Download
1 / 62
620 likes | 726 Views
Segurança. Capítulo 9 Crovella , M, Krishnamurthy , B. Internet Measurement : infrastructure , traffic & applications . John Wiley & Sons, 2006. Roteiro. Papel das Medições da Internet na Segurança Medições na Intranet como Ajuda à Segurança Medições no Gateway como Ajuda à Segurança
E N D
Segurança Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006.
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Papel das Medições da Internet na Segurança • Exame de características básicas dos pacotes tais como: • Intervalos de tempo entre chegadas • Tamanho dos pacotes • Escolhas de protocolos • Padrões de interação entre pontos terminais • Endereços IP e portas origem e destino • São utilizadas para a detecção de atividades incomuns (Fora do padrão)
Camadas Mais Altas • Nas camadas mais altas: • Padrões ON/OFF das conexões • Diferenças nos atributos a nível de fluxo • Também foram usados em segurança das aplicações associadas. • Logs de firewalls são examinados em busca de pontos fora da curva. • Filtragem através de ACLs (Access ControlList) de roteadores podem fornecer informações sobre falsos positivos: • Tráfego legítimo que pode ser bloqueado inadvertidamente
Papel das Medições da Internet na Segurança • Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar de monitoração para examinar se o tráfego desejado está sendo limitado resultando em piora no desempenho. • Anomalias no nível de configuração da comunicação interdomínio, acidental ou deliberada, podem levar a interrupções significativas que podem não ser percebidas até que haja um ataque. • A monitoração passiva de mensagens de atualização BGP em conjunto com informações de topologia podem ajudar a detectar a presença destas anomalias.
Camada de Aplicação • Na camada de aplicação, tudo desde o conteúdo de cabeçalhos de protocolos a suas cargas foram candidatos para uma possível detecção de ataque. • A falta de verificação de conformidade do protocolo pelas implementações podem ser exploradas para atacar servidores. • O simples acompanhamento da fração entre a carga (upload) e a descarga (download) de um par pode ajudar a identificar “caroneiros” que contribuem para a degradação geral da rede p2p.
Vírus e Fidelidade em Jogos • No caso de worms e vírus, houve uma quantidade considerável de medições visando caracterizar, isolar e ajudar na detecção destes eventos. • Em jogos em rede, o sequestro da identidade de um usuário ou um jogador mentindo sobre as suas coordenadas atuais são violações da fidelidade do sistema. • A ausência desta fidelidade pode ter um impacto sério no número de participantes no jogo e, portanto, na sua popularidade geral.
Intrusões • Uma intrusão é frequentemente detectada como um desvio da norma; • Com a norma definida a partir de históricos de padrões de acesso e a política do sítio. • Uma arquitetura para um sistema de detecção de intrusões (IDS) pode começar com: • A filtragem e bloqueio de tráfego • Reunir informações adicionais sobre possíveis atacantes • Análise através de múltiplas camadas da pilha de protocolos antes de encaminhar os pacotes para o destino pretendido.
Intrusões • Métodos de detecção de mudanças construídos sobre técnicas de medições estatísticas monitoram os níveis de tráfego em diferentes partes da rede para avisar sobre possíveis ataques. • Foram criadas ferramentas para ajudar na detecção de intrusão com a incorporação de componentes básicos de medições. • Produtos comerciais de segurança dependem de medições para identificar ameaças em potencial, reduzir falsos positivos e na agregação de informação com finalidades forenses.
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Medições na Intranet como Ajuda à Segurança • A maior parte das entidades administrativas estão preocupadas apenas em tornar seguras as suas próprias redes. • As medições que são usadas para caracterizar os problemas de segurança dependem de: • A natureza do tráfego dentro da rede • Os tipos de ataques observados e • A importância dos recursos que estão sendo protegidos.
Medições na Intranet como Ajuda à Segurança • Podem ser minerados informações de medições passivas que já estejam sendo realizadas, tais como dados de SNMP, ou informações de fluxos (ex. netflow). • Desvios significativos do tráfego esperado podem ser vistos como uma violação de segurança em potencial apesar de que alguns desvios significativos podem ser um comportamento de rotina. • Uma breve falha de comunicação com um servidor DNS pode fazer com que uma aplicação seja suspendida por alguns segundos e um retorno ao comportamento normal confirmariam a ausência de um ataque. • Da mesma forma, um evento de flash crowd disparado por um interesse repentino em um sítio Web, não seria um ataque.
Uso de Medições Passivas • Pela sua própria natureza, as medições passivas analisadas após o fato, são sobretudo detecção de intrusão e não uma prevenção ativa. • Os logs dos firewalls são normalmente reunidos tanto em tráfegos que foram bloqueados como naqueles que foram permitidos. • Nesta seção serão examinadas técnicas que foram propostas para usar dados disponíveis em diversos níveis procurando por possíveis violações de segurança. • Medições da Intranet usam SNMP, dados de fluxos e logs em diversos níveis de ataques.
Dados do SNMP • Os dados do SNMP são coletados periodicamente (tipicamente a cada 5 minutos) e consistem de uma variedade de estatísticas de tráfego tais como contadores de pacotes e número de bytes que atravessam um link • O intervalo de coleta limita o tipo de anomalias que podem ser detectadas dado que desvios breves que forem menores que este intervalo não serão capturados.
Dados de Fluxo e SNMP • Os dados de fluxos são coletados em diversos roteadores (acesso, entrada, etc.) em formato bruto. • Um exemplo do uso de dados de SNMP e de fluxos para detectar ataques de negação de serviço (DoS), com a aplicação de transformações baseadas em ondaletas (wavelets) aos dados é descrita em [BKPR02]. • Foram usadas ondaletas dado que elas consideram seja a frequência como o tempo na descrição da série temporal dos dados.
Dados de Fluxos • Se o volume dos fluxos de dados se tornarem extremamente grandes, são obtidos apenas dados amostrados. • A amostragem pode ser simplesmente estatística, tais como um a cada n pacotes • Ou algo mais inteligente – polarizado para o percentual de tráfego em certas aplicações • O nível de detalhes disponíveis em dados de fluxos é frequentemente suficiente para distinguir as aplicações e examinar mais de perto endereços de origem e prefixos de interesse.
Dados de Fluxos • Mesmo que os dados de fluxos sejam coletados continuamente, devido à natureza dos fluxos que são exportados para a entidade coletora, múltiplas transações que durem minutos podem expirar antes que um registro de fluxo seja escrito. • Portanto, muitas das análises de registros de fluxos são realizadas após o fato, ao invés de ao vivo. • A análise estatística dos registros de fluxos podem identificar rapidamente endereços de origem que excedam alguns limiares esperados de contagem de pacotes ou de bytes para certas aplicações. • No entanto, limiares não são sempre a melhor forma para identificar atacantes. • Pacotes de teste enviados por endereços IP atacantes são em pequeno número, mas são uma ameaça à segurança.
Dados de Fluxos • Dado que os registros de fluxo não contêm o corpo dos pacotes, eles não são capazes de identificar ataques baseados no conteúdo. • Logs de aplicações de alto nível frequentemente retêm os cabeçalhos e, em casos específicos, informações de pacotes em camadas ainda mais profundas. • Estes logs podem ser minerados para obter dados adicionais.
Tráfego de Saída • Dado que é possível que ataques sejam disparados de dentro da rede, as medições podem ser usadas para verificar se o tráfego de saída excede alguns limiares. • Os ataques podem ser originados a partir de uma localidade do usuário; • Pode ser não intencional e disparado por um vírus. • Em geral é mais difícil escolher limiares razoáveis para o tráfego de saída dado que o tráfego pode ser benigno. • Ao contrário do tráfego de entrada onde restrições de capacidade e estatísticas passadas podem ajudar na obtenção de limiares interessantes, é mais difícil manter estatísticas em relação a destinos externos.
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Medições no Gateway como Ajuda à Segurança • Os firewalls no perímetro de entidades administrativas registram uma variedade de atividades de rede. • Medições locais foram realizadas nos firewalls para ver se as ferramentas criadas para segurar ataques de inundação pode ser sobrepujado com o incremento da taxa de inundação. • Ex.: inundação de pacotes de SYN • Os firewalls também registram informações detalhadas sobre o tráfego destinado à instalação que estão protegendo. • Estes registros podem ser minerados em busca de informações interessantes: • Endereços IP origem que habitualmente enviam tráfego não autorizado • Aplicações mais comumente testadas • Números de portas mais comumente testadas • Etc.
IDSes • A hipótese básica dos sistemas IDS é que a atividade legítima dentro da rede é previsível: • Adere a certos padrões pré-especificados. • Portanto, um conjunto de assinaturas podem ser especificadas para observar o tráfego que viola os padrões esperados para os tráfegos de entrada ou de saída. • Novas assinaturas devem ser frequentemente recuperadas de um servidor central dentro da organização.
Falsos Positivos • Um esforço considerável deve ser dispendido para ajustar a assinatura a falsos positivos não sobrecarreguem os IDSes. • Tráfego suspeitos de ataque que são na verdade tráfego benigno. • Demasiados falsos positivos reduzem a habilidade de detectar ataques reais • Por outro lado, não queremos perder ataques raros; ou a taxa de falso negativos irá crescer. • Ferramentas específicas foram criadas para tentar reduzir falsos positivos em ferramentas populares de IDS [PYD01].
Firewalls • Muitos firewalls implantam listas de controle de acesso (ACLs) e verificam endereços específicos de origem (na rede externa) ou de destino (na rede interna). • Se o volume de tráfego indesejado for grande, pode ser necessário criar uma zona desmilitarizada (DMZ). • Testes de vulnerabilidade podem ser executados por ferramentas tais como Internet Scanner [Sec] e nmap [nmap.org] que enviam pacotes de teste para verificar se as configurações do firewall e suas políticas são resilientes.
Firewalls • As configurações de firewall e as listas de controle de acesso são especificados em diversos formatos a depender do fabricante. • Linux ipchains • IOS da Cisco
Ferramentas para a Detecção de Intrusão • Citados no livro: • Network Flight Recorder (NFR): • Hoje: Checkpoint IntrusionPrevention System • Bro (nova versão: http://www.bro-ids.org/) • Snort • http://sectools.org/tag/ids/: • Snort: http://www.snort.org/ • OSSEC HIDS: http://www.ossec.net/ • Sguil: http://sguil.sourceforge.net/
IDSes • Bro possui um interpretador de scripts de políticas através do qual a política de segurança de um sítio pode ser expressa numa linguagem de alto nível. • Snort: • Pode realizar análise de tráfego e de protocolo em tempo real para ajudar a detectar diversos ataques e alertar os usuários em tempo real. • Também usa uma linguagem para especificar que tráfego deve ser filtrado e que tráfego pode passar. • Pode ser usado também como um mecanismo para registro dos pacotes. • As diversas assinaturas da base de dados do Snort estão documentadas incluindo o seu potencial para falsos positivos e negativos e medidas corretivas a ser tomadas no caso de que um determinado alerta seja levantado.
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Impacto das Medições Interdomínio na Segurança • Ataques a nível interdomínio podem ter uma grande escala e consequências muito sérias. • Uma tabela BGP comprometida pode resultar em colocar uma fração significativa do tráfego num “buraco negro”. • Ou ainda pior, tráfego sensível para um determinado destino pode ser sequestrado!
Monitoração de Mensagens BGP • A monitoração passiva de mensagens BGP [KMRV03] combinada com um modelo de conectividade de AS pode ajudar a isolar anúncios de rotas que sejam inconsistentes com a topologia atual indicando um possível ataque de “pessoa no meio”. • Esta técnica examina o atributo AS_PATH das mensagens de atualização do BGP buscando por sequências impróprias.
Monitoração de Mensagens BGP • Mensagens de atualização do BGP foram coletadas durante 4 semanas diferentes num período de dois anos. Tendo sido examinada junto com um mapa de AS gerado para cada uma das instâncias. • Os dados do primeiro dia de cada semana foi usado como um conjunto de treinamento a ser comparado com os demais dias da semana buscando anomalias. • Muitas das violações de propriedade incorreta dos IPs foram devidas a má configurações; e, portanto, não eram ataques. • Outra forma de buscar possíveis violações é através da análise de prefixos que parecem se originar em mais do que um AS. • No entanto, também há razões legítimas para que isto ocorra e é necessário filtrar os falsos positivos.
Sequestro de Espaço de Endereços • Ocorre quando um AS anuncia por engano ou deliberadamente um espaço de endereços que não lhe pertence. • Foi medido em [MWA02] a frequência deste fenômeno de sequestro assim como diversos outros erros comuns de má-configuração.
Vantagens das Medições Relacionadas com o BGP • O potencial de impacto de qualquer detecção é alto • e os diversos operadores e administradores responsáveis pelo BGP normalmente tendem a cooperar quando são relatados ataques ou má-configurações. • O volume de tráfego a ser examinado é normalmente menor do que uma monitoração de pacotes em larga escala e dados precisam ser coletados apenas na pequena fração de roteadores de acesso que falam BGP. • Uma vez que as medições indiquem a presença de problemas, políticas de filtragem podem ser implantadas ou modificadas as já existentes.
Roteiro • Papel das Medições da Internet na Segurança • Medições na Intranet como Ajuda à Segurança • Medições no Gateway como Ajuda à Segurança • Impacto das Medições Interdomínio na Segurança • Medições de Longa Distância como Ajuda à Segurança • Medições de Ataques na Camada de Aplicação
Medições de Longa Distância como Ajuda à Segurança • Roteiro: • Classificação de ataques DOS • Detecção e rastreamento de atacantes • Vírus e Worms • Monitoração e Coordenação de Detecção de Intrusão
Classificação de ataques DOS • Ataques de negação de serviço têm sido a forma mais comum de ataque na Internet. • Examinando as características dos pacotes envolvidos nestes ataques (cabeçalhos, taxas de chegadas, etc.) pode-se detectar a ocorrência dos mesmos.
Técnica backscatter • Esta técnica discute modos de monitorar um único link de saída de um grande espaço de endereços (/8) como um mecanismo de amostragem para caracterizar o número total de ataques de negação de serviço. • Como os ataques são normalmente distribuídos, a monitoração de um espaço largo de endereços permite a caracterização dos ataques de DoS. • A classificação baseada em fluxos tradicional pode ser usada para classificar os ataques: • Baseado no protocolo, são realizadas verificações da presença ou não de certos campos ou cabeçalhos.
Outras Técnicas • Sistema Cossack [HHP03a]: monitora links de peering de forma bidirecional entre ISPs para examinar como os ataques são propagados. • Ferramentas como tcpdump são usadas para capturar cabeçalhos de pacotes para examinar se certos limiares pré-configurados foram excedidos (ex. número de fontes distintas que estão tentando se comunicar com o mesmo host) para identificar um ataque. • Outros limiares incluem aumento na taxa de chegada de pacotes e mudança no volume do ataque com o tempo.
Outras Técnicas • Foram desenvolvidos arcabouços para classificar os ataques de DoS [HHP03b] usando: • análise de cabeçalhos, • a velocidade de crescimento dos ataques • distinção entre ataques a partir de uma fonte individual ou de múltiplas fontes: • Fornecida através de análise de séries temporais. • O objetivo é ser capaz de caracterizar ataques presentes e ajudar a identificar futuros ataques de DoS.
Rastreamento de tráfego de ataque e Honeypots(potes de mel). • Um honeypot é definido de forma abrangente como um recurso cujo valor reside no seu uso não autorizado • Um mecanismo simples envolve anunciar um conjunto de endereços que não estejam em uso ativo, chamados de endereços escuros. • Quando chega algum tráfego nestes endereços, as origens destes tráfegos são consideradas maliciosas. • Muitos honeypots escutam passivamente a este tráfego de entrada, gastando poucos recursos neste processo. • Outros respondem ativamente desde o simples envio de um SYN-ACK em resposta a um SYN, à emulação de uma sessão de login, e em casos extremos emulando todo o kernel. • Alguns honeypots podem identificar endereços IP suspeitos [Vin04].
Honeyfarms • Coleção centralizada de honeypots e ferramentas de análise relacionadas que recebem tráfegos suspeitos redirecionados por diversos dispositivos de detecção espalhados pela Internet. • Wormholes são appliances usadas para transmitir de forma segura o tráfego suspeito para a honeyfarm. • Têm sido usadas para detectar worms automaticamente. • Um conjunto de honeypotsserão capazes de detectar um worm quando aproximadamente das máquinas vulneráveis estiverem infectadas.
Honeyfarms • As honeyfarms usam imagens de máquinas virtuais para implementar honeypots criando tanto uma ‘assinatura de vulnerabilidade’ e possivelmente uma assinatura de ataque. • A detecção é baseada nos honeypots infectados e não no tráfego dos wormholes.
Telescópio de Rede • http://www.caida.org/research/security/telescope/ • Permite observar vítimas de certos tipos de ataques de DoS ou hosts infectados por worms, e má-configurações a uma distância segura.
Limitações dos Honeypots • Os honeypots reúnem dados nos alvos dos ataques e outros dados indesejados, mas são incapazes de localizar o ponto de entrada preciso deste tráfego na rede. • Além do mais, alguns destes endereços de origem podem estar mascarados (spoofed) • Rastrear a origem deste tráfego é difícil devido a diversas razões tais como: • Atraso desde a origem até a recepção do pacote • Dificuldade de manutenção do estado ao longo do caminho deste tráfego. • Os ASes ao longo do caminho não se beneficiam do conhecimento de que o tráfego que transportam é malicioso.
Projeto Mohonk • Proposta para notificar os ASes no caminho antecipadamente sobre destinos “escuros” levou à criação de honeypots móveis. • Aspectos da mobilidade: • Informação sobre a escuridão dos prefixos é disponibilizada para os ASes a jusante e • O conjunto destes prefixos mudam periodicamente através de anúncios BGP e retiradas. • Sendo as informações sobre os prefixos escuros conhecidas dos ASes a jusante participantes do esquema, eles conheceriam este tráfego e seus originadores muito antes e poderiam tomar alguma ação corretiva. • O tráfego poderia ser descartado ou poderia ser incluído numa lista negra caso a quantidade de tráfego indesejado excedesse um limiar específico ao AS. • Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado para informar aos ASes a jusante que o prefixo é escuro.
Originadores indesejados • Medições da habilidade de detectar originadores indesejados envolve escolher diversos parâmetros: • Comprimento dos prefixos que devem ser anunciados para atrair tráfego suficiente • Duração da vida dos anúncios • Escolha das aplicações a serem associadas com os endereços nos prefixos escuros • Limiares da contagem de pacotes que decidem se o tráfego é indesejado.
Originadores indesejados • Medições baseadas no mecanismo de honeypot devem ser resilientes contra ataques visando atrapalhar a configuração. • Dado que a comunidade dos blackhats trocam informações sobre as técnicas de detecção eles evitam os honeypots ao descobrirem os seus prefixos. • Uma medida da utilidade dos esquemas de honeypot é a velocidade na qual os originadores de tráfegos indesejados são detectados e colocados em listas negras entre múltiplos ASes num certo período de tempo comparado ao custo tanto para os whitehats como para os blackhats.
Vírus e Worms • Malware– termo que engloba todos os softwares que ao serem executados têm um impacto negativo. • Dentre as medições de interesse com relação a worms temos: • Como as listas dos alvos são escolhidas • O conjunto dos possíveis pontos de entrada • O quão rapidamente eles podem se espalhar na Internet • Adicionalmente: • Extensão do dano econômico causado pelo malware tanto em termos do instante do ataque ou como resultado de outros ataques habilitados pela abertura de backdoors.
