Utilização da defesa em profundidade na segurança de redes táticas de borda

Abstract

As operações militares atuais exigem tropas flexíveis e adaptáveis, que devem ser capazes de cooperar com agências civis e coalizões em cenários urbanos e de campo aberto. Além disso, existe uma grande variedade de equipamentos conectados às redes (desde sensores até radares) que constituem as redes chamadas de Internet das Coisas de Batalha (IoBT - no inglês Internet of Battle Things). Isso cria desafios para o necessário fluxo de informa- ções até o comando das tropas, para que estes tomem as decisões não apenas na sede, mas também na borda do campo de batalha. Assim, surgindo novas e complexas soluções de transmissão da informação no campo de batalha, o que cria uma demanda pela segurança dos ativos de rede por diversos fatores, entre eles o crescimento da superfície de ataque aliado à variedade de padrões de conexão correlacionados aos emergentes dispositivos e serviços relacionados à Internet das Coisas (IoT). Essa realidade é evidente especialmente nos Dispositivos Táticos de Borda (DTB). Devido à grande variedade de equipamentos conectados às redes e suas possíveis limitações de recursos e meios de transmissão, causadas principalmente pelo terreno e condições operacionais, enfrentam importantes desafios na proteção da rede. Nesse contexto de problemas na segurança intencionais e não intencionais, este trabalho propõe utilizar o conceito de Defesa em Profundidade (DeP) por meio de uma arquitetura onde a segurança é dividida em três níveis: hardware, rede e aplicação, utilizando em cada um deles tecnologias como blockchain, Euclid, área segura e/ou procedimentos (políticas de controle de tráfego do Plano de Controle das Redes Definidas por Software (SDN - do inglês Software Defined Network)) voltados a mitigar a possibilidade dos ataques. Considerando se tratar de DTB, conectados por Redes Táticas de Borda (RTB), a escassez de recursos computacionais e de largura de banda foram relevantes para a escolha dos meios de proteção utilizados. Os experimentos realizados nos cenários propostos comprovaram que o Euclid é efetivo contra Ataques Distribuídos de Negação de Serviço (ADNS) (melhoria de 50% na capacidade de resposta) e o consumo de rede e recursos computacionais do Ethereum ficam próximo de 10% do disponível. Assim, apesar da limitação do ambiente, as soluções propostas podem ser utilizadas nas RTB.

Today’s military operations require flexible and adaptable troops that must be able to cooperate with civilian agencies and coalitions in urban and open-field scenarios. In addition, there is a wide variety of network-connected equipment (from sensors to radars) that make up the so-called Internet of Battle Things networks. This creates challenges for the necessary flow of information to troop commanders, so that they can make decisions not only at headquarters but also at the edge of the battlefield. Thus, new and complex solutions for transmitting information on the battlefield are emerging, which creates a demand for the security of network assets due to several factors, including the growth of the attack surface combined with the variety of connection standards correlated to emerging devices and services related to the Internet of Things. This reality is especially evident in Tactical Edge Devices (TED). Due to the wide variety of equipment connected to networks and their possible limitations in resources and transmission means, caused mainly by terrain and operational conditions, they face significant challenges in network protection. In this context of intentional and unintentional security problems, this work proposes to use the Defense in Depth concept through an architecture where security is divided into three levels: hardware, network and application, using in each of them technologies such as blockchain, euclid, safe area and/or procedures (traffic control policies of the Software Defined Network (SDN) Control Plane) aimed at mitigating the possibility of attacks. Considering that these are TEDs connected by Tactical Edge Networks (TEN), the scarcity of computing resources and bandwidth were relevant for the choice of protection methods used. The experiments carried out on the proposed plans proved that Euclid is effective against Distributed Denial of Service Attacks (DDoS) (50% improvement in response capacity) and that Ethereum’s network and computing resource consumption are close to 10% of what is available. Thus, despite the limitations of the environment, the proposed solutions can be used in TEN.