Infraestructura de seguridad y procedimiento para un protocolo de resolución de nombres del mismo nivel (PNRP).

Un procedimiento para inhibir un ataque de denegación de servicio basado en búsquedas que intenta dificultarla resolución de direcciones en una red del mismo nivel,

que comprende las etapas de:

recibir un mensaje de RESPUESTA (296);

determinar si el mensaje de RESPUESTA es en respuesta a un mensaje anterior de CONVERSIÓN,pedir la resolución de un nombre objetivo de una unidad del mismo nivel en una dirección;

rechazar el mensaje (302, 310) de RESPUESTA cuando el mensaje de RESPUESTA no es en respuesta alanterior mensaje de CONVERSIÓN,

en el que el mensaje de RESPUESTA contiene una lista de direcciones de todos los nodos en la red delmismo nivel que procesaron el mensaje de CONVERSIÓN antes de que un nodo compruebe el mensaje deRESPUESTA y termina con la dirección del propio nodo, y

comprende, además, las etapas de:

determinar si el mensaje de RESPUESTA ha sido modificado en un intento por dificultar la resolución(306), que comprende las etapas de comprobar si la dirección de este nodo es la última entrada en lalista de direcciones y de eliminar la dirección del nodo del final de la lista, y

rechazar el mensaje (310) de RESPUESTA cuando el mensaje de RESPUESTA ha sido modificado enun intento por dificultar la resolución.

Infraestructura de seguridad y procedimiento para un protocolo de resolución de nombres del mismo nivel (PNRP)

Campo de la invención La presente invención versa, en general, acerca de protocolos del mismo nivel, y más en particular acerca de infraestructuras marco de seguridad para los protocolos del mismo nivel.

Antecedentes de la invención La comunicación entre iguales y, de hecho, todos los tipos de comunicaciones dependen de la posibilidad de establecer conexiones válidas entre entidades seleccionadas. Sin embargo, las entidades pueden tener una o varias direcciones que pueden variar debido a que las entidades se mueven en la red, debido a cambios de topología, o debido a que no se puede renovar el alquiler de la dirección. Una solución arquitectónica clásica para este problema de asignación de direcciones es, por lo tanto, asignar a cada entidad un nombre estable, y “convertir” este nombre en una dirección actual cuando se necesita una conexión. Esta conversión de nombre a dirección debe ser muy robusta, y también debe permitir actualizaciones sencillas y rápidas.

Para aumentar la probabilidad de que los que buscan conectarse con la dirección de una entidad puedan encontrarla, muchos protocolos del mismo nivel permiten a las entidades publicar su dirección a través de diversos mecanismos. Algunos protocolos también permiten a un cliente adquirir conocimiento de las direcciones de otras entidades a través del procesamiento de peticiones de otros en la red. De hecho, esta adquisición de conocimiento de direcciones permite una operación con éxito de estas redes del mismo nivel. Es decir, cuanto mejor sea la información acerca de otras unidades del mismo nivel en la red, mayor será la probabilidad de que una búsqueda de un recurso particular converja.

Sin embargo, sin una infraestructura robusta de seguridad subyacente al protocolo del mismo nivel, las entidades maliciosas pueden alterar fácilmente la capacidad de que tales sistemas del mismo nivel converjan. Tales alteraciones pueden estar causadas, por ejemplo, por una entidad que se dedica al robo de identidades. En tal ataque de robo de identidad en la red del mismo nivel, un nodo malicioso publica información de direcciones para ID con las que no tiene una relación autorizada, es decir, no es ni el dueño ni un miembro del grupo, etc. Una entidad maliciosa también podría interceptar y/o responder antes de que responda el nodo bueno, aparentando ser de esta manera el nodo bueno.

Una entidad maliciosa también podría dificultar la resolución PNRP al inundar la red con información mala, de forma que otras entidades en la red tenderían a remitir peticiones a nodos inexistentes (lo que afectaría de forma adversa a la convergencia de búsquedas) , o a nodos controlados por el atacante. Esto también podría conseguirse al modificar el paquete de CONVERSIÓN utilizado para descubrir recursos antes de remitirlo, o al enviar una RESPUESTAinválida de vuelta al solicitante que generó el paquete de CONVERSIÓN. Una entidad maliciosa también podría intentar alterar la operación de la red del mismo nivel al intentar asegurarse de que las búsquedas no convergerán, por ejemplo, en vez de remitir la búsqueda a un nodo en su memoria intermedia que está más cerca de la ID para ayudar en la convergencia de la búsqueda, remitir la búsqueda a un nodo que está más lejos de la ID solicitada. De forma alternativa, la entidad maliciosa simplemente podría no responder en absoluto a la solicitud de búsqueda. Además, la resolución PNRP podría ser dificultada por un nodo malicioso que envíe un mensaje BYE inválido en nombre de una ID válida. Como resultado, otros nodos en la nube eliminarán esta ID válida de su memoria intermedia, reduciendo el número de nodos válidos almacenados en la misma.

Aunque la validación de un certificado de dirección puede evitar el problema del robo de la identidad, esta es ineficaz contra este segundo tipo de ataque que dificulta la resolución PNRP. Un atacante puede continuar generando certificados verificables de direcciones (o puede hacer que se generen previamente) e inundando las ID correspondientes en la nube del mismo nivel. Si cualquiera de los nodos intenta verificar la propiedad de la ID, el atacante podría verificar que es el dueño de las ID inundadas porque, de hecho, lo es. Sin embargo, si el atacante logra generar suficientes ID puede llevar la mayor parte de las búsquedas del mismo nivel a uno de los nodos controlados por él. En este punto, el atacante puede controlar y dirigir bastante bien la operación de la red.

Si el protocolo del mismo nivel requiere que toda la información de direcciones nuevas sea verificada en primer lugar para evitar el problema de robo de la identidad expuesto anteriormente, un tercer tipo de ataque se pone a disposición de las entidades maliciosas. Este ataque al que son susceptibles estos tipos de redes del mismo nivel es una forma de ataque de una denegación de servicio (DoS) . Si todos los nodos que se enteran de nuevos registros intentan llevar a cabo la comprobación de la propiedad de la ID, se producirá una tormenta de actividad de la red contra el dueño anunciado de la ID. Sacando partido de esta debilidad, un atacante podría montar un ataque IP de DoS contra un cierto objetivo al hacer muy popular este objetivo. Por ejemplo, si una entidad maliciosa anuncia la dirección IP de la Web de Microsoft como el IP de las ID, todos los nodos en la red del mismo nivel que reciban este IP anunciado intentarán conectarse a ese IP (IP del servidor Web de Microsoft) para verificar la autenticidad del registro. Por supuesto, el servidor de Microsoft no podrá verificar la propiedad de la ID dado que el atacante generó

esta información. Sin embargo, el daño ya está hecho. Es decir, el atacante acaba de conseguir convencer a una buena parte de la comunidad del mismo nivel a atacar a Microsoft.

Otro tipo de ataque de DoS que abruma a un nodo o una nube al agotar uno o más recursos es perpetrado por un nodo malicioso que envía un gran volumen de PAC inválidos/válidos a un único nodo, por ejemplo, utilizandopaquetes de INUNDACIÓN/CONVERSIÓN/SOLICITUD) . El nodo que recibe estos PAC consumirá toda su CPU intentando verificar todos los PAC. De forma similar, al enviar paquetes inválidos de INUNDACIÓN/CONVERSIÓN, un nodo malicioso conseguirá una multiplicación de los paquetes en la nube. Es decir, el nodo malicioso puede consumir el ancho de banda de la red para una nube de PNRP utilizando un número reducido de tales paquetes dado que el nodo al que son enviados estos paquetes responderá enviando paquetes adicionales. Un nodo malicioso también puede conseguir la multiplicación del ancho de banda de la red al enviar mensajes falsos de PETICIÓN a los que los nodos buenos responderán mediante INUNDACIÓN de los PAC, que tienen un tamañomayor que la PETICIÓN.

Un nodo malicioso también puede perpetrar un ataque en la nube de PNRP al dificultar la sincronización inicial del nodo. Es decir, para unirse a la nube de PNRP un nodo intenta conectarse a uno de los nodos ya presentes en la nube de PNRP. Si el nodo intenta conectarse al nodo malicioso, puede ser controlado completamente por ese nodo malicioso. Además, un nodo malicioso puede enviar paquetes inválidos de PETICIÓN cuando hay implicados dos nodos buenos en el procedimiento de sincronización. Este es un tipo de ataque de DoS que dificultará lasincronización dado que los paquetes inválidos de PETICIÓN iniciarán la generación de mensajes de INUNDACIÓN en respuesta.

El documento: E. Sit, R. Morris: “Security Considerations for Peer-to-Peer Distributed Hash Tables”, en los Proceedings of the First International Workshop on Peer-to-Peer Systems, (IPTPSO2) , 7 de marzo de 2002, Cambridge, Massachusetts, EE. UU., menciona que los sistemas del mismo nivel presentan un problema interesante de seguridad dado que no hay ningún sistema central que proteger. Un nodo malicioso puede diseñar una situación en la que puede enviar una respuesta no solicitada a una consulta. La mejor defensa contra esto sería emplear técnicas estándar de autentificación tales como firmas digitales o códigos de autentificación de mensajes. Una defensa más razonable podría ser incluir un valor aleatorio de uso único con cada consulta y hacer que el extremo remoto repita el valor de uso único en su respuesta.

Por lo tanto, existe una necesidad en la técnica de mecanismos de seguridad que garantizarán la integridad de la nube de P2P al evitar o mitigar el efecto de tales ataques.

Breve resumen... [Seguir leyendo]

1. Un procedimiento para inhibir un ataque de denegación de servicio basado en búsquedas que intenta dificultar la resolución de direcciones en una red del mismo nivel, que comprende las etapas de:

recibir un mensaje de RESPUESTA (296) ;

determinar si el mensaje de RESPUESTA es en respuesta a un mensaje anterior de CONVERSIÓN, pedir la resolución de un nombre objetivo de una unidad del mismo nivel en una dirección;

rechazar el mensaje (302, 310) de RESPUESTA cuando el mensaje de RESPUESTA no es en respuesta alanterior mensaje de CONVERSIÓN, en el que el mensaje de RESPUESTA contiene una lista de direcciones de todos los nodos en la red del10 mismo nivel que procesaron el mensaje de CONVERSIÓN antes de que un nodo compruebe el mensaje de RESPUESTA y termina con la dirección del propio nodo, y comprende, además, las etapas de:

determinar si el mensaje de RESPUESTA ha sido modificado en un intento por dificultar la resolución (306) , que comprende las etapas de comprobar si la dirección de este nodo es la última entrada en la 15 lista de direcciones y de eliminar la dirección del nodo del final de la lista, y rechazar el mensaje (310) de RESPUESTA cuando el mensaje de RESPUESTA ha sido modificado en un intento por dificultar la resolución.

2. El procedimiento de la reivindicación 1, en el que la etapa de determinar si el mensaje de RESPUESTA es enrespuesta a un mensaje anterior de CONVERSIÓN comprende las etapas de calcular una posición del bit como una clave calculada de información en el mensaje (298) de RESPUESTA, y analizar un vector (300) de bits mantenido por el nodo que comprueba el mensaje de RESPUESTA para determinar si un bit correspondiente a la posición del bit está puesto en el mismo, en el que la posición del bit es un número utilizado como un índice en el vector de bits.

3. El procedimiento de la reivindicación 1, en el que la etapa de determinar si el mensaje de RESPUESTA ha sido modificado en un intento por dificultar la resolución comprende las etapas de calcular una posición del bit como una clave calculada que incluye la lista de direcciones en el mensaje de RESPUESTA, y analizar un vector de bits mantenido por el nodo que comprueba el mensaje de RESPUESTA para determinar si un bit correspondiente a la posición del bit está puesto en el mismo, en el que la posición del bit es un número utilizado como un índice en el vector de bits.