RAPPORT DE PROJET DE FIN DETUDES

Filire

Ingnieurs diplms en Tlcommunications

Option

Ingnierie des Rseaux

Architecture pour la localisation et lisolement des nuds corrompus dans un rseau Ad Hoc
Elabor par :

Hajer ABROUG
Encadr par :

Mme. Sihem GUEMARA EL FATMI

Anne universitaire : 2004/2005

Ddicace

A mes parents, , A mes frres les plus adorables, , A ma tendre soeur, , A mes amis et toutes les personnes que jaime, Quils trouvent dans ce travail le fruit de leur patience et du soutien permanent quils mont prodigu pour affronter tous les moments difficiles.

Avant Propos

Au terme de ce travail, je tiens exprimer ma profonde gratitude et mon immense respect Madame Sihem GUEMARA EL FATMI, Matre de confrences lcole suprieure des communications de Tunis SUPCOM, pour sa disponibilit, ses conseils et ses soutiens affectifs. Jaimerais tmoigner du plaisir qutait pour moi de travailler sous ses directives. Je tiens galement exprimer ma grande reconnaissance Monsieur Noureddine BOUDRIGA, professeur lcole suprieure des communications de Tunis qui a suivi de prs lvolution de ce projet et na pas cess de me prodiguer ses prcieux conseils dont javais largement bnfici. Avec beaucoup dgard, je ne manquerai pas de remercier tous les enseignants et administrateurs de lcole suprieure des communications de Tunis ainsi que tous les membres du jury pour avoir accept de juger ce modeste travail.

Rsum
Les services offerts par les rseaux ad hoc commencent concerner un ensemble dapplications de plus en plus important dont la scurit et le bon fonctionnement sont essentiels. Dans de tels rseaux, un certain nombre de nuds mobiles collaborent pour relayer les donnes sans le recours une infrastructure existante ou tout genre dadministration centralise. Cependant les nuds peuvent cesser de cooprer soit causes des pannes ou aprs avoir t corrompus par des attaques. Le but de ce projet est de fournir un modle gnrique permettant de rendre une application distribue robuste aux attaques tout en laissant inchange son architecture. Un tel modle ayant pour vacation de garantir la tolrance aux fautes et aux intrusions, se base sur lvaluation de la confiance de chaque nud du rseau en sinspirant de la logique subjective. Il intgre aussi des mcanismes tels que les listes noires et les firewalls distribus, assurant lisolement des nuds ayant t jugs corrompus compte tenu de leurs niveaux de confiance. Enfin, nous validons les rsultats de limplmentation de lapproche avec un simulateur dvelopp en Java. Mots Cls : Rseaux ad hoc, Scurit, Architecture, Tolrance, Nuds corrompus, Confiance, Logique subjective, Localisation, Isolement.

Sommaire
Introduction Gnrale...........................................................................................1

Chapitre I : Les concepts de base des rseaux ad hoc ......................... 3

I- Introduction.......................................................................................................3 II- Prsentation des rseaux Ad Hoc....................................................................3 II-1- Les caractristiques des rseaux Ad Hoc.........................................................4 II-2- Le concept de groupes.....................................................................................6 II-3- Les applications des rseaux Ad Hoc ..............................................................7 III- Le routage dans les rseaux Ad Hoc..............................................................8 III-1- Classification des protocoles de routage ........................................................9
III-1-1- Les protocoles proactifs ...........................................................................................9 III-1-2- Les protocoles ractifs ...........................................................................................10 III-1-3- Les protocoles hybrides .........................................................................................11

III-2- Taxonomie des protocoles de routage ..........................................................11 III-3- Le problme de routage dans les rseaux Ad Hoc ........................................12 IV- La consommation de lnergie .....................................................................13 V- Conclusion ......................................................................................................15

Chapitre II : Les rseaux Ad Hoc et la scurit ................................. 16

I- Introduction.....................................................................................................16 II- Vulnrabilits des rseaux Ad Hoc ...............................................................16 III- Les types des attaques ..................................................................................17 III-1- Lattaques Spoofing.....................................................................................19 III-2- Lattaque Rushing........................................................................................19 III-3- Lattaque Sinkhole.......................................................................................20
i

III-4- Lattaque Wormhole ...................................................................................20 III-5- Lattaque privatisation de sommeil ..............................................................20 III-6- Les attaques de violation de lintgrit.........................................................21 III-7- Les attaques de dni de service ....................................................................21 IV- La dtection dintrusions..............................................................................21 V- La scurit des rseaux Ad Hoc.....................................................................25 V-1- La dtection dintrusions dans les rseaux Ad Hoc .......................................26
V-1-1 Les IDS individuels ..................................................................................................26 V-1-2- Les IDS coopratifs.................................................................................................27 V-1-3 Les IDS hirarchiques ..............................................................................................27

V-2- Le routage scuris dans les rseaux ad hoc..............................................28

V-2-1 Secure Routing Protocol(SRP) .................................................................................28 V-2-2- Authenticated Routing Ad Hoc Network (ARAN) .................................................30

VI- Conclusion.....................................................................................................31

Chapitre III : Etude et conception de l'architecture.......................... 33

I- Introduction.....................................................................................................33 II- La tolrance aux intrusions ...........................................................................33 III- Le concept de la confiance ...........................................................................34 III-1- Dfinition de la confiance ............................................................................34 III-2- Les proprits de la confiance......................................................................35 III-3- Intrt du concept ........................................................................................35 III-4- La confiance selon la logique subjective......................................................36 IV- Synoptique de larchitecture propose ........................................................37 IV-1- Le gestionnaire de la scurit.......................................................................40 IV-2- Le gestionnaire de la confiance....................................................................41 IV-3- Le gestionnaire des routes............................................................................42 IV-4- Le gestionnaire des ressources.....................................................................43 V- Lvaluation de la confiance ..........................................................................44 VI- Routage bas sur le modle de la confiance ................................................45 VII- Lchange des listes noires..........................................................................46 VIII- La dtection des attaques sur le protocole de routage .............................47
ii

VIII-1- Lattaque Dropping Routing traffic...........................................................48 VIII-2- Modification du numro de squence........................................................49 VIII-3- Epuisement des ressources ........................................................................51 IX- Les pare-feux distribus dployer.............................................................52 X- Conclusion ......................................................................................................52

Chapitre IV : Implmentation et tude des performances................ 53

I- Introduction.....................................................................................................54 II- Implmentation et simulation........................................................................54 II-1 Lenvironnement de programmation ..............................................................54 II-2- Description de lapplication ..........................................................................55 II-3- Le simulateur ................................................................................................58
II-3-1- Changement de la topologie et dcouverte des voisins...........................................59 II-3-2- Gnration du trafic de routage ...............................................................................60 II-3-3- Gnration des attaques...........................................................................................60 II-3-4- Mise jour des niveaux de confiances des noeuds .................................................61 II-3-5- Les listes noires .......................................................................................................63

II-4- Les paramtres de la simulation ....................................................................64 III- Rsultats et tude des performances ...........................................................65 IV- Conclusion.....................................................................................................70 Conclusion et Perspectives..................................................................................71 Biblographie ........................................................................................................73

iii

Liste des figures

Figure 1-1 : Modlisation dun rseau Ad Hoc...............................................................................4 Figure 1-2 : La mobilit dans les rseaux ad hoc .............................................................................5 Figure 1-3: Rseau structure plate .................................................................................................6 Figure 1-4: Rseau ad hoc multicouches..........................................................................................7 Figure 1-5 : Lapproche proactive..................................................................................................10 Figure 1-6 : Lapproche ractive ....................................................................................................11 Figure 1-7 : Taxonomie des protocoles de routage pour les rseaux ad hoc .................................12 Figure II-1: Lattaque MAC Spoofing ...........................................................................................19 Figure II-2 : Lattaque tunneling....................................................................................................21 Figure II-3 : Architecture d'un systme de dtection d'intrusions..................................................22 Figure II-4 : Dtection par signatures ............................................................................................23 Figure II-5 : Lapproche comportementale ....................................................................................24 Figure II-6 : IDS coopratif par agents mobiles............................................................................27 Figure II-7 : Modlisation de SRP .................................................................................................28 Figure II-8 : SRP comme extension dun protocole de routage ractif.........................................29 Figure III-1 : Synoptique de la couche tolrance ...........................................................................40 Figure III-2 : Exemple dinteraction entre les diffrents modules .................................................42 Figure III-3 : Procdure de Handshake ..........................................................................................47 Figure III-4 :Procdure de dtection de lattaque Dropping routing traffic .............................49 Figure III-5 :Procdure de dtection de la modification du numro de squence..........................50 Figure III-6 :Procdure de dtection de lattaque Resource Deplition .....................................51 Figure IV-1 : Organigramme de lapplication................................................................................57 Figure IV-2: Interface du simulateur..............................................................................................59 Figure IV-3 : La procdure Path Discovery .............................................................................60 Figure IV-4 :Trust_Table au niveau dun nud son entre au rseau.........................................62 Figure IV-5 : Trust_Table au niveau du nud N 13 au cours de la simulation ...........................63

iv

Figure IV-6 : Black_List maintenue par un nud..........................................................................64 Figure IV-7: Le taux de dtection en fonction de la vitesse des nuds.........................................67 Figure IV-8: La rapidit de lalgorithme........................................................................................68 Figure IV-9 : Mise jour du niveau de confiance dun noeud corrompu ......................................69

Liste des tableaux

Tableau IV-1 : Les paramtres de la simulation.............................................................................65 Tableau IV-2 : Statistiques de la dtection des attaques ................................................................66

vi

Liste des abrviations

ABIDS AODV ARAN CH DSDV HIDS IDS LIDS MAC MANET NIDS RDP RREQ RREP RERR SA SLP SRP SSL Application Based IDS Ad Hoc On Demand Distance Vector Authenticated Routing Ad Hoc Network Cluster Head Destination Sequence Distance Vector Host IDS Intrusion Detection System Local IDS Message Authentication Code Mobile Ad Hoc NETwork Network IDS Route Discovery Packet Route Request Message Route Reply Message Route Error Message Security Association Service Location Protocol Secure Routing Protocol Secure Socket Layer

vii

Introduction Gnrale

Introduction Gnrale
L'essor des technologies sans fil, offre aujourd'hui de nouvelles perspectives dans le domaine des tlcommunications. En effet, le nouvel environnement rsultant appel lenvironnement mobile, permet aux units de calcul, une libre mobilit et il ne pose aucune restriction sur la localisation des usagers. De plus, il offre une grande flexibilit d'emploi. En particulier, les environnements mobiles permettent la mise en rseau de sites dont le cblage serait trop onreux raliser, voire impossible. Les rseaux mobiles sans fil, peuvent tre classs en deux grandes catgories : les rseaux avec infrastructure qui utilisent gnralement le modle de la communication cellulaire, et les rseaux sans infrastructure ou les rseaux ad hoc. Les MANETs, ou rseaux sans fil ad hoc, sont des rseaux ne disposant daucune infrastructure prexistante et forms de noeuds mobiles interconnects par des liaisons sans fil. Leurs architectures voluent au gr de lapparition et du mouvement des noeuds. Labsence dinfrastructure se traduit par la ncessit de mettre en place des solutions adaptes reposant sur la participation de lensemble des noeuds formant le rseau ad hoc. Avec leurs caractristiques particulires telles que la mobilit et la facilit de mise en place, les rseaux ad hoc sont dploys dans diverses applications comme les PANs (Personal Area Network), les oprations de secours et de sauvetage ainsi que les applications militaires et tactiques. Du point de vue de la scurit, les rseaux ad hoc soulvent de nombreux problmes en comparaison aux rseaux avec infrastructure. En effet, comme les rseaux ad hoc sont dynamiques et les nuds peuvent se dplacer librement, il ya des possibilits quun ou plusieurs nuds soient capturs et deviennent corrompus surtout si le rseau est dploy dans un environnement hostile. Une telle situation montre que la confiance entre les nuds nest pas garantie. Des travaux se sont alors intresss la dfinition et la gestion de la notion de confiance dans les rseaux ad hoc. Le principe fondamental de ces diffrents travaux est

Introduction Gnrale

gnralement la collaboration entre les noeuds en vue de schanger et de grer des degrs de confiance. L'objectif de ce projet de fin dtudes intitul Architecture pour la localisation et lisolement des nuds corrompus dans un rseau ad hoc est de proposer une approche permettant dintgrer la notion de confiance dans la gestion de la scurit dans les rseaux ad hoc, en vue de localiser et isoler les nuds ayant t corrompus. Une telle approche, veut garantir la subsistance du rseau et de ses activits en dpit des attaques et des menaces lances partir de nuds de lintrieur du rseau. Labsence dinfrastructure et les autres caractristiques particulires des rseaux ad hoc nous a fait sentir la ncessit dintgrer, au sein de chaque noeud, diffrents modules permettant dassurer sa propre scurit, et participant, globalement, la scurit du rseau ad hoc. Pour cela le travail a t organis comme suit : un premier chapitre dans lequel nous donnons un aperu sur ltat de lart des rseaux ad hoc. Le deuxime chapitre aborde le problme de la scurit. Son principal objectif est de donner une tude synthtique des vulnrabilits, des attaques ainsi que des principales stratgies proposes pour scuriser les rseaux ad hoc. Quant au troisime chapitre, il dcrit larchitecture propose avec tous ses modules et les mcanismes dployer pour arriver faire face aux activits malveillantes issues de nuds corrompus. Dans le dernier chapitre, une description de limplmentation de la solution sera faite et une valuation et analyse des rsultats obtenus par simulation seront prsentes. Nous finirons ce rapport par la conclusion gnrale qui va rsumer nos objectifs estims et les limites de notre ralisation tout en voquant les problmes que nous avons rencontrs et les amliorations envisageables

Chapitre 1

Chapitre I

Les Concepts de base des rseaux Ad Hoc

I- Introduction
Le domaine des rseaux ad hoc suscite de plus en plus dintrts depuis quelques annes. La particularit de ce type de rseau est quil na aucune infrastructure fixe prexistante linverse dautres types de rseaux comme les rseaux cellulaires GSM. Cette tude bibliographique consiste donner ltat de lart sur le contexte dans lequel volue ce nouveau paradigme des rseaux sans fil.

II- Prsentation des rseaux Ad Hoc

Un rseau mobile ad hoc, appel gnralement MANET, consiste en une grande population, relativement dense, d'units mobiles qui se dplacent dans un territoire quelconque et dont le seul moyen de communication est l'utilisation des interfaces sans fil, sans l'aide d'une infrastructure prexistante ou dune administration centralise. Aussi, un tel rseau est capable de rendre transparentes aux utilisateurs mobiles les modifications de topologie quil subit . Le groupe MANET de lIETF fournit une dfinition plus prcise en introduction de la RFC 2501 [1] qui est la suivante : Un rseau ad hoc comprend des plates-formes mobiles (par exemple, un routeur interconnectant diffrents htes et quipements sans fil) appeles noeuds qui sont libres de se dplacer sans contrainte. Un rseau ad hoc est donc un systme autonome de noeuds mobiles. Ce systme peut fonctionner dune manire isole ou sinterfacer des rseaux fixes au travers de passerelles. Dans ce dernier cas, un rseau ad hoc est un rseau dextrmit. Il nen reste pas moins que la terminologie rseau ad hoc est relativement peu explicite. Cest sans doute la raison pour laquelle la communaut scientifique la remplace parfois par celle de rseau spontan (spontaneous network).

Chapitre 1

Un rseau ad hoc peut aussi tre modlis par un graphe Gt = (Vt, Et), o : Vt reprsente l'ensemble des noeuds (i.e. les units ou les htes mobiles) du rseau et Et modlise l'ensemble des connections qui existent entre ces nuds. Si e = (u, v) appartient Et, cela veut dire que les noeuds u et v sont en mesure de communiquer directement l'instant t. La figure I-1 suivante reprsente un rseau ad hoc de 10 units mobiles sous forme dun graphe :

Figure 1-1 : Modlisation dun rseau Ad Hoc

Les rseaux ad hoc ont les avantages suivants par rapport aux rseaux filaires ou point daccs :

Ils sont faciles dployer : il suffit de mettre en place plusieurs machines pour que le rseau existe. Ceci rend la construction dun rseau ad hoc rapide et peu onreuse. Les nuds sont mobiles : labsence de cblages autorise les noeuds se dplacer lun par rapport aux autres au cours du temps. Ils sont volutifs : pour ajouter un noeud un rseau ad hoc prexistant, il suffit dapprocher le nouveau venu dau moins lun des membres du rseau. De mme il suffit de len loigner pour le retirer du rseau (cela peut cependant poser des problmes de scurit, dauthentification et dattribution dadresses).

II-1- Les caractristiques des rseaux Ad Hoc

Les rseaux ad hoc en tant que nouveau paradigme des rseaux sans fil prsentent de nombreuses caractristiques dont certaines leur sont bien spcifiques et les diffrencient des rseaux mobiles classiques [2] : Une topologie dynamique : Les units mobiles du rseau, se dplacent d'une faon libre et arbitraire. Par consquent, la topologie du rseau peut changer, des instants
4

Chapitre 1

imprvisibles, d'une manire rapide et alatoire. Les liens de la topologie peuvent tre uniou bidirectionnels.
1 5 3 4 1 4 4

2
5

2
3 3 6 Topologie (t+1) Topologie (t+2)

6 Topologie initiale (t)

Figure 1-2 : La mobilit dans les rseaux ad hoc

Une bande passante limite : Une des caractristiques primordiales des rseaux bass sur la communication sans fil est l'utilisation d'un mdium de communication partag. Ce partage fait que la bande passante rserve un hte soit modeste.

Des contraintes d'nergie : Les htes mobiles sont aliments par des sources d'nergie autonomes donc restreintes, comme les batteries. Le paramtre d'nergie doit tre pris en considration dans tout contrle fait par le systme.

Des liens versatiles : les transmissions radio sont trs sensibles aux conditions de propagation, ce qui les rend versatiles. Un contrle de la qualit des liens est obligatoire afin de pouvoir les exploiter convenablement pour les communications radio.

Une scurit physique limite : Les rseaux mobiles ad hoc sont plus touchs par le paramtre de scurit, que les rseaux filaires classiques. Cela se justifie entre autres par les vulnrabilits des liens radio aux attaques, ainsi que les contraintes et limitations physiques qui font que le contrle des donnes transfres doit tre minimis. De plus, les dtections des signaux et les rceptions passives peuvent espionner les communications radio si ces dernires ne sont pas protges.

L'absence d'infrastructure : Les rseaux ad hoc se distinguent des autres rseaux mobiles par l'absence d'infrastructure prexistante et de tout genre d'administration centralise. Les htes mobiles sont responsables d'tablir et de maintenir la connectivit du rseau d'une manire continue.

Lauto configuration : Les rseaux ad hoc sont capables de se configurer sans intervention dadministrateur. Cette configuration consiste au choix dune adresse IP, la dtermination
5

Chapitre 1

des serveurs DNS du rseau, la dtermination du protocole de routage et daccs au mdium... Cette configuration se fait alors grce une coopration entre les noeuds du rseau.

Equivalence des noeuds du rseau : Dans un rseau classique, il existe une distinction nette entre les noeuds terminaux (stations, htes) qui supportent les applications et les noeuds internes (routeurs par exemple) du rseau, en charge de lacheminement des donnes. Cette diffrence nexiste pas dans les rseaux ad hoc car tous les noeuds peuvent tre amens assurer des fonctions de routage.

Communication par lien radio : Les communications entre les noeuds se font par lutilisation dune interface radio. Il est alors important dadopter un protocole daccs au mdium qui permet de bien distribuer les ressources radio et ceci en vitant le plus possible les collisions et en rduisant les interfrences. Les technologies de communication sans fil sont alors indispensables la mise en place dun rseau ad hoc. Malgr des progrs trs importants, leurs performances restent et resteront en de de celles des technologies des rseaux filaires.

II-2- Le concept de groupes

Les rseaux ad hoc sans fil peuvent tre configurs essentiellement de deux manires [3]: Rseau structure plate (flat network infrastructure) : Dans ce cas, comme le montre la figure I-3, tous les nuds sont considrs gaux et donc vont participer tous dans la fonction de routage

Figure 1-3: Rseau structure plate

Rseau structure multicouches : Les rseaux ad hoc multicouches sont diviss en un ensemble de cellules ou de groupes. Cette division permet dorganiser le rseau et de faciliter la fonction de routage. En effet, comme il est prsent dans la figure I-4, le rseau est divis en groupes (cellules ou encore clusters ) dynamiques chacun ayant un chef de groupe (CH : Cluster Head) qui joue le rle dun routeur pour les autres noeuds de son groupe. Le choix du chef de groupe se fait par un algorithme de vote o llection se fait
6

Chapitre 1

souvent soit base de connexions tablies par un noeud soit base didentifiants. Dans ce type de rseaux, la fonction de routage ne se fait pas par tous les noeuds mais par les chefs de groupes. Toutefois un chef de groupe peut changer tout moment et ceci en fonction des mouvements des noeuds.

Figure 1-4: Rseau ad hoc multicouches

Un exemple de formation de clusters avec le protocole CBRP (Cluster Based Routing Protocol) peut se prsenter comme suit: Les noeuds schangent des messages Hello pour connatre leurs voisins. Election du chef de cluster avec le plus petit identifiant qui est unique pour chaque nud. Un noeud nayant pas de chef de groupe comme voisin se dsigne chef de groupe. Le chef de groupe considre tous ses voisins comme membres de son groupe.

Les rseaux ad hoc multicouches prsentent des caractristiques intressantes pour la scurit. En fait, ces rseaux sont caractriss par la prsence de points de concentrations de trafic au niveau des chefs de groupes jouant le rle de routeurs. Dautre part, le rle dadministrateur jou par le Cluster Head dans son groupe permet davoir une architecture favorable limplmentation de diffrents mcanismes de scurit.

II-3- Les applications des rseaux Ad Hoc

Bien que les projets relatifs aux rseaux sans fil en gnral et aux rseaux ad hoc en particulier aient dbut dans un cadre militaire pur, leurs domaines dapplication stendent bien au-del du cadre militaire [4]. Les rseaux sans fil sont en fait plus faciles dployer dans des btiments o il est impossible dinstaller des cbles convenablement tels que les vieux btiments ou les sites classs (chteaux et monuments historiques).
7

Chapitre 1

Les rseaux ad hoc sans fil offrent une grande flexibilit ainsi quune rapidit et une facilit de mise en place. Ils seront alors dun grand apport lors des catastrophes naturelles ou des incendies, o il sera indispensable de disposer rapidement dun rseau pour organiser les secours et les oprations de sauvetage. Ces rseaux de secours (Emergency Networks) sont utiliss encore par la police, les pompiers ou encore les mdecins . On peut aussi avoir recours ce type de rseau, lorsquon veut interconnecter des btiments moindre cot, sans avoir besoin de la location dune liaison spcialise chez un oprateur. Dans les campus universitaires, lutilisation des rseaux sans fil peut tre trs utile pour les tudiants qui pourront se connecter sur leurs comptes et travailler partir de la bibliothque ou de leurs chambres. Un autre exemple dutilisation des rseaux ad hoc est au niveau des vhicules (Intervehicle Networks). Les communications entre ces vhicules assurent le transfert des messages de demande de secours ou des messages sur les conditions de la route. Les applications ayant recours aux rseaux ad hoc couvrent alors un trs large spectre, incluant les applications militaires et de tactique, les bases de donnes parallles, l'enseignement distance, les systmes de fichiers rpartis, la simulation distribue interactive ou encore les applications de calculs distribus ou mta-computing. D'une faon gnrale, les rseaux ad hoc sont utiliss dans toute application o le dploiement d'une infrastructure rseau filaire est trop contraignant, soit parce que il est difficile mettre en place, soit parce que la dure d'installation du rseau ne justifie pas de cblage demeure.

III- Le routage dans les rseaux Ad Hoc

Les rseaux ad hoc doivent tre aptes se crer et sorganiser dynamiquement. Ces rseaux, dans lesquels les noeuds sont la fois des terminaux et des routeurs, ncessitent la mise en oeuvre de protocoles de routage spcifiques pour lacheminement des messages [5]. Les protocoles de routage destins ce genre de rseaux doivent satisfaire essentiellement les critres suivants: Distribution : Un rseau ad hoc ne doit dpendre daucune entit centralise,comme cest le cas pour les rseaux cbls. Loop-free : Un rseau ad hoc doit gnrer des routes sans cycle (boucle de routage). Souplesse : Un rseau ad hoc doit sauvegarder les diffrentes routes afin de ragir rapidement aux changements dynamiques de la topologie.
8

Chapitre 1

Economie : Un rseau ad hoc doit utiliser le mode en veille pour conserver au maximum lnergie au niveau des noeuds. Qualit de service: Un rseau ad hoc doit assurer une certaine forme de qualit de service qui dpend du domaine dutilisation du rseau.

III-1- Classification des protocoles de routage

Dans la plupart des cas, le noeud destination ne se trouve pas obligatoirement dans la porte dmission du noeud source, ce qui implique que l'change des donnes entre deux nuds quelconques doit tre effectu par des stations intermdiaires. La gestion de cet acheminement de donnes, ou routage, implique l'tablissement d'une certaine architecture globale qui tient compte de la mobilit des units et de la versatilit du mdium physique. La stratgie ou le protocole de routage est utilise dans le but de dcouvrir les chemins qui existent entre les nuds. Le but principal d'une telle stratgie est l'tablissement de routes qui soient correctes et efficaces entre une paire quelconque d'units, ce qui assure l'change des messages d'une manire continue. Actuellement, deux grandes familles de protocoles ont t dfinies, les protocoles ractifs et les protocoles proactifs [6]. III-1-1- Les protocoles proactifs Les protocoles proactifs sont les plus proches des protocoles de routage dans les rseaux cbls. Ils reposent sur le principe de tables stockes dans chaque routeur (dans chaque nud). Lorsqu'un nud du rseau souhaite communiquer avec un autre, il peut localement interroger la table de routage dont il dispose et donc chercher une route. Le routage peut ainsi tre effectu de proche en proche, l'image du routage IP. Du fait de l'aspect dynamique de la topologie du rseau, la maintenance des tables de routage ncessite l'envoi priodique par chaque nud de messages de signalisation indiquant sa prsence tous ses voisins. Le cot d'envoi d'un message est lev, cest ainsi que des travaux sont actuellement effectus pour limiter le nombre des messages transmettre pour la maintenance des tables de routage.

Chapitre 1

Figure 1-5 : Lapproche proactive

III-1-2- Les protocoles ractifs Les protocoles ractifs ne ncessitent pas le stockage de tables de routage au niveau des nuds du rseau. Comme il apparat dans la figure I-6, lorsqu'un nud souhaite communiquer avec un autre, il va tout d'abord chercher une route vers son correspondant en envoyant un message de signalisation particulier tous ceux qui peuvent l'entendre. Ce message route discovery va alors se propager de proche en proche par diffusion jusqu' atteindre le destinataire tout en accumulant des informations sur le chemin suivi. Ce destinataire, la rception du message dtablissement de chemin, rpondra alors par un autre message de signalisation contenant la route ainsi dtermine. Cette rponse sera achemine jusqu' l'metteur soit en suivant le chemin inverse, soit par une nouvelle route qui sera dcouverte par inondation. L'metteur pourra alors commencer le transfert des donnes envoyer. Cette technique ncessite alors de stocker dans chaque nud les routes actives. Une fois que le chemin est dtermin, on utilise la procdure de route maintenance pour informer lmetteur si ventuellement une erreur de routage sest produite : Chaque routeur du chemin dtermine si le lien prochain est toujours valide en utilisant la technique dacquittement Passive Acknowledgement . Si le prochain noeud nest pas valide, le routeur en question renvoie un message derreur route failure avec son adresse et celle du lien invalide. A la rception de ce message , toutes les routes contenant ce noeud erron sont supprimes du cache et la procdure route discovery sera lance nouveau.

10

Chapitre 1

Figure 1-6 : Lapproche ractive

III-1-2- Les protocoles hybrides Les protocoles hybrides constituent un mlange des deux mcanismes prcdents. En effet, un protocole de routage hybride a un comportement proactif lorsque le destinataire est moins d'un nombre fix k de sauts de l'metteur, et un comportement ractif au-del de k sauts. Dune faon gnrale, les protocoles de routage proactifs ne se sont pas adapts aux rseaux de taille importante (nombre de noeuds suprieur 100) et forte mobilit. Une premire solution pour ce type de rseau est lutilisation de protocoles dits hirarchiques (tels que HSR, FSR). Une seconde solution peut tre lutilisation dun protocole ractif. Ce type de routage permet de grer de trs larges rseaux si la mobilit des noeuds reste faible. Dautre part, le calcul dune route sur demande est trs pnalisant pour un trafic multimdia demandant des garanties en matire de qualit de service.

III-2- Taxonomie des protocoles de routage

La figure I-7 prsente une taxonomie des protocoles de routage pour les rseaux ad hoc [7]. Ces protocoles se diffrencient d'abord par le niveau d'implication des noeuds dans le routage. Ils sont dits uniformes si tous les noeuds du rseau jouent le mme rle pour la fonction de routage. Ils peuvent l'inverse tre non uniformes si une structure hirarchique est donne au rseau et que seuls certains noeuds assurent le routage. Ainsi, dans les protocoles slection de voisins, chaque noeud sous-traite la fonction de routage un sous ensemble de ses voisins directs alors que pour les protocoles partitionnement, le rseau est dcoup en zones dans lesquelles le routage est assur par un unique noeud matre. Dans les protocoles orients topologie, plus connus sous le nom de link-state protocols, chaque noeud utilise comme donnes l'tat de ses connexions avec ses noeuds voisins, cette information est ensuite transmise aux autres noeuds pour leur donner une connaissance plus prcise de la topologie du rseau.
11

Chapitre 1

Figure 1-7 : Taxonomie des protocoles de routage pour les rseaux ad hoc

Des tudes comparatives montrent que certains protocoles sont plus performants que d'autres selon les caractristiques du rseau. Par exemple, AODV, DSR ou GSR sembleraient convenir des rseaux forte mobilit, tandis que TORA est mieux adapt des rseaux plus statiques. A l'heure actuelle, aucun protocole de routage dans les rseaux ad hoc n'a t adopt au sein de l'IETF. Les diffrents protocoles prsents ne sont encore que des drafts et restent en cours de dveloppement et/ou de spcification. Certaines propositions ont t abandonnes et les plus abouties sont AODV (RFC 3561), DSR et OLSR (RFC 3626). Les deux premiers protocoles sont parmi les plus anciens, ils ont fait lobjet de simulations comparatives dtailles et sont pris en considration par lIETF pour la standardisation .

III-2- Le problme de routage dans les rseaux Ad Hoc

Un rseau ad hoc doit s'organiser automatiquement de faon tre dployable rapidement et pouvoir s'adapter aux conditions de propagation, au trafic et aux diffrents mouvements des units mobiles. Dans le but d'assurer la connectivit du rseau, et ce malgr l'absence d'infrastructure fixe et la mobilit des stations, chaque noeud est susceptible d'tre mis contribution pour participer au routage et pour retransmettre les paquets d'un noeud qui n'est pas en mesure d'atteindre sa destination. Chaque noeud participe donc au processus de routage qui lui permet de dcouvrir les chemins existants, afin d'atteindre les autres noeuds du rseau. Le fait que la taille d'un rseau ad hoc puisse tre norme, fait que la gestion du routage dans un tel environnement doit tre compltement diffrente des approches utilises dans le routage classique.

12

Chapitre 1

Le problme qui se pose dans le contexte des rseaux ad hoc est l'adaptation de la mthode d'acheminement utilise avec le grand nombre d'units existant dans un environnement caractris par de modestes capacits de calcul et de sauvegarde. Dans un rseau large, le manque de donnes de routage concernant les destinations peut impliquer une diffusion norme dans le rseau, ce ci uniquement lors de la phase de dcouverte de routes. Dans ce cas, le trafic caus par la diffusion est rajout au trafic dj existant dans le rseau ce qui peut dgrader considrablement les performances de transmission du systme caractris principalement par une faible bande passante. Le routage pose aussi un problme de scurit puisque le protocole de routage peut tre sujets des attaques diverses qui visent perturber le fonctionnement de lensemble du rseau. Les attaques possibles ainsi que certaines solutions envisageables pour le routage vont tre tudies avec plus de dtail dans le chapitre qui suit. En rsum, le problme de routage est plus compliqu cause de la non uniformit de la transmission sans fil et de la possibilit du dplacement imprvisible de tous les noeuds concerns par le routage.

IV- La consommation de lnergie

Les terminaux dans un rseau ad hoc sont gnralement aliments par des batteries de dure de vie limite [8], ce qui est le cas pour la plupart des rseaux sans fil avec infrastructure. Cependant, la diffrence rside dans le fait que pour les rseaux avec infrastructure, les stations de base ne souffrent d'aucune limitation nergtique, la contrainte d'nergie ne se pose qu'au niveau des stations mobiles. C'est pourquoi les stratgies adoptes pour ces rseaux se basent sur la consommation de l'nergie dans les stations de base, pour maximiser la dure de vie des batteries au niveau des terminaux. Cette approche n'est plus valable si l'on parle des rseaux ad hoc qui ne bnficient d'aucune infrastructure prexistante. D'autre part, dans les rseaux avec infrastructure, les terminaux oprent indpendamment les uns des autres en utilisant les stations de base pour communiquer entre eux. La gestion de l'nergie pour un nud ne concerne alors que ses applications locales propres lui. Or ce n'est plus le cas pour les rseaux ad hoc puisque les nuds sont lis et interdpendants entre eux et doivent cooprer pour assurer surtout les besoins de routage. Il est ainsi important davoir recours des stratgies qui auront pour but de maximiser la dure de vie des stations et donc du rseau tout entier.
13

Chapitre 1

L'objectif principal pour un rseau ad hoc est que les terminaux mobiles soient utiliss au maximum n'importe o et n'importe quand. Ce ci repose sur les dveloppements logiciels de nouveaux protocoles de routage intelligents , qui prennent en compte les spcificits dun tel rseau. Ce problme se pose surtout au niveau de la couche rseau lors du choix du protocole de routage puisque chaque famille de protocole a ses propres avantages et inconvnients relativement la consommation de l'nergie. Les principaux facteurs qui affectent la consommation des batteries dans un rseau ad hoc sont lis aux diffrentes couches du modle de rfrence. Au niveau physique : l'utilisation des batteries est due l'alimentation des ressources propres du terminal, quil sagit de microprocesseurs ou de mmoires daffichage, Au niveau liaison de donnes et rseau : les fonctionnalits des protocoles permettant d'assurer la liaison entre les stations pendant une communication consomment aussi de l'nergie. Par exemple, les protocoles de contrle de collision, de congestion et de routage. Au niveau application : les ressources en nergie des stations sont puises par les nouvelles applications qui commencent merger, par exemple celles qui utilisent des calculs pour la compression ou le cryptage de donnes. L'nergie consomme par l'interface radio d'une station mobile dpend de son mode oprationnel. En effet, un nud dans un rseau ad hoc peut tre en tat d'mission, de rception ou bien de veille. Dans ce dernier cas, la consommation de l'nergie est due au fait que le noeud doit couter le canal pour dtecter l'arrive d'un paquet qui lui est destin. Cependant on peut ngliger l'nergie consomme en mode veille en comparaison aux deux autres tats, cause du nombre important d'lments des circuits qui doivent tre aliments en mode transmission ou rception. Entre ces deux modes, il convient de noter qu'une transmission est davantage coteuse qu'une rception. Une veille est donc la moins coteuse. Les contraintes des rseaux ad hoc en termes dnergie peuvent tre exploites pour mener des attaques contre le rseau. Il peut sagir par exemple de lpuisement des ressources dun nud en lui adressant un trafic non ncessaire de manire excessive pour lui faire perdre son nergie.

14

Chapitre 1

V- Conclusion
Les rseaux mobiles ad hoc se prsentent comme une nouvelle technologie des rseaux mobiles. Ces rseaux se caractrisent par l'absence de toute infrastructure prexistante, par la mobilit non restreinte des nuds et la capacit de se dployer rapidement et de manire aise. Cependant, les rseaux Ad Hoc ne reprsentent pas seulement des nouveaux potentiels mais incarnent aussi de nouveaux risques et de nouvelles contraintes pour la scurit. Do la ncessit de dploiement de nouveaux mcanismes pour la scurit tout en tenant compte des caractristiques particulires de ces rseaux comme la mobilit des noeuds, la dynamicit de la topologie et les contraintes en termes de bande passante et dnergie. Dans ce sens, le prochain chapitre donnera un aperu sur la scurit dans les rseaux ad hoc.

Fin du chapitre 1

15

Chapitre 2

Chapitre II

Les rseaux Ad Hoc et la scurit

I- Introduction
Rappelons que les rseaux ad hoc sont des rseaux mobiles qui ne disposent pas d'infrastructure fixe et qui sont caractriss par l'ouverture du mdium, des units mobiles qui se dplacent dans un territoire quelconque et dont le seul moyen de communication est l'utilisation des interfaces radio. Ces caractristiques rendent de tels rseaux plus susceptibles aux intrusions et aux attaques. Nous allons tudier dans ce chapitre les diffrentes vulnrabilits des rseaux ad hoc, les types d'attaques par lesquelles ils peuvent tre menacs avant de prsenter quelques approches pour les scuriser .

II- Vulnrabilits des rseaux Ad Hoc

Cette nouvelle gnration de rseaux pose de nouvelles contraintes et de nouveaux problmes pour la scurit tels que la scurit du processus de routage et le dploiement de mcanismes de scurit dcentraliss [9]. Plusieurs facteurs rendent un tel rseau plus vulnrable quun rseau filaire. Ces facteurs dpendent essentiellement de la nature mobile de lenvironnement et des topologies dynamiques dun rseau ad hoc. Les solutions de scurit existantes ont t gnralement conues pour des rseaux fixes et pour des environnements connus et bien dfinis. Elles ne sont pas donc adaptes des environnements dynamiques tels que les rseaux mobiles ou les rseaux ad hoc, et c'est l leur principale faiblesse. Dans ces types d'environnements o les besoins en scurit sont en perptuelle augmentation, flexibilit et adaptabilit deviennent des critres primordiaux. La premire vulnrabilit des rseaux ad hoc est lie la technologie sans fil sous-jacente. En effet, quiconque possdant le rcepteur adquat peut potentiellement couter ou intercepter les
16

Chapitre 2

messages changs et ceci mme s'il se trouve dans un lieu public ou l'extrieur du btiment o se droulent les changes. Cependant, le principal problme ne se situe pas seulement au niveau du support physique mais principalement dans le fait que tous les noeuds sont quivalents et potentiellement ncessaires au fonctionnement du rseau. Les possibilits de sinsrer dans le rseau sont plus grandes. Les noeuds eux mmes sont des points de vulnrabilits du rseau car un attaquant peut corrompre un lment laiss sans surveillance. L'absence d'infrastructure pnalise l'ensemble du rseau dans la mesure o il faut faire abstraction de toute entit centrale de gestion pour l'accs aux ressources, chose qui rend la dtection des intrusions plus dlicate. Linformation de routage peut tre attaque par des adversaires qui visent perturber le fonctionnement normal du protocole de routage voire corrompre ou capturer des nuds. Une autre difficult est que linformation de routage peut tre invalide soit suite un changement de la topologie soit parce quelle a t issue dun noeud malveillant ce qui fait que la dtection des nuds corrompus travers linformation de routage est une tche difficile. Le routage doit donc tre assez robuste non pas seulement pour faire face aux changements de la topologie mais aussi pour sopposer aux activits malveillantes [10] puisque dans le cas des rseaux ad hoc avec ce quils ont comme proprits bien spcifiques, il ne suffit pas de donner un routage performant et optimal sans tenir compte des besoins en terme de scurit. De plus, ces rseaux hritent de toutes les vulnrabilits propres aux technologies sans fil et peuvent donc tre sujet diffrents types dattaques.

III- Les types des attaques

Une attaque est toute action qui tend compromettre la scurit des informations dtenues par une organisation ou un individu [11]. Les rseaux ad hoc sont susceptibles dtre sujet plusieurs attaques qui essayent dexploiter leurs diffrentes vulnrabilits. Les attaques sur les rseaux ad hoc peuvent se produire de diffrentes manires, de ce fait, leur classification dpend de plusieurs paramtres et on distingue essentiellement les types suivants : Les attaques internes ou externes. Les attaques passives ou actives.
17

Chapitre 2

Les attaques sur des protocoles ou par consommation de ressources. Les attaques individuelles ou attaques distribues.

Les attaques internes se produisent dans le cas dun noeud corrompu. Il est relativement difficile de les dtecter puisque dans ce cas lattaquant a laccs simple au rseau en utilisant le noeud corrompu quil possde. Par contre avec les attaques externes, lattaquant ne fait pas partie du rseau mais peut se connecter de lextrieur cest--dire partir dun autre rseau comme lInternet. Dans un cas pareil, il est difficile de dterminer la source dune attaque puisquil ny a pas de point de concentration de trafic dans le rseau et lattaquant peut joindre le rseau partir de diffrents points daccs. Les attaques dites passives permettent de rcuprer des informations partir des machines ou des paquets transmis entre les diffrents terminaux. Ces attaques peuvent tre trs graves si les informations rcupres sont sensibles (des mots de passe ou des numros de cartes de crdit). Les attaques actives peuvent empcher le rseau de bien fonctionner et ceci en exploitant les failles dans les programmes ou les protocoles utiliss. Ces attaques ont un aspect dsastreux et sont aussi trs dangereuses. Les attaques sur des protocoles sont des attaques qui visent le plus souvent les protocoles qui ncessitent un travail collectif entre les diffrents nuds. Dans ce sens, cest surtout le routage qui pose des problmes spcifiques : en effet, chaque station du rseau peut servir de relais et a donc la possibilit de capturer , dtourner, ou falsifier le trafic en transit... dans lintrt de nuire au bon droulement du processus de routage. Un autre protocole qui est aussi vulnrable que les protocoles de routage est le protocole daccs au mdium. Une attaque dans ce cas peut par exemple consister en une occupation de la bande passante pour une longue dure de manire empcher les autres stations dutiliser le lien radio pour communiquer. Les attaques peuvent tre classes encore en attaques individuelles et attaques distribues. Les attaques individuelles sont simples et elles sont issues dune seule source sans utiliser dautres stations intermdiaires. Cependant, une attaque distribue est une attaque volue invoquant plusieurs stations ou provenant de plusieurs sources. Les attaques distribues sont plus dangereuses et difficiles dtecter puisquelles utilisent plusieurs stations intermdiaires, ce qui a pour effet de rendre difficile la dtermination de la source de ce genre dattaques. Dans ce qui suit, on va numrer quelques attaques par lesquelles les rseaux ad hoc peuvent tre menacs.
18

Chapitre 2

III-1- Lattaques Spoofing

La plupart des protocoles de routage utilisent les adresses MAC ou les adresses IP pour identifier les htes de faon unique. Cependant, la mascarade ou Spoofing de ces deux types dadresses est la mthode la plus simple pour violer lauthentification et la non rpudiation. Dans ce genre dattaques, ladversaire essaye de prendre lidentit dun autre noeud du rseau pour recevoir les messages destins ce dernier. Selon le niveau daccs du noeud imperson (chef de groupe par exemple), lattaquant peut reconfigurer le rseau pour permettre dautres attaquants de le rejoindre ou pour inhiber le fonctionnement des mcanismes de scurit dploys. Cette attaque peut permettre lattaquant davoir laccs mme aux cls de cryptage et dauthentification. En exploitant par exemple les faiblesse des protocoles de la couche MAC des rseaux Ad hoc, lattaquant peut se placer entre deux nuds communicants et se prendre pour lidentit de lun deux ( attaque appele aussi Man-in-the-middle).

Figure II-1: Lattaque MAC Spoofing

Comme il est visible, lorsque le nud malveillant M se place proximit de B et adopte ladresse MAC de A il force B diriger le trafic vers A. De mme il se met porte dmission de C , change son adresse MAC en celle de B de manire que C croit que le bon choix est de diriger le trafic au nud B et il rpte ces deux tapes jusqu former une boucle de routage.

III-2- Lattaque Rushing

Ce type dattaque est spcifique aux protocoles de routage ractifs comme le protocole DSR [12].Selon cette attaque, un noeud corrompu essaye de toucher des messages de demande de chemins (messages ROUTE REQUEST) en modifiant le champ de la liste des nuds puis transmettre ces messages errons aux noeuds suivants. Puisque pour ces protocoles de routage un seul message RREQ dans la dcouverte de chemin est rediffus, le noeud malveillant peut sinclure dans le chemin de la route si son message arrive en premier au noeud destination. Les attaques Rushing peuvent tre dtectes en valuant le mcanisme de dcouverte de chemins.
19

Chapitre 2

III-3- Lattaque Sinkhole

En ralisant lattaque Sinkhole [13], lattaquant vise attirer lui mme les donnes de tous ses voisins. Comme ceci lui donnera accs toutes les donnes mises ou reues par ses voisins, lattaque Sinkhole peut tre la base de plusieurs autres attaques (Eavesdropping ou Data Alteration). Lattaque Sinkhole utilise les boucles-trous (recherche du meilleur chemin) dans les algorithmes de routage des rseaux ad hoc et lattaquant se prsente ses voisins comme le meilleur saut dun chemin de routage multi-sauts. Malgr que les noeuds sont souvent quivalents dans les basses couches dans un rseau ad hoc, lattaque Sinkhole peut tre plus efficace aux couches applicatives o les noeuds ont des rles diffrents. Leffet de lattaque Sinkhole est plus grave pour les rseaux multicouches (organiss en groupes) si lattaquant arrive impersoner un chef de groupe. Les protocoles de routage utilisant les multi-chemins (SMR, AODV et DSDV) et les protocoles probabilistes (PRB) permettent de diminuer limpact de cette attaque.

III-4- Lattaque Wormhole

Lattaque Wormhole [13] est troitement lie lattaque Sinkhole. Dans lattaque Wormhole, lattaquant utilise un chemin en dehors du rseau (en utilisant une frquence hors bande) pour router des messages un autre noeud corrompu. Cette attaque est difficile dtecter puisque le chemin utilis ne fait pas partie de la bande de frquences du rseau. Cependant, lattaque Wormhole seule nest pas grave puisquelle ne permet que de router des messages de manire plus rapide. Mais, elle cause des confusions au niveau des mcanismes de routage et de gestion de la topologie.

III-5- Lattaque privatisation de sommeil

Ce type dattaque propre aux rseaux mobiles ad hoc repose sur lide de demander un service au noeud vis de manire rptitive afin de lui faire gaspiller sa puissance , ses ressources systme et par suite lui empcher de se reposer. Ceci est trs grave pour un rseau ad hoc o les noeuds sont caractriss en gnral par des batteries de dures de vie limites. Cette attaque peut aussi empcher dautres noeuds du rseau de demander des donnes, des services ou des informations de lentit attaque.

20

Chapitre 2

III-6- Les attaques de violation de lintgrit

Ce sont les attaques o des messages incorrects de contrle de chemin sont injects dans le rseau pour renverser ou endommager des tissus d'itinraire [14]. Par exemple, la modification qui peut porter atteinte aux champs de contrle des messages , causer lenvoi de messages de routage errons ou encore la redirection du trafic en modifiant soit le numro de squence soit le nombre de sauts. Un exemple de modification est celui de lattaque tunneling dans laquelle deux ou plusieurs nuds collaborent pour encapsuler des messages entre eux tout en modifiant des mtriques du routage. Comme le montre la figure II-2, les nuds malveillants M1 et M2 prtendent quils ont entre eux le plus court chemin qui mne vers la destination D alors que rellement le message transite aussi travers les nuds A, B et C. Ils ont donc modifi comme mtrique le nombre de sauts.

Figure II-2 : Lattaque tunneling

III-7- Les attaques de dni de service

Certaines attaques prsentes ci-dessus ont laspect de dni de service [15] (Sleep Deprivation) mais les attaques dni de service dans les rseaux ad hoc peuvent avoir plusieurs autres formes. Un attaquant peut par exemple injecter de fausses informations ou des paquets redondants dans le rseau ou encore crer des paquets qui circulent infiniment cause de fausses donnes de routage. Pour les rseaux ad hoc, une attaque du type dni de service peut viser la bande passante, le trafic, les ressources en nergie des noeuds ou la qualit de la transmission (par interfrences).

IV- La dtection dintrusions

On appelle intrusion [10] toute utilisation dun systme informatique des fins autres que celles prvues, gnralement due lacquisition de privilges de faon illgitime. Lintrus est gnralement vu comme une personne trangre au systme informatique qui a russi en prendre le contrle, mais les statistiques montrent que les utilisations abusives (du dtournement
21

Chapitre 2

de ressources lespionnage industriel) proviennent le plus frquemment de personnes internes ayant dj un accs au systme. Une intrusion cause la violation de la confidentialit dun systme lorsquelle permet lattaquant davoir accs aux informations sans autorisation. Elle cause la violation de lintgrit si elle mne modifier des donnes du systme ou des donnes circulant entre les diffrentes stations. Une intrusion peut consister aussi empcher un utilisateur ordinaire davoir accs un service ou une ressource particulire, dans ce cas lintrusion cause la violation de la disponibilit dun service ou dune ressource. La dtection dintrusions consiste analyser les informations collectes par les mcanismes daudit de scurit et en la recherche dventuelles attaques. Les mthodes de dtection dintrusion diffrent selon la mthode avec laquelle se fait lanalyse du journal daudits. Un systme de dtection dintrusions IDS [16] est un processus de contrle et danalyse des vnements dans un rseau pour dtecter et identifier toute tentative dattaque. Les systmes de dtection dintrusions permettent de dtecter les violations de la scurit dans un systme donn et cherchent rduire et ragir contre les ventuelles intrusions. Les systmes de dtection dintrusion comportent des lments communs qui apparaissent comme suit dans la figure II-3.

Figure II-3 : Architecture d'un systme de dtection d'intrusions

Pour classer les systmes de dtection dintrusions, on peut se baser sur plusieurs variables. La principale diffrence retenue est lapproche utilise, qui peut tre soit comportementale, soit par signatures (par scnarios). Il ya certainement dautres paramtres permettant de classer les diffrents systmes de dtection dintrusions comme les sources de donnes daudit, les techniques danalyse, de rponse

22

Chapitre 2

La mthode d'analyse est le principal critre pour slectionner un IDS. Deux mthodes existent aujourd'hui : l'approche comportementale et l'approche par scnarios : Lapproche par signature : Le concept de bibliothque de signatures d'attaque est l'approche la plus basique et la plus ancienne. Cette approche consiste rechercher dans l'activit de l'lment surveill les empreintes (ou signatures) d'attaques connues. Il est ais de comprendre que ce type d'IDS est purement ractif ; il ne peut dtecter que les attaques dont il possde la signature. De ce fait, il ncessite des mises jour quotidiennes. Si les signatures sont errones ou incorrectement conues l'ensemble du systme sera inefficace, c'est pourquoi que ces IDS sont souvent contourns par les pirates qui utilisent des techniques dites d'vasion" qui consistent maquiller les attaques utilises. Ces techniques de maquillage tendent faire varier les signatures des attaques pour quelles ne soient pas reconnues par l'IDS. Ce modle est par contre trs ais implmenter et optimiser. Il permet la sparation du moteur logiciel de la base de signature qui peut ainsi tre mise jour indpendamment. Il permet galement une classification relativement facile de la criticit des attaques signales.

Figure II-4 : Dtection par signatures

Lapproche comportementale : Les modles comportementaux sont apparus bien plus tard que les IDS signatures. Ils ont pour principe la dtection d'anomalies. Leur mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle ils vont dcouvrir le fonctionnement normal des lments surveills. Une fois cet apprentissage est effectu, ces IDS signaleront les divergences par rapport au fonctionnement de rfrence. Les modles comportementaux peuvent tre labors partir d'analyses statistiques ou de techniques proches de l'intelligence artificielle. La principale promesse des IDS comportementaux est la dtection des nouveaux types d'attaques. En effet ces IDS ne sont pas programms pour reconnatre des attaques spcifiques mais signalent toute activit paraissant anormale. De plus, ces IDS signaleront par exemple tout changement dans le comportement d'un utilisateur qu'il soit hostile ou non. De frquents ajustements sont alors
23

Chapitre 2

ncessaires afin de faire voluer le modle de rfrence de sorte qu'il reflte l'activit normale des utilisateurs et rduire le nombre des fausses alertes gnres.

Figure II-5 : Lapproche comportementale

Les diffrents IDS se caractrisent par leur domaine de surveillance [17]. Celui-ci peut se situer au niveau dun rseau dentreprise, dune machine hte, ou dune application La Dtection dintrusion Rseau (NIDS) : Le rle essentiel d'un IDS rseau est l'analyse et l'interprtation des paquets circulant sur ce rseau. Limplantation dun NIDS sur un rseau se fait de la faon suivante : des capteurs sont placs en des endroits stratgiques du rseau et gnrent des alertes sils dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les analyse et les traite. La dtection d'intrusion base sur l'hte : Les systmes de dtection d'intrusion bass sur l'hte ou HIDS (Host IDS) analysent exclusivement l'information concernant lhte. Ils n'ont pas contrler le trafic du rseau mais "seulement" les activits d'une hte et cest la raison pour laquelle ils se montrent gnralement plus prcis dans la dtermination des attaques subies. Dtection d'intrusion base sur une application : Les IDS bass sur les applications sont un sous-groupe des IDS htes. Ils contrlent l'interaction entre un utilisateur et un programme en ajoutant des fichiers de log afin de fournir de plus amples informations sur les activits dune application particulire. Actuellement, les IDS les plus employs sont les NIDS et HIDS, de plus en plus souvent en association. Les ABIDS restent limits une utilisation pour des applications extrmement sensibles. Il existe deux types de rponses, suivant les IDS utiliss. La rponse passive est disponible pour tous les IDS, alors que la rponse active est plus ou moins implmente. Rponse passive : consiste enregistrer les intrusions dtectes dans un fichier log qui sera analys par le responsable de la scurit.
24

Chapitre 2

Rponse active : La rponse active au contraire a pour but de stopper une attaque au moment de sa dtection. Pour cela on dispose de deux techniques : la reconfiguration du firewall (bloquer le trafic malveillant au niveau du firewall) ou linterruption dune connexion (interrompre une session tablie entre un attaquant et la machine cible).

V- La scurit des rseaux Ad Hoc

La scurit dans les rseaux ad hoc est une affaire difficile achever cause du changement dynamique de la topologie, labsence de toute administration centralise en plus des vulnrabilits et des limitation de la transmission sans fil. Un service de scurit est un service qui amliore la scurit du traitement et du transfert des donnes. Il sert contourner les attaques et dployer les mcanismes de scurit. Pour les rseaux ad hoc, les classes des services de scurit les plus importantes sont comme suit [18] : La disponibilit : cest la subsistance du rseau en dpit du dni de service. La confidentialit : vue quil peut sagir dinformations dlicates savoir les informations de routage, ou les informations tactiques et stratgiques si le rseau est dploy dans un cadre militaire. Lintgrit : On doit vrifier surtout si laltration dun message est due un chec quelconque au niveau dun lien du rseau ou si cest le rsultat dune activit malicieuse quelconque. Lauthentification : Cooprer au sein de tels rseaux prsente un risque s'il n'y a aucun contrle des participants. L'authentification des parties apparat donc comme la pierre angulaire d'un rseau sans fil ad hoc scuris. La non rpudiation : une telle proprit fait que lmetteur dun message ne peut pas prtendre ne pas lenvoyer et de ce fait elle est surtout utile pour dtecter les nuds corrompus et pouvoir les isoler par la suite. Les solutions existantes qui sont utilises dans les rseaux filaires peuvent tre employes pour garantir un certain niveau de scurit. Cependant, ces solutions ne sont pas toujours adquates pour les rseaux mobiles. Il y a deux principales approches pour scuriser les rseaux ad hoc et qui sont les plus couramment utilises. La premire approche est la dtection dintrusions qui a pour but de doter les nuds de mcanismes pour dtecter et viter les comportements malveillants sans modifier le protocole de routage ou linfrastructure sous-jacente. Mais malgr que le domaine de la dtection
25

Chapitre 2

des intrusions et ses applications varies sont beaucoup utiliss dans les rseaux avec infrastructure, il reste nouveau et rencontre des difficults pour lutiliser dans le contexte des rseaux ad hoc. La seconde approche est le routage scuris dont le but est de concevoir et implmenter des protocoles de routage contenant des mcanismes de scurit : ils partent la plupart du temps des protocoles de routage existants et y intgrent les outils de scurit ncessaires.

V-1- La dtection dintrusions dans les rseaux Ad Hoc

La nature du rseau ad hoc et surtout la non concentration du trafic et labsence de point dadministration exigent lutilisation des IDS distribus. Les systmes de dtection dintrusions distribus ou Distributed Intrusion Detection Systems reprsentent une volution des systmes de dtection dintrusions [19]. Il sagit donc de systmes gnralement quivalent un systme de dtection dintrusions avec la particularit davoir les systmes de dtection dintrusions parpills sur le rseau analyser. Cette exception donne la possibilit aux dtecteurs dintrusions de communiquer entre eux afin de dtecter les relations entre les attaques individuelles pour constituer lattaque distribue ou le scnario dattaque. Dans ce qui suit, une illustration des modles les plus importants des systmes de dtection dintrusions qui ont t proposs pour les rseaux ad hoc. V-1-1 Les IDS individuels La premire solution adopte pour les rseaux ad hoc est celle des IDS individuels. Elle se base sur le fait que chaque noeud na confiance quen soi mme. En effet, la nature sans mdia du rseau ad hoc et la facilit de sintroduire dans un tel rseau ainsi que la difficult de protger les terminaux mobiles dtre capts par des utilisateurs malveillants influe sur le niveau de confiance entre les diffrents noeuds. Puisque les informations circulant entre les diffrents nuds peuvent tre transformes et captes par tout noeud se situant dans la zone de transmission de lun deux, le travail coopratif est cart pour ce type dIDS et le processus de dtection dintrusions se droule localement sans aucun change dinformations entre les nuds du rseau. Ces IDS sont caractriss par une indpendance entre les diffrents noeuds dans le processus de dtection. En effet, chaque noeud ne soccupe que de sa protection. Ils peuvent utiliser les techniques comportementales ou par signatures. Le problme pour ces systmes est leur faiblesse contre les attaques distribues.
26

Chapitre 2

V-1-2- Les IDS coopratifs Les IDS coopratifs sont caractriss par une coopration entre les noeuds voisins si la dtection est inaccomplie individuellement. Cette coopration est ralise par lchange des informations ou encore des alertes. Le problme majeur pour ces IDS est quils causent la dgradation des performances du rseau par le trafic chang entre les diffrents agents IDS en plus du gaspillage de la bande passante. La coopration entre les IDS repose sur des techniques diffrentes comme les agents mobiles et les rseaux de neurones

Figure II-6 : IDS coopratif par agents mobiles

V-1-3 Les IDS hirarchiques Pour remdier labsence de coopration entre les diffrents IDS proposs pour les rseaux ad hoc, une autre mthode a t propose pour la dtection dintrusions. Cette approche se base sur la division du rseau en un ensemble de groupes (cellules) ayant chacun un seul chef de groupe dtermin par un algorithme coopratif entre les diffrents noeuds. Ceci est en faite intressant pour minimiser lutilisation des ressources du rseau. Les systmes de dtection dintrusions hirarchiques essayent alors de rduire la coopration entre les noeuds et ceci par la division du rseau en groupes. Dans ce cas la coopration est effectue entre le chef de groupe lu et chacun des membres du mme groupe, tel est le cas dans les rseaux ad hoc multicouches.

27

Chapitre 2

Ainsi une alerte est reporte au chef du groupe si un noeud membre de ce groupe narrive pas dtecter seul une attaque ou quil manque dautres informations ou encore que la certitude de dtection est infrieure un certain seuil. Le chef de groupe dans ce type dIDS joue le rle de ladministrateur de son groupe et permet de surveiller ce qui se passe au sein de sa cellule. Dautre part lagent de dtection est distribu dans tous les noeuds du rseau alors que la rponse aux alertes se fait dune manire hirarchique suivant le niveau de certitude de dtection. Cette approche minimise la surcharge du rseau puisque la coopration est rduite entre les chefs de groupes et leurs membres. Cependant, elle ne permet pas davoir une vision globale du rseau cause de labsence de coopration entre les diffrentes cellules et reste par suite inefficace contre certaines attaques distribues.

V-2- Le routage scuris dans les rseaux ad hoc

V-2-1 Secure Routing Protocol(SRP) Cest une nouvelle approche pour protger lopration de dtermination de chemin pour un protocole de routage dans un rseau ad hoc [20]. Elle permet lacquisition dinformations correctes sur la topologie du rseau et de faire face aux attaques menaant le processus de dcouverte de chemins.

Figure II-7 : Modlisation de SRP

SRP peut tre modlis comme tant une relation bidirectionnelle (voir figure II-7) entre une source S et une destination T tout en partant des hypothses suivantes : Une association de scurit SA bidirectionnelle entre S et T. S et T peuvent ngocier une cl secrte KS,T qui va tre utilise pour le reste de la communication. La couche liaison de donnes fournit un service fiable.

28

Chapitre 2

Len-tte SRP

Figure II-8 : SRP comme extension dun protocole de routage ractif

SRP introduit des lments qui peuvent tre utiliss conjointement au protocole de routage de base sous-jacent comme il est prsent dans la figure II-8. Quant son principe de fonctionnement, il snonce comme suit : S va initialiser la recherche de chemin par lenvoi dun paquet Request . Deux valeurs identifiant la connexion de faon unique: Qseq(Query Sequence Number) et QID (Query Identifier). Les adresses source et destination, les deux identificateurs et la cl KS,T vont servir au calcul du MAC(Message Authentication Code). La destination T, la rception du paquet, vrifie sa validit en oprant comme suit : Vrifier lorigine du paquet et sil sagit dun nud avec lequel il a une SA. Comparer Qseq Smax (le maximum des numros de squences dj reus partir de la source S) : Si Qseq < Smax la demande sera rejete. Calculer le MAC et vrifier sil concide avec celui au niveau de len-tte SRP.

Pour toute demande valide , T gnre une rponse contenant les deux identificateurs, la route accumule et le MAC correspondant. S peut alors vrifier son tour que sa demande a atteint la destination et quelle na pas t corrompue. Cependant, si un nud intermdiaire V a une route active vers T et une SA avec S, il peut envoyer une rponse S et cest le seul cas o le paquet Request natteint pas la destination. S envoie alors ses donnes en suivant le chemin inverse de celui mentionn dans le paquet Reply. En effet, les adresses des nuds intermdiaires traverss de S vers T ont t accumules dans len-tte du paquet dtablissement de chemin ce qui fait quun ou plusieurs paquets dtablissement de chemin arrivent la destination. Quant la maintenance de route, SRP garantit la dtection et la notification de tout changement de la topologie.

29

Chapitre 2

SRP apparat donc comme un protocole de routage sur pour les rseaux ad hoc dans la mesure ou il garantie des information de connectivit correctes mme en prsence de nuds malveillants : Le MAC assure lintgrit du message et lauthenticit de son origine. Qseq et QID identifient de faon unique une connexion et assure donc une protection contre le dni de service. Les deux identificateurs sont imprvisibles par un adversaire car ils sont issus dun gnrateur de nombres pseudo alatoires scuris. Le numro de squence permet de dterminer les paquets dupliqus ou qui ont expirs. Lassociation de scurit garantit la vrification de la loyaut des nuds terminaux. Les autres nuds ne peuvent pas gnrer de fausses donnes car ils nont pas la cl KS,T.

Cependant, SRP a aussi des inconvnients : il augmente lOverhead ( 24 ou 27 byte par paquet de contrle). Il nest pas assez robuste devant un complot de nuds corrompus. De plus, SRP diminue lefficacit du protocole de routage de base surtout en labsence de nuds corrompus car dans ce cas il fait des vrifications non ncessaires. V-2-2- Authenticated Routing Ad Hoc Network (ARAN) ARAN [21] utilise des certificats pour scuriser le routage, ce ci suppose lexistence dun processus prliminaire de certification et dun processus dinstanciation de route. La dcouverte de route dans ARAN est ralise par la diffusion de messages Route Discovery depuis la source vers la destination. Les messages de routage sont authentifis chaque saut et dans les deux directions ce qui ncessite un serveur de certificat fiable dont la cl publique est connue par tous les nuds valides. Le serveur T envoie un nud A un certificat contenant son adresse IP IPA, sa cl publique KA+, la date de cration du certificat t et sa date limite dexpiration e.

A : certA = [ IPA, KA+ , t, e]KT-

Pour la dcouverte dun chemin authentique, la source A commence le processus de recherche de chemin qui mne vers la destination X par la diffusion du message RDP (Route Discovery Packet).

brdcast : [RDP, IPX, certA, NA, t]KA-

Lorsquun noeud intermdiaire B reoit le RDP: Il enregistre le nud voisin duquel il a reu le paquet.
30

Chapitre 2

Il vrifie la signature et la validit du certificat. Il vrifie la paire (IPA, NA).

Si le paquet est valide, il le signe, ajoute son propre certificat et le diffuse son tour aux nuds voisins.

brdcast : [[RDP, IPX , certA, NA, t]KA-] KB-, certB

Une fois que le paquet RDP parvient la destination, un message Reply sign sera gnr et il va subir les mmes vrifications au niveau des nuds intermdiaires, ce ci est de proche en proche jusqu ce quil arrive la source A.

D : [REP, IPA, certX, NA, t] KX-

ARAN est alors un protocole la demande o les nuds gardent une trace des routes actives. Lorsquil ya rupture du lien ou un changement de la topologie, il y a gnration de messages derreur ERR comme suit :

C : [ERR, IPA, IPX, certB, NB, t] KB-

Comme les certificats sont de dures limites, le serveur gnre alors des messages de rvocation de certificat une fois que leurs dures de vie ont expires.

brdcast : [revoke, , certr] KT-

ARAN assure lauthentification, lintgrit et la non rpudiation grce lutilisation des signatures lectroniques. En effet, la signature vite les attaques Spoofing , la formation de boucle de routage et laltration de routes. Il vite galement les attaques par mascarade ou le Replay laide de la nonce et le timestamp. Cependant, ARAN nvite pas la fabrication de messages mais il en prvient grce la non rpudiation. De plus, il augmente loverhead cause des signatures et des certificats mettre au niveau des paquets ainsi que le temps de latence (double de celui de lAODV), et le dlai ajout chaque saut.

VI- Conclusion
les rseaux ad hoc incarnent plusieurs vulnrabilits, en effet linterface radio rend ce genre de rseaux plus susceptibles aux attaques et labsence de toute administration centralise rend la dtection dintrusions plus dlicate. De plus, puisquil ny a pas de contraintes sur la taille du rseau, les mcanismes de scurit doivent tre en mesure de grer un tel large rseau surtout quil sagit dun environnement caractris par de modestes capacits de calcul et de stockage. Comme les menaces internes du rseau par des nuds corrompus sont le cas le plus pnible et dont la dtection est la plus dlicate, nous allons prsenter dans le prochain chapitre une
31

Chapitre 2

architecture qui se veut capable de localiser en un premier temps ces nuds malveillants pour pouvoir par la suite les isoler et les empcher de susciter encore des menaces pour le rseau et ses activits.

Fin du chapitre 2

32

Chapitre 3

Chapitre III

Etude et conception de larchitecture

I- Introduction
Les rseaux ad hoc reposent sur la participation active de chaque noeud, il est alors essentiel de sassurer que les noeuds jouent correctement leurs rles surtout que ces rseaux soulvent de nombreux problmes de scurit. Par ailleurs, labsence dinfrastructure se traduit par la ncessit dintgrer, au sein de chaque noeud, les mcanismes lui permettant dassurer sa propre scurit et celle de tout le rseau. L'objectif de ce chapitre est de proposer une approche permettant dintgrer la notion de la confiance dans la gestion des rseaux ad hoc , en vue de proposer une architecture capable didentifier les noeuds corrompus et de les isoler pour quils ne menacent pas le bon fonctionnement et le droulement des diffrentes activits au sein du rseau ( processus de routage, gestion des ressources). Larchitecture pour la localisation et lisolement des nuds corrompus sintresse aux attaques internes lances par des nuds corrompus et dont la dtection est dlicates avec les approches dj connues. Elle fait apparatre essentiellement quatre modules qui vont tre tudis par la suite avec plus de dtails .

II- La tolrance aux intrusions

Les systmes distribus et les rseaux ont gagn une grande importance dans la socit. La prolifration et la croissance de laccessibilit de tels systmes dans tout les aspects de la vie(tlcommunication, dfense, business) ont permis aussi des entits malveillantes dinduire divers types dattaques.

33

Chapitre 3

Les dgts rsultant dans le cas du succs de ces attaques peuvent tre graves surtout pour des applications dlicates et donc il ya un intrt particulier assurer la survie et la subsistance de ces systmes. La subsistance ou survivability dun systme est sa capacit assurer sa tche en un temps satisfaisable [22], en prsence des attaques, des fautes ou des accidents. La survivability permet donc un systme de faire face aux attaques et de continuer fournir ses services de base. Une approche pour garantir cette subsistance est la tolrance aux fautes et aux intrusions qui peut tre dfinie comme tant la capacit dun systme continuer lexcution de ses fonctions mme si une portion significative de ce systme a t corrompue ou est sous le contrle dun adversaire.

III- Le concept de la confiance

Tous les types dinteractions, de transactions et de communications dans la vie humaine sont bass sur un aspect fondamental qui est la confiance , dit en anglais Trust . Comme les rseaux ad hoc peuvent consister en plusieurs nuds dont chacun est tranger par rapport aux autres, ils ont donc besoin donc de ce concept avant de procder tout genre dchanges de donnes et dinformations.

III-1- Dfinition de la confiance

La confiance [23] est la ferme conviction en la comptence dune entit agir comme il lui est prvu. Cependant, cette valeur nest pas fixe mais plutt dpend du comportement de lentit dans un contexte spcifique et un moment donn. Cest donc un concept qui concerne les lments du rseau, a une valeur, se base sur des observations et sert caractriser les interactions entre ces diffrents lments. La confiance et la scurit sont deux notions troitement interdpendantes. En effet, la cryptographie est un moyen pour garantir la scurit mais qui exige lexistence de la confiance dans le processus dchange des cls. De faon similaire, un change fiable de cls ne peut avoir lieu sans la mise en place des services de scurit requis. Dun point de vue mathmatique, la confiance est dfinie comme tant une probabilit. Dire quon a confiance en quelquun veut dire que la probabilit quil va excuter une action bien
34

Chapitre 3

spcifique est assez leve pour lengager et cooprer avec lui. Une telle dfinition, implique la possibilit davoir un modle mathmatique pour mesurer ou valuer la confiance.

III-2- Les proprits de la confiance

Les principales proprits de la confiance peuvent se rsumer comme suit : La relativit : puisque ce nest pas une notion ou valeur absolue . En effet, quelquun a confiance en un autre ce nest que compte tenu de sa capacit excuter une action ou fournir un service dans un contexte spcifique et un instant donn. Larit : une relation de confiance peut tre seulement entre deux entits one to one , one to many , many to one comme dans le cas dun employeur et ses employs ou encore many to many qui veut dire une confiance mutuelle entre par exemple les membres dun groupe ou dun comit. Lasymtrie : une personne peut avoir confiance en une autre mais pas vice vers a. La transitivit : bien que dans la littrature il est mentionn que la confiance ne doit pas tre transitive, quelques scnarios font preuve de transitivit. Le concept de dlgation de la confiance( autoriser quelquun prendre une dcision sa place) est lexemple dapplication de la transitivit de la confiance. Cependant, cette proprit est viter ou utiliser avec prcaution pour ne pas tomber sur des erreurs destimation du niveau de confiance.

III-3- Intrt du concept

Lutilisation de la confiance pour attnuer les menaces de scurit a t un domaine important pour les recherches. Ltablissement et la gestion de la confiance entre les entits peuvent tre effectus de faon centralise travers une autorit fiable, de faon distribue ou encore la combinaison des deux. La gestion de la confiance a t dploye pour garantir la tolrance aux fautes et aux intrusions et sert dlivrer un service correct en dpit de la prsence des attaques surtout avec la naissance de ce nouveau paradigme de la confiance distribue (Distributed Trust). Le recours un modle de confiance dans les solutions de scurit des rseaux ad hoc est une direction prometteuse, surtout que ces rseaux ne possdent pas une infrastructure prexistante

35

Chapitre 3

ce qui fait que les solutions de scurit doivent tre dcentralises et se faire de manire autonome. La notion de confiance est intressante dans les rseaux ad hoc surtout pour prendre par exemple la dcision propos de : La validit dune information de routage. La loyaut dun nud qui sert de relais dans la route qui mne vers la destination. Lallocation optimale des ressources compte tenu des exigences en terme de scurit des applications qui les demandent.

III-4- La confiance selon la logique subjective

La logique subjective a t propose par Audun Josang [24]. Cest une logique qui opre en se basant des convictions ou opinions subjectives de tout le monde. Pour ce faire, elle utilise le terme opinion pour reprsenter cette conviction subjective. La confiance entre deux entits est donc reprsente par lopinion qui est interprte comme tant une probabilit contenant en plus la notion de lincertitude. Il sagit donc dune extension des calculs probabilistes et de la logique binaire. Il ya recours lincertitude car la probabilit dun vnement rel ne peut pas tre dtermine avec certitude. Lopinion propos dun lment x note Wx est une fonction quatre variables qui snonce comme suit : W = ( b(x), d(x), u(x), a(x)) Avec la condition suivante: b(x) + d(x) + u(x) = 1 b(x) reprsente le degr de conviction , belief , et qui peut tre interprt comme tant la conviction totale dun observateur quun tat donn est vrai. d(x) est la fonction disbelief et qui sinterprte comme la conviction quun tat donn nest pas vrai. u(x) ou encore uncertainty reprsente lincertitude dun observateur propos de la vrit dun tat particulier. A(x) est la fonction datomicit relative. Il ya deux manires pour combiner deux opinions : par escompte ou par consensus.
36

Chapitre 3

Soient alors trois lments A, B et X. Les opinions de A et B concernant la mme entit X sont respectivement : WxA = (bxA , dxA , uxA , axA) WxB = (bxB , dxB , uxB , axB) Lopinion de A propos de la fiabilit de B est : WBA = (bBA , dBA , uBA , aBA) Alors que le rsultat de la combinaison de lopinion de A et celle de B propos de X sera note comme suit : WxA, B = (bxA, B , dxA, B , uxA, B , axA, B) La combinaison par escompta (Discounting) se fait selon lalgorithme ci-dessous : 1 - bxA, B = bBA bxB 2 - dxA, B = bBA dxB 3 - uxA, B = dBA + uBA + bBA uxB 4 - dxA, B suivantes : 1 - bxA, B = (bxA uxB + bxB uxA)/ K 2 - dxA, B = (dxA uxB + dxB uxA)/ K 3 - uxA, B = (uxA uxB )/ K 4 - axA, B = (axB uxA + axA uxB (axA + axB )uxA uxB ) / ( uxA + uxB - 2 uxA uxB ) Avec : Et K = uxA + uxB - 2 uxA uxB ax
A, B

= axB

Quant la mthode de combinaison par consensus, elle se fait en excutant les oprations

(K c 0)

= (ax +

axA

) /2 Si uxA , uxB = 1

Ce modle de la confiance utilisant la logique subjective peut exprimer mieux que plusieurs autres modles le phnomne du cognitivisme humain. Il introduit le terme opinion pour reprsenter lignorance ou lincertitude concernant une proposition et il est plus adquat pour lexpression de la conscience humaine subjective.

IV- Synoptique de larchitecture propose

Le rseau ad hoc peut tre vu comme une gnralisation ultime des rseaux sans fil, cependant sa vulnrabilit aux attaques fait quil ne soit pas dploy ou commercialis grande chelle.
37

Chapitre 3

Pour pouvoir le faire, on doit lui doter des mcanismes de scurit appropris qui tiennent en considration ses proprits (topologie dynamique, scalabilit, absence dadministration centralise). Les solutions de dtection dintrusions dans les rseaux filaires sont hirarchiques et dploient gnralement un rseau de senseurs. Lefficacit de telles solutions dans les rseaux ad hoc est menace par entre autres les faits suivants : Les rseaux ad hoc nont pas de point de concentration o le trafic peut tre gr, contrl et mmoris. Ils ne peuvent pas compter sur lexistence dun serveur centralis pour faire lanalyse et la corrlation des alertes. En dpit de ces applications attrayantes, les rseaux ad hoc rvlent un vrai challenge propos de la tolrance aux fautes et aux intrusions [25]. Avec la mise en place dune architecture tolrante aux fautes et aux intrusions , trois domaines peuvent tirer profit : Le routage : Le changement frquent de la topologie fait que les nuds soient menacs soit par des attaques( usurpation de lidentit) soit par labsence synchronisation. Un routage tolrant aux intrusions devient donc une ncessit. La scurit : La vulnrabilit des liens radio en plus du besoin dassurer lauthentification et la gestion des cls en labsence de toute autorit centralise fait que la tolrance est le moyen favorable pour garantir des solutions de scurits efficaces. La fiabilit : A cause de leur porte dmission limite, ces rseaux introduisent des problmes de fiabilit( terminaux cachs, perte de paquets cause de la mobilit) ce qui induit une dgradation de la qualit de service . Il est alors vrai que , lintgration des techniques pour la tolrance aux fautes et aux intrusions va promouvoir la fiabilit du rseau. Une stratgie pour promouvoir la scurit des rseaux ad hoc est de dvelopper une architecture qui permet un nud dvaluer chaque moment la fiabilit des autres nuds. Une telle architecture doit permettre non seulement la dtection des nuds malveillants mais aussi damliorer les performances du rseau dans la mesure o les nuds bnins vont viter par la suite de cooprer avec ceux souponns. Pour le faire, il faut que les mcanismes ou les mesures de scurit soient contrls localement et ne pas compter sur aucune autorit centralise. Un
38

Chapitre 3

nud du rseau doit avoir donc toute la libert et la responsabilit prendre des dcisions et assurer sa propre scurit. Notre but est alors de mettre en place une architecture permettant la localisation et lisolement des nuds corrompus dans un rseau ad hoc . Cette architecture se base sur la gestion de la confiance comme biais pour assurer la tolrance aux fautes et aux intrusions. Pour le faire nous avons pens une couche qui peut tre intgre dans chacun des nuds lui dotant de mcanismes pour dtecter les nuds malveillants et viter quils dstabilisent le rseau. Larchitecture mettre en uvre suppose la disponibilit et le dploiement des lments suivants : Des pare-feux distribus pour filtrer le trafic dans chaque nud. Des mcanismes pour dtecter les ventuelles intrusions ou anomalies. L IPsec pour assurer lauthentification, lintgrit et la confidentialit des donnes. Lvaluation du niveau de confiance laide de la logique subjective. Une sous couche Tolrance qui exploite le concept de la confiance pour scuriser le processus de routage et lallocation des ressources dans le rseau ad hoc. Des tunnels pour un change fiable des donnes sensibles . Pour la conception dune telle couche nous avons eu recours une approche modulaire parce que ce ci a pour avantage de garantir la tolrance aux fautes, lamlioration des performances et la scalabilit. La figure ci-dessous montre un model architectural de la couche qui gre les intrus et vite leurs mfaits.

39

Chapitre 3

Figure III-1 : Synoptique de la couche tolrance

IV-1- Le gestionnaire de la scurit

Le gestionnaire de la scurit, Trust Manager , a pour fonctionnalits de grer et de coordonner les mcanismes de scurit (alertes, Firewalls, tunnels) mis en uvre. En effet, il maintient un tat de tout le rseau et fournit au gestionnaire de la confiance les lments de base pour construire ses dcisions et mettre jour les niveaux de confiance attribus chaque lment du rseau . Les diffrentes tches raliser par ce module se rsument en ce qui suit: A la rception ou la dtection dune alerte, le gestionnaire de la scurit avise le gestionnaire de la confiance pour quil procde une re-valuation des degrs de confiance. En cas de dtection dune alerte, il se charge dinformer les gestionnaires de scurit des autres nuds. Il se charge de la mise en place de tunnels pour lchange des listes noires. Il met jours les rgles au niveau du firewall.

40

Chapitre 3

IV-2- Le gestionnaire de la confiance

Le gestionnaire de la confiance ou Trust Manager est le noyau de cette couche Tolrance . Il a essentiellement pour rle dvaluer le niveau de confiance de chaque nud du rseau . Le calcul des niveaux de confiance se fait en ayant recours la logique subjective. Au dpart, chaque nud lui sera attribu un niveau de confiance initial qui va tre mis jour dynamiquement compte tenu de son comportement en ayant recours des audits qui vont signaler les vnements positifs( ex. un taux dacheminement de paquets important) ou ngatifs (ex. un taux de perte lev... ). Le gestionnaire de la confiance maintient alors une table ou une sorte de base de donnes qui associe chaque nud de son voisinage, devant tre identifi de faon unique, un certain niveau de confiance dont lvaluation dpend de certains critres comme : Le taux de perte des paquets (Packet Loss). Le nombre de paquets dupliqus. La notification dventuelles intrusions. Les checs dauthentification. Le taux des paquets dlivrs avec succs.

De cette manire, le niveau de confiance augmentera pour un nud faisant preuve dun comportement non malveillant et dune certaine cooprativit et il se dcrmente dans un cas contraire. Si le niveau de confiance dun nud, se trouve au dessous dun certain seuil, le nud correspondant sera dclar corrompu et va sajouter la liste noire (Black List) maintenue par le gestionnaire de la confiance. Cette liste noire va tre communique ses voisins autre que le nud malveillant. De cette manire, le nud souponn sera isol et ne participera plus par exemple au processus de routage. Comme un nud peut recevoir dun autre nud des alertes mentionnant des anomalies ou la prsence dintrusions, il ne doit pas alors directement procder faire des mise jours des niveaux de confiance. Il doit plutt faire un filtrage des messages dalertes en se basant sur le niveau de confiance du nud layant signal. Par exemple, si la source dun message dalerte est non fiable, lalerte ne sera pas prise en compte.

41

Chapitre 3

Les informations sur les nuds corrompus ainsi que sur les niveaux de confiance sont communiques au gestionnaire des routes( Path Manager) et au gestionnaire des ressources (Resources Manager) pour que des considrations de scurit soient dployes afin dassurer un routage tolrant aux intrusions et optimiser le processus dallocation des ressources.

Figure III-2 : Exemple dinteraction entre les diffrents modules

Lorganigramme ci-dessus montre un exemple de scnarios possibles entre le gestionnaire de la scurit et le gestionnaire de la confiance. Le premier analyse le trafic et signale les ventuelles alarmes pour que le gestionnaire de la confiance procdera une r -valuation des niveaux de confiance.

IV-3- Le gestionnaire des routes

Il ne suffit pas de distinguer les nuds corrompus sans les isoler et les empcher dinduire encore des activits malveillantes. Pour cette raison, le gestionnaire des routes a pour principale mission de supprimer de sa table de routage les routes contenant des nuds malveillants, ces derniers lui sont indiqus en se rfrant la liste noire fournie par le gestionnaire de la confiance local. De plus, en cas de rception dun message dtablissement de chemin Route Request dun nud malveillant il doit lignorer, c'est--dire il ne rpond pas par un message Route Reply .
42

Chapitre 3

Vue la dlicatesse de ce traitement et son importance on doit garantir lauthentification pour quun nud nait pas la possibilit de passer pour lidentit dun autre (usurpation ) car si non on ne peut pas localiser tous les nuds corrompus dans le rseau surtout quavec un rseau nayant pas de limite sur sa taille comme les rseaux ad hoc, les mcanismes de scurit doivent tre assez robustes et scalables pour pouvoir grer les intrus.

IV-4- Le gestionnaire des ressources

Les applications Grid (grilles de calcul) permettent des communauts de partager des ressources distribues gographiquement. En fait, ce ci permet de crer la demande un ordinateur virtuel trs puissant. Cependant, les ressources sont gnralement localises dans des domaines administratifs diffrents. Bien que des applications sont devenues possibles grce au partage des ressources de manire coordonne, la scurit des environnements Grid est une affaire lourde. Puisque les nuds dans un rseau ad hoc ont des contraintes dnergie et de modeste capacits de calcul , il parait intressant de dvelopper des environnements Grid dans un rseau ad hoc tout en utilisant un protocole pour la dcouverte et lorganisation des ressources comme le SLP (Service Location Protocol) ou un autre protocole quivalent. De cette manire, un nud peut par exemple utiliser certaines ressources des autres entits du rseau pour effectuer des calculs que son laptops nest pas assez puissant pour les faire seul. Le processus de rservation de ressources peut tre scuris en ayant recours lvaluation de la confiance. En effet, une fraction des ressources demandes nest rserve que si le nud qui loffre a un niveau de confiance suprieur ou gal celui mentionn dans la requte de lapplication bnficiaire. Le processus dallocation des ressources peut suivre alors lalgorithme suivant : Pour bnficier dune ressource , celui qui la demande mentionne au niveau de sa requte le niveau de confiance minimum quil requiert. Lallocation ne sera faite que lorsque le nud procureur de la ressource a un niveau de confiance suprieur ou gal celui mentionn dans la requte. Le gestionnaire des ressources tend optimiser le processus dallocation des ressources en tenant en compte lors de la procdure des besoins de scurit demands.
43

Chapitre 3

V- Lvaluation de la confiance
Les plus importantes proprits de la gestion de la confiance dans les rseaux ad hoc sont : Lincertitude. Lincompltude( les lments de dcisions peuvent tre incomplets et ne refltent pas fidlement la ralit). Le calcul distribu : lvaluation de la confiance est dtermine individuellement. La localit (lchange des informations propos de la confiance se fait localement).

La confiance quai un nud i en un nud j est reprsente par un triplet T(b, d, u). Lorsquun nud joigne pour la premire fois un rseau ad hoc, il va attribuer aux autres nuds un niveau de confiance initial (b0, d0, u0) et cest la valeur que les autres auront en lui. Les nuds dans un rseau ad hoc peuvent devenir malveillants ou non fiables cause de linstabilit des liens radio ou aprs avoir t corrompus. La confiance est alors une notion dynamique qui doit tre mise jour frquemment.

Si vnement positif Si vnement ngatif

t + = Kp d - = Lp i - = Lp d + = Kn t - = Ln i - = Ln

Lorsquun nud devient corrompu, son mauvais comportement sera dtect grce lalgorithme de mise jour du niveau de confiance, de plus les autres nuds seront aviss de ses activits malveillantes et quil nest plus digne de confiance. Il sera alors empch davoir accs au rseau et de participer ou interagir avec les nuds bnins.

Si t < 0

T = (0, 1, 0) et le nud sera dclar corrompu

Un tel nud va sajouter la liste noire et les autres nuds seront aviss. Si le gestionnaire de la scurit mentionne quun noeud a subi une intrusion , son degr de confiance sera automatiquement mis (0, 1, 0) et les autres ne vont pas limpliquer dans le processus de routage ou cooprer avec lui.
44

Chapitre 3

Lexactitude dans lvaluation du degr de confiance dpend de notre aptitude surveiller les activits du rseau et dfinir ce quon va considrer comme vnements positifs et vnement ngatifs. Dans le cadre de notre application on va prendre en compte les lments suivants : Les vnements ngatifs : Rejeu de paquets. Injection de messages errons(avec des identits virtuelles) Un nombre lev des messages de contrle. Des messages de routage dtruits. Echec dauthentification( vol didentit, Spoofing). Le nombre de paquets mis avec succs. Le nombre de paquets reus avec succs. Le nombre de routes tablies pour le routage( participation cooprative dans le processus de routage).

Les vnements positifs :

VI- Routage bas sur le modle de la confiance

Les protocoles de routage existants sintressent gnralement sadapter la topologie dynamique et ont peu de mcanismes pour garantir la scurit. Comme les performances dun rseau ad hoc dpendent essentiellement de la cooprativit et la fiabilit des nuds distribus, il est important dvaluer le niveau de confiance des autres nuds sans le recours une autorit centralise. Ce ci fait appel un modle thorique pour mesurer le niveau de confiance attribuer chaque nud. Un tel modle sera employ essentiellement pour scuriser le processus de routage et garantir la dtection des intrusions. Le modle de la gestion de la confiance explicit ci-dessus sera intgr dans le processus de routage en vue daugmenter la scurit. En effet, un nud S voulant dcouvrir une route qui mne vers une destination D, diffuse des messages RREQ vers tous ses voisins. Comme le niveau de confiance mesure la croyance en lhonntet et la comptence dune entit, nous avons jug intressant dintgrer cette notion dans le processus de routage. En fait, lorsquun nud intermdiaire reoit un message RREQ dont la source est S et la destination est D et sil na pas

45

Chapitre 3

dans sa table de routage une entre vers la cible, il ne va le rediffuser qu ses voisins vrifiant la condition suivante :

b M 0.5 , d < 0.5 et u < 0.5

Il ne va donc diriger le paquet que vers un nud voisin dont le degr de confiance est suprieur 0.5 et lincertitude concernant cette valeur est infrieure 0.5. Si cette condition nest pas vrifie dans lun des prochains sauts, il va rejeter ce paquet RREQ. De mme, le message RREP va subir le mme traitement et chaque saut cette condition sera vrifie. De retour la source , les donnes vont tre envoyes travers la route indique dans le paquet RREP ne comportant que des noeuds jugs valides avec une grande certitude.

VII- Lchange des listes noires

Le protocole SSL(Secure Socket Layer) a t propos pour scuriser les changes au niveau du web. Comme la liste noire contient des informations dlicates concernant lidentit des nuds corrompus et que nous ne voulons pas quelle soit altre ou intercepte, nous optons pour lemploi des tunnels SSL afin que lchange soit scuris. Nos hypothses de dpart sont : Chacun des nuds du rseau possde un certificat acquis en dehors du rseau et qui lui permet de sauthentifier auprs des autres. On exige une authentification mutuelle des deux entits aux extrmits du Tunnel SSL pour que des nuds malveillants ne gnrent pas des listes noires errones et donc causer lisolation des nuds lgitimes. Les changes dfinis par le protocole SSL se droulent comme suit: un nud A voulant envoyer la liste noire lun de ses voisins, demande ce dernier de lui envoyer son certificat. Une fois le certificat est valide, le nud voisin demande A de sauthentifier son tour. Si cette phase dauthentification mutuelle a t russie, un tunnel SSL stablit entre les deux entits qui sont capables dchanger la liste des nuds corrompus en toute scurit.

46

Chapitre 3

Figure III-3 : Procdure de Handshake

ClientHello: ce message contient: la version: version du protocole SSL, client_random: nombre alatoire, session_id:l'identificateur de session, cipher suite : la liste des suites de chiffrement choisies, et algo dcompression: la liste des mthodes de compression.

ServerHello: ce message contient: la version: version du protocole SSL, Server_random: nombre alatoire, session_id: l'identificateur de session, cipher suite : la liste des suites de chiffrement choisies, et algo dcompression: la liste des mthodes de compression.

Certificate : ce message contient le certificat du serveur. ServerKeyExchange : contient le certificat de signature. CertificateRequest : le serveur rclame un certificat au client. ServerHelloDone : la fin de l'envoi de message. ClientKeyExchange : ce message contient le PreMastersecret crypt l'aide de la cl publique du serveur. CertificateVerify : vrification explicite du certificat du client. Finished : fin du protocole Handshake et le dbut de l'mission des donnes

VIII- La dtection des attaques sur le protocole de routage

Vue que les communications entre les IDSs peuvent charger le rseau , nous avons choisi de dfinir des procdures qui vont tre implmentes au niveau de chaque nud assurant sa protection locale contre certaines attaques actives qui visent perturber le protocole de routage : il sagit de lpuisement de lnergie, la destruction des paquets de routage et la modification des numros de squences des paquets.
47

Chapitre 3

Les procdures pour dtecter ces attaques sont excuter par le gestionnaire de la scurit, et une fois quil dtecte une alerte il va la signaler au gestionnaire de la confiance pour quune pnalisation du nud correspondant ait lieu.

VIII-1- Lattaque Dropping Routing traffic

A cause des ressources limites en terme dnergie et de capacit de calcul, les nuds mobiles peuvent dcider de ne pas participer au routage pour conserver lnergie. Alors un nud malveillant aprs avoir reu un paquet qui ne lui est pas destin ou na pas t dlivr par luimme va simplement le dtruire. Le nud agissant de la sorte va non seulement conserver son nergie mais aussi peut segmenter le rseau . En effet, si certains nuds sont connects ou joignables uniquement travers ce nud malveillant, ils vont tre isols du reste du rseau. Lattaque Dropping Routing Traffic peut tre dtecte en vrifiant si le nud voisin a bien mis le paquet. Pour ce faire, chaque nud maintient une liste de ses voisins qui est rafrachie dynamiquement pour sadapter au changement continue de la topologie. Une attaque est dtecte si aprs un certain intervalle de temps le paquet observ nest pas rmis par le prochain saut. Mais pour rduire le nombre de faux positifs et ignorer les alertes dues aux collisions et la congestion, une alerte dattaque nest gnre que si le second timer expire et le nombre des paquets dtruits dpasse un seuil. Suite cette alerte, on va mettre jour le niveau de confiance du nud correspondant conformment au modle explicit ci dessus.

48

Chapitre 3

Figure III-4 :Procdure de dtection de lattaque Dropping routing traffic

VIII-2- Modification du numro de squence

Des protocoles comme AODV et DSDV crent et maintiennent des routes en attribuant uniformment des numros de squence croissants aux routes vers une destination spcifique. Vue quune route nest juge frache que si la base du numro de squence de la destination est assez lev. Un nud malveillant peut alors injecter une fausse information de routage. Il peut donc lancer lattaque Black hole en sinsrant dans une route active.
49

Chapitre 3

Si une source initie un processus Route Discovery en mettant un paquet RREQ, le nud corrompu en le recevant va rpondre par un RREP avec un numro de squence erron. Pour augmenter ses chances de faire partie de la route, il met un numro de squence lev. En effet, si son paquet RREP atteint la source le premier par rapport aux rponses des nuds lgitimes, il peut sintgrer dans la route pour intercepter le trafic ou lancer lattaque Black hole. Mme si son paquet RREP natteint pas la source en premier, cause du numro de squence lev, la route dj choisie va tre carte et remplace par celle propose par le nud malveillant.

Figure III-5 :Procdure de dtection de la modification du numro de squence

Cette attaque est grave dans la mesure ou les nuds bnins vont mettre jour leurs tables de routage avec des informations fausses et le nud malveillant na pas besoin dintervenir une deuxime fois. Cependant, cette attaque peut tre dtecte par comparaison du numro de squence de la destination contenu dans le paquet RREP (RREP_destination_sequence_number) par rapport celui contenu dans le message RREQ ( Original_sequence_number), sil est trop lev, une alarme est alors gnre et il ny aura pas de mise jour des tables de routage.

50

Chapitre 3

VIII-3- Epuisement des ressources

A travers cette attaque, il ya une tentative de consommer les ressources dun nud (Resource Deplition attack) et de tout le rseau par la gnration et lenvoi frquent dun trafic de routage non ncessaire( RREQ ou RREP). Le but est dinonder le rseau avec des paquets errons pour consommer sa bande passante, lnergie et la puissance de calcul des nuds. Le scnario dune telle attaque peut tre dtect en maintenant le compte des paquets reus de chacun des nuds voisins pendant une certaine fentre de temps, si le nombre excde une certaine valeur seuil, une alerte sera alors gnre. Cette valeur seuil dpend du nombre des nuds voisins, du taux des messages Hello et du taux de retransmission des autres paquets de contrle.
Rception dun paquet rpt

Compteur ++

Oui Seuil ? Seuil ?

Non

Timer = T ?

Oui Compteur = 0 Timer = 0

Figure III-6 :Procdure de dtection de lattaque Resource Deplition

Les diverses alertes collectes au niveau du gestionnaire de la scurit seront communiques aux gestionnaires de la confiance pour tablir les mises jours ncessaires des niveaux de confiance.

51

Chapitre 3

IX- Les pare-feux distribus dployer

Dans un rseau filaires traditionnel, un firewall est install aux points dentre/sortie du rseau pour filtrer le trafic interdit de franchir les frontires du rseau protg. Dans un rseau ad hoc o les nuds peuvent tre potentiellement mobiles, la topologie est dynamique et donc il ny a pas la notion dun point dentre/sortie qui est bien dfini. De plus nimporte quel nud peut tre un intrus et attaque le trafic. De ce fait, le concept traditionnel du pare-feux nest plus adquat pour les MANETs car il nest pas dsign pour protger par exemple contre les attaques de type Spoofing ou Flooding Attack . Le mcanisme de firewall distribu [26] sans fil est alors destin protger le rseau ad hoc contre de telles attaques, lances par des nuds corrompus. Conceptuellement, les fonctionnalits du firewall sont totalement distribues au niveau de tous les nuds. En effet, chacun des nuds va maintenir une table contenant la liste des flux de paquets ayant le droit de passer travers lui. Le firewall distribu est dsign pour tre re-configurable dynamiquement : les entres de la table sont cres et maintenues au temps d e lexcution et ne sont pas statiques ou pr configures au pralable. Ces entres sont donc automatiquement reconfigures en rponse aux changement de la topologie ou en rponse aux ventuelles attaques dtectes. Dans notre modle, lorsquun nud du rseau est dclar corrompus, les rgles du firewall vont tre mises jour de faon dynamique pour rejeter tout trafic issu du nud corrompu ou qui lui est destin. Il apparat donc que les firewalls distribus et dynamiquement reconfigurs sont ceux qui vont garantir lisolements des noeuds malveillants et de les empcher dintroduire des attaques et des violations. Le gain cl dune telle approche sera doter le rseau de mcanismes de protection pour que ses activits continuent se raliser en dpit des attaques.

X- Conclusion
Tout au long de ce chapitre, nous avons explicit notre solution pour assurer la scurit des rseaux ad hoc en garantissant lvolution des activits du rseau en dpit de la prsence des intrus et des attaques lances de lintrieur. La solution propose subdivise en quatre modules se veut simple, sans recours des serveurs centraliss. Elle se base alors sur la gestion de la

52

Chapitre 3

confiance de faon dynamique et distribue. Limplmentation et lanalyse de ses performances par simulation vont faire lobjet du prochain chapitre.

Fin du chapitre 3

53

Chapitre 4

Chapitre IV

Implmentation et tude des performances

I- Introduction
Une fois que les diffrents modules de larchitecture ont t spcifis, il ncessaire de recourir limplmentation et la simulation de larchitecture en vue dtudier ses performances et voir son apport. Cette tude de performances consiste simuler le modle propos en prsence de certaines attaques parmi celles qui ont t voques dans la partie modlisation. Pour cela, le plan du prsent chapitre snonce comme suit une premire partie prsentant lenvironnement, les hypothses et le scnario de la simulation et une deuxime partie pour ltude ainsi que linterprtation des rsultats obtenus.

II- Implmentation et simulation

II-1 Lenvironnement de programmation
Une manipulation souple et aise reste toujours parmi les critres les plus dcisifs pour le succs dun projet informatique. Cest pourquoi le choix dun langage de programmation doit tre bien tudi. Les logiciels de dveloppement en matire de gestion sont diversifis et peuvent se prsenter comme des logiciels de programmation structurs (Pascal, C++) et des logiciels de programmation orients objet (Visual Basic, Delphi, Java). Le choix dun langage spcifique dpend de la catgorie de lapplication raliser et de sa performance par rapport aux autres langages. Dans notre cas, il a fallu choisir Java, un langage orient, objet qui savre le plus adquat vue sa flexibilit, sa facilit dutilisation et sa robustesse [27]. En effet, les principales proprits dun tel langage peuvent se rsumer comme suit :

54

Chapitre 4

Simplicit : Java rduit le nombre des structures de donnes utilisables, limine les zones de recouvrement, dlaisse des fonctionnalits comme lhritage multiple ainsi que la surcharge. Pour le programmeur, la simplicit de Java sexprime aussi en grande partie par le fait quil est libr de la gestion explicite des adresses mmoire des objets quil manipule. Cette disposition vite les erreurs de programmation les plus frquentes et les plus dlicates corriger. Neutralit vis--vis architectures matrielles et logicielles : Java utilise un double mcanisme de compilation et dinterprtation. Ce mcanisme permet au code gnr par le compilateur Java, appel byte code, dtre indpendant des architectures matrielles et des systmes dexploitation. Robustesse et scurit : Le principe gnral de scurit mis en oeuvre par la machine virtuelle Java consiste dlimiter lespace dans lequel les applications vont pouvoir agir. Java tant un langage fortement typ, tout comme C++, exige une vrification stricte du programme au moment de la compilation. Cette vrification est dautant plus stricte que Java impose au dveloppeur des rgles dcritures rigides. Java limine en outre la possibilit dcrire dans une zone de mmoire dj alloue (ou dcrire dans une zone dfendue) et de corrompre des donnes. La politique de scurit est tablie au niveau de la machine virtuelle. Elle restreint les accs au systme local de fichiers et au rseau. Destine pour des applications rseaux, la scurit dans Java est un aspect primordial. Le fait de ne pas pouvoir manipuler les pointeurs et donc d'accder des zones mmoire sensibles diminue fortement l'introduction des virus informatiques. Java est un langage interprt et dynamique : Java est un langage dynamique savoir que les liens entre les objets sont rsolus lors de lexcution et non au moment de la compilation. Cest une caractristique primordiale dans un contexte o il est ncessaire pour un objet de pouvoir envoyer des messages un autre objet sans en connatre priori le type.

II-2- Description de lapplication

A travers cette simulation nous avons pour but de : Mettre en place une architecture plate de rseau ad hoc avec tout ce quelle peut ncessiter comme paramtres de configurations.

55

Chapitre 4

Implmenter deux attaques affectant le processus de routage, gnres par certains nuds de la population choisies. Montrer la variation dynamique des degrs de confiance des nuds compte tenu de leurs comportements respectifs. Evaluer limpact du concept de la confiance dans la dtection des nuds malveillants.

Comme il est dcrit par lorganigramme dcrit par la figure IV-1, le scnario de simulation commence par le choix des paramtres du rseau et la mise en place des nuds qui vont gnrer des attaques. A chaque intervalle de simulation, les nuds vont se dplacer ce qui ncessite une re-dcouverte des voisins. Des changes de trafic de routage (RREQ, RREP) entre diffrentes sources vers diffrentes destinations ont pour intrt de fournir les vnements sur la base desquels , une mise jour des degrs de confiance des nuds sera faite pour dterminer par la suite les nuds dont le comportement est jug malveillant et qui vont sajouter la liste noire . Quant lvaluation, elle utilisera comme critres le taux des attaques dtectes, le taux des faux positifs ainsi que celui des faux ngatifs.

56

Chapitre 4

Dbut

Choix des paramtres de la simulation ; t = 0

Entre des nuds corrompus

Initialisation du timer t = 0 ;

Dplacement de quelques noeuds

Mise jour de la liste des voisins

Echanges de trafic de routage et collecte des vnements

Mise jour du Trust_Table

Mise jour du Black_List

t= intervalle de Simulation ?

Oui

t = Dure de Simulation ?

Non

Fin Simulation
Figure IV-1 : Organigramme de lapplication
57

Chapitre 4

II-3- Le simulateur
Comme il a t voqu prcdemment, la premire partie de notre application consiste dvelopper un simulateur permettant dimplmenter une plate-forme dun rseau Ad Hoc dont larchitecture est plate. Ce simulateur assure la saisie des diffrents paramtres dun rseau ad hoc et dimplmenter les diffrentes procdures de formation et de gestion de ce rseau. Ce simulateur permet alors travers une simple interface de fixer les paramtres du rseau ad hoc simuler. Ces paramtres sont essentiellement : La couverture du rseau exprime par ltendue X_Size (axe des abscisses) et ltendue Y_Size (axe des ordonnes) du rseau. La population du rseau qui exprime le nombre total des noeuds du rseau. La zone de voisinage (Range) uniforme pour tous les noeuds : cest un paramtre trs important pour la simulation. Il influe sur le processus de dcouverte de voisins. La vitesse moyenne du mouvement de chaque nud en fixant la vitesse minimale et la vitesse maximale avec lesquelles il peut se dplacer . La dure de la simulation et lintervalle aprs lequel il yaura changement de la topologie.

58

Chapitre 4

Figure IV-2: Interface du simulateur

II-3-1- Changement de la topologie et dcouverte des voisins Limplmentation du mouvement des diffrents noeuds est une partie indispensable dans la simulation. En effet le changement frquent de la topologie est lune des caractristiques dterminantes dun rseau ad hoc. Pour cela, chacun des nuds ayant un identifiant unique et des coordonnes (X, Y) initiaux va se dplacer dans une direction alatoire et avec une certaine vitesse moyenne. Suite ce changement de la topologie, tout nud de la population va initier la
59

Chapitre 4

procdure de dcouverte des voisins travers lenvoi de messages Hello que seuls les nuds qui sont sa porte dmission vont recevoir. Chaque nud recevant le message Hello, met jour la liste des voisins (Neighbours_List) . II-3-2- Gnration du trafic de routage Afin de superviser le comportement des nuds lors du processus de routage, nous avons pens choisir certains nuds pour initier la procdure de dcouverte de chemin qui adopte la mthode utilise avec le protocole de routage ractif AODV. En effet, chaque nud autre que la destination et recevant le paquet RREQ , vrifie sil dispose dune route vers la destination directement. Dans le cas contraire, il diffuse le message lui parvenant tout ses voisins.

Figure IV-3 : La procdure Path Discovery

II-3-3- Gnration des attaques Les attaques actives ayant pour but de perturber le processus de routage et qui ont t prsentes avec plus dd dtails dans le chapitre prcdent vont tre gnres par quelques nuds choisis alatoirement parmi la population totale des nuds . Cependant, nous navons considr que deux attaques seulement, savoir Dropping Routing Traffic attack et Resource Deplition attack et dans la suite nous allons expliquer comment elles on t implmentes. Dans lattaque Dropping Routing Traffic , le nud malveillant agit avec gosme et dtruit tout trafic qui ne lui est pas destin. Par ailleurs la rception dun message RREQ ou RREP qui lui sont destins il se comporte convenablement alors que dans tous les autres cas il dtruit tout simplement les paquets lui arrivant. Un scnario de lattaque Dropping Routing Traffic peut tre dcrit par les tapes suivantes :

60

Chapitre 4

Rception dun paquet RREQ par le nud corrompu et vrification du champs de ladresse de destination. Si Destination_Id = Compromised_Node_Id Si non , le paquet est dtruit. envoi de RREP.

Quant limplmentation de lattaque puisement des ressources (Resource Deplition attack), elle est beaucoup plus simple dans la mesure ou il sagit de mettre en place une boucle qui envoie frquemment un trafic de routage non ncessaire de manire excessive. II-3-4- Mise jour des niveaux de confiance des noeuds La variation dynamique des niveaux de confiance des nuds, se fait conformment au modle thorique ayant t explicit dans la partie conception. Seulement, il faudrait doter les nuds bnins du rseaux des procdures leur permettant de sapercevoir des activits malicieuses gnres par les nuds corrompus qui sont capables de lancer lune des deux attaques dj cites. Au dbut de la simulation, chaque nud nayant ragi avec aucun autre nud du rseau mettra comme niveau de confiance(0, 0, 1) chacun dans sa liste des voisins et cest la mme valeur que eux vont lui attribuer. Cette valeur (0, 0, 1), montre que la valeur de lincertitude est 1 puisque les nuds nont aucune information sur la loyaut de ce nud et sil est bien digne de confiance. Ce nest quaprs observation que le niveau de confiance va voluer dynamiquement. Par exemple concernant lattaque Dropping Routing Traffic , chaque fois quun nud diffuse un trafic de routage dont la destination ne figure pas dans sa porte dmission, il supervise lensemble des nuds de son voisinage pour observer leurs comportements respectifs. De cette manire il sera capable de distinguer les nuds ayant ragit de manire cooprative de ceux qui se sont comports de manire malveillante et nont pas relay les paquets leur parvenant pendant une certaine dure de temps juge acceptable. Par ailleurs, si un nud ne russit pas diffuser le message reu pendant 0.01 secondes, la variable boolenne Pre_Alarm passe la valeur vrai et on attend encore 0.45 secondes. Si encore aprs cette dure, le paquet nest pas rediffus,la deuxime variable boolenne Alarm passe ltat vrai. Dans ce cas, le nud correspondant sera pnalis en diminuant son degr de confiance dune certaine quantit. Une fois quun nud a observ le comportement dun voisin, il va enregistrer les vnements positifs ( cooprativit dans le processus de routage et relayage des paquets des autres) faisant

61

Chapitre 4

apparatre la loyaut du noeud ou les vnements ngatifs (dtruire des paquets) servant de preuve contre le nud souponn. La mise jour des niveaux de confiance T(b, d, u) que nous avons adopte et que nous avons prsente dans le chapitre prcdent est faite comme suit: Si vnement positif Si vnement ngatif b + = 0.25, d - = 0.125 et u - = 0.125. d + = 0.25, b - = 0.125 et u- = 0.125.

Comme il est visible travers ce petit algorithme de mise jour du niveau de confiance, tout comportement coopratif aura comme rcompense une lvation de b de 0.25 et une diminution de u de 0.125 car on devient plus sur que le nud correspondant est digne de confiance. Cependant, quand un nud dtruit des paquets ou gnre un trafic de manire excessive, le degr de non confiance va tre lev de 0.25 et lincertitude est rduite de 0.125 car on est plus sur quil est sujet des activits malveillantes. Si la variable b passe la valeur zro, le nud correspondant est dclar, avec une grande certitude, corrompu et dans ce cas il va sajouter la liste noire et tous les autres noeuds seront aviss pour quil lisolent en vitant tout trafic qui lui est destin ou dont il provient. De cette manire, les nuds aviss ne vont pas relayer leur trafic travers lui par la suite.

Figure IV-4 :Trust_Table au niveau dun nud son entre au rseau

62

Chapitre 4

Figure IV-5 : Trust_Table au niveau du nud N 13 au cours de la simulation

II-3-5- Les listes noires La liste noire destine contenir les nuds jugs corrompus une fois que la valeur de b passe au dessous de zro nest autre quune sorte de table ou de base de donnes maintenue au niveau de chaque nud autre que les nuds malveillants. De telles tables, contiennent alors lidentifiant de chaque nud qui nest autre que son numro dans la population ainsi que linstant au moment duquel il a t ajout la liste. Cette dernire information sert valuer les performances u modle propos en termes de temps de temps de rponse aux attaques. Chaque liste noire maintenue par un nud va tre communique vers les nuds bnins de son voisinage chaque fois quune nouvelle entre est cre. De cette manire le nud ayant dcouvert en premier loccurrence de lattaque va aviser tous les autres car la liste noire va se propager de proche en proche jusqu ce que tout le rseau ait connaissance des nuds corrompus dsirant perturber son fonctionnement normal. Les informations contenues dans les listes noires seront exploites par la suite pour quaucun trafic provenant ou destin aux nuds figurant dans la liste ne sera permis.

63

Chapitre 4

Figure IV-6 : Black_List maintenue par un nud

II-4- Les paramtres de la simulation

Le rseau choisi pour faire la simulation est un rseau dot la couverture est de 1000m * 1000m comportant 30 noeuds mobiles. Chacun des nuds caractris par : Sa position dans le rseau : la position est dfinie par les coordonnes du noeud suivant les axes des abscisses X et des ordonnes Y. Nous avons veill ce que les nuds aient des positions diffrentes et distinctes un moment donn.

Son mouvement alatoire caractris par la vitesse moyenne et la direction avec lesquelles il se dplace. Le type : un noeud peut tre bnin ou corrompu. Chaque noeud a un identifiant unique, et une adresse IP pour le routage du trafic. Une porte de transmission (Transmission Range) note Dr qui est la mme pour tous les nuds du rseau et qui sert dfinir la porte dmission du nud. La valeur de Dr tait fixe la valeur 250m.

Les diffrents messages diffuss priodiquement sont essentiellement :

Des messages Hello pour la dcouverte de voisins. Des messages RREQ ou RREP pour valuer les comportements des nuds figurant dans le rseau.

64

Chapitre 4

La priode de simulation stale sur 3600 secondes. Les noeuds changent de position chaque 10 ms. Ce mouvement suit une loi non uniforme cest dire que les vitesses des diffrents nuds et leurs directions sont diffrentes. Aprs chaque changement de la topologie les noeuds mettent jour leurs tables de voisins et attribuent la valeur initiale du niveau de confiance ceux qui entrent pour la premire fois dans leurs zones de voisinage. Quant la gnration des attaques, elle se fait de manire alatoire au cours du temps. En effet les nuds corrompus ont accs au rseau prouvent communiquer avec les autres noeuds. Ils sont mobiles et vont raliser les deux types d attaques contre un ou plusieurs noeuds. Dure de la simulation Etendue du rseau Nombre des nuds mobiles Porte dmission Vitesse de dplacement des noeuds Nombre des nuds corrompus Intervalle de simulation 3600 secondes 1000*1000m 100 250m 15 m/s 10 10 secondes

Tableau IV-1 : Les paramtres de la simulation

III- Rsultats et tude des performances

La simulation qui dure une heure, a t faite conformment aux paramtres mentionnes dans le tableau prcdent. Concernant les nuds ayant t jugs corrompus aprs avoir eu un niveau de confiance au dessus dun certain seuil et qui a t spcifi auparavant. Ce que nous avons choisi comme mtriques pour lvaluation des performances de larchitecture que nous avons prsente, est essentiellement le taux de dtection des attaques, le taux des fausses alarmes et enfin le taux de faux ngatifs qui exprime les attaques nayant pas t dtecte. Les informations affiches par lditeur ont permis de dterminer les diffrentes statistiques concernant la dtection des deux attaques implmentes et gnres des instants alatoires pendant la dure de la simulation.
65

Chapitre 4

Taux de dtection Dropping Routing Traffic attack Resource Deplition attack 75.6% 79.7%

Taux de faux positif 0.0%

Taux de faux ngatifs 20.3%

0.0%

24.4%

Tableau IV-2 : Statistiques de la dtection des attaques Les valeurs obtenues montrent essentiellement que lutilisation du concept de la confiance pour la localisation des nuds corrompus est beaucoup plus performante pour la dtection de lattaque Dropping Routing Traffic . Cependant le taux de dtection de la deuxime attaque est lui aussi acceptable en comparaison dautres solutions proposes pour la dtection des noeuds corrompus. De plus, la chose la plus remarquable est que pour les deux types dattaques nous avons un taux de fausses alarmes nul alors que le taux de faux ngatif est non nul. En effet tout nud malveillant est cens tre dtect dans les plus brefs dlais, seulement la mobilit de ce mme nud fait quil peut il gnre des attaques de diffrents endroits du rseau, de ce fait bien quil va tre pnalis en diminuant son niveau de confiance ce dernier ne passe pas au dessous du seuil fix pour dcider quil est bien corrompus. Nous supposons que lenvironnement de simulation est parfait et quon na pas le problme de congestion, ce qui fait que tout trafic perdu nest que la cause dune attaque gnre par un nud corrompus et cest ce qui justifie encore cette valeur nulle du faux positifs. Le dfi majeur qui se pose devant nous est alors que cause de la grande mobilit des nuds dans un rseau ad hoc, il est vrai quun nud ne peut pas collecter suffisamment dvnements pour dterminer le niveau de confiance dun nud donn. Pour voir leffet de la mobilit et linfluence de la vitesse des noeuds sur les performances de notre modle, nous avons pens rpter la simulation prcdente en changeant chaque fois la vitesse avec laquelle les noeuds peuvent se dplacer. Nous nous intressons au taux de dtection des attaques dune simulation une autre ce qui a donn la figure suivante :

66

Chapitre 4

Figure IV-7: Le taux de dtection en fonction de la vitesse des nuds

Il apparat donc que le taux de dtection dcrot de manire significative si on augmente la vitesse de dplacement des noeuds. En effet, si les noeuds sont fixes, lalgorithme est capable de les dtecter tous puisque ils seront pnaliss sur tout comportement malveillant gnr. Cependant, ce taux de dtection nest que de 81.5% pour une vitesse de 15m/s car en changeant de zone de voisinage le noeud peut chapper au fait que son niveau de confiance passe au dessus seuil consenti. Une autre courbe a t dresse mais cette fois pour valuer le modle en terme de rapidit. Pour ce faire, nous avons gard les mmes paramtres de la simulation, seulement les noeuds ont t pris fixes.

67

Chapitre 4

Le rsultat tait alors comme le montre la courbe ci dessus qui a t tablie sur la base de la moyenne de plusieurs simulations faites. Nous en dduisons, que lorsque les noeuds sont fixes le modle est capable de dtecter tous les noeuds corrompus en un temps court de lordre de 14 secondes. Cependant, peut augmenter si on fait augmenter la vitesse des noeuds. Puisque notre modle se base essentiellement sur la variation dynamique des niveaux de confiance des diffrents noeuds, nous nous sommes intresss essentiellement la variation du niveau de confiance dun noeuds corrompu et ce ci pour une vitesse de 10m/s du noeud.

s
Figure IV-8: La rapidit de lalgorithme
68

Chapitre 4

Figure IV-9 : Mise jour du niveau de confiance dun noeud corrompu

Partant de la valeur initiale (0, 0 , 1) , le degr de confiance b dun noeud croit lorsquil coopre avec les autres. Une fois quil devient corrompus au cours de la simulation, b et lincertitude u vont dcrotre alors que le degr de non confiance d va augmenter. Lorsque b passe 0, le noeud correspondant sera dclar corrompu avec certitude( valeur nulle de lincertitude u). En gnral, grce lintroduction du concept de la confiance dans larchitecture conue nous tions capable de rendre le protocole de routage plus flexible de manire ce que le rseau continue fonctionner en dpit de la prsence des nuds corrompus. Ce ci a t fait sans lintroduction doverhead ou le recours des mcanismes cryptographiques, choses qui peuvent ncessiter des calculs et des vrifications supplmentaires chaque paquet envoy. De cette manire nous avons vit laugmentation des dlais et la rduction des performances du protocole de routage pour que la scurit ne soit pas tablie au dtriment de la qualit de service. Le modle tel que a t propos utilise un minimum de ressource et fonctionne continuellement de faon transparente. De plus, il ne ncessite pas lenvoi de paquets supplmentaire donc ne cause pas lusage de plus de bande passante.
69

Chapitre 4

On a choisi dadopter lAODV comme protocole de routage sous-jacent qui est devenu un standard et le protocole le plus utilis. Ce choix sexplique par le fait cest un protocole qui permet dviter les boucles de routage et fournit une convergence rapide surtout avec le changement de la topologie Dans le future, on peut penser affiner la solution base de la gestion de la confiance en tenant compte dautres attaques affectant le protocole de routage ou amliorer lalgorithme de mise jour des niveaux de confiance surtout dans le cas de rseau potentiellement mobile et ou les donnes collectes ne sont pas suffisantes.

IV- Conclusion
Dans ce chapitre, on a pu tudier les performances du modle propos travers la simulation de sa rponse deux types dattaques. Les attaques gnres sont des attaques actives qui visent la couche rseau et plus prcisment le processus de routage. La simulation sest divise alors en deux parties importantes. La premire tape consiste implmenter une plateforme dun rseau ad hoc ses diffrents algorithmes dauto configuration. Dans la deuxime tape, on a gnr les attaques afin dvaluer les performances.

Fin du chapitre 4

70

Conclusion et Perspectives

Conclusion et Perspectives
Nous avons dfini tout au long de ce mmoire une architecture capable didentifier et de localiser les nuds corrompus dans un rseau ad hoc pour pouvoir les isoler et viter quils perturbent encore le fonctionnement du rseau. La raison pour laquelle nous parlons darchitecture est que nous avons propos un modle permettant lextension des capacits des applications existantes sans avoir besoin de modifier leurs structures. Pour ce faire nous nous sommes bass sur un schma distribu caractris par la gestion de la confiance . Un tel modle a pour vacation de garantir la tolrance aux fautes et aux intrusions. Notre architecture fait apparatre quatre modules dont le fonctionnement se base essentiellement sur lvaluation de la confiance de faon dynamique. De plus, comme les ressources (nergie, bande passante, capacits de calcul) sont limites cause des caractristiques de lenvironnement radio et ad hoc, la procdure de lvaluation de la confiance a du compter sur des informations locales. En effet, lvaluation de la confiance, dans notre travail est faite individuellement au niveau de chaque nud et ne ncessite pas donc des informations sur ltat de tous les autres entits du rseau. Il apparat alors que le calcul des niveaux de confiance est distribu et restreint aux interactions locales entre un noeud donn et ses voisins. Ce premier, comme tant un agent autonome, prend la dcision pour lvaluation de la confiance individuellement et ne compte que sur sa propre observation pour distinguer les nuds corrompus et viter de les impliquer dans le processus de routage ou toute autre activit. Le premier avantage que nous tirons de cette solution, est que les schmas qui se basent uniquement sur les interactions locales ont la proprit suivante : une raction rapide suite aux changement des membres du rseau, de la topologie ou de la police de scurit.

71

Conclusion et Perspectives

Lintgration du concept de la confiance dans les solutions pour la scurit des rseaux ad hoc est une direction prometteuse surtout que le dfi majeur devant toute solution proposer est que ce rseau na aucune infrastructure prexistante ou administration centralise. De ce fait les mcanismes de scurit mettre en uvre doivent tre dcentraliss et autonomes. Cependant, lunique et la plus importante proprit de la gestion de la confiance dans ces rseaux, contrairement aux approches traditionnelles centralises, est lincertitude et lincompltude de lvidence sur le niveau de confiance attribuer un nud donn. En effet, comme il a t visible travers la simulation, bien que les nuds ont t capable didentifier la majorit des nuds corrompus, le taux de faux ngatifs reste non ngligeable. Ce ci est cause de la mobilit des nuds de manire ne permettant de les dtecter dans un temps satisfaisable. Il est envisageable donc dapporter plus damlioration notre architecture, en tenant cette fois, de la mobilit des nuds. Nous pouvons par exemple recourir lchange et la combinaison des niveaux de confiance pour plus de cooprativit entre un nud et ses voisins. De cette manire, lorsquun nud na pas suffisamment dinformations sur un autre, il peut combiner la valeur quil a sur la confiance de ce nud avec celles de ses voisins pour aboutir une valeur plus exacte. Il est ncessaire donc de concevoir un modle de gestion de la confiance optimis pour aider les nuds dcider intelligemment mme en manque dinformations. Il faut aussi rflchir en termes de nouvelles extensions du travail, de traiter un cas rel de rseau ou recourir un simulateur de rseaux tel que NS (Network Simulator) pour mieux analyser la solution en termes dautres mtriques. Enfin, pour clore ce mmoire, nous esprons que les rsultats obtenus trouveront un bon cho et formeront un petit noyau de recherche pour tout intress par la scurit des rseaux ad hoc.

72

Bibliographie

______________________________________________________________

Bibliographie
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] S. Corson et J. Macker, Mobile Ad hoc Networking (MANET) , Technical Report RFC 2501, IETF Juin 1999. Paulius Meskauskas, Mobile Ad Hoc Networking , Seminar On Telecommunications Technology, Helsinki, October 12, 1998. P. Sass D. Baker, M. S. Corson and S. Ramanathan, Flat vs. hierarchical network control architectures, ARO/DARPA Workshop on Mobile Ad-HocNetworking, 1997. Klaus Jobmann, Ad Hoc Networks: Introduction , Cours de Mastre 2005. Hongbo Zhou, A Survey on Routing Protocols in MANETs, Technical Report :MSU-CSE-03-08, March 28,2003. Klaus Jobmann, Ad Hoc Networks: Network Layer , Cours de Mastre 2005. Xiaoyan Hong, Kaixin Xu, and Mario Gerla, Scalable Routing Protocols for Mobile Ad Hoc Networks , IEEE Network Journal, July/August 2002. Erol Gelenbe, Ricardo Lent, A Power-Aware Routing Algorithm, University of Central Florida, Orlando, 2000. L.Zhou and Z. Haas, Securing Ad Hoc Networks, IEEE Network Journal, Vol 13, pp.24-30, 1999. Manel Guerrero Zapata and N. Asokan, Securing Ad hoc Routing Protocols, In Proceedings of the 2002 ACM Workshop on Wireless Security (WiSe 2002), pages 1 10, September 2002. (http://doi.acm.org/10.1145/570681.570682.pdf). [11] [12] Noureddine Boudriga, Network Security, Cours de Mastre 2005. YihChun Hu, Adrian Perrig, David B. Johnson, Rushing Attacks and Defense in Wireless Ad Hoc NetworkRouting Protocols, ACM 1581137699/03/0009, USA, September 19, 2003. [13] Adam Burg, Ad Hoc network specific attacks, Seminar Ad Hoc Networking : Concepts, Applications and Security, Munchen 2003. [14] Sumit Gwalani, Elizabeth M. Belding-Royer, Giovanni Vigna, Richard A. Kemmerer, An Intrusion Detection Tool for Ad hoc Networks, 2002.
73

Bibliographie

______________________________________________________________

[15]

Yanxin Wang, Smruti Ranjan Behera, Johnny Wong, Guy Helmer, Vasant Honavar, Les Miller, Robyn Lutz 1, Mark Slagell, Towards the automatic generation of mobile agents for distributed intrusion detection system, The Journal of Systems and Software, USA, 2004.(www.sciencedirect.com)

[16] [17] [18] [19]

Http: //www.securityfocus.com J. M. Pecher et B. Jouga, Dtection dintrusions dans les rseaux Ad hoc. Projet Mastre RNRT-RAHMS Eole Suprieure dlectronique de louest 2002 . Zheng Yan, Security in Ad Hoc Networks, Networking Laboratory, Helsinki University of Technology( http://citeseer.nj.nec.com/536945.html) Y. Zhang and W. Lee, Intrusion detection in wireless ad hoc networks, In Proceedings of the sixth annual international conference on Mobile computing and networking, MOBICOM2000, pages 275283. ACM Press New York, USA, 2000. Panagiotis Papadimitratos and Zygmunt J. Haas, Secure Routing Protocol for Ad Hoc Networks, In Proceedings of the SCS Communication Networks and Distributed Systems Modeling and Simulation Conference (CNDS 2002), San Antonio, TX, January 27-31, 2002. Bridget Dahill, Brian Neil Levine, Elisabeth Royer, Clay Shields, A Secure Routing Protocol for Ad Hoc Networks, In Proceeding of the 10th Conference on Network Protocols (ICNP2002), pp: 78-89, Paris, France. November 2002. R. Ramanujan, A. Ahamad, J. Bonney, R. Hagelstrom, K, Thurber, Techniques for Intrusion-Resistant Ad Hoc Routing Algorithms (TIARA), Proceedings of 21st Century Military Communications Conference, 2000.

[20]

[21]

[22]

[23]

Farag Azzedin and Muthucumaru Maheswaran, Towards Trust-Aware Resource Managementin Grid Computing Systems, Proc 2nd IEEE/ACM Intern.Symp.On cluster computing and the Grid (CCGrid 2002), pp.452-475, Berlin, May 22-24, 2002.

[24] [25]

Audun Josang, An Algebra for Assessing Trust in Certification Chains, 1998. Noureddine Boudriga and M.S.Obaidat, Fault and Intrusion Tolerance in wireless Ad Hoc Networks.

[26] [27]

Steven M.Bellouin, Distributed Firewalls, pp 37-39, November 1999. S. HOLZNER , Total Java, Editions Eyrolles, 2001.
74

Intitul du projet : Architecture pour la localisation et lisolement des nuds

corrompus dans un rseau Ad Hoc

Rsum
Les services offerts par les rseaux ad hoc commencent concerner un ensemble dapplications de plus en plus important dont la scurit et le bon fonctionnement sont essentiels. Dans de tels rseaux, un certain nombre de nuds mobiles collaborent pour relayer les donnes sans le recours une infrastructure existante ou tout genre dadministration centralise. Cependant les nuds peuvent cesser de cooprer soit causes des pannes ou aprs avoir t corrompus par des attaques. Le but de ce projet est de fournir un modle gnrique permettant de rendre une application distribue robuste aux attaques tout en laissant inchange son architecture. Un tel modle ayant pour vacation de garantir la tolrance aux fautes et aux intrusions, se base sur lvaluation de la confiance de chaque nud du rseau en sinspirant de la logique subjective. Il intgre aussi des mcanismes tels que les listes noires et les firewalls distribus, assurant lisolement des nuds ayant t jugs corrompus compte tenu de leurs niveaux de confiance. Enfin, nous validons les rsultats de limplmentation de lapproche avec notre propre simulateur dvelopp en Java.

Mots cls
Rseaux ad hoc, Scurit, Architecture, Tolrance, Nuds corrompus, Confiance, Logique subjective, Localisation, Isolation.

Ecole Suprieure des communications de Tunis Cit technologique des communications Route de Raoued 3,5 El Ghazela Ariana Tel : +216 71 857 000 Fax : +216 71 856 829 Web : www.supcom.mincom.tn