Detección de intrusiones multi-capa basada en anomalías en entornos manet

Resumen

Es innegable la importancia hoy en día de las redes de comunicación en multitud de las actividades diarias de la sociedad actual. Entre las distintas tecnologías existentes, las redes inalámbricas han evolucionado considerablemente en los últimos años, hasta dar lugar a la aparición de novedosos sistemas y servicios. En particular, es manifiesto el creciente interés de un nuevo paradigma de comunicación denominado redes ad-hoc. Una red ad-hoc es un tipo de red inalámbrica sin administración centralizada compuesta por un conjunto de nodos, geográficamente distribuidos en un área dada, formando topologías dinámicas y comunicándose mediante una estrategia que permite la adopción de rutas origen-destino multi-salto. Esta gran versatilidad, incrementada cuando los nodos que conforman la red tienen capacidad de movilidad, constituyendo las denominadas redes MANET (Mobile Ad-hoc NETworks), hace de este tipo de entornos un candidato óptimo en multitud de áreas tales como aplicaciones de carácter medioambiental o militar, gestión de situaciones de crisis, terremotos o atentados terroristas, etc. Sin embargo, este paradigma de comunicación posee un claro inconveniente, y es la multitud de vulnerabilidades y amenazas a la seguridad a las que está sujeto, inherentes a la propia filosofía MANET. En este contexto, el objetivo general del presente trabajo de tesis es mejorar la seguridad de las redes MANET. Este objetivo general se concreta en dos objetivos más específicos: (i) estudio y detección de ataques a la seguridad en redes MANET y (ii) desarrollo de procedimientos que permitan la integración de soluciones de seguridad. Tras la realización de un estudio detallado de los ataques de seguridad existentes en entornos MANET y la propuesta de una nueva taxonomía para la categorización de los mismos, se ha identificado que dos de las principales amenazas de nuestros días son los ataques de dropping y los ataques sinkhole. La detección de ataques es el proceso por el cual se determina la presencia de eventos o actividades maliciosas en la red. Para llevar a cabo dicha detección suele realizarse el despliegue de sistemas de detección de intrusiones o IDS (Intrusion Detection Systems), los cuales, en función de diversos parámetros obtenidos de la monitorización de la actividad habida en el entorno, son capaces de advertir y concluir la ocurrencia de comportamientos indeseados. En esta línea, se ha realizado una extensa revisión bibliográfica con el fin de conocer las principales técnicas defensivas propuestas en la bibliografía ante dichos ataques. Así mismo, y en relación con el objetivo central de esta tesis, se han diseñado nuevos mecanismos eficaces y eficientes para la detección de ataques en redes MANET. En particular, se ha propuesto un esquema para la detección de ataques de dropping basado en una heurística sencilla desarrollada a partir de una aproximación analítica del proceso de retransmisión en entornos MANET, lo que permite distinguir entre comportamientos maliciosos y distintas causas legítimas para el descarte de paquetes. Por otro lado, se ha propuesto un esquema colaborativo que recopila información de la vecindad del nodo para la detección de ataques sinkhole, basado en una aproximación en dos pasos y en la existencia de los denominados ``bordes de contaminación''. Una vez abordado el problema de la detección de ataques en redes MANET, es conveniente la subsiguiente integración de soluciones de seguridad. Para ello, primero se ha diseñado y desarrollado un mecanismo para la notificación y alerta de eventos de seguridad, cuyo fin principal es servir como una interfaz efectiva para la interoperación entre los distintos módulos defensivos. De este modo, ante la notificación de un cierto ataque detectado, será posible la adopción posterior de las medidas de respuesta oportunas. En esta misma línea de reunir distintos desarrollos de seguridad, aunque con propósitos más generales, se ha implementado un entorno de seguridad integral cuyo diseño flexible es apropiado para el despliegue de multitud de ataques, permitiendo implementar, integrar y comparar de forma precisa y bajo condiciones controladas de simulación nuevas técnicas de defensa. De esta manera, se pretende crear un marco de referencia que resulte una herramienta útil a la comunidad investigadora centrada en el campo de la seguridad en redes.