ferramenta para gerÊncia de seguranÇa em … · em redes livres de restrições e de alto...

FERRAMENTA PARA GERÊNCIA DE SEGURANÇA EM BACKBONES IP BASEADA NUMA NOVA METODOLOGIA E UTILIZANDO ANÁLISE DE TRÁFEGO EM TEMPO REAL

ESTUDO DE CASO ENVOLVENDO O TRÁFEGO DA REDE-RIO DE COMPUTADORES

Cláudia de Abreu Silva – [email protected] Luís Felipe Magalhães de Moraes

Universidade Federal do Rio de Janeiro (UFRJ)

Ciclo de Palestras 2007 - Rede Rio de Computadores/FAPERJ 19 de abril de 2007 – Rio de Janeiro

Roteiro

Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.

Introdução

Redes de computadores estão cada vez maisheterogêneas, complexas e sujeitas a falhas.

Aumento da velocidade e dos recursos computacionaisdas redes levam ao aumento da exposição das vulnerabilidades de seus aplicativos.

Indivíduos mal intencionados, através de técnicas e recursos específicos, conseguem burlar a supostasegurança das redes, no intuito de explorar as vulnerabilidades.

Introdução

Os arquivos de ocorrências das ferramentas de segurança, normalmente, registram o que foi negado.

Necessidade de acesso irrestrito para ambientes abertos(Rede acadêmica e de pesquisa ou Backbone IP).

Os gerentes de segurança têm necessidade de saber das atividades que estão efetivamente ocorrendo na rede.

Os aplicativos de monitoramento de tráfego geram grandevolume de dados, geralmente, sob a forma de relatórios.

O trabalho de análise de todos os dados capturados é umatarefa árdua.

Introdução

Ferramentas tradicionais de captura de tráfego nãoconseguem manipular satisfatoriamente grandesquantidades de informações.

Ferramentas de monitoramento baseadas em fluxos de dados são utilizadas como analizadores de tráfego parafins de gerência de desempenho das redes.

Para a identificação da origem da anormalidade na rede, énecessária a execução de diversos procedimentos, geralmente, manuais.

Introdução - Problemas

1) Ausência de ferramenta específica para capturar, classificar e filtrar padrões de atividades maliciosasem redes livres de restrições e de alto tráfego;

2) Número elevado de informações textuais para análise;

3) Realização de procedimentos manuais para a identificação do(s) elemento(s) gerador(es) do tráfegoanômalo;

4) Desconhecimento do estado atual da segurança darede;

5) Ausência de histórico dos eventos anômalosencontrados.

Introdução - Objetivos

1) Fornecer, em tempo real, subsídios necessários paraa reação em casos de atividades maliciosas emambientes livres de restrições de acesso e emgrandes volumes de dados trafegados;

2) Automatizar os procedimentos utilizados para a identificação do(s) elemento(s) gerador(es) do tráfegoanômalo;

3) Apresentar visualmente o resultado das análises do tráfego classificado;

4) Prover um histórico das anormalidades identificadas;

5) Não interferir no tráfego benigno.

Sumário


Fundamentação TeóricaModelo Internet TCP/IP:

Informações obtidas nos cabeçalhos dos protocolos:

Tipo de ProtocoloIP Endereço IP de origem

Endereço IP de destino

TCP Porta de origemUDP Porta de destino

SYNTCP Sinalizadores ACK

FINRST

Fundamentação Teórica – Modelo Internet TCP/IPComunicação entre Processos em Uma Rede

Portas de comunicação:

Portas de conhecimento geral: 0 a 1023 Registradas: 1024 a 4951Dinâmicas (ou Privadas): 4952 a 65535

Fluxo de comunicação:

Tráfego unidirecional com um conjunto de identifição único de variáveis.

Endereço IP de origem

Porta de origem

Endereço IP de destino

Porta de destinoProtocolo Protocolo

Fundamentação Teórica – Análise de Tráfego

Tipo de Análise de Tráfego

Vantagens Desvantagens

Baseada em pacotes Visibilidade de todo o conteúdo dos dados trafegados.Maior flexibilidade de critérios de filtragem.

Elevado custo computacional para processamento e armazenamento, podendo provocar perda de pacotes.

Baseada em fluxos Velocidade e redução de necessidades de recursos computacionais. Ideal para ambiente de tráfego pesado.

Não apresenta nenhuma informação das camadas mais altas.Somente informações de cabeçalhos.

Fundamentação Teórica – Mecanismos de Captura de Tráfego

• Captura do Tráfego:

Recursos comumente utilizados na captura para análise baseada em pacotes:

- BPF (BSD Packet Filtering)– Arquitetura encontrada em

diversos Unix– Composto por um interceptador

de rede e um filtro de pacotes

- Biblioteca libpcap– Conjunto de rotinas para a imple-

mentação do BPF– Presente em diversos projetos de

monitoramento (TCPDUMP,Ethereal, Snort e outros)

Fundamentação Teórica – Mecanismos de Captura de TráfegoRecursos comumente utilizados na captura para análise baseada em fluxos:

- Arquitetura Netflow

Padrão adotado pelo IETF para o formato de exportação de fluxos.

Composto por: Sensor, Coletor e Analisador

COLETORSENSOR ANALISADOR

Tipos de códigosmaliciosos

Características

Vírus Infecta um arquivo para posterior exploração.Geralmente requer interação humana para sua replicação.

Código malicioso móvel São programas leves, baixados de um sistema remoto e executado localmente (Javascript, VBScript, Java ou ActiveX)

Backdoor Burla os controles de segurança da máquina para forneceracesso ao atacante.

Cavalo de tróia Disfarça-se em programa útil, mascarando sua finalidademaliciosa.

Rootkit (nível de usuário) Modifica executáveis utilizados por administradores e usuários.

Worm Se propaga através da rede de dados, explorando sistemasvulneráveis. É auto-replicável.

Rootkit (nível de núcleo) Modifica o núcleo do S.O. para criar e esconder backdoors.

- Padrões de Anomalias de Aplicativos Maliciosos (Malwares) em Rede:

Principais categorias de códigos maliciosos

Fundamentação Teórica -

Tipos de códigosmaliciosos

Características

Vírus Infecta um arquivo para posterior exploração.Geralmente requer interação humana para sua replicação.

Código malicioso móvel São programas leves, baixados de um sistema remoto e executado localmente (Javascript, VBScript, Java ou ActiveX)

Backdoor Burla os controles de segurança da máquina para forneceracesso ao atacante.

Cavalo de tróia Disfarça-se em programa útil, mascarando sua finalidademaliciosa.

Rootkit (nível de usuário) Modifica executáveis utilizados por administradores e usuários.

Worm Se propaga através da rede de dados, explorandosistemas vulneráveis. É auto-replicável.

Rootkit (nível de núcleo) Modifica o núcleo do S.O. para criar e esconder backdoors.

- Padrões de Anomalias de Aplicativos Maliciosos (Malwares) em Rede:

Principais categorias de códigos maliciosos

Fundamentação Teórica


- Ciclo de Infecção dos Worms:

Abertura de porta

Propagação

Execução dos dados

Seleção de novas vítimas

Varredura


- Técnicas de Varreduras em Rede

Objetivo: Procurar pelo maior número de canais de comunicação abertos quepossam ser alvos em potencial.

TCP_SYN:(half open)

TCP connect( )

`

Varredor Vítima

SYN SYN/ACK

RST/ACK

Porta aberta e disponível para conexão

Porta indisponível



TCP_FIN:

`

Varredor Vítima

FIN RSTRFC793



TCP_Null:

`

Varredor Vítima

RSTRFC793

Sumário


Trabalhos Relacionados

Fatores comumente adotados na identificação de eventos anômalos:

1 - Alteração de volume de tráfego;

2 - Elevação do número de sessões estabelecidas;

3 - Conteúdo da área de dados dos pacotes;

4 - Periodicidade de ocorrências de fluxos.


- Metodologias tradicionais:

Trabalhos Relacionados- Análise de Tráfego na Segurança de redes:

Sistemas de Detecção de Intrusão em Rede

Combinam regras pré-estabelecidas (assinaturas) ao tráfego para identificação de eventos conhecidos.

Ferramentas: Snort , Firestorm e outros.

Vantagem: Rapidez e confiabilidade na identificação (redução de falso positivo)

Desvantagem: Difícil manutenção da base de assinaturas.Não identifica novos ataques.


Flow-dscan:

Manipula os registros gerados pelo Netflow.

Realiza a detecção de anomalias e gera relatórios:- número excessivo de octetos ou pacotes por fluxo- varredura de equipamentos- varredura de portas (restritas ao intervalo entre 0 e 1023)

Vantagem: Rapidez de processamento

Desvantagem: Restrição da análise de anomalias que utilizam portas decomunicação superior a 1023.


Em [23], é feita a análise do conteúdo dos dados trafegados a fim de identificaratividades de worms que utilizam o correio eletrônico para sua propagação, mediante técnicas de transmissão de código malicioso na área de dados dos pacotes trafegados.

Vantagem: Flexibilidade de critérios de filtragem.

Desvantagens: - Custo computacional elevado para processamento e armazenamento, ao ser utilizada em redes de alto volume de tráfego.

- Sujeita a perda de pacotes a serem analisados.- Restrição de análise ao SMTP.

[23] AKRITIDIS P. ANAGNOSTAKIS, K. M. E. Efficient content-based detection of zero-day worms. Communications, 2005. ICC 2005. 2005 IEEE InternationalConference on, Vol. 2, p. 837 843, May 2005.


Em [2], é proposto um algoritmo de classificação dos fluxos capturados a fim de identificar eventos de ataques de negação de serviço, varreduras de equipamentos e varreduras de portas. De acordo com a periodicidade de registros de ocorrências na tabela associada a cada variável analisada (IP origem, IP destino, Porta destino), caracteriza-se um valor signicante para uma assinaturaa ser gerada.

Utilizou-se, ainda, a visualização intuitiva de manifestações gráficas obtidas naplotagem do resultado da classificação do algoritmo.

Vantagem: Classificação dos fluxos em tempo próximo do real, associada à visualizaçãode seu resultado.

Desvantagens: - Restrição da análise à periodicidade de ocorrência dos dados capturados. - Servidores Web muito populares e aplicativos P2P apresentam

comportamentos similares às classificações de negação de serviço, gerando muitas ocorrências de falsos positivos.

[2] KIM, I. K. H.; BAHK, S. Real-time visualization of network attacks on highspeed links. IEEE Network, v. 18, p. 3019, 2004.


[2] cont.

[2] KIM, I. K. H.; BAHK, S. Real-time visualization of network attacks on highspeed links. IEEE Network, v. 18, p. 3019, 2004.

- Análise de Tráfego na Segurança de redes :

Trabalhos Relacionados- Visualização de eventos anômalos em rede.

Vantagens:

Identificação instantânea do estado da rede monitorada;Dispensa o conhecimento de um especialista para seu reconhecimento;Resume um número elevado de informações textuais em uma informação visual.

Trabalhos Relacionados- Visualização de eventos anômalos em rede:

Em [4], utilizou-se a técnica de mapeamento em árvore pararepresentar visualmente o tráfego destinado à porta 25. Assumindo a premissa de que o protocolo utilizado pelo correio eletrônico (SMTP) éum dos mais procurados pelos invasores de redes.

Vantagem: Consegue mostrar grandes hierarquias.

Desvantagem : Restrição da indentificação das características de anormalidade devido à limitação da análise emum unico serviço.

[4] SAMPAIO, L. et al. Um ambiente de gerenciamento de medições por fluxo de tráfego baseado na utilização de mapas em Árvore. II WPerformance, Campinas, Brasil, p. 115128, 2003.


[4] SAMPAIO, L. e outros. Um ambiente de gerenciamento de medições por fluxo de tráfego baseado na utilização de mapas em Árvore. II WPerformance, Campinas, Brasil, p. 115-128, 2003.


Em [5,6] utilizou-se a apresentação visual multi-dimensional com coordenadas paralelas para representar os relacionamentos entre os diversosequipamentos da rede.

Desvantagem: Em rede com grande volume, o excesso de informaçãovisual dificulta a sua análise.

[5] YIN, X. et al. Visflowconnect: netflow visualizations of link relationships for security situational awareness. In: VizSEC/DMSEC '04: Proceedings of the 2004ACM workshop on Visualization and data mining for computer security .Washington DC, USA: ACM Press, 2004. p. 2634. ISBN 1-58113-974-8.[6] CONTI, G.; ABDULLAH, K. Passive visual fingerprinting of network attack tools. In: VizSEC/DMSEC '04: Proceedings of the 2004 ACM workshop on Visualizationand data mining for computer security. New York, NY, USA: ACM Press, 2004. p. 4554. ISBN 1-58113-974-8.


[5] YIN, X. et al. Visflowconnect: netflow visualizations of link relationships for security situational awareness. In: VizSEC/DMSEC '04: Proceedings of the 2004ACM workshop on Visualization and data mining for computer security .Washington DC, USA: ACM Press, 2004. p. 2634. ISBN 1-58113-974-8.[6] CONTI, G.; ABDULLAH, K. Passive visual fingerprinting of network attack tools. In: VizSEC/DMSEC '04: Proceedings of the 2004 ACM workshop on Visualizationand data mining for computer security. New York, NY, USA: ACM Press, 2004. p. 4554. ISBN 1-58113-974-8.

Trabalhos Relacionados- Visualização de eventos anômalos em rede:Em [7] utilizou-se uma visualização por grafemas. Os sistemas monitorados são

representados por nós, conectados por raios, que representam o tráfego entreos nós.

Desvantagem: Em rede com grandevolume, o excesso de informação visual dificulta a sua análise.

[7] ERBACHER, R. F. Glyph-based generic network visualization. In: Proceedings of the SPIE '2002 Conference on Visualization and Data Analysis. [s.n.], 2002.

Sumário


Metodologia PropostaDiferenciais:

Análise das informações sumarizadas contidas no cabeçalho do fluxo analisado.- Tipo de protocolo- Endereço IP de origem- Endereço IP de destino- Porta de origem- Porta de destino- Sinalizadores (TCP)

Apresentação gráfica do resultado

Contabilização

Registro das ocorrências anômalas.

Metodologia PropostaPremissas assumidas:

Adoção da análise baseada em fluxos a fim de minimizar a perda de pacotes capturados, reduzir o uso de recursos computacionais para armazenamento e processamento dos dados capturados.

Existência de base de portas comumente utilizadas pelos worms, a ser utilizada como parâmetro de análise do tráfego.

A porta de destino que apresentar, no intervalo de um minuto, um número total de fluxos trafegados superior a 1% de todos os fluxos analisadose não pertencer ao grupo de serviços previamente conhecido como válidos, será considerada suspeita.(Alimentação automática da base de portas suspeitas)

Metodologia PropostaPorta origem > 1023

Porta destino = suspeitaProtocolo = TCP

Sinalizador = SYN

Porta origem > 1023Porta destino = suspeita

Protocolo = TCPSinalizador = RST/ACK

Porta origem > 1023

Protocolo = TCPSinalizador = RST

Resposta a uma tentativa de conexãoTCP sem envio de sinalizadores

Protocolo = TCPSinalizador = RST/ACK SYN_TCP_porta_baixa

Resposta de tentativa de conexão por aplicativo privilegiado em uma porta não disponível

N

S

S

S

FLUXO

SYN_TCP

SSYN_UDP

NApresentar graficamente

Contabilizar

Registrar no histórico

SYN_half_open

Resposta de tentativa de conexão em uma porta não disponível

NS

SYN_Null_TCP

N

N

Metodologia Proposta

Análise dos cabeçalhos dos fluxos.

Metodologia Utilizada

Análise dos cabeçalhos dos fluxos.

Alteração de volume de tráfego;

Elevação do número de sessõesestabelecidas;

Conteúdo da área de dados dos pacotes;

Periodicidade de ocorrências de fluxos.

Sumário


Ferramenta Proposta

Componentes do Sistema

MÓDULO EXTRATOR

MÓDULO CLASSIFICADOR

MÓDULO GERADOR DE IMAGENS

MÓDULO WEB

DADOS PARA

PLOTAGEM

FLUXOSFORMATO

TEXTO

ARQUIVO PORTAS WORMS

HISTÓRICOARQUIVO

TEXTO

HISTÓRICOIMAGENS

ANALISADOR

COLETORSENSOR

FLUXOSFORMATONETFLOW

FLUXOS

Ferramenta Proposta

Tecnologias utilizadas

Flow-capture

Flow-cat

Flow-print

Pacote Flow-tools

Fluxos

Flow-stat

FLUXOS FORMATO NETFLOW

PORTAS MAIS

UTILIZADAS

PROGRAMA C ATUALIZA ARQ.

PORTAS

PORTAS SUSPEITAS

sed

awk

FLUXOS FORMATO

TEXTO

Módulo Extrator

Módulo Classificador

PROGRAMA C CLASSIFICA

FLUXOS

FLUXOS WORMTEXTO

FLUXOS PARA

PLOTAGEM

Módulo Gerador de Imagem

gnuplot

FLUXOS WORM

IMAGEM

ÁREA DE OCORRÊNCIAS CORRENTESShell Script

Shell Script

Shell Script

mmv

FLUXOS WORMTEXTO

FLUXOS WORM

IMAGEM

ÁREA DE HISTÓRICO DE

OCORRÊNCIAS

Módulo WEB

php

Processador html

Apache

WEB

REQUISIÇÕES / RESPOSTAS

Ferramenta Proposta

Funcionalidades

Ferramenta PropostaFuncionalidades

Ferramenta Proposta

Funcionalidades

Sumário


Aplicação da Metodologia ao Monitoramento da Segurança de Redes

Rede Rio

TELEMAR

CBPF

EmbratelRNP

Roteadorde Borda

FLUXOS

COLETOR

WEB

SENSOR

Coleta do tráfego das Instituições da Rede-Rio

passando por estes enlaces

RAVELCOPPE

REQUIS

IÇÕES

/ RES

POST

AS UFRJ

PUC-Rio

FIOCRUZ

1G155M

ANALISADOR

Sumário

Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros..

Resultados Obtidos

• Visualização Global de Propagações de Worms

Intervalo de observação: 1 min

Fluxos analisados: 387.835

Fluxos classificados como Propagação de worm: 30.575 (7,88%)

Resultados Obtidos• Visualização de Propagações de Worms – SYN_TCP

Resultados Obtidos• Visualização de Propagações de Worms – SYN_UDP

Resultados Obtidos• Visualização de Propagações de Worms – FIN_Null_TCP

Resultados Obtidos• Monitoramento de Fluxos Oriundos de Endereçamento Reservado:

Resultados Obtidos• Volume Médio de Fluxos classicados como propagação de Worms:

Período de análise: 23 a 31 de agosto de 2006

Resultados Obtidos• Volume Médio de Fluxos oriundos de Endereçamento Reservado:

Período de análise: 25 a 31 de agosto de 2006

Fluxos analisados: ≈ 1,5 bilhões de fluxos

≈ 1,4 milhões (0,096%) oriundos de endereçamento reservado

Sumário


Conclusões e Trabalhos Futuros

Com o uso da metodologia proposta, mostrou-se que é possível,rapidamente, localizar equipamentos contaminados com worms emum backbone IP Gigabit Ethernet.

Explorou-se o recurso visual como meio de divulgação do resultado da análise, em tempo próximo do real e sem interferência no tráfego benigno.

Os resultados obtidos mostram que, em média, 10 % de todos osfluxos trafegados, são oriundos de propagação de worms ou de utilização indevida de endereçamento reservado.

O fornecimento de informações estatísticas, em tempo próximodo real e com a preservação de seu histórico, garante uma entendimento mais realístico dos eventos anômalos na rede.

Conclusões e Trabalhos FuturosObjetivos:

Fornecer, em tempo real, subsídios necessários para a reação em casos de atividades maliciosas em ambienteslivres de restrições de acesso e em grandes volumes de dados trafegados;

Automatizar os procedimentos utilizados para a identificaçãodo(s) elemento(s) gerador(es) do tráfego anômalo;

Apresentar visualmente o resultado das análises do tráfegoclassificado;

Prover um histórico das anormalidades identificadas;

Não interferir no tráfego benigno.

OK

OK

OK

OK

OK

Conclusões e Trabalhos FuturosTrabalhos futuros:

- Considerar a exploração visual da rede monitorada em “N” variáveis, visando buscar novos padrões gráficos para as anomalias encontradas.

- Análise de novos parâmetros visando criação de novosperfis de comportamentos anômalos.

- Efetuar o estudo da eficiência do algoritmo de classificação com outrosda literatura que venham a explorar a mesma metodologia.

- Integração da ferramenta implementada com sistemas derastreamento de atacantes (IP Traceback).

Perguntas / Comentários

ferramenta para gerÊncia de seguranÇa em … · em redes livres de restrições e de alto...

Documents