Solução Proposta
4.4 Plano de testes
4.4.3 Teste de deteção para CoAPS
O terceiro e último teste realizado, destina-se a validar o mecanismo de análise aos registos de uxos de tráfego IP, de forma a analisar a performance das especi cações apresentadas no subcapítulo 4.3, referentes ao protocolo aplicacional CoAPS, ou seja, CoAP sobre DTLS.
Aqui é pretendido validar duas situações: i) análise dos registos de uxos de tráfego IP de comunicações CoAPS normais e ii) análise dos registos de uxos de tráfego IP de comunicaçõesCoAPS anormais ou maliciosos, seguido de respetiva classi cação por ataque.
O processo para testar i), é realizado em 4 etapas. Numa primeira etapa são ativa- dos todos os dispositivos IoT CoAPS, incluindo clientes e servidores. Ao contrário dos
testes realizados apenas com o CoAP, ao utilizar-se o DTLS como uma camada adici- onal de segurança, antes de ocorrer a troca de mensagens entre clientes e servidores, ambos têm de passar por um processo chamado de handshake DTLS, onde ocorre o estabelecimento de uma sessão válida. Após o estabelecimento de uma sessão válida os clientes e servidores já podem trocar mensagens entre si. Através desta troca de dados, são gerados tráfego de uxos normais. De salientar que estes uxos são cifrados de forma a garantir a privacidade do utilizador. Numa segunda etapa é executado o YAF, visando capturar os pacotes de rede trocados nas comunicações realizadas entre, os clientes CoAPS da rede interna e, os servidores CoAPS que se encontram na Internet. Numa terceira etapa é executado, no módulo central do IDS, o super_mediator com as especi cações descritas no subcapítulo 4.3 de forma a descodi car e armazenar os registos de uxos de tráfego IP exportados pela sonda através do IPFIX. Por m, na quarta e última etapa, executou-se a aplicação IDS, no qual vai realizar uma leitura dos uxos de tráfego IP que se encontraram armazenados em formato JSON no mó- dulo central do IDS e, posteriormente realizar uma análise tendo em consideração as especi cações descritas no subcapítulo 4.3.
Dessa análise, resulta um relatório onde consta a classi cação atribuída a cada uxo. De salientar que caso o uxo seja classi cado como anómalo, este é igualmente classi cado por tipo de ataque.
O processo para testar ii), é realizado em 4 etapas. Numa primeira etapa são ati- vados todos os dispositivos IoT CoAPS, incluindo clientes e servidores. Ao contrário dos testes realizados apenas com o CoAP, ao utilizar-se o DTLS como uma camada adicional de segurança, antes de ocorrer a troca de mensagens entre clientes e servido- res, ambos têm de passar por um processo chamado de handshake DTLS, onde ocorre o estabelecimento de uma sessão válida. Após o estabelecimento de uma sessão válida os clientes e servidores já podem trocar mensagens entre si. Através desta troca de dados, são gerados tráfego de uxos anómalos. Adicionalmente e utilizado um dispo- sitivo atacante que irá gerar ataques de Net Scan aos serviços CoAPS. Por forma a reutilizar recursos, os dispositivos CoAPS clientes também irão geral tráfego anómalo, procedendo à sua devida adaptação, para a realização de ataques a URI inválidos e válidos e ataques Dos nos serviços CoAPS. De salientar que estes uxos são cifrados de forma a garantir a privacidade do utilizador. Numa segunda etapa é executado o YAF, visando capturar os pacotes de rede trocados nas comunicações realizadas entre, os clientes CoAPS da rede interna e, os servidores CoAPS que se encontram na Internet. Numa terceira etapa é executado, no módulo central do IDS, o super_mediator com as especi cações descritas no subcapítulo 4.3 de forma a descodi car e armazenar os registos de uxos de tráfego IP exportados pela sonda através do IPFIX. Por m, na
quarta e última etapa, executou-se a aplicação IDS, no qual vai realizar uma leitura dos uxos de tráfego IP que se encontraram armazenados em formato JSON no mó- dulo central do IDS e, posteriormente realizar uma análise tendo em consideração as especi cações descritas no subcapítulo 4.3.
Dessa análise, resulta um relatório onde consta a classi cação atribuída a cada uxo. De salientar que caso o uxo seja classi cado como anómalo, este é igualmente classi cado por tipo de ataque.
Para estas duas situações espera-se que os uxos de tráfego IP na sua maioria sejam bem classi cados tendo em consideração as especi cações descritas no subcapítulo 4.3. É expectável que para os registos de uxos de tráfego IP CoAPS normais, sejam bem classi cados por parte da aplicação IDS, mesmo com as mensagens cifradas. Em relação aos registos de uxos de tráfego IP CoAP anómalos, é expectável que sejam bem classi cados, exceto alguns registos de uxos de tráfego IP cujo não têm sessão DTLS estabelecida.
De salientar que, para além das comunicações normais e anormais, existem ainda na rede interna um serviço de DNS e de NTP que também vão gerar tráfego entre a rede interna e a Internet.
4.5 Síntese
Neste capítulo apresentou-se o protótipo desenvolvido a m de validar a framework proposta.
Pretendeu-se também, avaliar a framewoek proposta no que concerne à deteção de intrusões tendo como base as especi cações previamente declaras. Esta bateria de testes pretendia validar a aplicação IDS quanto ao seu funcionamento, de forma a compreender se esta classi cava os registos de uxos de tráfego de uma forma correta. Pretendia igualmente validar a performance das especi cações declaradas, tanto para CoAP como para CoAPS.
No próximo capítulo prceder-se-á apresentação e discussão dos resultados obtidos nos testes realizados.