Δικτυακός έλεγχος και ασφάλεια νέας γενιάς για το διαδίκτυο των πραγμάτων

Abstract

Αναµφίβολα, ένας από τους τοµείς µε τη µεγαλύτερη συµβολή στα δίκτυα 5G είναι το ∆ιαδίκτυο των Πραγµάτων (∆τΠ), δηλαδή ετερογενείς και χαµηλού κόστους αισθητήρες, ενεργοποιητές, αντικείµενα, καθώς και συσκευές περιορισµένων πόρων, διασκορπισµένες σε µεγάλες αστικές και αγροτικές εκτάσεις. ΄Ολες αυτές οι συσκευές, ενώ αντιµετωπίζουν κάθε λογής προβλήµατα όπως περιορισµένους πόρους, ασύρµατη κάλυψη, ετερογένεια των λειτουργικών συστηµάτων, προβλήµατα λογισµικού και πρωτοκόλλων µεταξύ άλλων, προσπαθούν να επικοινωνήσουν ασφαλώς και αποτελεσµατικά, µε τελικό στόχο να πάρουν µετρήσεις και να αλληλοεπιδράσουν µε το περιβάλλον, µετατρέποντας τις αναλογικές µετρήσεις σε ψηφιακή πληροφορία, για πρώτη ϕορά στην ανθρώπινη ιστορία. Επιπλέον, τα ∆τΠ δεν επικοινωνούν απαραίτητα µε τα "παραδοσιακά ασύρµατα πρωτόκολλα" (π.χ. 802.11x) λόγω περιορισµών στη διαθέσιµη µνήµη, ενέργεια, επεξεργαστική ισχύ, κτλ. Επίσης αυτές οι συσκευές ευρισκόµενες εντός πεδίου, συνήθως αλλάζουν γρήγορα και δυναµικά την τοπολογία τους (π.χ. κινούµενοι κόµβοι. Τα παραπάνω αποκαλύπτουν την ανάγκη για νέα προσαρµοζόµενα πρωτόκολλα και τεχνικές επικοινωνίας που ϑα µπορούν να επιλύσουν τέτοια ενδιαφέροντα προβλήµατα και να υπερβούν τους υφιστάµενους περιορισµούς και δυσκολίες. Αυτές οι λύσεις ϑα πρέπει αναγκαστικά να είναι συµβατές µε το καθολικά χρησιµοποιούµενο πρωτόκολλο IPv6 όπως και υπάρχοντα πρωτόκολλα που ήδη κατέχουν δεσπόζουσα ϑέση (όπως π.χ., το ΙΕΕΕ 802.15.4). Αυτά τα πρωτόκολλα επιλύουν κάποια από αυτά τα προβλήµατα, αλλά υπάρχει χώρος για πιο ακριβείς και καινοτόµες λύσεις. Για παράδειγµα, το αρκετά δηµοφιλές πρωτόκολλο RPL αντιµετωπίζει περιορισµούς και προβλήµατα, ειδικά επειδή ϐασίζεται στην κατανεµηµένη εικόνα που απορρέει από την ίδια τη ϕύση των ∆τΠ δικτύων. Η διατριβή αυτή εστιάζει σε προβλήµατα που αναδύονται σε αυτά τα πρωτόκολλα όταν εµφανίζονται ακραίες ή ασυνήθεις συνθήκες. Υπάρχουν περιπτώσεις όπου οι προτεραιότητες του πρωτοκόλλου πρέπει να διαφοροποιηθούν προσωρινά, ώστε να εξυπηρετήσουν µία ανακύπτουσα ανάγκη για επικοινωνία σηµείου-προς-σηµείο µεταξύ των κόµβων, ή όταν κινούµενοι κόµβοι χρειάζεται να χρησιµοποιήσουν αποδοτικά το χαµηλό εύρος Ϲώνης που υπάρχει διαθέσιµο, και όλα αυτά κάτω από τη διαρκή ανάγκη για ασφάλεια. Κάποια από αυτά τα ϑέµατα µπορούν να αντιµετωπιστούν µέσω της εφαρµογής του παραδείγµατος των ∆ικτύων Καθοριζόµενων απο το Λογισµικό (∆ΚΛ), (Software Defined Networks, SDN) στα ∆τΠ. Η εφαρµογή των ∆ΚΛ επιφέρει κεντρική διαχείριση, καθολική κατόπτευση του δικτύου, κεντρική λήψη αποφάσεων, καλύτερη απόκριση σε αλλαγές, κινδύνους, κτλ, αλλά ακριβώς λόγω της καθολικής εικόνας επιφέρει και περισσότερη κίνηση στο δίκτυο λόγω της αποστολής της επιπλέον πληροφορίας. Κάτω από το πρίσµα του ∆τΠ, τα ∆ΚΛ πρέπει να χρησιµοποιηθούν επιλεκτικά, µόνον εκεί όπου η ισορροπία µεταξύ του όποιου κέρδους και της πλεονάζουσας πληροφορίας, είναι σαφώς υπέρ του πρώτου. Η διατριβή επίσης παρουσιάζει µία λεπτοµερή καταγραφή των προβληµάτων α-σφάλειας των δικτύων ∆τΠ. Ως αποτέλεσµα αυτής της ϐιβλιογραφικής µελέτης, κατασκευάστηκε ένα σύγχρονο λογισµικό Σύστηµα Ανίχνευσης Εισβολών (Intrusion Detection System, IDS), ονόµατι ASSET, εµπνευσµένο από το παράδειγµα των ∆ικτύων Καθοριζόµενων απο το Λογισµικό (∆ΚΛ), (Software Defined networks, SDN). Το σύστηµα µπορεί να αντιµετωπίσει τις περισσότερες επιθέσεις ενάντια στο RPL πρωτόκολλο. Πιο συγκεκριµένα, η διατριβή εξετάζει: (i), Τη δηµιουργία και εφαρµογή λύσεων δροµολόγησης σηµείου προς σηµείου (point-to-point) µέσα στο πρωτόκολλο RPL, το οποίο είναι προσανατολισµένο σε δικτύωση ενός-προς-πολλούς (point-to-multipoint), µε αφετηρία τους κόµβους του δικτύου, και κατάληξη στον κεντρικό κόµβο-δροµολογητή, (sink-node), (ii) Τη λειτουργία των ∆τΠ, αλλά και του RPL, κάτω από ιδιαίτερες και ακραίες συνθήκες, και πως αυτή η λειτουργία µπορεί να ϐελτιωθεί, τόσο από την παραµετροποίηση των κόµβων ανά περίπτωση (ad-hoc) αλλά και τα προβλήµατα που ανακύπτουν από την ετερογένεια των κόµβων αυτών, σε επίπεδο κατασκευαστή, δυνατοτήτων επεξεργαστικής και αποθηκευτικής ισχύος, κτλ. Επίσης στο ίδιο πλαίσιο εξετάζονται οι δυνατότητες συνεργασίας µεταξύ διαφορετικών επιπέδων δικτύου και η µεταφορά δεδοµένων κατά περίπτωση, και (iii), Την αποτελεσµατικότητα που επιφέρει η κεντρική διαχείριση και η κατόπτευση του δικτύου στην αποτελεσµατική αντιµετώπιση κόµβων-εισβολέων, και πολλών διαφορετικών επιθέσεων. Στο ίδιο πλαίσιο εξετάζεται αναλυτικά η αποτελεσµατικότητα χρήσης εργαλείων από άλλους κλάδους στην υπόδειξη και αποκλεισµό των εισβολέων-κόµβων. Τα πειραµατικά αποτελέσµατα της διατριβής δείχνουν τα εξής: (i) το πρωτόκολλο RPL, αν και αυτή την στιγµή έχει δεσπόζουσα ϑέση στο ∆τΠ, παρά ταύτα, έχει σοϐαρές δυσλειτουργίες στη δροµολόγηση σηµείου-προς-σηµείο, και στη δροµολόγηση και διαχείριση κινούµενων κόµβων. Σε αυτόν τον τοµέα, η ϐιβλιογραφία χρειάζεται εµπλουτισµό µε καινούριες, καινοτόµες λύσεις και ιδέες, (ii), υπάρχουν πολλά ανοιχτά ζητήµατα στο ∆τΠ όσον αφορά στις συσκευές, και πιο συγκεκριµένα στις δυνατότητες επεξεργασίας, αποθήκευσης και δικτύωσης, στη διάρκεια και στη διαχείριση της ενέργειας και της µπαταρίας, καθώς και στις διαλειτουργικές δυνατότητες και προβλήµατα µεταξύ των διαφόρων επιπέδων δικτύου (network layers), καθώς και µεταξύ διαφόρων κατασκευαστών, δυνατοτήτων των συσκευών, και επιµέρους προσφερόµενων λύσεων, (iii), τα ∆τΠ, έχουν πολλά ανοιχτά ϑέµατα ασφαλείας, ειδικότερα όσον αφορά την παρακολούθηση και αναγνώριση επιθέσεων, ειδικά αυτών που εκµεταλλεύονται δοµικές αδυναµίες σε δηµοφιλή πρωτόκολλα όπως το ΡΠΛ, και κάποιες από αυτές δεν αντιµετωπίζονται ακόµη και µε τη χρήση κρυπτογραφίας. Σε αυτό το πεδίο, τα Συστήµατα Αναγνώρισης Εισβολής (ΣΑΕ, Intrusion Detection System, IDS), παραµένουν µία αξιόπιστη λύση που χρειάζεται περισσότερη ϐιβλιογραφική και πειραµατική έρευνα.

Undoubtedly, one of the primary enablers of the 5G networks is the Internet of Things (IoT), i.e., low-cost and heterogeneous sensors, actuators, objects, and constrained devices, scattered across extensive urban or rural areas. All those devices, while facing all kind of problems from constrained resources, wireless coverage, heterogeneity of operating systems, applications, and protocols, among others, are struggling to efficiently and securely communicate, with the ultimate goal of measuring and interacting with the surrounding environment, transforming the analog readings to digital information, for the first time in human history. Those IoT networks do not usually communicate with the ``traditional'' wireless protocols (e.g., IEEE 802.11x) because of restrictions such as memory, energy, complexity, etc. Also, those devices, when in the wild, could be rapidly and dynamically changing their topology (e.g., mobile sensors). The above reveals the need for new adapted protocols and communication techniques that will try to solve new exciting problems and overcome arising restrictions. All such proposals should also be compatible with the IPv6 and existing well-established already protocols (e.g., IEEE 802.15.4). Those existing protocols address some of the above issues, but yet, there is an open space for more accurate and innovative solutions. For example, the well-established RPL protocol faces limitations and problems, basically due to the distributed view inherited by the very nature of IoT networks. The current dissertation focuses on problems arising within those protocols when an extreme or unusual condition or demand occurs. There are cases where the protocol's priorities need to be temporarily altered, to favor for example, an ad hoc emerged point-to-point communication need or when mobile nodes need to efficiently utilize the low bandwidth available, all under the everlasting need for security and safety. Some of the above issues can be benefited from the application of the Software Defined Networks (SDNs) paradigm in the IoT. SDN brings central management, a catholic view of the network, centralized decision making, better response to changes, dangers, etc., but also entails increased network traffic because of this extra information. Under the IoT prism, SDN needs to be selectively used, only where the trade-off between possible gain and control overhead is clearly in favor of the first. The dissertation also cites a thorough investigation of IoT security, and in particular, the security issues arising under the RPL protocol. As a result of this bibliographic overview, a state-of-the-art Intrusion Detection System named \emph{ASSET} inspired by the network softwarization paradigm was constructed, able to confront most of the existing attacks against the RPL protocol. More specifically, the dissertation examines: (i) creating and applying point-to-point routing algorithms and solutions for the RPL protocol, focusing on point-to-multipoint communications and routing from the network nodes to the sink node; (ii) the functionality of IoT and RPL protocol under harsh and difficult circumstances, and how to improve this functionality by ad hoc parameterization of the nodes and confront the problems arising from the heterogeneity of the nodes in manufacturer level, nodes functionalities, etc. Within the same context, possibilities of cooperation between different network layers and adaptable data transfer are examined; (iii) the effectiveness brought by the centralized management and real-time network monitoring to successfully confronting multiple intruders and many different attacks. Under the same scope, the usability and effectiveness of tools and techniques from other scientific areas to identify and exclude those intruders are thoroughly examined. Experimental results of this dissertation, among others, have shown the following: (i) Even though the RPL protocol holds a dominant position in IoT, it has severe issues and flows regarding point-to-point and mobile nodes routing; (ii) there are many open issues in IoT regarding the devices, especially towards processing, storing, and networking, along with the duration and optimization of batteries in the intra-functional capabilities and problems between different network layers, but also between manufacturers, device capabilities, and offered solutions; (iii) The IoT has many open security issues, especially regarding the monitoring and detection of attacks exploiting structural weaknesses of popular protocols such as RPL, since some of them cannot be confronted even with cryptography. In this area, IDSs remain a trustworthy solution needing more bibliographical and experimental research.