SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic...

1

SEGURANÇACapítulo 9

Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006.

2

Roteiro

Papel das Medições da Internet na Segurança Medições na Intranet como Ajuda à Segurança Medições no Gateway como Ajuda à Segurança Impacto das Medições Interdomínio na

Segurança Medições de Longa Distância como Ajuda à

Segurança Medições de Ataques na Camada de Aplicação

3

Roteiro




4

Papel das Medições da Internet na Segurança

Exame de características básicas dos pacotes tais como: Intervalos de tempo entre chegadas Tamanho dos pacotes Escolhas de protocolos Padrões de interação entre pontos

terminais Endereços IP e portas origem e destino

São utilizadas para a detecção de atividades incomuns (Fora do padrão)

5

Camadas Mais Altas

Nas camadas mais altas: Padrões ON/OFF das conexões Diferenças nos atributos a nível de fluxo Também foram usados em segurança das aplicações

associadas. Logs de firewalls são examinados em busca de

pontos fora da curva. Filtragem através de ACLs (Access Control List)

de roteadores podem fornecer informações sobre falsos positivos: Tráfego legítimo que pode ser bloqueado

inadvertidamente

6

Papel das Medições da Internet na Segurança

Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar de monitoração para examinar se o tráfego desejado está sendo limitado resultando em piora no desempenho.

Anomalias no nível de configuração da comunicação interdomínio, acidental ou deliberada, podem levar a interrupções significativas que podem não ser percebidas até que haja um ataque. A monitoração passiva de mensagens de atualização BGP

em conjunto com informações de topologia podem ajudar a detectar a presença destas anomalias.

7

Camada de Aplicação

Na camada de aplicação, tudo desde o conteúdo de cabeçalhos de protocolos a suas cargas foram candidatos para uma possível detecção de ataque. A falta de verificação de conformidade do

protocolo pelas implementações podem ser exploradas para atacar servidores.

O simples acompanhamento da fração entre a carga (upload) e a descarga (download) de um par pode ajudar a identificar “caroneiros” que contribuem para a degradação geral da rede p2p.

8

Vírus e Fidelidade em Jogos

No caso de worms e vírus, houve uma quantidade considerável de medições visando caracterizar, isolar e ajudar na detecção destes eventos.

Em jogos em rede, o sequestro da identidade de um usuário ou um jogador mentindo sobre as suas coordenadas atuais são violações da fidelidade do sistema. A ausência desta fidelidade pode ter um impacto

sério no número de participantes no jogo e, portanto, na sua popularidade geral.

9

Intrusões

Uma intrusão é frequentemente detectada como um desvio da norma; Com a norma definida a partir de históricos de

padrões de acesso e a política do sítio. Uma arquitetura para um sistema de detecção

de intrusões (IDS) pode começar com: A filtragem e bloqueio de tráfego Reunir informações adicionais sobre possíveis

atacantes Análise através de múltiplas camadas da pilha de

protocolos antes de encaminhar os pacotes para o destino pretendido.

10

Intrusões

Métodos de detecção de mudanças construídos sobre técnicas de medições estatísticas monitoram os níveis de tráfego em diferentes partes da rede para avisar sobre possíveis ataques.

Foram criadas ferramentas para ajudar na detecção de intrusão com a incorporação de componentes básicos de medições.

Produtos comerciais de segurança dependem de medições para identificar ameaças em potencial, reduzir falsos positivos e na agregação de informação com finalidades forenses.

11

Roteiro




12

Medições na Intranet como Ajuda à Segurança

A maior parte das entidades administrativas estão preocupadas apenas em tornar seguras as suas próprias redes.

As medições que são usadas para caracterizar os problemas de segurança dependem de: A natureza do tráfego dentro da rede Os tipos de ataques observados e A importância dos recursos que estão

sendo protegidos.

13

Medições na Intranet como Ajuda à Segurança

Podem ser minerados informações de medições passivas que já estejam sendo realizadas, tais como dados de SNMP, ou informações de fluxos (ex. netflow). Desvios significativos do tráfego esperado podem ser

vistos como uma violação de segurança em potencial apesar de que alguns desvios significativos podem ser um comportamento de rotina. Uma breve falha de comunicação com um servidor DNS pode

fazer com que uma aplicação seja suspendida por alguns segundos e um retorno ao comportamento normal confirmariam a ausência de um ataque.

Da mesma forma, um evento de flash crowd disparado por um interesse repentino em um sítio Web, não seria um ataque.

14

Uso de Medições Passivas

Pela sua própria natureza, as medições passivas analisadas após o fato, são sobretudo detecção de intrusão e não uma prevenção ativa.

Os logs dos firewalls são normalmente reunidos tanto em tráfegos que foram bloqueados como naqueles que foram permitidos.

Nesta seção serão examinadas técnicas que foram propostas para usar dados disponíveis em diversos níveis procurando por possíveis violações de segurança. Medições da Intranet usam SNMP, dados de fluxos e

logs em diversos níveis de ataques.

15

Dados do SNMP

Os dados do SNMP são coletados periodicamente (tipicamente a cada 5 minutos) e consistem de uma variedade de estatísticas de tráfego tais como contadores de pacotes e número de bytes que atravessam um link O intervalo de coleta limita o tipo de

anomalias que podem ser detectadas dado que desvios breves que forem menores que este intervalo não serão capturados.

16

Dados de Fluxo e SNMP

Os dados de fluxos são coletados em diversos roteadores (acesso, entrada, etc.) em formato bruto.

Um exemplo do uso de dados de SNMP e de fluxos para detectar ataques de negação de serviço (DoS), com a aplicação de transformações baseadas em ondaletas (wavelets) aos dados é descrita em [BKPR02]. Foram usadas ondaletas dado que elas

consideram seja a frequência como o tempo na descrição da série temporal dos dados.

17

Dados de Fluxos

Se o volume dos fluxos de dados se tornarem extremamente grandes, são obtidos apenas dados amostrados. A amostragem pode ser simplesmente estatística,

tais como um a cada n pacotes Ou algo mais inteligente – polarizado para o

percentual de tráfego em certas aplicações O nível de detalhes disponíveis em dados de

fluxos é frequentemente suficiente para distinguir as aplicações e examinar mais de perto endereços de origem e prefixos de interesse.

18

Dados de Fluxos

Mesmo que os dados de fluxos sejam coletados continuamente, devido à natureza dos fluxos que são exportados para a entidade coletora, múltiplas transações que durem minutos podem expirar antes que um registro de fluxo seja escrito. Portanto, muitas das análises de registros de fluxos são

realizadas após o fato, ao invés de ao vivo. A análise estatística dos registros de fluxos podem identificar

rapidamente endereços de origem que excedam alguns limiares esperados de contagem de pacotes ou de bytes para certas aplicações. No entanto, limiares não são sempre a melhor forma para

identificar atacantes. Pacotes de teste enviados por endereços IP atacantes são em

pequeno número, mas são uma ameaça à segurança.

19

Dados de Fluxos

Dado que os registros de fluxo não contêm o corpo dos pacotes, eles não são capazes de identificar ataques baseados no conteúdo.

Logs de aplicações de alto nível frequentemente retêm os cabeçalhos e, em casos específicos, informações de pacotes em camadas ainda mais profundas. Estes logs podem ser minerados para obter

dados adicionais.

20

Tráfego de Saída

Dado que é possível que ataques sejam disparados de dentro da rede, as medições podem ser usadas para verificar se o tráfego de saída excede alguns limiares.

Os ataques podem ser originados a partir de uma localidade do usuário; Pode ser não intencional e disparado por um vírus.

Em geral é mais difícil escolher limiares razoáveis para o tráfego de saída dado que o tráfego pode ser benigno. Ao contrário do tráfego de entrada onde restrições de

capacidade e estatísticas passadas podem ajudar na obtenção de limiares interessantes, é mais difícil manter estatísticas em relação a destinos externos.

21

Roteiro




22

Medições no Gateway como Ajuda à Segurança

Os firewalls no perímetro de entidades administrativas registram uma variedade de atividades de rede.

Medições locais foram realizadas nos firewalls para ver se as ferramentas criadas para segurar ataques de inundação pode ser sobrepujado com o incremento da taxa de inundação. Ex.: inundação de pacotes de SYN

Os firewalls também registram informações detalhadas sobre o tráfego destinado à instalação que estão protegendo. Estes registros podem ser minerados em busca de informações

interessantes: Endereços IP origem que habitualmente enviam tráfego não autorizado Aplicações mais comumente testadas Números de portas mais comumente testadas Etc.

23

IDSes

A hipótese básica dos sistemas IDS é que a atividade legítima dentro da rede é previsível: Adere a certos padrões pré-especificados. Portanto, um conjunto de assinaturas

podem ser especificadas para observar o tráfego que viola os padrões esperados para os tráfegos de entrada ou de saída. Novas assinaturas devem ser frequentemente

recuperadas de um servidor central dentro da organização.

24

Falsos Positivos

Um esforço considerável deve ser dispendido para ajustar a assinatura a falsos positivos não sobrecarreguem os IDSes. Tráfego suspeitos de ataque que são na verdade

tráfego benigno. Demasiados falsos positivos reduzem a habilidade

de detectar ataques reais Por outro lado, não queremos perder ataques raros;

ou a taxa de falso negativos irá crescer. Ferramentas específicas foram criadas para tentar

reduzir falsos positivos em ferramentas populares de IDS [PYD01].

25

Firewalls

Muitos firewalls implantam listas de controle de acesso (ACLs) e verificam endereços específicos de origem (na rede externa) ou de destino (na rede interna).

Se o volume de tráfego indesejado for grande, pode ser necessário criar uma zona desmilitarizada (DMZ).

Testes de vulnerabilidade podem ser executados por ferramentas tais como Internet Scanner [Sec] e nmap [nmap.org] que enviam pacotes de teste para verificar se as configurações do firewall e suas políticas são resilientes.

26

Firewalls

As configurações de firewall e as listas de controle de acesso são especificados em diversos formatos a depender do fabricante. Linux ipchains IOS da Cisco

27

Ferramentas para a Detecção de Intrusão

Citados no livro: Network Flight Recorder (NFR):

Hoje: Checkpoint Intrusion Prevention System Bro (nova versão: http://www.bro-ids.org/) Snort

http://sectools.org/tag/ids/: Snort: http://www.snort.org/ OSSEC HIDS: http://www.ossec.net/ Sguil: http://sguil.sourceforge.net/

http://www.bro-ids.org/

http://www.bro-ids.org/

http://sectools.org/tag/ids/

http://sectools.org/tag/ids/

http://www.snort.org/

http://www.ossec.net/

http://sguil.sourceforge.net/

28

IDSes

Bro possui um interpretador de scripts de políticas através do qual a política de segurança de um sítio pode ser expressa numa linguagem de alto nível.

Snort: Pode realizar análise de tráfego e de protocolo em tempo

real para ajudar a detectar diversos ataques e alertar os usuários em tempo real.

Também usa uma linguagem para especificar que tráfego deve ser filtrado e que tráfego pode passar.

Pode ser usado também como um mecanismo para registro dos pacotes.

As diversas assinaturas da base de dados do Snort estão documentadas incluindo o seu potencial para falsos positivos e negativos e medidas corretivas a ser tomadas no caso de que um determinado alerta seja levantado.

29

Roteiro




30

Impacto das Medições Interdomínio na Segurança

Ataques a nível interdomínio podem ter uma grande escala e consequências muito sérias. Uma tabela BGP comprometida pode

resultar em colocar uma fração significativa do tráfego num “buraco negro”.

Ou ainda pior, tráfego sensível para um determinado destino pode ser sequestrado!

31

Monitoração de Mensagens BGP

A monitoração passiva de mensagens BGP [KMRV03] combinada com um modelo de conectividade de AS pode ajudar a isolar anúncios de rotas que sejam inconsistentes com a topologia atual indicando um possível ataque de “pessoa no meio”. Esta técnica examina o atributo AS_PATH

das mensagens de atualização do BGP buscando por sequências impróprias.

32

Monitoração de Mensagens BGP Mensagens de atualização do BGP foram coletadas

durante 4 semanas diferentes num período de dois anos. Tendo sido examinada junto com um mapa de AS gerado para cada uma das instâncias. Os dados do primeiro dia de cada semana foi usado como

um conjunto de treinamento a ser comparado com os demais dias da semana buscando anomalias.

Muitas das violações de propriedade incorreta dos IPs foram devidas a má configurações; e, portanto, não eram ataques.

Outra forma de buscar possíveis violações é através da análise de prefixos que parecem se originar em mais do que um AS. No entanto, também há razões legítimas para que isto ocorra e é

necessário filtrar os falsos positivos.

33

Sequestro de Espaço de Endereços Ocorre quando um AS anuncia por

engano ou deliberadamente um espaço de endereços que não lhe pertence.

Foi medido em [MWA02] a frequência deste fenômeno de sequestro assim como diversos outros erros comuns de má-configuração.

34

Vantagens das Medições Relacionadas com o BGP

O potencial de impacto de qualquer detecção é alto e os diversos operadores e administradores

responsáveis pelo BGP normalmente tendem a cooperar quando são relatados ataques ou má-configurações.

O volume de tráfego a ser examinado é normalmente menor do que uma monitoração de pacotes em larga escala e dados precisam ser coletados apenas na pequena fração de roteadores de acesso que falam BGP.

Uma vez que as medições indiquem a presença de problemas, políticas de filtragem podem ser implantadas ou modificadas as já existentes.

35

Roteiro




36

Medições de Longa Distância como Ajuda à Segurança

Roteiro: Classificação de ataques DOS Detecção e rastreamento de atacantes Vírus e Worms Monitoração e Coordenação de Detecção

de Intrusão

37

Classificação de ataques DOS Ataques de negação de serviço têm sido

a forma mais comum de ataque na Internet. Examinando as características dos pacotes

envolvidos nestes ataques (cabeçalhos, taxas de chegadas, etc.) pode-se detectar a ocorrência dos mesmos.

38

Técnica backscatter

Esta técnica discute modos de monitorar um único link de saída de um grande espaço de endereços (/8) como um mecanismo de amostragem para caracterizar o número total de ataques de negação de serviço. Como os ataques são normalmente distribuídos, a

monitoração de um espaço largo de endereços permite a caracterização dos ataques de DoS.

A classificação baseada em fluxos tradicional pode ser usada para classificar os ataques: Baseado no protocolo, são realizadas verificações da

presença ou não de certos campos ou cabeçalhos.

39

Outras Técnicas

Sistema Cossack [HHP03a]: monitora links de peering de forma bidirecional entre ISPs para examinar como os ataques são propagados.

Ferramentas como tcpdump são usadas para capturar cabeçalhos de pacotes para examinar se certos limiares pré-configurados foram excedidos (ex. número de fontes distintas que estão tentando se comunicar com o mesmo host) para identificar um ataque. Outros limiares incluem aumento na taxa de

chegada de pacotes e mudança no volume do ataque com o tempo.

40

Outras Técnicas

Foram desenvolvidos arcabouços para classificar os ataques de DoS [HHP03b] usando: análise de cabeçalhos, a velocidade de crescimento dos ataques distinção entre ataques a partir de uma fonte

individual ou de múltiplas fontes: Fornecida através de análise de séries temporais.

O objetivo é ser capaz de caracterizar ataques presentes e ajudar a identificar futuros ataques de DoS.

41

Rastreamento de tráfego de ataque e Honeypots (potes de mel).

Um honeypot é definido de forma abrangente como um recurso cujo valor reside no seu uso não autorizado

Um mecanismo simples envolve anunciar um conjunto de endereços que não estejam em uso ativo, chamados de endereços escuros. Quando chega algum tráfego nestes endereços, as origens

destes tráfegos são consideradas maliciosas. Muitos honeypots escutam passivamente a este tráfego de

entrada, gastando poucos recursos neste processo. Outros respondem ativamente desde o simples envio de um

SYN-ACK em resposta a um SYN, à emulação de uma sessão de login, e em casos extremos emulando todo o kernel.

Alguns honeypots podem identificar endereços IP suspeitos [Vin04].

42

Honeyfarms

Coleção centralizada de honeypots e ferramentas de análise relacionadas que recebem tráfegos suspeitos redirecionados por diversos dispositivos de detecção espalhados pela Internet. Wormholes são appliances usadas para transmitir de

forma segura o tráfego suspeito para a honeyfarm. Têm sido usadas para detectar worms

automaticamente. Um conjunto de honeypots serão capazes de

detectar um worm quando aproximadamente das máquinas vulneráveis estiverem infectadas.

43

Honeyfarms

As honeyfarms usam imagens de máquinas virtuais para implementar honeypots criando tanto uma ‘assinatura de vulnerabilidade’ e possivelmente uma assinatura de ataque.

A detecção é baseada nos honeypots infectados e não no tráfego dos wormholes.

44

Telescópio de Rede

http://www.caida.org/research/security/telescope/

Permite observar vítimas de certos tipos de ataques de DoS ou hosts infectados por worms, e má-configurações a uma distância segura.



45

Limitações dos Honeypots

Os honeypots reúnem dados nos alvos dos ataques e outros dados indesejados, mas são incapazes de localizar o ponto de entrada preciso deste tráfego na rede. Além do mais, alguns destes endereços de origem

podem estar mascarados (spoofed) Rastrear a origem deste tráfego é difícil devido a

diversas razões tais como: Atraso desde a origem até a recepção do pacote Dificuldade de manutenção do estado ao longo do

caminho deste tráfego. Os ASes ao longo do caminho não se beneficiam do

conhecimento de que o tráfego que transportam é malicioso.

46

Projeto Mohonk

Proposta para notificar os ASes no caminho antecipadamente sobre destinos “escuros” levou à criação de honeypots móveis.

Aspectos da mobilidade: Informação sobre a escuridão dos prefixos é disponibilizada para os

ASes a jusante e O conjunto destes prefixos mudam periodicamente através de

anúncios BGP e retiradas. Sendo as informações sobre os prefixos escuros conhecidas

dos ASes a jusante participantes do esquema, eles conheceriam este tráfego e seus originadores muito antes e poderiam tomar alguma ação corretiva. O tráfego poderia ser descartado ou poderia ser incluído numa lista

negra caso a quantidade de tráfego indesejado excedesse um limiar específico ao AS.

Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado para informar aos ASes a jusante que o prefixo é escuro.

47

Arquitetura do Mohonk

48

Originadores indesejados

Medições da habilidade de detectar originadores indesejados envolve escolher diversos parâmetros: Comprimento dos prefixos que devem ser

anunciados para atrair tráfego suficiente Duração da vida dos anúncios Escolha das aplicações a serem associadas

com os endereços nos prefixos escuros Limiares da contagem de pacotes que

decidem se o tráfego é indesejado.

49

Originadores indesejados

Medições baseadas no mecanismo de honeypot devem ser resilientes contra ataques visando atrapalhar a configuração.

Dado que a comunidade dos blackhats trocam informações sobre as técnicas de detecção eles evitam os honeypots ao descobrirem os seus prefixos.

Uma medida da utilidade dos esquemas de honeypot é a velocidade na qual os originadores de tráfegos indesejados são detectados e colocados em listas negras entre múltiplos ASes num certo período de tempo comparado ao custo tanto para os whitehats como para os blackhats.

50

Vírus e Worms

Malware – termo que engloba todos os softwares que ao serem executados têm um impacto negativo.

Dentre as medições de interesse com relação a worms temos: Como as listas dos alvos são escolhidas O conjunto dos possíveis pontos de entrada O quão rapidamente eles podem se espalhar na Internet

Adicionalmente: Extensão do dano econômico causado pelo malware tanto

em termos do instante do ataque ou como resultado de outros ataques habilitados pela abertura de backdoors.

51

Gerador de Carga

Um mecanismo para criar um gerador de carga para malware é discutido em [SYB04] com a finalidade de recriar um tráfego de pacotes malicioso.

A ideia é ser capaz de examinar tanto worms conhecidos e explorar o potencial de variantes que podem ser criados no futuro.

As características de desempenho de IDSes bem conhecidos podem ser examinadas pelo gerador de cargas.

52

Monitoração e Coordenação de Detecção de Intrusão

Medições em combinação com estatísticas têm um papel chave na melhoria das técnicas de monitoração e detecção de intrusão.

Diversas ferramentas foram criadas para ajudar aqueles que trabalham no campo da detecção de intrusões.

Um dos principais objetivos é o de reduzir os falsos positivos.

53

Compartilhamento de Informações Dado que existe uma semelhança entre

ataques na Internet, espera-se que seja benéfico o compartilhamento de informações entre sistemas de detecção de intrusão.

Empresas e grandes ISPs tradicionalmente relutam em compartilhar informações sobre ataques entre eles devido a questões de privacidade e preocupações de que as informações sobre as suas vulnerabilidades se tornem públicas.

54

Compartilhamento de Informações Organizações neutras desempenham um

papel importante em servir como uma central de troca de informações.

Algumas empresas oferecem serviços tanto para monitorar ataques dentro de empresas como para coordenar ataques na Internet para fornecer um sistema de alerta antecipado. Muitas destas empresas formulam assinaturas de

ataques, compila estatísticas, criam bases de dados de vulnerabilidades, e proveem possíveis contramedidas.

55

Tempos de Reação

Um problema chave em coordenar informações de ataque ou intrusão é que dependendo da natureza do ataque (varredura lenta ao invés de um worm que se espalhe rapidamente), as reações do agente de coordenação e as organizações participantes devem ser diferentes. Dado que um worm pode teoricamente se

espalhar por toda a Internet em questão de minutos [SPW02] não é suficiente trocar informações de ataques periodicamente.

56

Produtos Comerciais

Riverhead da Cisco Peakflow da Arbor Networks Intrushield da MacAfee

57

Roteiro




58

Medições de Ataques na Camada de Aplicação

Aplicações individuais podem mitigar ataques caso as camadas inferiores sejam incapazes de bloqueá-los.

A forma ais popular de ataque à camada de aplicação são os spams de e-mail Que gasta bastante recursos na forma de

produtividade do usuário, largura de banda e armazenamento.

Os firewalls são a primeira linha de defesa (varrendo à procura de vírus) mas normalmente não são capazes de identificar os spams!

59

Spams

São realizados diversos tipos de medições seja para caracterizar o problema seja como uma análise contínua.

É preciso garantir que os grandes servidores de e-mail não sejam sobrecarregados com mensagens indesejadas. Os transmissores SMTP são classificados nas

seguintes classes: Confiáveis Desconhecidos Suspeitos

60

Spams

Servidores mais ocupados lidam com transmissores SMTP suspeitos

Servidores levemente carregados lidam com transmissores confiáveis.

Estatísticas simples sobre o volume de spam suspeito podem ser mantidos de modo a atualizar esta divisão.

61

Filtragem de spams

Nos servidores a filtragem é realizada baseada numa variedade de fatores relacionados com as mensagens que chegam.

Baseado nestas técnicas de filtragem – normalmente uma combinação de medidas estatísticas Bayesianas e outras métricas calculadas pelo software de filtragem – são obtidas informações globais sobre o transmissor SMTP remoto.

As medições são realizadas baseadas no volume de bytes trocados numa única mensagem e agregados num certo período de tempo.

62

Registro de atividades

Nas camadas mais altas, diversos recursos relacionados com segurança registram as atividades (syslog, wtmp) que são usadas por diversos IDSes.

Estes registros são analisados ao nível do usuário procurando desvios tais como um aumento inesperado nos níveis de privilégio ou repetidas falhas durante estas tentativas.

SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic...

Documents

Transcript of SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic...