Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
12/9/2008
1
Tráfego Internet não Desejado: Conceitos, Caracterização e Soluções
Eduardo Feitosa, Eduardo Souto, Djamel Sadok{elf,jamel}@cin.ufpe.br, [email protected]
Grupo de Pesquisa em Redes e Telecomunicações (GPRT)Centro de Informática
Universidade Federal do Pernambuco
SBSeg 2008
RoteiroIntroduçãoCaracterização do tráfego não desejadoCaracterização do tráfego não desejado
Vulnerabilidades e problemas conhecidosTiposClassificação
Soluções existentes
2
TradicionaisBaseadas na análise do tráfego
Potenciais soluçõesConsiderações finais
12/9/2008
2
IntroduçãoIntrodução
o DefiniçõesDi õo Discussões
IntroduçãoO tráfego Internet é formado por serviçose aplicações conhecidas e tradicionaisp(legadas)Nos últimos anos, nota-se o crescimentoem outro nível de tráfego
Desconhecido, não solicitado, não produtivo e ilegítimos
O é ti dO que é esse tipo de tráfego?
4
12/9/2008
3
IntroduçãoTráfego não desejado (unwanted traffic)
Mensagens não solicitadas (spam)Mensagens não solicitadas (spam)Atividades fraudulentas (phishing e pharming)Ataques de negação de serviço (DDoS) e BackscatterProliferação de códigos maliciososg(vírus, worms, cavalos de tróia, etc.)entre outros
5
IntroduçãoAumento refletido nos prejuízosfinanceiros mundiaisa ce os u d a sAlguns exemplos
2006US$ 245 milhões através de wormsentre provedores americanos
2007$US$ 66 milhões entre 194 empresas via
fraudes, intrusões, vírus ... CERT.br registrou 45.298 incidentesCAIS (RNP) registrou 4000 tentativas despam e phishing
6
12/9/2008
4
IntroduçãoParte do problema é atribuída as atuaissoluçõessoluções
Demora na identificação, alta taxa dealarmes falsos e falta de cooperação comoutras soluçõesA definição do que é “não desejado”também é um problema
Download de músicas e vídeos, jogos on-line, comunicação instantânea, TV viaInternet são exemplos
7
DefiniçõesAssociado a vírus, worms, intrusões eataques de baixa carga (anos 80)ataques de baixa carga (anos 80)Definição atual recente (últimos 10 anos)
“tráfego não produtivo composto por partemaliciosa (backscatter, worms, spam,...) eparte benigna (flash crowds, máconfiguração de roteadores,...)” [Pang 2004]g ç , ) [ g ]“tráfego cuja finalidade é comprometercomputadores vulneráveis, propagarcódigos maliciosos, proliferar mensagens despam e negar serviços” [Xu 2005]
8
12/9/2008
5
Definições“Qualquer tipo de tráfego de rede nãorequisitado e/ou inesperado, cujo únicorequisitado e/ou inesperado, cujo únicopropósito é consumir recursoscomputacionais da rede, desperdiçartempo e dinheiro dos usuários eempresas e capaz de gerar algum tipo devantagem ou lucro para seus criadores”vantagem ou lucro para seus criadores
9
DefiniçõesOutras nomenclaturas
Junk trafficJunk trafficTráfego de fundo (background)Tráfego anormal
10
12/9/2008
6
DefiniçõesFalta de consenso
O que é ou não desejado depende doO que é ou não desejado depende docontexto, da aplicação e da localizaçãoSkypeOut é ilegal na China por causar prejuízos a operadora de telefonia Provedores Internet limitam aplicações P2P
Códigos maliciosos e leis de direitos autoraisIRC, sites de relacionamento, mensagensinstantâneas
11
DiscussõesTráfego não desejado não é novidade,mas cresceu rapidamente nos últimos 10mas cresceu rapidamente nos últimos 10anos, porquê?Diversos fatores
Falta de controleAusência de leisE istência de ma indústriaExistência de uma indústria ilícita lucrando muito “Desprezo” para as questões de segurança
12
12/9/2008
7
DiscussõesEventos específicos
SRUTI (Steps to Reducing Unwanted TrafficSRUTI (Steps to Reducing Unwanted Trafficon the Internet)
3 edições, apoio do USENIXWorkshop da IAB (Internet ArchitectureBoard)
Intercâmbio entre operadores, fabricantes,desenvolvedores e pesquisadoresO resultado é a RFC (Request forComments) 4948
13
Caracterização do tráfego não desejado
o Vulnerabilidades e problemasTio Tipos
o Classificação
12/9/2008
8
CaracterizaçãoA atual estratégia de pesquisa é divididaem três passosem três passos
Adquirir conhecimento (origens, tipos eclassificação)Avaliar a efetividade das soluções atuaisCriar novas soluções mais eficazes
15
Vulnerabilidades e problemasO tráfego não desejado está presente naInternet desde seu surgimentoInternet desde seu surgimentoNo começo, incidentes eram erros deoperação ou ataques de quem queriachamar atenção
Worm da InternetE l ã d t ã b tit i ãEvolução, adaptação substituição poratividades abusivas e maliciosas emlarga escalaQuem são os culpados ou causas?
16
12/9/2008
9
Vulnerabilidades e problemasA natureza aberta da Internet
Fator de sucesso e crescimentoFator de sucesso e crescimento
172000 2008
Vulnerabilidades e problemasA natureza aberta da Internet
Por outro lado a “falta de controle” nãoPor outro lado, a falta de controle nãopermite atribuir responsabilidades quandoacontece algo errado, não intencional oumaliciosoA pilha TCP/IP não disponibiliza qualquermecanismo de auditoria ou “tomografia” de
tum ataqueResultado: limite de punição não definido
Quem é o responsável? Quem punir?
18
12/9/2008
10
Veracidade dos endereços IP de origemAtaques de negação de serviço utilizam
Vulnerabilidades e problemas
Ataques de negação de serviço utilizamendereços IP de origem forjadosAtualmente, devido a falta de controle, cabea cada elemento da rede decidir se o pacoterecebido é confiável ou nãoEntretanto, botnets (redes zumbi) utilizam
Lucro estimado em $15.000por mês através de clickfraud
Google assegura $90.000Ancheta conseguiu $60.000
controlando 400 zumbis
19
computadores com IPs válidos para realizardiversos ataquesA questão não é simplesmente confiar ounão em determinado IP
Mau uso dos protocolos na InternetFirewall e sistemas de segurança bloqueiam
Vulnerabilidades e problemas
Firewall e sistemas de segurança bloqueiamportas não usadasSolução
Tudo sobre HTTP (“all over HTTP”)
Resultado
20
A mesma infra-estrutura Internet utilizada no cotidiano é utilizada para divulgar o tráfego não desejado
This w
ay
12/9/2008
11
Computadores e sistemas vulneráveisGrande número de computadores e
Vulnerabilidades e problemas
Grande número de computadores esistemas comprometidos e/ou vulneráveisMotivos
Usuários e empresas não preparados ou nãointeressados em aspectos de segurançaConstantes descobertas de vulnerabilidades
21
ResultadoAumento no tráfego não desejado,principalmente através de vírus, worms, espam
AutenticaçãoCenário de grande mobilidade
Vulnerabilidades e problemas
Cenário de grande mobilidade
Cyber Café
22
802.11
Matriz
Filial
Rede Celular
12/9/2008
12
AutenticaçãoExistem diferentes soluções algumas
Vulnerabilidades e problemas
Existem diferentes soluções, algumassimplificadasO atual processo de autenticação (usuáriose dispositivos) ainda é complexoOs mecanismos de autenticação sãovinculados ao tipo de meio físico utilizados
23
(diferentes credenciais, semânticas e basesde autenticação)
A união dessas e outras vulnerabilidadescontribuíram para o estabelecimento de
Vulnerabilidades e problemas
contribuíram para o estabelecimento deum “Mercado Negro” (submundo)
24
12/9/2008
13
Vulnerabilidades e problemasMercado negro (underground economy)
Um grande shopping virtual onde “seusUm grande shopping virtual onde seuspercentes e bens” são comprados evendidosO que é vendido: cartões de crédito, contase senhas bancárias, senhas de roteadoresda Internet, acesso a servidores, bot,b t t tbotnets, etc.Uso de ferramentas tradicionais ouaprimoradas
25
Mercado negro (underground economy)
Vulnerabilidades e problemas
2° d
3° andar Varejo:cartões de crédito,contas bancárias
4° andar Servidores:empresas, governo
26
2° andar Internet:hosts, roteadores, endereços forjados
1° andar Equipamentos:bot e botnets
12/9/2008
14
Mercado negro (underground economy)Lucros na casa dos bilhões de dólares ao
Vulnerabilidades e problemas
Lucros na casa dos bilhões de dólares aoredor do mundoIRC como baseParte do lucro é reinvestido
Escritores, programadores e especialistas web
27
IAB considera “a raiz de todos os males da Internet”
Atribuição de responsabilidade oupunição
Vulnerabilidades e problemas
puniçãoCom o grande número de elementosenvolvidos, quem tem a responsabilidade
Ataque DDoSAusência de leis penalizam violações relacionadas a
28
crimes
12/9/2008
15
Vulnerabilidades e problemasAusência e/ou ineficiência das leis
Falta de leis contra crimes ou para regular aFalta de leis contra crimes ou para regular aconduta de usuários em muitos paísesPaíses com jurisdição sobre Internet como USA e UK, as leis só são aplicadas muito depois dos fatos terem acontecido
29
Tipos de Tráfego não DesejadoPrincipais tipos de ataques, anomalias eaplicativos relacionados com o tráfegoaplicativos relacionados com o tráfegonão desejado
Ataques de negação de serviçoAtaques ao DNSAtaques ao roteamentoSPAMSPAMCódigos maliciososAplicações recreativos
30
12/9/2008
16
Tipos de Tráfego não DesejadoAtaques de negação de serviço
Tentativas de impedir usuários legítimos deTentativas de impedir usuários legítimos deutilizarem um determinado serviço de umcomputador ou redeConsumem recursos como memória, poderde processamento, espaço em disco elargura de bandaTambém podem ser executados de formadistribuída (DDoS) para aumentar ousuperdimensionar sua potência
31
Tipos de Tráfego não DesejadoAtaques de negação de serviço
32
12/9/2008
17
Tipos de Tráfego não DesejadoAtaques de negação de serviço
Exploram alguma característica ou falha daExploram alguma característica ou falha dapilha de protocolosTCP three-way handshake é o “escolhido”Inundação (flooding) é o mais conhecido
ICMP Unreachable, Fraggle e UDP PacketStorm, Smurf
Ataques por refletores (lógicos) executaminundações
33
Tipos de Tráfego não DesejadoAtaques de negação de serviço
Backscatter é o tráfego recebido de vítimasBackscatter é o tráfego recebido de vítimasque estão respondendo a ataques denegação de serviçoNormalmente, emprega endereços IP deorigem forjadosPacotes típicos são TCP SYN/ACK, TCPRST/ACK e ICMP Echo Reply e DestinationUnreachable
34
12/9/2008
18
Tipos de Tráfego não DesejadoAtaques ao DNS
O DNS (Domain Name System) é uma baseO DNS (Domain Name System) é uma basede dados hierárquica distribuída deinformações da InternetTradução de nomes dos computadores paraendereços IP e vice-versaDevido a sua importância, qualquer falhaafeta um grande número de usuáriosÉ vulnerável a ataques de negação deserviço e outros mais elaborados
35
Tipos de Tráfego não DesejadoAtaques ao DNS
Envenenamento de cache (cache poisoning)Envenenamento de cache (cache poisoning)Pharming é o maior exemplo
36
12/9/2008
19
Tipos de Tráfego não DesejadoAtaques ao roteamento
O roteamento Internet é um sistemaO roteamento Internet é um sistemadistribuído agrupado em domínioschamados sistemas autônomos (AS)
37
Tipos de Tráfego não DesejadoAtaques ao roteamento
O BGP (Border Gateway Protocol) é umO BGP (Border Gateway Protocol) é umprotocolo de roteamento inter domíniosAtaques ao BGP interferem no roteamento(mudança de rotas), mas não na entrega depacotesPrincipais ataques ao BGP
Redirecionamento (usado em phishing espam)Subversão
38
12/9/2008
20
Tipos de Tráfego não DesejadoSPAM
DefiniçãoDefiniçãoMensagem comercial não solicitada(Unsolicited Commercial E-mail - UCE)Mensagem não solicitada enviada de formamassiva (Unsolicited Bulk E-mail - UBE)
De forma geral, refere-se
39
ao envio de mensagensnão solicitadas de correioeletrônico a um grandenúmero de usuários
Tipos de Tráfego não DesejadoSPAM
ClassificaçãoClassificaçãoBoatos (hoaxes)
Suposta repasteurização do leite longa vida Amazônia internacional (livro didático)Projeto de Lei 5476/2001 (verdadeiro)
Correntes (chain letters) Ajude uma criança doenteAjude uma criança doenteTotem da sorte
PropagandasProdutos farmacêuticos para homens
40
12/9/2008
21
Tipos de Tráfego não DesejadoSPAM
Phishing (Classificação)Phishing (Classificação)
41
Tipos de Tráfego não DesejadoSPAM
ClassificaçãoClassificaçãoGolpes (scam)spam com conteúdo malicioso
42
12/9/2008
22
Tipos de Tráfego não DesejadoSPAM
Verdadeira praga na InternetVerdadeira praga na InternetEstimativas do Radicati Group
Perdas mundiais equivalentes a US$ 198bilhões em 2007Os spam representarão 79% do volumemundial de e-mail em 2010
VariaçõesSPIT (Spam via Internet Telephony) e SPIM(Spam via Instant Messages)
43
Tipos de Tráfego não DesejadoCódigos maliciosos
Qualquer código usado para causar danosQualquer código usado para causar danosou obter dados, sem o consentimento dousuárioRoubam dados, permitem acesso nãoautorizado, vasculham sistemas (exploits) eutilizam sistemas comprometidos (botnets)
lif i t áfpara proliferar mais tráfegoOs principais exemplos são:
Vírus, worms, cavalos de tróia e e spywares
44
12/9/2008
23
Tipos de Tráfego não DesejadoCódigos maliciosos - Vírus
Programas que alteram a operação normalProgramas que alteram a operação normalda vítima, replicando-se e espalhandocópias em outros códigos ou programasexecutáveisCiclo de vida
Dormência, propagação ou replicação, ativação e execução
45
Tipos de Tráfego não DesejadoCódigos maliciosos - Worms
Programa auto-replicante capaz de se auto-Programa auto replicante capaz de se autopropagar explorando falhas de segurançaem serviçosTaxa de propagação muito rápida e podeameaçar a infra-estrutura da InternetAlto consumo de largura de bandaA ativação pode ser rápida e direta ou lentae depender de humanos
46
12/9/2008
24
Tipos de Tráfego não DesejadoCódigos maliciosos – Cavalos de Tróia
(Trojan Horse) Programas que executam(Trojan Horse) Programas que executamfunções escondidas e não desejadas
Varreduras de endereço IP e portas, spam,ataques DDoS ou adição em uma botnet
Não se auto-propagam, dependem dohomemAtualmente, são conhecidos como “gimme”(gíria para “give me”) graças as mensagensde spam scam
47
Tipos de Tráfego não DesejadoCódigos maliciosos – Spyware
Programas que recolhem informações sobreProgramas que recolhem informações sobreo usuário e os transmite para alguém
Habítos de compras, contas bancárias esenhas pessoais
Dados vendidos a terceiros e/ou usados emroubos e fraudesAperfeiçoamento constante para evitar detecçãoAdware e keylogger também são programas espiões
48
12/9/2008
25
Tipos de Tráfego não DesejadoAplicações recreativas
Representam a convergência natural entreRepresentam a convergência natural entreos diversos tipos de dados e os novosusuários
Rádio e televisão via Internet,compartilhamento de arquivos, mensagensinstantâneas, jogos on-line interativos emultimídiamultimídia
Geralmente não são relacionados aataques, mas ao consumo de largura debanda
49
Tipos de Tráfego não DesejadoAplicações recreativas
Redes sociais são ligadas a proliferaçãoRedes sociais são ligadas a proliferaçãovírus, worms e spywares e afetam aprodutividadeA exceção são as aplicações P2P decompartilhamento
50
12/9/2008
26
ClassificaçãoApesar de conhecido desde os anos 80,não existem muitas classificaçõesnão existem muitas classificaçõesformaisProposta IAB em 2006
Pertubantes (Nuisance)Maliciosos (Malicious)Desconhecidos (Unkno n)Desconhecidos (Unknown)
51
ClassificaçãoPertubantes (Nuisance)
Tráfego de fundo que “atrapalha” o uso daTráfego de fundo que atrapalha o uso dalargura de banda e outros recursos comopoder de processamento e espaço em discoSPAM e P2P são exemplos
Servem como canal para propagação decódigos maliciososP2P aumenta em muito a carga da rede
Discussão se P2P é ou não indesejado, masé consenso que fere os direitos autoraisAtaques DDoS pode ser incluídos
52
12/9/2008
27
ClassificaçãoPertubantes (Nuisance)
Pop-up spamPop up spamTráfego UDP entre 1025 e 1030 geram pop-ups no serviço de mensagem do WindowsOcasionalmente são variantes de phishing(“error occurred”, “machine compromised”,“Download software for fix”)U á i ã l á iUsuários são vulneráveisCentenas de milhões dessas mensagens sãoenviadas por hora
53
ClassificaçãoPertubantes (Nuisance)
Pop-up spamPop up spam
54
12/9/2008
28
ClassificaçãoMaliciosos (Malicious)
Tráfego responsável por proliferar códigosTráfego responsável por proliferar códigosmaliciosos incluindo vírus, worms, spywaresGeram pequeno volume de tráfego, mas oresultado do estrago é geralmente alto(perdas financeiras)Livrar-se dele requer habilidade dos
55
operadores de rede
ClassificaçãoDesconhecidos (Unknown)
Tráfego que mesmo pertencendo a uma dasTráfego que mesmo pertencendo a uma das categorias anteriores, por algum motivo não pode ser classificado com tal ou que não se conhece suas intenções ou origens
Tráfego malicioso criptografado ou misturado com tráfego legitimo, por exemploW il i ( i t ) lWorms silenciosos (quiet worms) e malwares
56
12/9/2008
29
ClassificaçãoClassificação de acordo com a origemem primárias e secundáriasem primárias e secundáriasPrimárias correspondem a requisiçãoinicial de comunicação
Aplicações P2P, mensagens de spam, víruse worms, intrusões e ataques massivos
Secundárias correspondem ao tráfego deSecundárias correspondem ao tráfego deresposta
Backscatter, ataques de baixa intensidade etráfego “benigno”
57
Soluções ExistentesSoluções Existentes
o Soluções tradicionaisS l õ b d áli d t áfo Soluções baseadas na análise do tráfego
12/9/2008
30
Soluções existentesExistem vários esquemas, ferramentas esoluções desenvolvidos e/ou utilizadassoluções desenvolvidos e/ou utilizadaspara identificar e minimizar o tráfego nãodesejadoSoluções tradicionais
Firewall, sistemas de detecção de intrusão,honeypots softwares “anti-alguma coisa”honeypots, softwares anti-alguma coisa ,ferramentas de medição de tráfego econtrole de acesso
Soluções baseadas na análise de tráfego59
FirewallSolução mais empregada no mundoUtilizam regras (filtros) que definem oUtilizam regras (filtros) que definem oque deve ser feito
Todo tráfego que entra ou sai da rede oumáquina é comparado com as regras e oresultado é a ação de permitir ou negar otráfego
60
gClassificação
Filtro de pacotes, filtro de estados e filtros deaplicação (gateways)
12/9/2008
31
Firewall Filtros de pacotes
Compara as informações do cabeçalho deCompara as informações do cabeçalho decada pacote com as regras para decidir oque fazer
Campos: endereços IP, portas e protocoloSimples e fáceis de configurarListas de controle de acesso (ACL) e
61
( )ipchain (Kernel 2.2) são bons exemplosVulneráveis a ataques com endereços IPforjados e ineficazes contra tráfegocriptografado
Firewall Filtros de estado
Mantêm registros do estado das conexõesMantêm registros do estado das conexõesde rede (TCP e UDP) que estão ativasA filtragem é feita sobre o estado dasconexões estabelecidas e não apenas nocabeçalhoTrês tipos de estados:
62
NEW (novas conexões), ESTABLISHED(conexões estabelecidas), RELATED(conexões relacionadas com outrasexistentes)
Iptables é o maior expoente
12/9/2008
32
Firewall Gateways de aplicação
Atuam na camada de aplicação (application-Atuam na camada de aplicação (applicationlevel gateways) vasculhando o conteúdo dospacotes a procura de indícios de anomaliasPosicionados como intermediários (proxies)de um determinado serviço
Soluções anti-spam e web (Squid)
63
Permitem avaliar o tráfego e as transaçõescriptografadas, porém são específicos porserviço e inserem mudanças nodesempenho da rede
Firewall Firewall pessoais
Inúmeras soluções de firewall desenvolvidasInúmeras soluções de firewall desenvolvidaspara uso pessoalZoneAlarm e Sygate (windows) e IPTables esuas diversas interfaces gráficas deconfiguração para ambiente Linux
64
12/9/2008
33
IDSSistemas de Detecção de Intrusos (IDS)
Sistemas (hardware ou software)Sistemas (hardware ou software)especializado em tentar descobrir quandoum alvo (sistema, rede ou host) está sobalgum tipo de tentativa de intrusãoIDS são alvos lógicos de ataque
A escolha, instalação e configuração podem
65
ocasionar falhas de segurançaPrincipal problema
Precisão
IDS Problema de Precisão
66
12/9/2008
34
IDS Classificação (tecnologia de análise)
Tecnologia de análiseTecnologia de análiseAssinaturasAnomalias
Local de aplicaçãoRedesHostsosts
Variantes e evoluçõesIPSADS
67
IDS Classificação (tecnologia de análise)
Análise de assinaturasAnálise de assinaturasOs dados do tráfego de rede ou dados deuma determinada aplicação são comparadoscom uma base de padrões (assinaturas) deataquesVantagem: ataques conhecidos sãodetectados com bastante rapidez e comdetectados com bastante rapidez e combaixa taxa de erroDesvantagem: ataques desconhecidos nãosão detectados
68
12/9/2008
35
IDS Classificação (tecnologia de análise)
Detecção de anomaliasDetecção de anomaliasConstrói perfis de comportamento paraaquilo que é considerado como atividadenormalDesvios da normalidade são então tratadoscomo ameaçasV t d d tVantagem: capazes de se adaptar a novasclasses de anomalias bem com detectarataques desconhecidos (ataques “zero-day”)Desvantagem: estabelecimento do perfil decomportamento normal
69
IDSClassificação (local de aplicação)
Baseados em rede (NIDS)Baseados em rede (NIDS)São empregados em pontos estratégicos darede para monitorar o tráfego de entrada esaída de todos os dispositivos em uma redeGeram alarmes de atividades suspeitas eatuam em conjunto com um firewall paraautomaticamente bloquear o tráfegoautomaticamente bloquear o tráfegoanalisado como malicioso ou anormalSnort e Bro são exemplos
70
12/9/2008
36
IDSClassificação (local de aplicação)
Baseados em host (HIDS)Baseados em host (HIDS)Coletam dados do sistema onde estãoinstalados, ou seja, os sensores ficaminstalados na máquina que está sendomonitoradaSofrem de subversão, ou seja, podem serdesativados ou modificados por um intrusodesativados ou modificados por um intrusobem sucedido, para esconder sua presençae suas atividades
71
IDS Evolução
IDS são passivos apenas detectam eIDS são passivos, apenas detectam eregistram eventosIPS (Intrusion Prevention System) são iguaisaos IDS, mas podem interagir com outroselementos de segurança (firewall) parabloquear determinado tráfegoOperam on-line (prevenção em tempo real)Algumas implementações agregam usamDPI para fornecer resultados mais precisos
Cisco e ISS (comerciais) - Snort e Untangle(gratuitas) 72
12/9/2008
37
IDS Evolução
APS (Anomaly Prevention Systems)APS (Anomaly Prevention Systems)consideraram cada tipo de anomaliaseparadamente através da criação de um perfildo comportamento do tráfegoPode ser aplicado fora do perímetro da rede(backbones, por exemplo) enquanto IDS e IPSsão voltados à segurança interna da redesão o tados à segu a ça te a da ede
73
Honeypot Honeypot é uma ferramenta desegurança cuja função é colhersegurança cuja função é colherinformações sobre ataques e atacantesDefinições
Software ou sistema que possui falhas reais ou virtuais de segurança, implementadas propositalmente, com a únicapropositalmente, com a única finalidade de ser invadido, sondado e atacado para que os mecanismos utilizados na invasão possam ser estudados
74
12/9/2008
38
Honeypot Não fazem nenhum tipo de prevenção,mas fornecem informações adicionaismas fornecem informações adicionaisClassificação de acordo com o nível deatuação
Baixa InteratividadeAlta Interatividade
75
Honeypot Classificação (nível de atuação)
Honeypots de baixa interatividade sãoHoneypots de baixa interatividade sãoferramentas instaladas para emularsistemas operacionais e serviços com osquais os atacantes irão interagirSistema operacional real configurado demodo seguro, para minimizar o risco de
ti t (h t d d ã )comprometimento (honeypot de produção)Utilizados na proteção de empresashoneyd [http://www.honeyd.org]
76
12/9/2008
39
Honeypot Classificação (nível de atuação)
Honeypots de alta interatividade sãoHoneypots de alta interatividade sãomáquinas completas que implementamsistemas operacionais e serviços reaiscomprometidosAjudam a entender como vulnerabilidadessão exploradas (honeypots de pesquisa)Localizados no perímetro externo da redeOferecem um maior risco e demandampessoal especializado, tempo e dinheiroAs honeynets são exemplos
77
Honeypot Uma honeynet é uma rede composta porum ou mais honeypots e um honeywallum ou mais honeypots e um honeywall
78
12/9/2008
40
Honeypot Em relação ao tráfego não desejado
Honeypots podem ser usados com oHoneypots podem ser usados com opropósito de advertir previamenteoperadores e gerentes de rede de ataques eanomaliasEspecificamente, são usados para anunciarespaços de endereçamento não alocados e
lh i f õ b i i drecolher informações sobre os originadoresdo tráfego de tais endereçosÉ uma interessante área de pesquisa
79
Software Anti-”alguma coisa”Softwares e programas capazes dedetectar e eliminar potenciais ameaçasdetectar e eliminar potenciais ameaçasaos computadores e redes
AntivírusAnti-spywareAnti-phishingAnti spamAnti-spam
Existe uma tendência em agregar essessoftwares na forma de pacotes
80
12/9/2008
41
Software Anti-”alguma coisa”Antivírus
Programas que detectam e removem vírusProgramas que detectam e removem vírusde computadorNecessitam de atualizações constantesAs soluções são diferenciadas pelosmétodos de detecção, funcionalidadesoferecidas e o preçoNorton, McAfee e Trend Micro (comerciais)e Avast, AVG e Vírus Shield (gratuitos)
81
Software Anti-”alguma coisa”Anti-spyware
Usados no combate a programas e códigosUsados no combate a programas e códigosespiões como spyware, adware, keyloggers.Spyware Doctor, HijackThis e Spy Sweeper(comerciais) e Ad-Aware SE, Spybot eWindows Defender (comerciais)
Algumas soluções são famosas por divulgarspywares tais como Spyware Quake,Antivirus Gold, PSGuard, Malware Alarm, etc
82
12/9/2008
42
Software Anti-”alguma coisa” Anti-phising
Visam bloquear possíveis tentativas deVisam bloquear possíveis tentativas defraude através de sites web ou mensagensde correio eletrônicoSoluções na forma de barras de tarefas(toolbar)
83
Software Anti-”alguma coisa”Anti-spam
Baseiam-se na filtragem de mensagens nãoBaseiam se na filtragem de mensagens nãosolicitadas através dos campos docabeçalho ou do conteúdo da mensagem
Filtragem de cabeçalho são simples, massujeita a erros de configuração (blacklist)Filtragem baseada no conteúdo da
é i tili dmensagem é a mais utilizadaAtualmente, o uso de filtros com mecanismo de auto-aprendizagem vem sendo muito utilizado
84
12/9/2008
43
Ferramentas de mediçãoO monitoramento de tráfego é umaatividade essencial para o gerenciamentoatividade essencial para o gerenciamentode redesRealizado através da observação dospacotes ou fluxosApesar de funcionais, as soluçõesprod idas não são diretamenteproduzidas não são diretamenteresponsáveis pela tomada de ações
85
Ferramentas de mediçãoMedição baseada em Pacotes
Consiste na captura e análise doConsiste na captura e análise docabeçalho dos pacotes
Endereço IP de origem (srcIP), o endereço IPde destino (dstIP), a porta de origem (srcPrt),a porta de destino (dstPrt) e o número doprotocolo
Vá i f dVárias ferramentas de capturaTCPdump e Wireshark
86
12/9/2008
44
Ferramentas de mediçãoMedição baseada em Pacotes
Mecanismo mais eficiente é a InspeçãoMecanismo mais eficiente é a InspeçãoProfunda dos Pacotes (DPI)Permite identificar aplicações pela análisedo conteúdo dos pacotesÚtil para detectar protocolos não conformes,vírus, spam, ataques, etc.
“Grande Firewall da China”Fere a neutralidade da Internet
87
Ferramentas de mediçãoMedição baseada em Pacotes
88
12/9/2008
45
Ferramentas de mediçãoMedição baseada em Fluxos
Agregação de pacotes em fluxosAgregação de pacotes em fluxosVários conceitos de fluxo
“conjunto unidirecional de pacotes IP com osmesmos endereços de origem e destino,número de portas e protocolo”
Reduzem o volume do tráfego analisadoTupla {srcIP, dstIP, srcPrt,dstPrt,prot}
Técnica bastante empregada em soluçõespara modelar o tráfego de rede
Cisco Netflow e Juniper JFlow89
Ferramentas de mediçãoMedição baseada em Fluxos
90
12/9/2008
46
Controle de acessoControle de acesso como mecanismopara coordenar a segurançapara coordenar a segurançaA idéia é reforçar a política de segurançaregulamentando o acesso a rede peloscomputadores
Para ter acesso a rede, um computadordeve fornecer informações (estado dodeve fornecer informações (estado doantivírus, atualização do SO, etc.)
91
Controle de acessoPode ser visto como uma automação doprocesso manual usado pelosprocesso manual usado pelosadministradores do sistema paraidentificar e isolar as vulnerabilidadesdentro de suas redesDiversas propostas e abordagens
Safe AccessSafe AccessCisco NACNAP
92
12/9/2008
47
Controle de acessoSafe Access
Protege a rede através de testes deProtege a rede através de testes deconformidade dos computadores em relaçãoas políticas
Computadores não conformes são isoladosda rede
As políticas de acesso consistem de testesi di id i li t d dindividuais para avaliar o estado desegurança de cada computador
93
Controle de acessoCisco NAC
Sistema de controle de admissão de redeSistema de controle de admissão de redepara validar o acesso a rede somente dedispositivos confiáveis e em conformidadeArquitetura formada por agentes CTA (CiscoTrust Agent), dispositivos de acesso a rede,servidor ACS (Access Control Server) e
id ífi ( ti íservidores específicos (antivírus, porexemplo)
94
12/9/2008
48
Controle de acessoCisco NAC
Clientes Cisco Trust
Agent
95
Servidor de Políticas
ACS
CredencialCredencialCredencialCredencial
NotificaçãoNotificação Direitos deDireitos deAcessoAcesso
ValidaçãoValidação
CredencialCredencial
Controle de acessoNAP
NAP (Network Access Protection) é umaNAP (Network Access Protection) é umasolução de segurança capaz de detectar oestado de segurança de um computador queestá tentando se conectar a redeRealiza funções:
Inspeção: checagem do estado desegurançaIsolamento: acesso restringido acomputadores não conformesRemediação
96
12/9/2008
49
Controle de acessoNAP
A arquitetura é formadaA arquitetura é formada Servidores VPNServidores DHCPServiço de diretório (armazenar contas ecredenciais)Rede de quarentenaServidor NPS (Network Policy Server)
97
Controle de acessoNAP
98
12/9/2008
50
Soluções de análise do tráfegoAs atuais soluções contra o tráfego nãodesejado necessitam de uma “análisedesejado necessitam de uma análisemanual” do tráfegoProcedimento impraticável devido aorápido crescimento de novos serviços eaplicaçõesAbordagens de análise de tráfego tem siAbordagens de análise de tráfego tem simostrada adequadas, especialmente emenlaces de alta velocidade
99
Soluções de análise do tráfegoPrincipais iniciativas
Caracterização do tráfegoCaracterização do tráfegoDescoberta o tráfego das aplicaçõesAbordagens de criação de sistemas dedetecção mais precisos e específicos
Iniciativas apresentadasModelos estatísticos e matemáticosModelos estatísticos e matemáticosAnálise comportamental do tráfego Internet
100
12/9/2008
51
Soluções de análise do tráfegoModelos estatísticos
Construção de séries temporais do tráfegoConstrução de séries temporais do tráfegoInternet e procedimentos para detectaranomalias
Tráfego de rede consiste de um processo dechegada de pacotes IP modelado comoprocessos Markovianos
P blProblemaGrandes volumes de dados geram grandesconjuntos de informação e necessitam dealto poder computacional
101
Soluções de análise do tráfegoModelos estatísticos
Outro problema: distribuições gaussianasOutro problema: distribuições gaussianasnão geram boa distribuição marginal
Distribuição Gama (não Gaussiana) muito
0 1 2 3 P(y)0 1/8 2/8 1/8 0 1/21 0 1/8 2/8 1/8 1/2
P(x) 1/8 3/8 3/8 1/8 1
Y \ X
Distribuição Gama (não Gaussiana) muitoempregada
Extracting Hidden Anomalies using Sketchand Non Gaussian Multiresolution StatisticalDetection Procedures (ACM SIGCOMM2007) 102
12/9/2008
52
Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution
Detecção de anomalias de baixa intensidadeDetecção de anomalias de baixa intensidadeocultas no tráfego InternetCombina Sketches e com a distribuiçãogama
Sketches são estruturas de dados (tabelashash) que sumarizam dados massivos em
t bidi i ivetores bidimensionais
103
Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution
Procedimento de detecçãoProcedimento de detecção1. Geração dos sketches
2. Agregação multiresoluçãoSegmentos de tráfego são agrupados para formarséries temporais de acordo com uma escala
104
12/9/2008
53
Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution
Procedimento de detecçãoProcedimento de detecção3. Modelagem não gaussiana
A distribuição Gama retira as distribuiçõesmarginais das séries temporais agregadas
4. ReferênciaA média dos comportamentos e a variabilidadetípica são estimadas para cada elemento da tabelap phash usando estimadores de média e variância
5. Distância estatísticaDistância de Mahalanobis mede o comportamentoanômalo comparando com um threshold
6. Detecção de anomalias105
Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution
106
12/9/2008
54
Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution
Capaz de descobrir pacotes elefante flashCapaz de descobrir pacotes elefante, flashcrowds, ataques DDoS (inundação TCPSYN e ICMP), varreduras de IP e porta,tráfego P2P, worms, ...Vantagens
Nenhum conhecimento prévio do tráfego,baixo poder computacional (on-line) e janelade detecção variada (< 1 minuto e > 10minutos)
DesvantagemFalso positivo (DNS, por exemplo)
107
Soluções de análise do tráfegoModelos matemáticos
WaveletsWaveletsCapturam correlações temporais complexasatravés de múltiplas escalas de tempo eencontram variações no comportamento dotráfego de rede
Anomaly Detection of Network Traffic basedon Wavelet Packet
108
12/9/2008
55
Soluções de análise do tráfegoAD based on Wavelet Packet
Análise wavelet permite dividir um sinal emAnálise wavelet permite dividir um sinal emaproximação e detalhe que é dividida emuma aproximação de segundo nível edetalhe, assim sucessivamente
109
Soluções de análise do tráfegoAD based on Wavelet Packet
O método é capaz de ajustar o processo deO método é capaz de ajustar o processo dedecomposição adaptativamenteDetecta anomalias de baixa, média e altaintensidadeUtiliza um algoritmo de detecção estatísticoquando são percebidas anomalias naanálise de pacotes de waveletQuando uma anomalia é percebida, umanova decomposição de pacotes de waveleté feita e este passo é executado novamente
110
12/9/2008
56
Soluções de análise do tráfegoMetodologias baseadas na análise docomportamentocomportamento
Identificação automática de perfis de tráfegoem redes de backboneFornece um entendimento sobre o padrãode comunicação dos hosts e serviçosGeralmente, a análise do comportamento é, pcaracterizada pelo do processamento degrandes volumes de tráfego
111
Soluções de análise do tráfegoMetodologias baseadas na análise docomportamentocomportamento
Traffic Classification on the Fly (ACMSIGCOMM 2006)BLINC: Multilevel Traffic Classification in theDark (ACM SIGCOMM 2005)Profiling Internet backbone Traffic: BehaviorgModels and Applications (ACM SIGCOMM2005)Mining Anomalies Using Traffic FeatureDistributions (ACM SIGCOMM 2005)
112
12/9/2008
57
Soluções de análise do tráfegoTraffic Classification on the Fly
Classificação e identificação do tráfegoClassificação e identificação do tráfegoatravés da análise dos cinco inicias pacotesde uma conexão TCPEmprega o conceito de clusters nãosupervisionados para descobrir grupos defluxos que compartilham um comportamentod i ãde comunicação comumMetodologia em duas fases: aprendizagemoff-line e classificação de tráfego on-line
113
Soluções de análise do tráfegoTraffic Classification on the Fly
A aprendizagem off-line permite detectarA aprendizagem off line permite detectarcomportamentos comuns através de umconjunto de dados de treinamento
Fluxos TCP agrupados de acordo com seuscomportamentos
A fase de classificação emprega estesfl d d b i lfluxos agregados para descobrir qual aaplicação está associada a cada fluxo TCP
114
12/9/2008
58
Soluções de análise do tráfegoTraffic Classification on the Fly
Em resumo obtém mais informação do queEm resumo, obtém mais informação do quea inspeção DPI sem desrespeitar aprivacidade do pacote e ferir qualquerrestrição legal
Precisão acima de 80% para aplicações TCPbem conhecidas.
D tDesvantagemPacotes entregues fora de ordemAplicações com comportamento inicialsemelhante
115
Soluções de análise do tráfegoBLINC
Classificação de fluxos de tráfego de acordoClassificação de fluxos de tráfego de acordocom o tipo de aplicação (nível de transporte)Não examina o conteúdo dos pacotes
Observa os fluxos de hosts específicosAssume o uso de portas bem conhecidasSomente informações de fluxo (“in the dark”)ç ( )
Três níveis de detalhamento: social,funcional e aplicação
116
12/9/2008
59
Soluções de análise do tráfegoBLINC
O nível social revela a popularidade do hostO nível social revela a popularidade do host
117
Soluções de análise do tráfegoBLINC
O nível funcional investiga o que o host fazO nível funcional investiga o que o host fazÉ analisado se o host atua como provedor ouconsumidor de um serviço ou se participa decomunicações colaborativasSão avaliados os endereços IP de origem edestino e a porta de origem
O í l d li ã t i t ã dO nível de aplicação captura a interação doscomputadores na camada de transportepara identificar aplicações e suas origens
118
12/9/2008
60
Soluções de análise do tráfegoBLINC
Nível de aplicaçãoNível de aplicação
119
Soluções de análise do tráfegoProfiling
Emprega mineração de dados e técnicas deEmprega mineração de dados e técnicas deinformação teóricaDescobre comportamentos de tráfegomassivo e fornece meios para entender erapidamente reconhecer tráfego anômaloExamina os padrões de comunicação doscomputadores que são responsáveis por umsignificativo número de fluxos em umdeterminado período de tempo
120
12/9/2008
61
Soluções de análise do tráfegoProfiling
Metodologia em duas fases: extração deMetodologia em duas fases: extração declusters significativos e a classificaçãobaseado no relacionamento dos clustersExtração dos clusters
Fluxo em tuplas {srcIP, dstIP, srcPrt, dstPrt}Clusters mais significativos extraídos de umadimensão fixaUso de entropia para medir a quantidade deincerteza relativa (RU) dos dados
Valor de 0 a 1
121
Soluções de análise do tráfegoProfiling
Relacionamento entre clusters (perfisRelacionamento entre clusters (perfiscomuns de comportamento)
Classificação dos padrões de comunicaçãodos computadores de usuários e serviçosUma RU é computada para cada cluster eusada como métrica para criar classes decomportamento (BC)comportamento (BC)
Os valores atribuídos a cada RU é: 0 (baixainteração), 1 (média interação) e 2 (alta interação)
122
12/9/2008
62
Soluções de análise do tráfegoProfiling
Relacionamento entre clusters (perfisRelacionamento entre clusters (perfiscomuns de comportamento)
123
0 1
2
Soluções de análise do tráfegoProfiling
rimeir
o Passo Seg
undo Passo
124
Prim
12/9/2008
63
Soluções de análise do tráfegoProfiling
Capaz de detectar anomalias massivasCapaz de detectar anomalias massivas(varreduras e ataques DDoS), exploits nãoconhecidas, etcDesvantagem:
Não é apropriada para o tráfego amplo derede e sim para enlaces únicosResultados simplórios para ataques de baixaintensidade
125
Soluções de análise do tráfegoMining
Avalia a distribuição dos pacotes e é capazAvalia a distribuição dos pacotes e é capazde detectar anomalias de alto e baixovolumeAnálise de fluxos de origem e destino (OD)Emprega entropia para fazer observações eextrair informações úteis em relação adispersões na distribuição do tráfegoMetodologia organizada em duas etapas: adistribuição do tráfego e diagnóstico
126
12/9/2008
64
Soluções de análise do tráfegoMining
Distribuição do tráfegoDistribuição do tráfegoExtração dos campos dos cabeçalhos paraprocurar eventuais dispersões na distribuiçãoendereços ou portas observadas
Portas de destino durante uma varredura
Tupla {srcIP, dstIP, srcPrt, e dstPrt}U d t i di dUso de entropia para medir o grau dedispersão ou concentração de umadistribuição
127
Soluções de análise do tráfegoMining
DiagnósticoDiagnósticoMétodo Multiway Subspace para detectaranomalias (classificação não supervisionada)Identifica variações correlacionadas commúltiplas características de tráfegoA operação ocorre em duas fases
Anomalias bem conhecidas são agregadas paradescobrir suas origensClassificação das anomalias desconhecidas
128
12/9/2008
65
Soluções de análise do tráfegoMétodos baseados no comportamento
Apesar dos avanços muitos problemasApesar dos avanços, muitos problemas(custo computacional, mudanças na infra-estrutura e imprecisão)No entanto, é uma tendência para o futuro
Exibição da origem e destino de formasimples, sem perda de dadosObtém mais tipos de tráfego indesejado eextraem mais dados sobre o tráfegoSoluções mais automáticas
129
Potenciais soluçõesPotenciais soluções
130
12/9/2008
66
Potenciais soluçõesApesar do grande número de soluções,fatores tem imposto desafios a atividadefatores tem imposto desafios a atividadede controleAlgumas soluções são ou podem serfuturas aliadas no combate ao tráfegonão desejado
Filtragem avançada Investigação do espaçoFiltragem avançada, Investigação do espaçode endereçamento IP, sistemas deautenticação de pacotes e orquestração desoluções
131
Potenciais soluçõesFiltragem avançada
Filtros atuais são insuficientesFiltros atuais são insuficientesNovos mecanismos e sistemas avançadosde filtragemAs melhores práticas: BCP 38 e BCP 84
BCP 38 recomenda filtragem e descarte depacotes (entrada) IPs não alocados a essesclientesBCP 84 apresenta filtragem mais avançadascom configuração dinâmica de filtros deentrada ao núcleo e borda das redes
132
12/9/2008
67
Potenciais soluçõesFiltragem avançada
A implantação global do BCP 38 e BCP 84A implantação global do BCP 38 e BCP 84permitirá efetivamente bloquear ataquesDDoS com IPs forjadosQuestões de implantação
Custo financeiro devido a pessoal técnicoespecializadoImplantação em todas as redes existentesBloqueio de tráfego legítimo devido a errosacidentais na configuraçãoTráfegos sobre HTTP poderiam passar
133
Potenciais soluçõesInvestigação do espaço de endereços IP
Tráfego indesejado usa espaço de endereçoTráfego indesejado usa espaço de endereçoIP não atribuídos (não utilizados)Atividades como varredura devulnerabilidades, ataques DoS e DDoS,divulgação de vírus e worms, entre outrasAlgumas soluções
Internet Motion Sensor (IMS)Redes Telescópio (Network Telescopes)
134
12/9/2008
68
Potenciais soluçõesInvestigação do espaço de endereços IP
Internet Motion Sensor (IMS)Internet Motion Sensor (IMS)Sistema de vigilância distribuída em nívelmundialIdentificar e monitorar o tráfego provenientede darknetsControla cerca de 17 milhões de
fi (/8 /16 /24)prefixos (/8, /16 e /24), cerca de 1.2% do IPv4Não é uma solução contra o tráfego não desejado
135
Potenciais soluçõesInvestigação do espaço de endereços IP
Internet Motion Sensor (IMS)Internet Motion Sensor (IMS)
136
12/9/2008
69
Potenciais soluçõesInvestigação do espaço de endereços IP
Network TelescopesNetwork TelescopesObservam o tráfego encaminhado paraespaços de endereços IP não utilizadosRegistram eventos (propagação de vírus)A idéia é manter os sensores ativos para“escutar” todo o tráfego enviado para estes
d d tespaços de endereçamentoÉ possível ver exatamente todos os eventos em seu "estado bruto", sem quaisquer interferências de tráfego
137
Potenciais soluçõesLightweight Internet Permit System
Fornece um método para responsabilizaçãoFornece um método para responsabilizaçãodo tráfego através da autenticação rápida depacotes (fast packet authentication)Funciona como um mecanismo eficiente defiltragem de tráfego
Para se comunicar, um computador origemdeve requisitar uma autorização de acessoao destinoSe a autorização for concedida, umpassaporte é enviado
138
12/9/2008
70
Potenciais soluçõesLightweight Internet Permit System
Opera de dois modos: host ou gatewayOpera de dois modos: host ou gatewayO modo Host é aplicável para comunicaçõesem pequena escalaNo modo Gateway, os computadores LIPSsão organizados em zonas de segurança
Permit Server (PS) para gerenciar licenças( ) p g çentre zonasSecurity Gateway (SG) para validar ospacotes entre zonas
139
Potenciais soluçõesLightweight Internet Permit System
Arquitetura simples escalável e que garanteArquitetura simples, escalável e que garanteaprovisionamento de recursosPode ser implantada de forma incremental(não é necessário que ambos os lados deuma conexão tenham LIPS)Nenhuma modificação nos programas ou naarquitetura Internet é necessáriaNão há necessidade de chavescriptográficas pesadas
140
12/9/2008
71
Potenciais soluçõesSHRED
Spam Harassment Reduction via EconomicSpam Harassment Reduction via EconomicDisincentivesÉ um esquema que visa diminuir o volumedo tráfego de spam através da puniçãomonetária dos spammersA idéia central é utilizar selos ou marcas(stamp) para inserir desincentivoseconômicos para usuários que geram oupropagam spam
141
Potenciais soluçõesSHRED
Utiliza dois conceitos econômicos: passivoUtiliza dois conceitos econômicos: passivocontingente e limite de crédito
Passivo contingente refere-se a uma dívidapossa ser gerada baseada em uma açãoexterna dentro de um tempo limite
O limite de crédito é pré-definido para cadaá iusuário
Selos representam o endividamento epossuem um valor monetário associado
142
12/9/2008
72
Potenciais soluçõesSHRED
Os selos são pré-alocados para osOs selos são pré alocados para osprovedores de acesso através deautoridades de marcação eletrônica (ESA)Os selos são colados em cada mensagemenviada
143
Potenciais soluçõesSHRED (ESA)
Autoridade deMarcação Eletrônica
Provedor deAcesso do Remetente
Crédito doRemetente$$$$$$$$
Alocação de Selo
Requisição deCancelamento de Selo
Notificação deCancelamento de Selo
Mensagem com Selo
Provedor deAcesso do
Destinatário
144
MensagemMensagem Requisição de
Cancelamento deSeloValor pago ($) por
cada selo cancelado
Remetente
Fatura dos seloscancelados
Destinatário
12/9/2008
73
Potenciais soluçõesOADS
A Internet funcionou por um longo tempoA Internet funcionou por um longo tempoatravés na base da boa fé
Infra-estrutura auto governadaHoje, este modelo de confiança nãofunciona mais
Diversidade de usuários, comunidades e“estilo de vida”
PropostaOrchestration oriented Anomaly DetectionSystem (OADS)
145
Potenciais soluçõesOADS
Metáfora moderna que descreve umaMetáfora moderna que descreve umaatividade de gerenciamento de segurançabem conhecidaAnalogia a um maestro
Gerentes de segurança orquestram IDS, IPS,APS, sistemas de remediação, firewall,
ti í li õ d áli d t áfantivírus, aplicações de análise de tráfego, ...Empresta o conceito de arquiteturaorientada a serviços (SOA)
146
12/9/2008
74
Potenciais soluçõesOADS
A idéia é o gerenciamento automático deA idéia é o gerenciamento automático dediferentes detectores de anomaliaColaboração e harmonização contraatividades maliciosasA colaboração facilita a relação entrediferentes detectoresA harmonia permite que um serviço dequalquer origem, empregando qualquertecnologia, trabalhe corretamente
147
Potenciais soluçõesOADS
148
12/9/2008
75
Potenciais soluçõesOADS
Sistemas detectores de anomalia (ADS)Sistemas detectores de anomalia (ADS)Atuam como sensores abastecendo omecanismo de orquestraçãoPodem e devem colaborar entre si
Fluxos do Profiling para outro detector
Bases de tráfego
149
Armazenam o tráfego processado pelosdetectores (apoio a tomada de decisão)Devem suportar diferentes formatos detráfego (fluxos OD, pacotes completos,sketches, níveis de agregação, clusters, etc)
Potenciais soluçõesOADS
Mecanismo de orquestraçãoMecanismo de orquestraçãoAvalia características como precisão, tempode detecção e grau de sensibilidade de cadaelementoAlém dos alarmes, o conhecimento prévio deoutras observação pode ser usado paratomar decisões
150
tomar decisõesImplementação de simples esquemas(votação ou prioridade) ou mesmo comsoluções complexas (redes neurais, lógica)
12/9/2008
76
Potenciais soluçõesOADS
Para resumir, consiste em criar um modeloPara resumir, consiste em criar um modelode processos executável que implementaum novo serviço através da harmonizaçãode serviços pré-existentesO estilo de comunicação colaborativa entreos serviços de segurança representa umi ifi ti di ã
151
significativo passo em direção adesenvolvimento de sistema de autodefesa
Considerações FinaisConsiderações Finais
152
12/9/2008
77
ConsideraçõesO tráfego não desejado é a verdadeira“pedra no sapato” da Internetpedra no sapato da InternetMuitas questões ainda a discutirA “indústria do mal” deve ser detidaNovos serviços e aplicações, a evoluçãotecnológica e os novos usuários sãodesafios na atividade de detectar e limitaro tráfego não desejado
153
Questões em abertoAs redes não estão preparadas paraatender imediatamente todos osatender imediatamente todos osrequisitos de novos serviço
“Não fazer nada” ou bloqueá-las não pareceser o correto
Quanto maior a largura de banda, maiora carga para o gerenciamento (volumea carga para o gerenciamento (volumede dados)
Tráfego agregado (fluxos OD, PCA esketches
154
12/9/2008
78
Questões em abertoO tempo de detecção é muito importante
Tempos curtos significa melhor precisãoTempos curtos significa melhor precisão,menos em anomalias de baixa cargaA tomada de ações precisa ser avaliada
A quantidade de soluções de detecçãonão acompanha o crescimento dosserviçosserviços
Diferentes tipos ou classes de tráfego nãodesejado, tempos de duração, objetivo egravidade
155
Questões em abertoGeração do perfil do tráfego “normal”
Existem tendências em direção aExistem tendências em direção adeterminada aplicação? Qual ocomportamento hoje?
Conhecimento das vulnerabilidades narede
Notificar os usuários quase nunca funcionaNotificar os usuários quase nunca funcionaSoluções automatizadas (NAC e NAP) sãomuito caras
156
12/9/2008
79
Observações finaisA Internet transporta uma grandequantidade de tráfego indesejadoquantidade de tráfego indesejadoA capacidade de causar danosfinanceiros é tamanha (até em redes 3G)A existência de uma economia desubmundo, a falta de leis, as limitadasferramentas perpet am o tráfego nãoferramentas perpetuam o tráfego nãodesejadoNão existe uma lâmpada mágica
157
Observações finaisAções que podem ser tomadas
Aumento do fomento a pesquisa nessa áreaAumento do fomento a pesquisa nessa áreaEstímulos a eventos sobre o temaDesenvolvimento de um modelo jurídicoDesenvolvimento e uso de soluçõesEducação dos usuários Internet para torná-los mais conscienteslos mais conscientes
158
12/9/2008
80
Dúvidas?
159