FERRAMENTA PARA GERÊNCIA DE SEGURANÇA EM BACKBONES IP BASEADA NUMA NOVA METODOLOGIA E UTILIZANDO ANÁLISE DE TRÁFEGO EM TEMPO REAL
ESTUDO DE CASO ENVOLVENDO O TRÁFEGO DA REDE-RIO DE COMPUTADORES
Cláudia de Abreu Silva – [email protected] Luís Felipe Magalhães de Moraes
Universidade Federal do Rio de Janeiro (UFRJ)
Ciclo de Palestras 2007 - Rede Rio de Computadores/FAPERJ 19 de abril de 2007 – Rio de Janeiro
Roteiro
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Introdução
Redes de computadores estão cada vez maisheterogêneas, complexas e sujeitas a falhas.
Aumento da velocidade e dos recursos computacionaisdas redes levam ao aumento da exposição das vulnerabilidades de seus aplicativos.
Indivíduos mal intencionados, através de técnicas e recursos específicos, conseguem burlar a supostasegurança das redes, no intuito de explorar as vulnerabilidades.
Introdução
Os arquivos de ocorrências das ferramentas de segurança, normalmente, registram o que foi negado.
Necessidade de acesso irrestrito para ambientes abertos(Rede acadêmica e de pesquisa ou Backbone IP).
Os gerentes de segurança têm necessidade de saber das atividades que estão efetivamente ocorrendo na rede.
Os aplicativos de monitoramento de tráfego geram grandevolume de dados, geralmente, sob a forma de relatórios.
O trabalho de análise de todos os dados capturados é umatarefa árdua.
Introdução
Ferramentas tradicionais de captura de tráfego nãoconseguem manipular satisfatoriamente grandesquantidades de informações.
Ferramentas de monitoramento baseadas em fluxos de dados são utilizadas como analizadores de tráfego parafins de gerência de desempenho das redes.
Para a identificação da origem da anormalidade na rede, énecessária a execução de diversos procedimentos, geralmente, manuais.
Introdução - Problemas
1) Ausência de ferramenta específica para capturar, classificar e filtrar padrões de atividades maliciosasem redes livres de restrições e de alto tráfego;
2) Número elevado de informações textuais para análise;
3) Realização de procedimentos manuais para a identificação do(s) elemento(s) gerador(es) do tráfegoanômalo;
4) Desconhecimento do estado atual da segurança darede;
5) Ausência de histórico dos eventos anômalosencontrados.
Introdução - Objetivos
1) Fornecer, em tempo real, subsídios necessários paraa reação em casos de atividades maliciosas emambientes livres de restrições de acesso e emgrandes volumes de dados trafegados;
2) Automatizar os procedimentos utilizados para a identificação do(s) elemento(s) gerador(es) do tráfegoanômalo;
3) Apresentar visualmente o resultado das análises do tráfego classificado;
4) Prover um histórico das anormalidades identificadas;
5) Não interferir no tráfego benigno.
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Fundamentação TeóricaModelo Internet TCP/IP:
Informações obtidas nos cabeçalhos dos protocolos:
Tipo de ProtocoloIP Endereço IP de origem
Endereço IP de destino
TCP Porta de origemUDP Porta de destino
SYNTCP Sinalizadores ACK
FINRST
Fundamentação Teórica – Modelo Internet TCP/IPComunicação entre Processos em Uma Rede
Portas de comunicação:
Portas de conhecimento geral: 0 a 1023 Registradas: 1024 a 4951Dinâmicas (ou Privadas): 4952 a 65535
Fluxo de comunicação:
Tráfego unidirecional com um conjunto de identifição único de variáveis.
Endereço IP de origem
Porta de origem
Endereço IP de destino
Porta de destinoProtocolo Protocolo
Fundamentação Teórica – Análise de Tráfego
Tipo de Análise de Tráfego
Vantagens Desvantagens
Baseada em pacotes Visibilidade de todo o conteúdo dos dados trafegados.Maior flexibilidade de critérios de filtragem.
Elevado custo computacional para processamento e armazenamento, podendo provocar perda de pacotes.
Baseada em fluxos Velocidade e redução de necessidades de recursos computacionais. Ideal para ambiente de tráfego pesado.
Não apresenta nenhuma informação das camadas mais altas.Somente informações de cabeçalhos.
Fundamentação Teórica – Mecanismos de Captura de Tráfego
• Captura do Tráfego:
Recursos comumente utilizados na captura para análise baseada em pacotes:
- BPF (BSD Packet Filtering)– Arquitetura encontrada em
diversos Unix– Composto por um interceptador
de rede e um filtro de pacotes
- Biblioteca libpcap– Conjunto de rotinas para a imple-
mentação do BPF– Presente em diversos projetos de
monitoramento (TCPDUMP,Ethereal, Snort e outros)
Fundamentação Teórica – Mecanismos de Captura de TráfegoRecursos comumente utilizados na captura para análise baseada em fluxos:
- Arquitetura Netflow
Padrão adotado pelo IETF para o formato de exportação de fluxos.
Composto por: Sensor, Coletor e Analisador
COLETORSENSOR ANALISADOR
Tipos de códigosmaliciosos
Características
Vírus Infecta um arquivo para posterior exploração.Geralmente requer interação humana para sua replicação.
Código malicioso móvel São programas leves, baixados de um sistema remoto e executado localmente (Javascript, VBScript, Java ou ActiveX)
Backdoor Burla os controles de segurança da máquina para forneceracesso ao atacante.
Cavalo de tróia Disfarça-se em programa útil, mascarando sua finalidademaliciosa.
Rootkit (nível de usuário) Modifica executáveis utilizados por administradores e usuários.
Worm Se propaga através da rede de dados, explorando sistemasvulneráveis. É auto-replicável.
Rootkit (nível de núcleo) Modifica o núcleo do S.O. para criar e esconder backdoors.
- Padrões de Anomalias de Aplicativos Maliciosos (Malwares) em Rede:
Principais categorias de códigos maliciosos
Fundamentação Teórica -
Tipos de códigosmaliciosos
Características
Vírus Infecta um arquivo para posterior exploração.Geralmente requer interação humana para sua replicação.
Código malicioso móvel São programas leves, baixados de um sistema remoto e executado localmente (Javascript, VBScript, Java ou ActiveX)
Backdoor Burla os controles de segurança da máquina para forneceracesso ao atacante.
Cavalo de tróia Disfarça-se em programa útil, mascarando sua finalidademaliciosa.
Rootkit (nível de usuário) Modifica executáveis utilizados por administradores e usuários.
Worm Se propaga através da rede de dados, explorandosistemas vulneráveis. É auto-replicável.
Rootkit (nível de núcleo) Modifica o núcleo do S.O. para criar e esconder backdoors.
- Padrões de Anomalias de Aplicativos Maliciosos (Malwares) em Rede:
Principais categorias de códigos maliciosos
Fundamentação Teórica
Fundamentação Teórica
- Ciclo de Infecção dos Worms:
Abertura de porta
Propagação
Execução dos dados
Seleção de novas vítimas
Varredura
Fundamentação Teórica
- Ciclo de Infecção dos Worms:
Abertura de porta
Propagação
Execução dos dados
Seleção de novas vítimas
Varredura
Fundamentação Teórica
- Técnicas de Varreduras em Rede
Objetivo: Procurar pelo maior número de canais de comunicação abertos quepossam ser alvos em potencial.
TCP_SYN:(half open)
TCP connect( )
`
Varredor Vítima
SYN SYN/ACK
RST/ACK
Porta aberta e disponível para conexão
Porta indisponível
Fundamentação Teórica
- Técnicas de Varreduras em Rede
TCP_FIN:
`
Varredor Vítima
FIN RSTRFC793
Fundamentação Teórica
- Técnicas de Varreduras em Rede
TCP_Null:
`
Varredor Vítima
RSTRFC793
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Trabalhos Relacionados
Fatores comumente adotados na identificação de eventos anômalos:
1 - Alteração de volume de tráfego;
2 - Elevação do número de sessões estabelecidas;
3 - Conteúdo da área de dados dos pacotes;
4 - Periodicidade de ocorrências de fluxos.
Trabalhos Relacionados
- Metodologias tradicionais:
Trabalhos Relacionados- Análise de Tráfego na Segurança de redes:
Sistemas de Detecção de Intrusão em Rede
Combinam regras pré-estabelecidas (assinaturas) ao tráfego para identificação de eventos conhecidos.
Ferramentas: Snort , Firestorm e outros.
Vantagem: Rapidez e confiabilidade na identificação (redução de falso positivo)
Desvantagem: Difícil manutenção da base de assinaturas.Não identifica novos ataques.
Trabalhos Relacionados- Análise de Tráfego na Segurança de redes:
Flow-dscan:
Manipula os registros gerados pelo Netflow.
Realiza a detecção de anomalias e gera relatórios:- número excessivo de octetos ou pacotes por fluxo- varredura de equipamentos- varredura de portas (restritas ao intervalo entre 0 e 1023)
Vantagem: Rapidez de processamento
Desvantagem: Restrição da análise de anomalias que utilizam portas decomunicação superior a 1023.
Trabalhos Relacionados- Análise de Tráfego na Segurança de redes:
Em [23], é feita a análise do conteúdo dos dados trafegados a fim de identificaratividades de worms que utilizam o correio eletrônico para sua propagação, mediante técnicas de transmissão de código malicioso na área de dados dos pacotes trafegados.
Vantagem: Flexibilidade de critérios de filtragem.
Desvantagens: - Custo computacional elevado para processamento e armazenamento, ao ser utilizada em redes de alto volume de tráfego.
- Sujeita a perda de pacotes a serem analisados.- Restrição de análise ao SMTP.
[23] AKRITIDIS P. ANAGNOSTAKIS, K. M. E. Efficient content-based detection of zero-day worms. Communications, 2005. ICC 2005. 2005 IEEE InternationalConference on, Vol. 2, p. 837 843, May 2005.
Trabalhos Relacionados- Análise de Tráfego na Segurança de redes:
Em [2], é proposto um algoritmo de classificação dos fluxos capturados a fim de identificar eventos de ataques de negação de serviço, varreduras de equipamentos e varreduras de portas. De acordo com a periodicidade de registros de ocorrências na tabela associada a cada variável analisada (IP origem, IP destino, Porta destino), caracteriza-se um valor signicante para uma assinaturaa ser gerada.
Utilizou-se, ainda, a visualização intuitiva de manifestações gráficas obtidas naplotagem do resultado da classificação do algoritmo.
Vantagem: Classificação dos fluxos em tempo próximo do real, associada à visualizaçãode seu resultado.
Desvantagens: - Restrição da análise à periodicidade de ocorrência dos dados capturados. - Servidores Web muito populares e aplicativos P2P apresentam
comportamentos similares às classificações de negação de serviço, gerando muitas ocorrências de falsos positivos.
[2] KIM, I. K. H.; BAHK, S. Real-time visualization of network attacks on highspeed links. IEEE Network, v. 18, p. 3019, 2004.
Trabalhos Relacionados
[2] cont.
[2] KIM, I. K. H.; BAHK, S. Real-time visualization of network attacks on highspeed links. IEEE Network, v. 18, p. 3019, 2004.
- Análise de Tráfego na Segurança de redes :
Trabalhos Relacionados- Visualização de eventos anômalos em rede.
Vantagens:
Identificação instantânea do estado da rede monitorada;Dispensa o conhecimento de um especialista para seu reconhecimento;Resume um número elevado de informações textuais em uma informação visual.
Trabalhos Relacionados- Visualização de eventos anômalos em rede:
Em [4], utilizou-se a técnica de mapeamento em árvore pararepresentar visualmente o tráfego destinado à porta 25. Assumindo a premissa de que o protocolo utilizado pelo correio eletrônico (SMTP) éum dos mais procurados pelos invasores de redes.
Vantagem: Consegue mostrar grandes hierarquias.
Desvantagem : Restrição da indentificação das características de anormalidade devido à limitação da análise emum unico serviço.
[4] SAMPAIO, L. et al. Um ambiente de gerenciamento de medições por fluxo de tráfego baseado na utilização de mapas em Árvore. II WPerformance, Campinas, Brasil, p. 115128, 2003.
Trabalhos Relacionados- Visualização de eventos anômalos em rede:
[4] SAMPAIO, L. e outros. Um ambiente de gerenciamento de medições por fluxo de tráfego baseado na utilização de mapas em Árvore. II WPerformance, Campinas, Brasil, p. 115-128, 2003.
Trabalhos Relacionados- Visualização de eventos anômalos em rede:
Em [5,6] utilizou-se a apresentação visual multi-dimensional com coordenadas paralelas para representar os relacionamentos entre os diversosequipamentos da rede.
Desvantagem: Em rede com grande volume, o excesso de informaçãovisual dificulta a sua análise.
[5] YIN, X. et al. Visflowconnect: netflow visualizations of link relationships for security situational awareness. In: VizSEC/DMSEC '04: Proceedings of the 2004ACM workshop on Visualization and data mining for computer security .Washington DC, USA: ACM Press, 2004. p. 2634. ISBN 1-58113-974-8.[6] CONTI, G.; ABDULLAH, K. Passive visual fingerprinting of network attack tools. In: VizSEC/DMSEC '04: Proceedings of the 2004 ACM workshop on Visualizationand data mining for computer security. New York, NY, USA: ACM Press, 2004. p. 4554. ISBN 1-58113-974-8.
Trabalhos Relacionados- Visualização de eventos anômalos em rede:
[5] YIN, X. et al. Visflowconnect: netflow visualizations of link relationships for security situational awareness. In: VizSEC/DMSEC '04: Proceedings of the 2004ACM workshop on Visualization and data mining for computer security .Washington DC, USA: ACM Press, 2004. p. 2634. ISBN 1-58113-974-8.[6] CONTI, G.; ABDULLAH, K. Passive visual fingerprinting of network attack tools. In: VizSEC/DMSEC '04: Proceedings of the 2004 ACM workshop on Visualizationand data mining for computer security. New York, NY, USA: ACM Press, 2004. p. 4554. ISBN 1-58113-974-8.
Trabalhos Relacionados- Visualização de eventos anômalos em rede:Em [7] utilizou-se uma visualização por grafemas. Os sistemas monitorados são
representados por nós, conectados por raios, que representam o tráfego entreos nós.
Desvantagem: Em rede com grandevolume, o excesso de informação visual dificulta a sua análise.
[7] ERBACHER, R. F. Glyph-based generic network visualization. In: Proceedings of the SPIE '2002 Conference on Visualization and Data Analysis. [s.n.], 2002.
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Metodologia PropostaDiferenciais:
Análise das informações sumarizadas contidas no cabeçalho do fluxo analisado.- Tipo de protocolo- Endereço IP de origem- Endereço IP de destino- Porta de origem- Porta de destino- Sinalizadores (TCP)
Apresentação gráfica do resultado
Contabilização
Registro das ocorrências anômalas.
Metodologia PropostaPremissas assumidas:
Adoção da análise baseada em fluxos a fim de minimizar a perda de pacotes capturados, reduzir o uso de recursos computacionais para armazenamento e processamento dos dados capturados.
Existência de base de portas comumente utilizadas pelos worms, a ser utilizada como parâmetro de análise do tráfego.
A porta de destino que apresentar, no intervalo de um minuto, um número total de fluxos trafegados superior a 1% de todos os fluxos analisadose não pertencer ao grupo de serviços previamente conhecido como válidos, será considerada suspeita.(Alimentação automática da base de portas suspeitas)
Metodologia PropostaPorta origem > 1023
Porta destino = suspeitaProtocolo = TCP
Sinalizador = SYN
Porta origem > 1023Porta destino = suspeita
Protocolo = TCPSinalizador = RST/ACK
Porta origem > 1023
Protocolo = TCPSinalizador = RST
Resposta a uma tentativa de conexãoTCP sem envio de sinalizadores
Protocolo = TCPSinalizador = RST/ACK SYN_TCP_porta_baixa
Resposta de tentativa de conexão por aplicativo privilegiado em uma porta não disponível
N
S
S
S
FLUXO
SYN_TCP
SSYN_UDP
NApresentar graficamente
Contabilizar
Registrar no histórico
SYN_half_open
Resposta de tentativa de conexão em uma porta não disponível
NS
SYN_Null_TCP
N
N
Metodologia Proposta
Análise dos cabeçalhos dos fluxos.
Metodologia Utilizada
Análise dos cabeçalhos dos fluxos.
Alteração de volume de tráfego;
Elevação do número de sessõesestabelecidas;
Conteúdo da área de dados dos pacotes;
Periodicidade de ocorrências de fluxos.
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Ferramenta Proposta
Componentes do Sistema
MÓDULO EXTRATOR
MÓDULO CLASSIFICADOR
MÓDULO GERADOR DE IMAGENS
MÓDULO WEB
DADOS PARA
PLOTAGEM
FLUXOSFORMATO
TEXTO
ARQUIVO PORTAS WORMS
HISTÓRICOARQUIVO
TEXTO
HISTÓRICOIMAGENS
ANALISADOR
COLETORSENSOR
FLUXOSFORMATONETFLOW
FLUXOS
Ferramenta Proposta
Tecnologias utilizadas
Flow-capture
Flow-cat
Flow-print
Pacote Flow-tools
Fluxos
Flow-stat
FLUXOS FORMATO NETFLOW
PORTAS MAIS
UTILIZADAS
PROGRAMA C ATUALIZA ARQ.
PORTAS
PORTAS SUSPEITAS
sed
awk
FLUXOS FORMATO
TEXTO
Módulo Extrator
Módulo Classificador
PROGRAMA C CLASSIFICA
FLUXOS
FLUXOS WORMTEXTO
FLUXOS PARA
PLOTAGEM
Módulo Gerador de Imagem
gnuplot
FLUXOS WORM
IMAGEM
ÁREA DE OCORRÊNCIAS CORRENTESShell Script
Shell Script
Shell Script
mmv
FLUXOS WORMTEXTO
FLUXOS WORM
IMAGEM
ÁREA DE HISTÓRICO DE
OCORRÊNCIAS
Módulo WEB
php
Processador html
Apache
WEB
REQUISIÇÕES / RESPOSTAS
Ferramenta Proposta
Funcionalidades
Ferramenta PropostaFuncionalidades
Ferramenta PropostaFuncionalidades
Ferramenta Proposta
Funcionalidades
Ferramenta Proposta
Funcionalidades
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Aplicação da Metodologia ao Monitoramento da Segurança de Redes
Rede Rio
TELEMAR
CBPF
EmbratelRNP
Roteadorde Borda
FLUXOS
COLETOR
WEB
SENSOR
Coleta do tráfego das Instituições da Rede-Rio
passando por estes enlaces
RAVELCOPPE
REQUIS
IÇÕES
/ RES
POST
AS UFRJ
PUC-Rio
FIOCRUZ
1G155M
ANALISADOR
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros..
Resultados Obtidos
• Visualização Global de Propagações de Worms
Intervalo de observação: 1 min
Fluxos analisados: 387.835
Fluxos classificados como Propagação de worm: 30.575 (7,88%)
Resultados Obtidos• Visualização de Propagações de Worms – SYN_TCP
Resultados Obtidos• Visualização de Propagações de Worms – SYN_UDP
Resultados Obtidos• Visualização de Propagações de Worms – FIN_Null_TCP
Resultados Obtidos• Monitoramento de Fluxos Oriundos de Endereçamento Reservado:
Resultados Obtidos• Volume Médio de Fluxos classicados como propagação de Worms:
Período de análise: 23 a 31 de agosto de 2006
Resultados Obtidos• Volume Médio de Fluxos oriundos de Endereçamento Reservado:
Período de análise: 25 a 31 de agosto de 2006
Fluxos analisados: ≈ 1,5 bilhões de fluxos
≈ 1,4 milhões (0,096%) oriundos de endereçamento reservado
Sumário
Introdução;Fundamentação Teórica;Trabalhos Relacionados;Metodologia utilizada;A Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP ;Aplicação da Ferramenta em um Cenário Real;Resultados Obtidos;Conclusões e Trabalhos Futuros.
Conclusões e Trabalhos Futuros
Com o uso da metodologia proposta, mostrou-se que é possível,rapidamente, localizar equipamentos contaminados com worms emum backbone IP Gigabit Ethernet.
Explorou-se o recurso visual como meio de divulgação do resultado da análise, em tempo próximo do real e sem interferência no tráfego benigno.
Os resultados obtidos mostram que, em média, 10 % de todos osfluxos trafegados, são oriundos de propagação de worms ou de utilização indevida de endereçamento reservado.
O fornecimento de informações estatísticas, em tempo próximodo real e com a preservação de seu histórico, garante uma entendimento mais realístico dos eventos anômalos na rede.
Conclusões e Trabalhos FuturosObjetivos:
Fornecer, em tempo real, subsídios necessários para a reação em casos de atividades maliciosas em ambienteslivres de restrições de acesso e em grandes volumes de dados trafegados;
Automatizar os procedimentos utilizados para a identificaçãodo(s) elemento(s) gerador(es) do tráfego anômalo;
Apresentar visualmente o resultado das análises do tráfegoclassificado;
Prover um histórico das anormalidades identificadas;
Não interferir no tráfego benigno.
OK
OK
OK
OK
OK
Conclusões e Trabalhos FuturosTrabalhos futuros:
- Considerar a exploração visual da rede monitorada em “N” variáveis, visando buscar novos padrões gráficos para as anomalias encontradas.
- Análise de novos parâmetros visando criação de novosperfis de comportamentos anômalos.
- Efetuar o estudo da eficiência do algoritmo de classificação com outrosda literatura que venham a explorar a mesma metodologia.
- Integração da ferramenta implementada com sistemas derastreamento de atacantes (IP Traceback).
Perguntas / Comentários