XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

31

Modelo de Gerenciamento de Segurana Adaptativo para Redes de Emergncia

Thiago Rodrigues de Oliveira1, Srgio de Oliveira2, Jos Marcos Nogueira1
thiagool@dcc.ufmg.br, sergiool@ufsj.edu.br, jmarcos@dcc.ufmg.br
1

Departamento de Cincia da Computao, Universidade Federal de Minas Gerais Av. Antnio Carlos, 6627, Belo Horizonte, MG - Brasil Universidade Federal de So Joo Del Rei Campus Alto Paraopeba, Ouro Branco, MG - Brasil
2

Abstract In cases of disasters and emergency scenarios, due to lack of network infrastructure, first-responders can build mobile ad hoc networks to send information. However, the communication in these situations can suffer long interruptions. This paper proposes a security management framework to dynamically configure and reconfigure emergency networks, with goal to adapt the use of security components according to management information received by decision-maker responsible entities. The security management model includes the definition of security levels, management information base, protocol messages and events. The evaluations realized show an emergency network behavior with activation of security mechanisms if necessary. Resumo Em casos de desastres e cenrios de emergncia, onde h carncia de infra-estrutura de rede, equipes de resgate podem formar redes ad hoc mveis para envio de informaes. Contudo, a comunicao nesses casos pode sofrer longas interrupes. Esse artigo prope um modelo de gerenciamento de segurana para configurar dinmica e autonomicamente redes de emergncia, com objetivo de adaptar a utilizao de componentes de segurana s informaes de gerenciamento recebidas pelos ns responsveis por tomada de decises. O modelo de gerenciamento inclui a definio dos nveis de segurana, base de informaes gerenciveis, mensagens do protocolo e eventos. As avaliaes realizadas mostram o comportamento de uma rede de emergncia com a ativao de mecanismos de segurana quando necessrio.

1. Introduo
Em situaes crticas e de emergncia, como em regies isoladas, desastres ecolgicos ou conflitos urbanos, geralmente no existe uma infra-estrutura de rede ou a mesma foi destruda. Os agentes humanos que atendem a essas situaes necessitam do maior nmero de informaes possvel, tais como mapas, fotos areas e informaes visuais que melhoram o entendimento dos problemas. Redes de computadores para suporte a emergncia podem ser construdas em situaes ocasionadas por desastres naturais, tecnolgicos ou causados pelo homem nos quais interrompido o funcionamento normal da economia e da sociedade. A utilizao de redes de comunicao sem fio pode facilitar a coordenao de pessoas e equipes em regies de desastres, para superar o desafio de comunicao nessas situaes. Um fator que favorece a montagem de redes de emergncia a popularizao de dispositivos mveis como notebooks, PDAs e celulares com mais recursos disponveis, que podem ser utilizados por agentes de equipes que atendem a situaes de

32

Anais

emergncia. Porm, deve-se considerar que as redes formadas por esses dispositivos possuem vrias limitaes, pois necessitam de certas condies que nem sempre so satisfeitas. Em redes de misses crticas, tais como situaes de atendimento a desastres, a conectividade fim-a-fim altamente suscetvel interrupo de comunicao. As redes mveis ad hoc (MANETs) se encaixam nesse tipo de cenrio pela ausncia de infra-estrutura e necessidade de conexes entre dispositivos mveis, com utilizao de centros de controles com maiores recursos, roteadores sem fio, aparelhos mveis e ns sensores. Deve ser considerada a necessidade de se trabalhar em redes com conectividade intermitente ou com longos atrasos, atravs da utilizao da arquitetura de rede DTN (Disruption Tolerant Networks) [1]. Atravs de um esquema de comunicao assncrona, uma rede DTN pode ter melhor alcanabilidade, especialmente em redes com ns esparsos com as seguintes propriedades: comunicao baseada em mensagens assncronas agregadas (bundles); no h necessidade de um caminho fim-a-fim, pois as mensagens podem ficar armazenadas nos ns at que seja estabelecida uma conexo; atrasos podem ser longos e variados; por fim, sua tolerncia a altas taxas de erros. Dispositivos mveis podem ser utilizados pelos agentes em operaes de resposta a situaes crticas e de emergncia. Componentes tpicos dessas redes so ambulncias, hospitais, veculos de transporte e bombeiros, alm de agentes humanos atuando nas reas de desastre. Um equipamento sem restrio de recursos, denominado centro de controle, ser o responsvel pela tomada de decises e poder detectar ataques rede. Entre os ataques que a rede pode sofrer, pode-se destacar a perda de dados, a inundao da rede com mensagens extras, a corrupo das tabelas de roteamento, a falsificao de acks na rede ou a informao de falsas probabilidades de encontro. Apesar do potencial e impacto na vida humana, redes DTN so motivo de preocupaes em relao segurana e privacidade, o que limita suas aplicaes. Possuem vulnerabilidades similares a outras redes sem fio, tais como a possibilidade de intrusos manipularem ou injetarem mensagens, limitarem a disponibilidade do sistema, confidencialidade e integridade dos sistemas. Alm das tcnicas tradicionais de preveno, um gerenciamento confivel pode servir como base de segurana para cooperao dos ns e disseminao das informaes. Alm disso, caractersticas especficas desse tipo de redes, como mobilidade imprevisvel e latncia varivel, tornam a segurana mais desafiadora. Devido conectividade espordica e grande possibilidade de atraso de transmisso de mensagens, necessrio eliminar mensagens expiradas e evitar vazamento de informaes. O interesse em segurana varia dependendo do ambiente e aplicao, embora autenticao e privacidade sejam geralmente crticos [3]. Os requisitos de segurana em redes de emergncia podem variar de acordo com as situaes e cenrios em que elas so utilizadas, pois h vrias motivaes para que sejam realizados ataques a essas redes. Os diversos componentes de segurana devem ser usados de acordo com o objetivo da rede em cada situao. Este trabalho prope um modelo de gerenciamento de segurana adaptativo que habilita ou desabilita componentes de segurana e de roteamento em reao a ameaas representadas por intrusos em redes de emergncia. O modelo inclui seleo de componentes de segurana, descrio de informao de gerenciamento, descrio de

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

33

mensagens e definio de eventos de segurana. De modo autonmico, componentes de segurana foram agrupados em nveis, que podem ser alterados em resposta a eventos de deteco de intrusos. O objetivo evitar o efeito de ataques e economizar recursos com a ativao dos servios de segurana somente quando for necessrio. O contedo apresentado em sees, sendo que essa primeira apresenta o problema abordado. A Seo 2 apresenta os trabalhos relacionados e a Seo 3, o modelo de rede adotado para esse trabalho. A Seo 4 define os componentes de segurana utilizados no modelo de gerenciamento proposto. Aspectos para prover auto-gerenciamento so descritos na Seo 5. O modelo proposto detalhado na Seo 6 e sua avaliao apresentada na Seo 7. Na Seo 8, as concluses e trabalhos futuros so apresentados.

2. Trabalhos Relacionados
Uma arquitetura para redes de emergncia e alguns requisitos de segurana foram propostos em [3]. Segundo o estudo, muitos dos protocolos de segurana existentes no funcionaro bem se colocados para operar em redes de emergncia. Muitas vezes ser impossvel entrar em contato com o servidor de interesse ou ter conectividade por um perodo suficientemente longo para transferir o material para a autenticao necessria. O modelo de segurana para a arquitetura DTN difere das redes tradicionais, pois o conjunto de princpios inclui os prprios roteadores [2]. A maior parte das tcnicas de segurana envolve a autenticao mtua e a troca de dados restrita entre dois usurios da rede, deixando o restante da rede sem participao nesse processo. Tipicamente, solues de redes mveis ad hoc tm sido modificadas e existem pesquisas de segurana distribuda, como o uso de autoridades certificadas distribudas [4]. Solues originais da comunidade de pesquisa de redes tolerantes a atrasos e desconexes incluem o uso da encriptao baseada na identidade [5], que permite aos ns receber informao criptografada com seu identificador pblico. Entre as propostas que tm sido publicadas relativas segurana em redes DTN, em [6] foram apresentadas algumas idias preliminares sobre a distribuio e gerenciamento de chaves para DTN, mas percebe-se que ainda so questes abertas. Em [7], sugere-se que o usurio DTN apresente sua chave pblica para uma autoridade certificadora DTN para obter uma cpia assinada daquela chave e um conjunto de credenciais assinado para autorizar o usurio a utilizar servios especficos, o que seria necessrio apresentar para um roteador antes de poder utilizar o seu servio. Este trabalho prope tambm a integrao de redes de sensores sem fio (RSSF) a redes de emergncia. Para tanto, considera a utilizao do modelo de gerenciamento de segurana proposto para RSSF em [8], bem como suas definies para os sensores. Tanto quanto podemos saber, no existe na literatura uma abordagem de provimento de segurana que seja dinmica e considere os objetivos ou restries de recursos das redes de emergncia.

3. Modelo de rede
Redes formadas em situaes de emergncia so heterogneas em hardware, com a utilizao de notebooks, palmtops, celulares e ns sensores em sua composio e com vrias tecnologias de rede para comunicao entre os ns. Alguns dos ns esto

34

Anais

conectados, enquanto os demais podem no ter conectividade. Tais conexes podem cair a qualquer momento, devido a falhas, deslocamentos ou outros tipos de eventos. Redes de emergncia possibilitam uma variedade muito grande de configuraes. A ampla diversidade de ns participantes, que vo desde ns sensores a centros de controle, a mobilidade e as aplicaes impedem que a caracterizao do problema de provimento de segurana seja feita de forma nica, o que pode dificultar a proposta de uma soluo aplicvel a todos os casos. Do ponto de vista de segurana, o centro de controle confivel, ou seja, no est sujeito a ataques, e no apresenta restries de recursos como os outros ns participantes da rede. O centro de controle origem ou destino de todas as mensagens da rede. Somente so considerados participantes autorizados na rede, para evitar os efeitos negativos da incluso de possveis intrusos. Objetiva-se neste trabalho propor solues de segurana para redes de emergncia com caractersticas de serem: planas, no h hierarquia de ns; heterognea, com diversos tipos de dispositivos; mveis, com ns se deslocando na regio abrangida pela rede; com conectividade intermitente, podendo haver perda de dados e atrasos na entrega de mensagens.

4. Componentes de Segurana para Redes de Emergncia

Vrias das propostas de segurana existentes requerem numerosas trocas de informaes entre partes e envolvimento de um terceiro elemento confivel, ou requerem que sejam trocadas credenciais de autenticao comparativamente grandes antes de se iniciar a comunicao. Para redes tolerantes a interrupes com recursos de conexo preciosos, uma tcnica fim-a-fim para segurana no muito atrativa. Existe a possibilidade de utilizar recursos escassos para mensagens indesejveis quando se transporta trfego por todo o caminho at seu destino sem realizar autenticao e checagem de controle de acesso. Esse trabalho considera o roteamento dinmico seguro, a seleo de prioridade de pacotes para replicao, a existncia de mecanismos de deteco de intrusos, a utilizao de tcnicas de gerenciamento de chaves, a possibilidade de criptografia saltoa-salto e fim-a-fim, bem como um esquema de revogao de ns. As solues de segurana de maior interesse para este trabalho foram organizadas e classificadas em componentes de acordo com seus objetivos. 4.1. Roteamento dinmico seguro Redes de emergncia so baseadas na auto-configurao, auto-manuteno e autootimizao. A maior parte dos protocolos de roteamento propostos para redes DTN no considera o aspecto da segurana como um dos objetivos principais. Assim, torna-se importante considerar o roteamento para garantir a segurana da rede. O ataque mais simples consiste em fazer com que um n descarte todos os pacotes que recebe. Para protocolos de repasse, cada descarte um pacote perdido, pois no h cpia em outros ns. A melhor defesa em redes DTN contra ataques de perda maliciosa de pacotes o uso de caminhos mltiplos. Em alguns protocolos de roteamento, tabelas de frequncias de contato dos ns so propagadas em uma forma replicada de cada n para todos os outros. Sem autenticao,

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

35

intrusos poderiam propagar informaes incorretas sobre as tabelas de roteamento de qualquer n. Os protocolos de roteamento mais divulgados foram considerados: Direct Delivery, repasse de mensagens somente ao destinatrio; PRopHet, repasse das mensagens para ns com maior probabilidade de entrega; Epidemic, distribuio de cpias das mensagens para toda a rede; Spray and Wait, distribuio de um nmero determinado de cpias para cada mensagem, que dividido por dois a cada salto no modo binrio [12]. Um intruso pode inundar continuamente a rede com envio de pacotes para qualquer n e nunca repassar qualquer pacote recebido de outros ns. O uso de flags para indicar replicao de maior prioridade pode auxiliar nesse caso e ainda ser indicador para caracterizar urgncia e consequente tempo de vida (TTL) das mensagens, pois h mensagens que perdem o sentido se no forem entregues em certo espao de tempo. As aplicaes que utilizam a rede de emergncia podem obrigar a definio de prioridade das mensagens, por exemplo: Baixa, Mdia, Alta ou Urgente. Mensagens definidas como urgentes possuem um tempo de vida determinado pelo centro de controle e inferior ao das demais, para descarte aps trmino desse tempo. 4.2. Deteco de intrusos A deteco de intrusos em redes de emergncia deve lanar mo de mais tcnicas diferentes das redes convencionais, devido diferena nos modelos, ataques e recursos. Dois tipos de tcnicas podem ser utilizados para deteco de intrusos: centralizada ou descentralizada. Na tcnica centralizada, o centro de controle responsvel por detectar intrusos, visto que possui um grande conjunto de informaes sua disposio, o que facilita o processo de deteco. Na tcnica descentralizada, alguns ou todos os ns executam operaes simples para detectar intrusos [4]; a grande vantagem a disponibilidade instantnea da informao, visto que os ns podem detectar os ataques exatamente no momento em que eles ocorrem. Muitos ataques so facilitados se o intruso conseguir influenciar o protocolo de roteamento da rede, manipulando a comunicao entre ns legtimos com corrupo de tabelas de roteamento, replicao de mensagens antigas, injeo de mensagens maliciosas na rede ou modificao do contedo de mensagens vlidas. 4.3. Revogao de ns A deteco de intrusos normalmente seguida da revogao dos ns com comportamento indevido. A revogao a excluso do n da rede, tornando impossvel para ele a comunicao com seus vizinhos. Esse processo deve ser autenticado para evitar a revogao de ns autnticos por intrusos. Como os ns no so protegidos contra violao fsica no modelo utilizado nesse trabalho, mais seguro permitir somente ao centro de controle promover a revogao de ns. De outra forma, um n intruso autenticado pela rede, provavelmente originado de uma violao fsica, poderia isolar ns autnticos, promovendo outros tipos de ataques de negao de servio. 4.4. Tcnicas Criptogrficas Os processos de criptografia tm como objetivo comum impedir que uma determinada entidade denominada intruso obtenha informaes sigilosas. Os objetivos da rede devem determinar qual tcnica de criptografia tem de ser usada, tais como

36

Anais

formas de encriptao e assinatura. Se os dados da rede so confidenciais, a encriptao tem de ser usada. De outro lado, somente assinatura pode ser utilizada para evitar adulteraes e enganos. 4.4.1. Encriptao Encriptao uma tcnica para adicionar privacidade a mensagens da rede. Isso pode ser um processo fim-a-fim, feito uma vez por mensagem, ou um processo salto-asalto, feito cada vez que uma mensagem atinge um n de repasse. A abordagem desse trabalho considera mensagens que tem os centros de controle como origem ou destino, alm da presena de vrios roteadores pela rede. Apesar de no ser indicada para redes DTN, em situaes mais crticas, a criptografia fim-a-fim pode ser utilizada nesse contexto para garantir maior confiabilidade na comunicao, atravs de verificao de integridade ou autenticao de origem e destinatrio das mensagens. Protocolos DTN devem prover um meio de encriptar elementos de forma que mensagens em trnsito no possam ser lidas na prtica. O protocolo de agregao no prov nenhuma confidencialidade para a origem ou destino [2]. Similarmente, protocolos DTN devem possibilitar a aplicao de uma verificao de integridade de maneira que a identidade do n origem seja provada e alteraes em partes especficas da mensagem possam ser detectadas. Em redes DTN, o tempo de expirao das credenciais prov um mecanismo para lidar com sistemas de compromisso. Esse tempo deve ser grande suficiente para que os atrasos envolvidos na propagao da renovao e resposta no resultem em revogaes indevidas de credenciais, e tambm no ocorra uma inundao contnua da rede com mensagens de requisio de renovao do conjunto de credenciais. 4.4.2. Assinatura Assinatura um processo criptogrfico que adiciona um cdigo autenticado como uma chave a uma mensagem e o recebedor tem que conhecer a chave para verificar a assinatura. As chaves podem ser compartilhadas fim-a-fim e permitir verificao somente pelo centro de controle ou compartilhadas pelos ns vizinhos para permitir a verificao salto-a-salto. Tcnicas de assinatura tornam possvel a autenticao e integridade na comunicao. O uso dessas tcnicas de segurana pode evitar a insero de pacotes falsos e a adulterao de mensagens. Uma das diferenas das redes DTN que uma mensagem autenticada usando uma assinatura digital, a princpio, pode ser verificada por qualquer elemento da rede no caminho. Se a mensagem contm informao suficiente, ento qualquer n pode pelo menos verificar a exatido criptogrfica da assinatura [4]. 4.4.3. Gerenciamento de chaves Um esquema de distribuio de chaves seguro e eficiente permite a autenticao dos ns da rede. O controle de acesso rede pode impedir e eliminar diversos tipos de ataques, a menos que o inimigo comprometa ns legtimos da rede. A captura e a adulterao de um n podem permitir ao inimigo utilizar as chaves armazenadas nesse n. necessrio prever quais chaves podem ser descobertas a partir dessa adulterao. Em redes DTN, ambos usurios e ns encaminhadores possuem pares de chaves e certificados, e os certificados dos usurios tambm indicam a classe de servio [7]. Ns podem enviar seus pacotes com assinatura com sua chave privada, o que produz uma assinatura digital para o agregado especfico. A assinatura permite aos recebedores

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

37

confirmar a autenticidade do n origem, a integridade da mensagem e os direitos relativos classe de servio, atravs do uso da chave pblica do n que enviou. As caractersticas das redes DTN exigem novas abordagens para que seja possvel atender os requisitos de segurana necessrios a algumas aplicaes. Por isso, nenhum esquema de gerenciamento de chaves ainda reconhecido como adequado [6]. 4.4.4. Criptografia baseada na identidade Como uma rea recente de pesquisa, os mecanismos que utilizam criptografia baseada na identidade [5] fornecem muitos dos benefcios da criptografia de chave pblica e reduzem o overhead envolvido na obteno e verificao de chaves pblicas. Embora esse mecanismo sofra alguns inconvenientes por requerer que os destinatrios se comuniquem com um servidor, parece que simplesmente pr-estabelecer chaves para alguns ns com suas chaves privadas pode oferecer operaes razoavelmente eficientes em redes com atrasos e interrupes, com um risco aceitvel de segurana. Pode-se utilizar criptografia de chave pblica como o ponto de partida para a gerao de chaves. Roteadores e usurios finais recebem pares de chaves pblica/privada, e um usurio tem de obter uma cpia assinada dessa chave pblica de uma autoridade certificada da rede DTN. Todos os roteadores so considerados como pr-equipados com cpias de uma ou mais chaves pblicas certificadas por autoridade DTN e o usurio ento apresenta a chave assinada com a mensagem a ser encaminhada. No primeiro roteador DTN, a chave pblica usada para validar o remetente e a classe de servio requisitada. Mensagens vlidas so ento assinadas novamente com a chave do roteador para o encaminhamento. Utilizando essa tcnica, somente no primeiro salto roteadores necessitam de certificados para usurios e os demais roteadores podem confiar na autenticao dos roteadores anteriores para verificar a autenticidade. Alm de os roteadores descartarem o trfego o mais cedo possvel se a autenticao falhar, essa tcnica tambm apresenta o benefcio de evitar que ataques de negao de servio prejudiquem o desempenho da rede.

5. Decises Autonmicas
Redes de emergncia tm de ser auto-adaptveis, configurando seus componentes para o uso racional dos recursos. Neste trabalho, componentes de segurana so configurados baseados em eventos gerados por sistemas de deteco de intrusos. Eventos de deteco de intrusos configuram autonomicamente componentes de segurana. Intrusos detectados pelo centro de controle so revogados usando mensagens autenticadas. Quando ocorre deteco de maneira descentralizada, um evento de deteco de intruso gerado e componentes de segurana so ativados, mas o n suspeito no pode ser revogado, pois somente o centro de controle confivel.
Tabela 1 Eventos de deteco de intrusos e aes

Ao - Intruso revogado - Nvel de segurana aumenta Um n detecta novo intruso - Nvel de segurana aumenta A Tabela 1 exibe eventos e aes autonmicas geradas pelos eventos. Em geral, a deteco de um intruso suficiente para alterar o nvel de segurana, porque indica que

Evento Centro de controle detecta um novo intruso

38

Anais

o atual nvel de segurana permitiu a entrada de intrusos; todavia, em algumas situaes, o nvel de segurana pode ser alterado aps a deteco de mais de um intruso. No trabalho relatado neste artigo, foram definidos nveis de segurana para facilitar decises autonmicas baseadas em eventos recebidos. Em cada nvel de segurana, alguns componentes de segurana so ligados para proteger a rede dos intrusos. O nvel de segurana da rede aumenta com a evidncia de intrusos e pode tambm ser decrescido em situaes de recursos mnimos. Componentes de segurana, como a deteco de intrusos, podem ser desligados para economizar energia em parte dos ns. A Tabela 2 mostra os nveis de segurana. O servio de deteco de intrusos centralizado est sempre habilitado e no aparece na tabela. Quando o centro de controle detecta um n intruso, ele revogado. Em todos os nveis, pode-se utilizar flags para indicar replicao de maior prioridade.
Tabela 2 Nveis de segurana para problemas autonmicos

Componentes de segurana utilizados - Sem deteco de intrusos nos roteadores - Controle de acesso habilitado - Protocolo de roteamento epidemic Mdio - 10% dos ns executam deteco de intrusos - Controle de acesso habilitado - Criptografia salto-a-salto habilitada - Protocolo de roteamento PropHet Alto - 20% dos ns executam deteco de intrusos - Criptografia salto-a-salto habilitada - Encaminhamento de pacotes com prioridade - Protocolo de roteamento spray and wait - Controle de acesso habilitado Crtico - Roteadores executam deteco de intrusos - Criptografia fim-a-fim e salto-a-salto habilitadas - Replicao de pacotes de alta prioridade - Protocolo de roteamento spray and wait - Controle de acesso habilitado No primeiro nvel, mais baixo, apenas o controle de acesso habilitado como componente de segurana. Isso deve evitar que a rede consuma recursos ao encaminhar pacotes no autorizados. Como no h conhecimento das probabilidades de encontro, os ns utilizam o protocolo de roteamento epidemic. No nvel Mdio, alguns roteadores habilitam a deteco de intrusos e tambm ativada criptografia salto-a-salto. Os componentes escolhidos nesse nvel implicam em uma sobrecarga de processamento e rede, devendo-se utilizar o conhecimento j adquirido da rede para os clculos do protocolo de roteamento PRopHet. No nvel Alto, a deteco de intrusos estendida para 20% dos ns. Como a replicao de mensagens no roteamento crucial para conseguir a tolerncia a ataques, passa-se a utilizar o protocolo spray and wait no modo binrio. De acordo com a presena de intrusos, a priorizao das mensagens pode auxiliar na identificao das mensagens que devem ser replicadas, o que tambm impede que falsas confirmaes de recebimento sejam consideradas.

Nvel Baixo

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

39

O nvel Crtico iniciado se, ainda com o nvel Alto ativo, intrusos so detectados. Esse modo somente tem de ser usado se ns intrusos ainda so detectados quando toda a utilizao de criptografia salto-a-salto est ativa. Nesse nvel, todos os componentes de segurana apresentados so utilizados e considera-se que ns intrusos conhecem algumas chaves da rede. Assim, utiliza-se criptografia redundante, fim-a-fim e salto-asalto. Dessa forma, um intruso ter de conhecer vrias chaves para ter acesso s mensagens da rede. Todos os roteadores que armazenam e repassam as mensagens passam a utilizar a deteco de intrusos. A presena de grande nmero de mensagens na rede e possivelmente mensagens no confiveis indica que deve haver maior seleo de mensagens a serem replicadas. Passa-se a replicar somente mensagens definidas como alta prioridade para comunicao entre os ns e o centro de controle. Quando recursos de energia descem a um nvel mnimo, os ns podem reduzir o nvel de segurana para aumentar o seu tempo de vida. Nesse caso, os componentes de segurana tm um custo de energia maior que a rede pode gastar. Como os ns esto no fim do seu tempo de vida, melhor tentar trabalhar sem segurana do que gastar a energia restante com segurana.

6. Modelo de Gerenciamento
O modelo de gerenciamento, apresentado a seguir, composto de uma base de informaes de gerenciamento, mensagens trocadas e eventos. O modelo considera que os componentes de segurana descritos acima podem ser parte de situaes de gerenciamento. Nesse sentido, a configurao dos componentes de segurana dinmica, o que significa que eles podem ser includos, excludos, ativados, e desativados em tempo de operao. Eventos fornecem informaes para a rede no sentido de tornar possvel a configurao e a re-configurao dos componentes de segurana de uma maneira autonmica. 6.1. Base de Informaes de Gerenciamento (MIB) Para configurar componentes de segurana, um nmero de objetos de gerenciamento foi definido para a MIB. Os objetos so organizados de acordo com o tipo de componente de segurana que os utilizam: criptografia, dados e administrao. 6.1.1. Criptografia Objetos booleanos indicam se o sistema usa uma funo especfica de segurana; seus nomes so auto-explicativos: Encriptao fim-a-fim, Encriptao salto-a-salto, Assinatura fim-a-fim, Assinatura salto-a-salto, e Criptografia baseada na identidade. 6.1.2. Dados Vrios tipos de controle de dados so enviados atravs da rede pelos ns ou pelo centro de controle. Uma parte deles foi definida pela MIB:
Nvel de segurana (Choice) Baixo (0), Mdio (1), Alto (2), Crtico (3); Protocolo de roteamento (Choice) Direct delivery (0), Epidemic (1), PRopHet (2), Spray and Wait (3); Utiliza priorizao? (Boolean) Indica se utiliza priorizao dos pacotes; Intruso detectado? (Boolean) Indica se um intruso foi detectado na rede; Identificador do intruso (ID) Identificador do intruso detectado; Identificador de n revogado (ID) Identifica o n intruso para ser revogado; Lista de ns revogados (List) Lista de ns suspeitos e revogados; Lista de chaves revogadas (List) Lista de chaves revogadas por um n.

40

Anais

6.1.3. Administrao
Tempo de Vida de Mensagens (Integer) Indica o TTL das mensagens que no forem urgentes; Tempo de Vida de Mensagens Urgentes (Integer) Indica o TTL das mensagens que foram definidas como urgentes; Mensagens de gerenciamento enviadas (Integer) nmero de mensagens de gerenciamento enviadas pelo n; Mensagens de gerenciamento recebidas (Integer) nmero de mensagens de gerenciamento recebidas pelo n; Mensagens de dados enviadas (Integer) nmero de mensagens de dados enviadas pelo n; Mensagens de dados recebidas (Integer) nmero de mensagens de dados recebidas pelo n;

Alm dessas informaes que podem ser enviadas atravs da rede e requisitadas pelos centros de controle, as informaes relativas a chaves utilizadas devem ser armazenadas nos ns para a criptografia, mas no podem ser enviadas pela rede por questes de segurana. 6.2. Definio das Mensagens O modelo prope um gerenciamento de segurana orientado por mensagens, onde mensagens de controle so usadas para ativar ou desativar componentes: deteco de intrusos, utilizao de criptografia, protocolos para roteamento dinmico seguro, seleo de prioridade de pacotes para replicao, entre outros. Uma mensagem indicando a presena de um intruso colocaria a rede em estado de alerta. Como a identificao precisa do intruso no possvel, a rede tem de reduzir as possibilidades de comunicao do intruso de forma a anular seus efeitos. O modelo de gerenciamento deste trabalho prope tambm a integrao de redes de sensores sem fio a redes de emergncia. Para tanto, considera a utilizao do modelo proposto em [8] bem como suas definies e utiliza o formato das mensagens do protocolo de gerenciamento MannaNMP [9], que descreve os servios providos e o formato das mensagens, assim como a base de informaes de gerenciamento. Um nmero de mensagens de gerenciamento foi definido e listado a seguir. Em termos do modelo gerente/agente, elas so do tipo set e so usadas para estabelecer ou alterar os valores dos objetos, como definido no protocolo MannaMNP. 6.2.1. Mensagens para criptografia As mensagens so para: ativao de encriptao fim-a-fim; ativao de encriptao salto-a-salto; ativao de assinatura fim-a-fim; ativao de assinatura salto-a-salto; ativao de criptografia baseada na identidade. 6.2.2. Mensagens de dados As mensagens definidas so: mudana no nvel de segurana (mudana de configurao dos componentes de segurana); mudana no protocolo de roteamento; utilizao de priorizao das mensagens; deteco de intruso (coloca a rede em estado de alerta e envia o identificador do intruso para o centro de controle); revogao de ns (inclui o identificador do n revogado na lista); revogao de chave (inclui a chave revogada na lista de chaves revogadas de ns recebedores). 6.2.3. Mensagens para administrao As mensagens so para alterao do tempo de vida das mensagens, diferenciando entre as que foram ou no definidas urgentes.

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

41

6.3. Eventos Na ocorrncia de eventos, os ns enviam mensagens para informar o centro de controle. Essas mensagens so usadas pelo centro de controle para alterar a configurao da rede, o que pode ser feito imediatamente ou algum tempo depois. No caso de redes hierrquicas, as mensagens seriam encaminhadas para os maiores nveis de hierarquia at alcanar o gerente. Ns intermedirios podem tomar decises em resposta aos eventos informados, o que torna a rede mais inteligente e pode diminuir o fluxo de mensagens. Para reduzir o uso de recursos, a responsabilidade de monitoramento de alguns ou todos os eventos atribuda ao centro de controle ou somente a alguns ns. A comunicao baseia-se no protocolo MannaNMP e utiliza mensagens de trap. Os eventos definidos so os seguintes: Deteco de intruso (n identificou um n suspeito); Revogao de chave (um n intruso foi revogado); Insero de novo n (um novo n vizinho foi identificado com chaves da rede e no teve sua participao na rede confirmada); Nvel mnimo de energia (um nvel mnimo de energia de um n foi alcanado, as chaves desse n tm de ser revogadas).

7. Avaliao
Para validar o modelo de gerenciamento aqui apresentado, um conjunto de simulaes foi realizado, para verificar a utilizao dos diversos nveis de segurana. O objetivo mostrar o comportamento da rede de emergncia em cada nvel, para justificar a manuteno dos nveis inferiores enquanto a presena de intrusos no tiver sido constatada. Como se espera que somente pessoas preparadas atuem na regio de um desastre, as simulaes consideraram uma rede mvel e heterognea, com o nmero total de ns variando entre 30 e 120 ns, alm de um centro de controle fixo com maior raio de transmisso. Os demais ns so distribudos pela rede de forma aleatria e deslocam-se de acordo com probabilidades definidas. Os ns participam de grupos, que representam agentes humanos nas regies de desastre e veculos como ambulncias, bombeiros e de transporte. Os pontos de interesse foram definidos como duas regies de desastre, uma regio com hospitais e outra com abrigos. Os ns se deslocam entre as regies, como pode ser visualizado na Figura 1.

Figura 1 - Cenrio das simulaes

42

Anais

Por considerar o deslocamento em uma regio urbana, o cenrio utiliza um mapa e as rotas procuram obter o menor caminho possvel para o destino dos ns. Foi utilizado o padro de mobilidade Shortest Path Map Based Movement [10], que uma derivao do Random Waypoint, onde os ns usam o algoritmo de Dijkstra para o menor caminho para definir a rota do local atual at um destino selecionado de maneira randmica, atravs dos caminhos disponveis. Com exceo do centro de controle, os demais ns se movimentam de acordo com a necessidade de recursos, atravs da regio abrangida pela rede, que possui tamanho de 4500 x 3400 metros. Considera-se que veculos transportam vtimas das regies de desastre para hospitais ou abrigos, enquanto agentes caminham nas regies para prestar atendimento s vtimas e tambm enviar informaes para toda a equipe de resgate. Para considerar as caractersticas da rede DTN, utilizou-se o simulador The ONE (Opportunistic Networking Evaluator) [11], que simula um modelo de comunicao tolerante a interrupes, no qual os ns seguem o paradigma guardar-carregar-repassar mensagens (store-carry-foward), podendo mant-las em um buffer caso o n no tenha conexo direta com o destino. Cada teste foi executado repetidamente, no mnimo oito vezes, sendo alterada a semente geradora do padro de mobilidade. O nmero de ns intrusos foi definido como 3% dos participantes da rede, sendo o menor valor possvel de 2 intrusos. Somente existe conexo entre dois ns quando ambos esto dentro do respectivo raio de transmisso. Esse raio foi definido como 100m para os ns e 400m para o centro de controle, enquanto a velocidade de transmisso dos dados foi 250kBps e o buffer de mensagens 10MB para cada n. Mensagens so geradas a cada 30-45 segundos por algum n da rede. Foi simulado um perodo de 24 horas. A cada simulao, foi verificada a alterao do nvel de segurana dos ns, bem como os tempos em que isso ocorre, apresentados nos grficos a seguir.

Figura 2 - Tempo para alcance dos nveis de segurana

Como todos os ns iniciam a simulao no nvel de segurana Baixo, esse no aparece na Figura 2. Pode-se observar que houve alterao no nvel de segurana apenas no segundo cenrio, com 60 ns participando da rede. O nvel Alto foi alcanado somente com 90 ns participantes e o nvel Crtico com 120 ns. A Figura 3 mostra que, apesar da conectividade imprevisvel (DTN), a propagao das mensagens de gerenciamento atinge toda a rede. Quando h alterao do nvel de segurana, todos os ns da rede alcanam o nvel enviado pelo centro de controle.

XXVIII Simpsio Brasileiro de Redes de Computadores e Sistemas Distribudos

43

Figura 3 - Nmero de ns por nvel de segurana ao fim de cada simulao

Um modelo de gerenciamento de segurana, como apresentado nesse trabalho, permite equilibrar a disponibilidade da rede e a utilizao de recursos, ligando e desligando as solues de segurana quando necessrio. Entretanto, o gerenciamento tambm poderia ter impacto na quantidade de mensagens. Verificou-se que o nmero de mensagens de gerenciamento criadas muito inferior em relao s demais mensagens da rede, atingindo o mximo de 3% no caso em que o nvel Crtico atingido. Considerando o modelo apresentado, possvel avaliar trs cenrios distintos: 1 - Rede sem segurana: Nesse caso, a disponibilidade da rede pode ser comprometida pela presena de intrusos, reduzindo a produtividade da rede; 2 - Rede com uso constante de algumas solues de segurana: Nesse caso, a presena de intrusos evitada ou reduzida, aumentando a disponibilidade da rede, mas o consumo de recursos aumenta para executar essas solues de segurana; 3 - Rede com gerenciamento de segurana para ativar solues de segurana somente quando necessrio. Se nenhum intruso detectado, a rede pode utilizar poucos componentes de segurana, minimizando o consumo de energia para prolongar o tempo de vida da rede. Quando a rede detecta um intruso, a soluo de gerenciamento aumenta o nvel de segurana evitando o efeito do intruso. A utilizao de recursos no terceiro cenrio com mecanismos de segurana depender da presena de intrusos. No melhor caso, somente sistemas centralizados de deteco de intrusos executam, sem execuo nos ns. Quando um primeiro intruso detectado, o gerenciamento de segurana comea a ativar solues de segurana atravs do envio de mensagens. As solues de segurana sero ligadas gradualmente, evitando o efeito dos intrusos. Em grandes redes, a rede pode ser dividida em setores e as solues de segurana podem ser ativadas somente onde intrusos so detectados. Foi possvel verificar nas simulaes que a utilizao do modelo de gerenciamento de segurana resulta em vantagens independente do nmero de ns da rede, pois nenhum cenrio demonstrou necessidade de utilizar todos os componentes de segurana inicialmente. Somente no cenrio com maior nmero de ns atingiu-se o nvel de segurana Crtico, sendo que todos os cenrios preservaram a confiabilidade da rede. Apesar das caractersticas DTN da rede de emergncia, verificou-se que as mensagens de gerenciamento enviadas alcanam todos os ns participantes.

44

Anais

8. Concluso e Trabalhos Futuros

Esse artigo apresenta um modelo de gerenciamento de segurana adaptativo para redes de emergncia. O objetivo evitar o efeito de ataques e economizar recursos ao ativar os componentes de segurana somente quando for necessrio. O modelo prope o auto-gerenciamento da rede. De maneira autonmica, o centro de controle pode configurar nveis de segurana nos ns, adaptando a utilizao de componentes de segurana para evitar o efeito dos intrusos. Um evento de deteco de intrusos gera deciso autonmica que altera o nvel de segurana da rede. Apesar da conectividade imprevisvel nessas situaes, verificou-se que algumas poucas mensagens so necessrias para implementar o gerenciamento de segurana e que essas alcanam todos os ns participantes. possvel economizar recursos sem perca de produtividade da rede enquanto no h evidncia de intrusos. Como trabalhos futuros, prope-se o estudo de solues de segurana especficas para os protocolos de roteamento de redes DTN, bem como alteraes de componentes do gerenciamento de acordo com o tipo de ataque detectado.

9. Referncias
[1] Fall, K. (2004), Messaging in difficult environments Intel Research Berkeley. [2] Fall, K. (2003), A Delay-Tolerant Network Architecture for Challenged Internets Intel Research Berkeley. [3] Portmann, M. and Pirzada, A. A. (2008), Wireless Mesh Networks for Public Safety and Crisis Management Applications IEEE Internet Computing. [4] Burgess, J., Bissias, G., Corner, M. D., Levine, B. N. (2007), Surviving Attacks on Disruption-Tolerant Networks without Authentication ACM Mobihoc. [5] Seth, A. and Keshav, S. (2005), Practical Security for Disconnected Nodes NPSEC. [6] Symington, S. F., Farrell, S., Weiss, H. and Lovell, P. (2009), Bundle Security Protocol Specification draft-irtf-dtnrg-bundle-security-08.txt. [7] Durst, R. C. (2002), An infrastructure security model for delay tolerant networks In http://www.dtnrg.org. [8] Oliveira, S., Oliveira, T. R. and Nogueira, J. M. S. (2008), Um Modelo de Gerenciamento de Segurana em Redes de Sensores Sem Fio In Simpsio Brasileiro de Redes de Computadores. [9] Silva, F. A., Ruiz, L. B. et al. (2005), MannaNMP: Um protocolo de Gerenciamento para Redes de Sensores Sem Fio In Simpsio Brasileiro de Redes de Computadores. [10] Ekman, F., Kernen, A., Karvo, J. and Ott, J. (2008), Working Day Movement Model In Proceeding of ACM SIGMOBILE workshop on Mobility models. [11] Keranen, A. and Ott, J. (2007), Increasing reality for DTN protocol simulations. Networking Laboratory, Helsinki University of Technology, Tech. Rep. [12] Mota, V. F. S., Silva, T. H. and Nogueira, J. M. S. (2009), Introduzindo Tolerncia a Interrupo em Redes Ad Hoc Mveis para Cenrios de Emergncia In Simpsio Brasileiro de Redes de Computadores.