist sicherzustellen, dass K nur dem Sender und dem Empfänger bekannt ist. Gängige Vertreter der symmetrischen Verschlüsselung sind der Data Encryption Standard (DES) [ANS], der International Data Encryption Algorithm (IDEA) [Sav] und der Advanced Encryption Standard (AES) [AES] ASYMMETRISCHE VERSCHLÜSSELUNG Asymmetrische Verschlüsselungsverfahren arbeiten mit einem Schlüsselpaar, welches sich aus einem öffentlichen Schlüssel PK (engl. public key) und einem privaten Schlüssel SK (engl. secret key) zusammensetzt. Der private Schlüssel sollte dabei nicht oder nur unter sehr hohem Aufwand aus dem öffentlichen Schlüssel bestimmbar sein. Die Verschlüsselung E der Nachricht M erfolgt unter Verwendung von PK R des Empfängers R (engl. recipient). C = E PKR (M) Die Entschlüsselung D des Chiffretextes C kann aber nur mit SK R erfolgen. M = D SKR (C) = E -1 SKR (C) Inv.-Nr.: /073/II98/2115 5

10 Bei diesem Verfahren wird SK geheim gehalten und PK veröffentlicht. Zu den asymmetrischen Verschlüsselungsverfahren zählt der RSA Algorithmus [RSA] der Firma RSA Laboratories. Ein Nachteil der asymmetrischen Verschlüsselung im Vergleich zur symmetrischen besteht im bedeutend höheren Rechenaufwand DIGITALE SIGNATUREN Um den Absender S (engl. sender) einer Nachricht M zweifelsfrei feststellen zu können, werden digitale Signaturen SIG (engl. digital signatures) verwendet, die häufig auf dem Public-Key Verfahren basieren. Dazu verschlüsselt der Absender seine Nachricht mit seinem privaten Schlüssel SK S. SIG S (M) = E SKS (M) Die Signatur wird dann an die Nachricht angehangen und an den Empfänger übermittelt ((M, SIG S (M))). Dadurch erhöht sich die Menge an Daten im Vergleich zur ursprünglichen Nachricht. Zur Datenreduzierung kann erst über M ein Hashwert h (Prüfsumme) berechnet und dann verschlüsselt werden. SIG S (M) = E SKS (h) = E SKS (H(M)) Der Empfänger überprüft eine Signatur, indem er SIG S (M) mit dem öffentlichen Schlüssel PK S entschlüsselt. Das Ergebnis verifiziert er dann mit der übertragenen Nachricht. Digitale Signaturen sind eine Sonderform der asymmetrischen Verschlüsselung, da ein Chiffretext mit dem öffentlichen Schlüssel entschlüsselt werden kann. Dies ermöglichen aber nur spezielle Algorithmen wie zum Beispiel der Digital Signature Algorithm (DSA), der auch als Digital Signature Standard (DSS) [DSS00] bezeichnet wird PUBLIC-KEY INFRASTRUKTUR Um zu überprüfen, ob ein öffentlicher Schlüssel PK auch wirklich dem Absender gehört, gibt es eine Zertifizierungsstelle CA (engl. certification authority), der alle Teilnehmer T vertrauen. Die CA stellt jedem Teilnehmer ein Zertifikat CERT (engl. certificate) aus, das die Zusammengehörigkeit zwischen dessen Identität ID und dem öffentlichen Schlüssel beglaubigt. Dazu muss sich der Teilnehmer ausweisen können - zum Beispiel durch seinen Reisepass oder Personalausweis. Das von der CA ausgestellte Zertifikat beinhaltet unter Inv.-Nr.: /073/II98/2115 6

11 anderem die Identität des Teilnehmers, dessen öffentlichen Schlüssel, Informationen zu den verwendeten Algorithmen sowie eine Signatur. CERT T = (ID T, PK T, t, SIG(ID T, PK T, t)) = (ID T, PK T, t, E SKCA (ID T, PK T, t)) Ein Empfänger überprüft die Identität des Absenders, indem er dessen Zertifikat mit dem öffentlichen Schlüssel PK CA der Zertifizierungsstelle verifiziert und dann das Ergebnis mit der vorgegebenen Identität vergleicht. Zusätzlich zu den genannten Daten beinhaltet ein Zertifikat noch eine Gültigkeitsdauer t, nach deren Ablauf das Zertifikat als ungültig betrachtet wird. Um gegen den Missbrauch von Zertifikaten vorzugehen veröffentlicht die CA eine Zertifikatrückrufliste CRL (engl. certificate revocation list), in der noch nicht abgelaufene aber ungültige Zertifikate aufgeführt werden. Eine besondere Instanz bilden die so genannten Stammzertifizierungsstellen (engl. Root-CA). Sie stehen in der Zertifizierungshierarchie an oberster Stelle. Root-CAs lassen sich anhand ihres Zertifikats erkennen, da es von ihnen selbst signiert ist (engl. self signed certificate). Prinzipiell kann jede Person eine Root-CA ins Leben rufen. Der Teilnehmer entscheidet aufgrund der gegebenen Situation oder des Umfeldes ob er dieser CA vertraut und ein Zertifikat beantragt. Inv.-Nr.: /073/II98/2115 7

12 3 MOBILE AD HOC NETWORKING (MANET) Dieses Kapitel stellt die Eigenschaften und die Besonderheiten vor, die ein MANET kennzeichnen. Es werden die Weiterleitung der Pakete (engl. Routing) sowie die damit aufkommende Frage nach Sicherheit genauer betrachtet. 3.1 WAS IST EIN MANET? Ein MANET ist ein Kommunikationsnetz, das sich aus zwei oder mehreren mobilen Teilnehmern bildet. Die Vernetzung über die Luftschnittstelle (zum Beispiel via Bluetooth oder WLAN IEEE ) erfolgt spontan, sobald sich die Teilnehmer in gegenseitiger Reichweite befinden. Mit der Nutzung von Multi-Hop-Verbindungen besteht die Möglichkeit, dass auch Teilnehmer ohne direkten Funkkontakt kommunizieren können. Dafür müssen die zwischen dem Sender und dem Empfänger liegenden Teilnehmer die Pakete weiterleiten. Im Gegensatz dazu können bei Single-Hop-Verbindungen nur Kommunikationspartner erreicht werden, die sich in direkter Reichweite befinden. Eine kleine Animation zum besseren Verständnis von Multi-Hop-Netzwerken ist unter [Gün02] zu finden. Aus diesem Sachverhalt ist erkennbar, dass jeder Teilnehmer sowohl als Endgerät sowie als Router fungiert. Sie stellen somit die Knoten (engl. Nodes) des entstandenen Ad-hoc-Netzes dar. Die Strukturierung des Netzes erfolgt dynamisch durch Selbstorganisation und Selbstverwaltung. Es stehen somit keine zentralen Stellen zur Verfügung, die sich um Organisations- und Verwaltungsaufgaben wie das Routing kümmern. Ein Ad-hoc-Netz ist somit selbständig. Das Management ist demzufolge auf die einzelnen Nodes verteilt. Eine Anwendung finden solche Netze zum Beispiel in Krisengebieten bei Rettungsaktionen oder beim Militär. Um die Entwicklung im Sektor der mobilen Ad-hoc-Netzwerke voranzutreiben, wurde eine Untergruppe der Internet Engineering Task Force (IETF) [IET] mit dem Namen Mobile Ad hoc Networking (MANET) [MAN] ins Leben gerufen. Sie befasst sich schwerpunktmäßig mit dem Routing und den damit verbundenen Besonderheiten und Einschränkungen, die hervorgerufen werden durch die dynamische Netzwerkstruktur. Zu diesem Thema wurde die RFC Mobile Ad hoc Networking (MANET): Routing Protocol Performance Issues and Evaluation Considerations [CM99] veröffentlicht. Inv.-Nr.: /073/II98/2115 8

13 3.2 KLASSIFIKATION DER KNOTEN Ausgehend von der Definition der Sicherheit und den Eigenschaften eines MANETs lassen sich die Knoten in drei Klassen einteilen: Bösartige Knoten (engl. malicious nodes): Diese Teilnehmer üben gezielte Angriffe auf die Funktionsfähigkeit des MANETs aus, um dieses zu zerstören. Zum Beispiel sind durch das Routingprotokoll DoS-Angriffe (engl. denial of service) möglich, welche die darauf aufbauende Kommunikation stark behindern oder sogar komplett unterbindet. Egoistische Knoten (engl. selfish nodes): In einem MANET ist jeder Knoten aktiv, um die Funktionsfähigkeit aufrecht zu erhalten. Egoistische Knoten schränken diese Teilnahme insofern ein, dass sie nur den eigenen Nutzen sehen. Dies kann zum Beispiel in der Schonung der eigenen Ressourcen wie Bandbreite, Batterie und Rechenleistung liegen. Dabei kann ein Knoten weiterzuleitende Pakete verwerfen, die nicht für ihn bestimmt sind. Fehlerhafte Knoten (engl. erroneous nodes): Fehlerhafte Knoten sind grundsätzlich an der fehlerfreien Funktion des MANETs interessiert. Aufgrund von Fehlfunktionen, die durch defekte Hardware oder Programmierfehler möglich sind, können diese Knoten die Kommunikation stören. 3.3 ROUTING IM MANET Im Vergleich zu Infrastrukturnetzen gestaltet sich das Routing in MANETs schwieriger. Infrastrukturnetze haben eine statische Struktur, die sich nur selten ändert. Des Weiteren sind die Verbindungen aufgrund von Kabeln und Lichtwellenleitern fest vorgegeben. Diese Einschränkungen vereinfachen das Routing sehr, da nicht auf die starke Dynamik des Netzes sowie sich häufig ändernde Kommunikationswege Rücksicht genommen werden muss. Zusätzlich verfügen die Knoten innerhalb eines Infrastrukturnetzes über eine feste Stromversorgung, eine höhere Rechenleistung und eine höhere Übertragungsbandbreite (heutzutage meist 100 Mbps und sogar höher bis zu 1 Gbps) als mobile Geräte. All dies ist in einem mobilen Ad-hoc-Netz nicht oder nur teilweise gegebenen. Die Geräte in einem MANET zeichnen sich aufgrund ihrer Mobilität aus, die andererseits durch Einschränkungen in der Rechenleistung, Stromversorgung (Batteriebetrieb) und Inv.-Nr.: /073/II98/2115 9

14 Übertragungsbandbreite (zum Beispiel IEEE b bis zu 11 Mbps oder IEEE g bis zu 54 Mbps [IEEa]) erreicht wird. Da sich die Nodes frei bewegen können, treten Änderungen in der Netzwerktopologie häufiger auf. Das Routingprotokoll muss auf diese Veränderungen eingehen, um immer eine gültige und möglichst die kürzeste Route vom Sender zum Empfänger anzubieten. Des Weiteren können aufgrund der Beschaffenheit der Umgebung oder des Senders/Empfängers unidirektionale Verbindungen auftreten. Dies bedeutet, dass für den Rückweg eine neue Route gefunden werden muss. Betrachtet man dazu die Eigenschaften von mobilen Geräten aus dem vorhergehenden Abschnitt, so ergeben sich weitere Einschränkungen für das Routingprotokoll. Der Austausch von Routinginformationen sollte keinen allzu großen Overhead im Netz erzeugen, da nur eine begrenzte Bandbreite zur Verfügung steht. Des Weiteren werden mobile Geräte meist durch Batterien mit Energie versorgt. Dadurch würde ein zu häufiger Austausch von Routinginformationen die Arbeitsdauer des Gerätes extrem verkürzen. Um diesen Anforderungen entgegen zu kommen, befasste sich die MANET Working Group mit der Entwicklung von speziellen Routingprotokollen für mobile Ad-hoc-Netze. Ein Teil dieser Protokolle ist bereits zum Standard herangereift und in den Request for Comments (RFC) enthalten. Andere wiederum befinden sich noch in der Phase der Standardisierung. Ihr Inhalt kann in den Internet-Drafts (I-D) nachgelesen werden. Zu den I-Ds zählen The Dynamic Source Routing Protocol for Mobile Ad Hoc Networks (DSR) [HJM + 03] und Topology Dissemination Based on Reverse-Path Forwarding (TBRPF) [LOT03]. RFC Ad hoc On-Demand Distance Vector (AODV) Routing [BDP03] sowie RFC Optimized Link State Routing Protocol (OLSR) [CJ03] haben bereits den Status eines Standards erreicht. Zusätzlich zu den benannten Protokollen der MANET Working Group existieren noch weitere Varianten anderer Entwickler. Die Routingprotokolle lassen sich anhand ihrer Arbeitsweise in reaktive und proaktive Protokolle unterteilen. Proaktive Protokolle, wie OLSR und TBRPF, tauschen in definierten Zeitabschnitten Topologieinformationen aus, so dass ein Knoten immer eine aktuelle Liste von verfügbaren Routen besitzt. Durch diese Eigenschaft werden im Netz periodisch Routinginformationen ausgetauscht. Reaktive Routingprotokolle, wie AODV und DSR, suchen erst eine Route, wenn es durch einen Sendewunsch gefordert (engl. ondemand) wird. Dabei verringert sich die Netzauslastung, da nicht mehr periodisch Routinginformationen ausgetauscht werden. Andererseits verzögert sich durch diese Inv.-Nr.: /073/II98/

15 Arbeitsweise der Verbindungsaufbau, weil erst eine gültige Route vom Sender zum Empfänger gefunden werden muss. Eine Übersicht zu den verschiedenen Routingprotokollen und deren Eigenschaften ist unter [Bor01] zu finden. In dieser Ausarbeitung wird nur so weit auf die Funktionsweise der einzelnen Protokolle eingegangen, wie es zum besseren Verständnis notwendig ist. Detailiertere Informationen lassen sich in den zugehörigen Literaturangaben finden ERSTE ROUTINGPROTOKOLLE Wie im vorhergehenden Abschnitt angedeutet wurde, bildet das Routingprotokoll die Basis für die Kommunikation im Netz. Ohne die erfolgreiche Bestimmung einer gültigen Route ist kein Austausch von Informationen möglich. Aus diesem Grund spielt die Sicherheit der Routingprotokolle eine wichtige Rolle im MANET. Zum Beispiel kann durch verfälschte Routinginformationen die Kommunikation stark beeinträchtigt oder sogar ganz gestört werden. Bei der Entwicklung der erwähnten Routingprotokolle lag der Schwerpunkt im Auffinden einer gültigen Route vom Sender zum Empfänger. Der Aspekt der Sicherheit wurde dabei kaum in Betracht gezogen beziehungsweise blieb gänzlich unbeachtet. Es werden teilweise Ansätze vorgeschlagen, worin unter Zuhilfenahme von weiteren Mechanismen die Sicherheit des Protokolls erhöht werden kann. Viele der entwickelten Protokolle setzen voraus, dass die einzelnen Nodes ein gemeinsames Ziel verfolgen und somit keine böswilligen Absichten hegen, um das Routing zu sabotieren: This document does not specifically address security concerns. This document does assume that all nodes participating in the DSR protocol do so in good faith and without malicious intent [ ] the communications between the node can be encrypted at the physical channel or link layer to prevent attack by outsiders. [HJM+03] Da dies in öffentlichen Netzen, in denen die Teilnehmer unbekannt sind, nicht vorausgesetzt werden kann, wuchs die Frage nach neuen Routingprotokollen. Diese sollten Mechanismen beinhalten, die den sicheren Austausch von Routinginformationen gewährleisten. Inv.-Nr.: /073/II98/

16 3.3.2 SICHERE ROUTINGPROTOKOLLE Durch die Vernachlässigung der Sicherheit in den ersten Routingprotokollen für Ad-hoc- Netze kam es zur Entwicklung weiterer Protokolle, deren Schwerpunkt in der Absicherung des Routing lag. Dazu verwenden sie verschiedene kryptographische Mechanismen SECURE AD HOC ON-DEMAND DISTANCE VECTOR ROUTING SAODV [Zap01] ist eine Erweiterung des Ad hoc On-Demand Distance Vector (AODV) [BDP03] Routingprotokolls, die vom Nokia Research Center entwickelt wurde. In Abbildung 3.1 ist das Format des AODV Route-Request (RREQ) dargestellt, auf den die Erweiterungen von SAODV direkt folgen. Abbildung 3.1: AODV Route Request (Format) [BDP03] Die Ziele von SAODV liegen in der Gewährleistung der Integrität und der Authentizität der Routingnachrichten. Dabei werden die festen Bestandteile des RREQ und des Route- Reply (RREP) durch eine digitale Signatur mit dem privaten Schlüssel des Absenders geschützt. SAODV bietet zur Realisierung zwei Alternativen an: Single Signature Extension: Der Absender signiert den RREQ. Die Zwischenknoten verifizieren die Signatur und speichern bei Erfolg eine Reverse- Route. Das gleiche erfolgt beim RREP, nur dass der Empfänger des RREQ die Signatur erstellt. Double Signature Extension: Der Absender signiert den RREQ. Die Zwischenknoten verifizieren die Signatur und speichern bei Erfolg eine Reverse- Route. Nach dem Verifizieren fügt der Zwischenknoten eine weitere Signatur mit seinem privaten Schlüssel hinzu. Die zweite Signatur speichert er noch zusätzlich Inv.-Nr.: /073/II98/

17 zum Eintrag der Reverse-Route. Der Ablauf beim RREP erfolgt analog zum RREQ aber nur in Rückrichtung. Aufgrund der Double Signature Extension darf ein Zwischenknoten auf einen RREQ antworten, wenn er bereits die Route zum Ziel kennt. Er sendet ein RREP, der als gratuitous RREP bezeichnet wird, da er für das ursprüngliche Ziel antwortet. Abbildung 3.2: SAODV (Single Signature Extension) [Zap01] Abbildung 3.2 zeigt den Aufbau der Single Signature Extension, der für den RREQ und den RREP jeweils gleich ist. Die Felder, die mit (x * 32 bits) gekennzeichnet sind, müssen ein Vielfaches von 32 Bits als Länge aufweisen. Der Hop Count des AODV-Headers ist das einzige Feld, das nicht durch die Signatur geschützt werden kann, da es sich bei jedem Weiterleiten verändert. Aus diesem Grund wird es durch eine Hashchain gesichert, deren Hash-Funktion durch das Feld Hash Function bestimmt ist. Bei der Initialisierung legt der Absender einen Startwert S im Feld Hash fest und setzt das Feld Top Hash = H Max Hop Count (S) (iterative Berechnung). Jeder Zwischenknoten überprüft beim Empfang die digitale Signatur über die festen Daten sowie ob Top Hash = H Max Hop Count - Hop Count (Hash) ist. Ist die Überprüfung positiv, so erhöht er den Hop Count um Eins, berechnet Hash = H(Hash) und leitet das Paket weiter. Im Internet-Draft wird mindestens die Implementierung von HMAC-MD5-96 und HMAC- SHA-1-96 gefordert SECURE ROUTING PROTOCOL SRP [HP02, HPS02] ist der Entwurf (Internet-Draft) eines sicheren Routingprotokolls von Mitarbeitern der Cornell University. Unsichere Routingprotokolle, die eine Source Route mitführen, bilden die Basis für die SRP eine Erweiterung anbietet. Die Basis- Routingprotokolle können unter anderem Associativity-Based Routing (ABR), Interzone Routing Protocol (IERP) und Dynamic Source Routing (DSR) sein. Zur Absicherung der Inv.-Nr.: /073/II98/

18 Routingnachrichten verwendet SRP eine Sicherheitsassoziation (engl. security association, SA) zwischen den Endknoten einer Route. Diese SA kann zum Beispiel ein gemeinsamer Schlüssel sein oder die Kenntnis des öffentlichen Schlüssels des Kommunikationspartners. Aufgrund der Ende-zu-Ende Sicherheit sind die Zwischenknoten in keine kryptographischen Berechnungen bei der Routenfindung involviert. Des Weiteren beinhaltet SRP das Neighbor Lookup Protocol (NLP). Es ist unter anderem für die Verwaltung der IP- und MAC-Adressen der Nachbarknoten verantwortlich und überwacht, dass es zu einer MAC-Adresse nur eine passende IP-Adresse gibt. Die nötigen Adressinformationen werden durch Mithören (engl. overhearing) des Datenverkehrs gesammelt. Dazu befindet sich die Netzwerkschnittstelle im so genanten promiscuous mode. Anhand NLP lassen sich folgende Fehlverhalten feststellen: Ein Nachbarknoten benutzt eine andere IP-Adresse als kürzlich aufgenommen. Zwei Nachbarknoten benutzen die gleiche IP-Adresse (IP Spoofing). Ein Nachbarknoten benutzt die gleiche MAC-Adresse wie der aktuelle Knoten (MAC Spoofing). Die Informationen, die NLP liefert, dienen zum Beispiel der Erkennung von böswilligen Knoten, deren Pakete als Folge einfach verworfen werden. Abbildung 3.3: SRP-Header (Format) [HPS02] Abbildung 3.3 zeigt den Aufbau des SRP-Headers. Dieser folgt direkt auf den Header des Basis-Routingprotokolls. Der Sender verwaltet für jedes Ziel, das er erreichen möchte, die Query Sequence Number, die bei jedem RREQ monoton um Eins erhöht wird. Dadurch kann der Empfänger abgelaufene Routen feststellen. Sollte ein Überlauf der Query Sequence Number erfolgen, muss eine neue SA eingerichtet werden. Der Absender eines RREQ berechnet unter Berücksichtigung der gemeinsamen SA einen MAC über die Inv.-Nr.: /073/II98/

19 gesamten unveränderlichen Daten, beginnend beim IP-Header des Paketes. Die Zwischenknoten leiten den RREQ ohne Beachtung des MAC weiter. Sie überprüfen lediglich, ob die IP-Adresse des Nachbarknotens, der das Paket abgeschickt hatte, mit der letzen IP-Adresse der Source Route übereinstimmt. Fällt das Ergebnis positiv aus, so fügen sie ihre eigene IP-Adresse zur Source Route hinzu. Erst der Zielknoten überprüft den MAC des RREQ. Ist er gültig, so sendet er einen RREP, dessen MAC die gesamten unveränderlichen Daten des Paketes inklusive der ganzen Source Route schützt. Nach dem Empfang der Nachricht wird wieder der MAC auf Gültigkeit geprüft und bei einem positiven Ergebnis die festgelegte Route verwendet. In der Spezifikation wird für die Berechung des MAC die Implementierung von HMAC-MD5-96 und HMAC-SHA-1-96 empfohlen AUTHENTICATED ROUTING FOR AD HOC NETWORKS ARAN [BDL + 02] ist ein Routingprotokoll, dessen Augenmerk auf der Authentizität und der Integrität der Routingnachrichten liegt. Um dies zu gewährleisten, werden Zertifikate CERT verwendet. Dazu muss eine CA existieren, die jedem am MANET teilnehmenden Knoten N ein Zertifikat ausstellt, nachdem dessen Identität geprüft wurde. Dieses Zertifikat beinhaltet die IP-Adresse IP N, den öffentlichen Schlüssel PK N, den Zeitpunkt t der Erstellung, den Ablaufzeitpunkt e sowie eine Signatur SIG CA über diese Daten. CERT N = (IP N, PK N, t, e) SIGCA Dabei wird vorausgesetzt, dass jeder Knoten den öffentlichen Schlüssel PK CA der CA kennt. Bei der Routenfindung zum Zielknoten D (engl. destination) verschickt der Sender S (engl. source) via Broadcast ein route discovery packet (RDP) an seine Nachbarn, das ein Nonce N S und einen Zeitstempel t beinhaltet. S broadcast: (RDP, IP D, CERT S, N S, t) SIGS Empfängt ein Zwischenknoten A dieses Paket, so überprüft er die Gültigkeit der Daten durch die Signatur. Danach kontrolliert er anhand des Tupels (N S, IP S ), ob er dieses Paket nicht schon einmal verarbeitet hat. Ist dem nicht so, speichert er eine Reverse Route, signiert das Paket und sendet es via Broadcast an seine Nachbarn weiter. A broadcast: ((RDP, IP D, CERT S, N S, t) SIGS ) SIGA, CERT A Inv.-Nr.: /073/II98/

20 Die zweite Signatur von A dient der Absicherung der Routingnachrichten gegen Veränderungen. Der nächste Zwischenknoten B überprüft wieder mit dem Zertifikat von A die Gültigkeit der Daten. Bei einem positiven Ergebnis berechnet er eine neue Signatur SIG B und ersetzt SIG A und CERT A durch seine eigenen. Daraufhin speichert er wieder eine Reverse Route und flutet das Paket ins Netz. B broadcast: ((RDP, IP D, CERT S, N S, t) SIGS ) SIGB, CERT B Der Zielknoten D antwortet nur auf das erste eintreffende RDP-Paket mit einem Reply (REP). Dieses signiert er und leitet es als Unicast-Paket über die gespeicherte Reverse Route zu S zurück. Dabei überprüft und signiert wieder jeder Zwischenknoten das REP- Paket. Bei dieser Überprüfung wird auch N S verglichen, um wiederholt eingespielte Pakete erkennen zu können. D B: (REP, IP S, CERT D, N S, t) SIGD B A: ((REP, IP S, CERT D, N S, t) SIGD ) SIGB, CERT B A S: ((REP, IP S, CERT D, N S, t) SIGD ) SIGA, CERT A Da bei ARAN keine Zählung der Zwischenknoten erfolgt, muss das Ergebnis der Routensuche nicht auch zwangsläufig die kürzeste Route sein. Aufgrund dieser Arbeitsweise wird aber eine Route mit der geringsten Verzögerungszeit gewählt. 3.4 BEDROHUNGEN/ANGRIFFE IM MANET ALLGEMEINE ANGRIFFSSZENARIEN Um die Funktionalität des MANET gezielt außer Kraft zu setzen, bieten die Funkschnittstelle und das Routingprotokoll bestmögliche Angriffspunkte. Die Übertragung durch elektromagnetische Wellen erfolgt meist in einem definierten Frequenzbereich mittels bestimmter Übertragungsverfahren/-systeme. Mit dem Einsatz von Störsendern kann die Übertragung soweit verschlechtert werden, dass eine Wiedergewinnung der darin enthaltenen Informationen nicht mehr möglich ist. Durch die Verwendung von Routingprotokollen ohne Sicherheitsmechanismen lassen sich Manipulationen an den Routinginformationen durchführen, ohne dass diese erkannt werden. Somit kann sich ein Angreifer beim Aufbau einer Route mit in diese integrieren, um die Kommunikation der beteiligten Partner belauschen zu können. Des Weiteren könnte er auch die Route durch eingefügte Fehlinformationen so umlenken, dass Pakete Inv.-Nr.: /073/II98/