Medição e monitoração de redes - di.ufpe.brsuruagy/cursos/MR/2012-1-MR-Seguranca.pdf · 6 Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar

SEGURANÇA Capítulo 9

Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006.

1

Roteiro 2

Papel das Medições da Internet na Segurança

Medições na Intranet como Ajuda à Segurança

Medições no Gateway como Ajuda à Segurança

Impacto das Medições Interdomínio na Segurança

Medições de Longa Distância como Ajuda à

Segurança

Medições de Ataques na Camada de Aplicação

Roteiro 3






Segurança


Papel das Medições da Internet na

Segurança 4

Exame de características básicas dos pacotes tais

como:

Intervalos de tempo entre chegadas

Tamanho dos pacotes

Escolhas de protocolos

Padrões de interação entre pontos terminais

Endereços IP e portas origem e destino

São utilizadas para a detecção de atividades

incomuns (Fora do padrão)

Camadas Mais Altas 5

Nas camadas mais altas:

Padrões ON/OFF das conexões

Diferenças nos atributos a nível de fluxo

Também foram usados em segurança das aplicações associadas.

Logs de firewalls são examinados em busca de pontos fora da curva.

Filtragem através de ACLs (Access Control List) de roteadores podem fornecer informações sobre falsos positivos:

Tráfego legítimo que pode ser bloqueado inadvertidamente

Papel das Medições da Internet na

Segurança 6

Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar de monitoração para examinar se o tráfego desejado está sendo limitado resultando em piora no desempenho.

Anomalias no nível de configuração da comunicação interdomínio, acidental ou deliberada, podem levar a interrupções significativas que podem não ser percebidas até que haja um ataque.

A monitoração passiva de mensagens de atualização BGP em conjunto com informações de topologia podem ajudar a detectar a presença destas anomalias.

Camada de Aplicação 7

Na camada de aplicação, tudo desde o conteúdo

de cabeçalhos de protocolos a suas cargas foram

candidatos para uma possível detecção de ataque.

A falta de verificação de conformidade do protocolo

pelas implementações podem ser exploradas para

atacar servidores.

O simples acompanhamento da fração entre a carga

(upload) e a descarga (download) de um par pode

ajudar a identificar “caroneiros” que contribuem para

a degradação geral da rede p2p.

Vírus e Fidelidade em Jogos 8

No caso de worms e vírus, houve uma quantidade considerável de medições visando caracterizar, isolar e ajudar na detecção destes eventos.

Em jogos em rede, o sequestro da identidade de um usuário ou um jogador mentindo sobre as suas coordenadas atuais são violações da fidelidade do sistema.

A ausência desta fidelidade pode ter um impacto sério no número de participantes no jogo e, portanto, na sua popularidade geral.

Intrusões 9

Uma intrusão é frequentemente detectada como um desvio da norma;

Com a norma definida a partir de históricos de padrões de acesso e a política do sítio.

Uma arquitetura para um sistema de detecção de intrusões (IDS) pode começar com:

A filtragem e bloqueio de tráfego

Reunir informações adicionais sobre possíveis atacantes

Análise através de múltiplas camadas da pilha de protocolos antes de encaminhar os pacotes para o destino pretendido.

Intrusões 10

Métodos de detecção de mudanças construídos sobre técnicas de medições estatísticas monitoram os níveis de tráfego em diferentes partes da rede para avisar sobre possíveis ataques.

Foram criadas ferramentas para ajudar na detecção de intrusão com a incorporação de componentes básicos de medições.

Produtos comerciais de segurança dependem de medições para identificar ameaças em potencial, reduzir falsos positivos e na agregação de informação com finalidades forenses.

Roteiro 11






Segurança


Medições na Intranet como Ajuda à

Segurança 12

A maior parte das entidades administrativas estão

preocupadas apenas em tornar seguras as suas

próprias redes.

As medições que são usadas para caracterizar os

problemas de segurança dependem de:

A natureza do tráfego dentro da rede

Os tipos de ataques observados e

A importância dos recursos que estão sendo

protegidos.

Medições na Intranet como Ajuda à

Segurança 13

Podem ser minerados informações de medições passivas que já estejam sendo realizadas, tais como dados de SNMP, ou informações de fluxos (ex. netflow).

Desvios significativos do tráfego esperado podem ser vistos como uma violação de segurança em potencial apesar de que alguns desvios significativos podem ser um comportamento de rotina.

Uma breve falha de comunicação com um servidor DNS pode fazer com que uma aplicação seja suspendida por alguns segundos e um retorno ao comportamento normal confirmariam a ausência de um ataque.

Da mesma forma, um evento de flash crowd disparado por um interesse repentino em um sítio Web, não seria um ataque.

Uso de Medições Passivas 14

Pela sua própria natureza, as medições passivas analisadas após o fato, são sobretudo detecção de intrusão e não uma prevenção ativa.

Os logs dos firewalls são normalmente reunidos tanto em tráfegos que foram bloqueados como naqueles que foram permitidos.

Nesta seção serão examinadas técnicas que foram propostas para usar dados disponíveis em diversos níveis procurando por possíveis violações de segurança.

Medições da Intranet usam SNMP, dados de fluxos e logs em diversos níveis de ataques.

Dados do SNMP 15

Os dados do SNMP são coletados periodicamente

(tipicamente a cada 5 minutos) e consistem de uma

variedade de estatísticas de tráfego tais como

contadores de pacotes e número de bytes que

atravessam um link

O intervalo de coleta limita o tipo de anomalias que

podem ser detectadas dado que desvios breves que

forem menores que este intervalo não serão

capturados.

Dados de Fluxo e SNMP 16

Os dados de fluxos são coletados em diversos roteadores (acesso, entrada, etc.) em formato bruto.

Um exemplo do uso de dados de SNMP e de fluxos para detectar ataques de negação de serviço (DoS), com a aplicação de transformações baseadas em ondaletas (wavelets) aos dados é descrita em [BKPR02].

Foram usadas ondaletas dado que elas consideram seja a frequência como o tempo na descrição da série temporal dos dados.

Dados de Fluxos 17

Se o volume dos fluxos de dados se tornarem extremamente grandes, são obtidos apenas dados amostrados.

A amostragem pode ser simplesmente estatística, tais como um a cada n pacotes

Ou algo mais inteligente – polarizado para o percentual de tráfego em certas aplicações

O nível de detalhes disponíveis em dados de fluxos é frequentemente suficiente para distinguir as aplicações e examinar mais de perto endereços de origem e prefixos de interesse.

Dados de Fluxos 18

Mesmo que os dados de fluxos sejam coletados continuamente, devido à natureza dos fluxos que são exportados para a entidade coletora, múltiplas transações que durem minutos podem expirar antes que um registro de fluxo seja escrito.

Portanto, muitas das análises de registros de fluxos são realizadas após o fato, ao invés de ao vivo.

A análise estatística dos registros de fluxos podem identificar rapidamente endereços de origem que excedam alguns limiares esperados de contagem de pacotes ou de bytes para certas aplicações.

No entanto, limiares não são sempre a melhor forma para identificar atacantes.

Pacotes de teste enviados por endereços IP atacantes são em pequeno número, mas são uma ameaça à segurança.

Dados de Fluxos 19

Dado que os registros de fluxo não contêm o corpo

dos pacotes, eles não são capazes de identificar

ataques baseados no conteúdo.

Logs de aplicações de alto nível frequentemente

retêm os cabeçalhos e, em casos específicos,

informações de pacotes em camadas ainda mais

profundas.

Estes logs podem ser minerados para obter dados

adicionais.

Tráfego de Saída 20

Dado que é possível que ataques sejam disparados de dentro da rede, as medições podem ser usadas para verificar se o tráfego de saída excede alguns limiares.

Os ataques podem ser originados a partir de uma localidade do usuário;

Pode ser não intencional e disparado por um vírus.

Em geral é mais difícil escolher limiares razoáveis para o tráfego de saída dado que o tráfego pode ser benigno.

Ao contrário do tráfego de entrada onde restrições de capacidade e estatísticas passadas podem ajudar na obtenção de limiares interessantes, é mais difícil manter estatísticas em relação a destinos externos.

Roteiro 21






Segurança


Medições no Gateway como Ajuda à

Segurança 22

Os firewalls no perímetro de entidades administrativas registram uma variedade de atividades de rede.

Medições locais foram realizadas nos firewalls para ver se as ferramentas criadas para segurar ataques de inundação pode ser sobrepujado com o incremento da taxa de inundação.

Ex.: inundação de pacotes de SYN

Os firewalls também registram informações detalhadas sobre o tráfego destinado à instalação que estão protegendo.

Estes registros podem ser minerados em busca de informações interessantes:

Endereços IP origem que habitualmente enviam tráfego não autorizado

Aplicações mais comumente testadas

Números de portas mais comumente testadas

Etc.

IDSes 23

A hipótese básica dos sistemas IDS é que a

atividade legítima dentro da rede é previsível:

Adere a certos padrões pré-especificados.

Portanto, um conjunto de assinaturas podem ser

especificadas para observar o tráfego que viola os

padrões esperados para os tráfegos de entrada ou de

saída.

Novas assinaturas devem ser frequentemente recuperadas

de um servidor central dentro da organização.

Falsos Positivos 24

Um esforço considerável deve ser dispendido para ajustar a assinatura a falsos positivos não sobrecarreguem os IDSes.

Tráfego suspeitos de ataque que são na verdade tráfego benigno.

Demasiados falsos positivos reduzem a habilidade de detectar ataques reais

Por outro lado, não queremos perder ataques raros; ou a taxa de falso negativos irá crescer.

Ferramentas específicas foram criadas para tentar reduzir falsos positivos em ferramentas populares de IDS [PYD01].

Firewalls 25

Muitos firewalls implantam listas de controle de acesso

(ACLs) e verificam endereços específicos de origem (na

rede externa) ou de destino (na rede interna).

Se o volume de tráfego indesejado for grande, pode

ser necessário criar uma zona desmilitarizada (DMZ).

Testes de vulnerabilidade podem ser executados por

ferramentas tais como Internet Scanner [Sec] e nmap

[nmap.org] que enviam pacotes de teste para verificar

se as configurações do firewall e suas políticas são

resilientes.

Firewalls 26

As configurações de firewall e as listas de controle

de acesso são especificados em diversos formatos a

depender do fabricante.

Linux ipchains

IOS da Cisco

Ferramentas para a Detecção de

Intrusão 27

Citados no livro:

Network Flight Recorder (NFR):

Hoje: Checkpoint Intrusion Prevention System

Bro (nova versão: http://www.bro-ids.org/)

Snort

http://sectools.org/tag/ids/:

Snort: http://www.snort.org/

OSSEC HIDS: http://www.ossec.net/

Sguil: http://sguil.sourceforge.net/

http://www.bro-ids.org/




http://sectools.org/tag/ids/

http://sectools.org/tag/ids/

http://www.snort.org/

http://www.ossec.net/

http://sguil.sourceforge.net/

IDSes 28

Bro possui um interpretador de scripts de políticas através do qual a política de segurança de um sítio pode ser expressa numa linguagem de alto nível.

Snort:

Pode realizar análise de tráfego e de protocolo em tempo real para ajudar a detectar diversos ataques e alertar os usuários em tempo real.

Também usa uma linguagem para especificar que tráfego deve ser filtrado e que tráfego pode passar.

Pode ser usado também como um mecanismo para registro dos pacotes.

As diversas assinaturas da base de dados do Snort estão documentadas incluindo o seu potencial para falsos positivos e negativos e medidas corretivas a ser tomadas no caso de que um determinado alerta seja levantado.

Roteiro 29






Segurança


Impacto das Medições Interdomínio na

Segurança 30

Ataques a nível interdomínio podem ter uma

grande escala e consequências muito sérias.

Uma tabela BGP comprometida pode resultar em

colocar uma fração significativa do tráfego num

“buraco negro”.

Ou ainda pior, tráfego sensível para um determinado

destino pode ser sequestrado!

Monitoração de Mensagens BGP 31

A monitoração passiva de mensagens BGP

[KMRV03] combinada com um modelo de

conectividade de AS pode ajudar a isolar anúncios

de rotas que sejam inconsistentes com a topologia

atual indicando um possível ataque de “pessoa no

meio”.

Esta técnica examina o atributo AS_PATH das

mensagens de atualização do BGP buscando por

sequências impróprias.

Monitoração de Mensagens BGP 32

Mensagens de atualização do BGP foram coletadas durante 4 semanas diferentes num período de dois anos. Tendo sido examinada junto com um mapa de AS gerado para cada uma das instâncias.

Os dados do primeiro dia de cada semana foi usado como um conjunto de treinamento a ser comparado com os demais dias da semana buscando anomalias.

Muitas das violações de propriedade incorreta dos IPs foram devidas a má configurações; e, portanto, não eram ataques.

Outra forma de buscar possíveis violações é através da análise de prefixos que parecem se originar em mais do que um AS.

No entanto, também há razões legítimas para que isto ocorra e é necessário filtrar os falsos positivos.

Sequestro de Espaço de Endereços 33

Ocorre quando um AS anuncia por engano ou

deliberadamente um espaço de endereços que não

lhe pertence.

Foi medido em [MWA02] a frequência deste

fenômeno de sequestro assim como diversos outros

erros comuns de má-configuração.

Vantagens das Medições Relacionadas

com o BGP 34

O potencial de impacto de qualquer detecção é alto

e os diversos operadores e administradores responsáveis pelo BGP normalmente tendem a cooperar quando são relatados ataques ou má-configurações.

O volume de tráfego a ser examinado é normalmente menor do que uma monitoração de pacotes em larga escala e dados precisam ser coletados apenas na pequena fração de roteadores de acesso que falam BGP.

Uma vez que as medições indiquem a presença de problemas, políticas de filtragem podem ser implantadas ou modificadas as já existentes.

Roteiro 35






Segurança


Medições de Longa Distância como

Ajuda à Segurança 36

Roteiro:

Classificação de ataques DOS

Detecção e rastreamento de atacantes

Vírus e Worms

Monitoração e Coordenação de Detecção de Intrusão

Classificação de ataques DOS 37

Ataques de negação de serviço têm sido a forma

mais comum de ataque na Internet.

Examinando as características dos pacotes envolvidos

nestes ataques (cabeçalhos, taxas de chegadas, etc.)

pode-se detectar a ocorrência dos mesmos.

Técnica backscatter 38

Esta técnica discute modos de monitorar um único link

de saída de um grande espaço de endereços (/8)

como um mecanismo de amostragem para caracterizar

o número total de ataques de negação de serviço.

Como os ataques são normalmente distribuídos, a

monitoração de um espaço largo de endereços permite a

caracterização dos ataques de DoS.

A classificação baseada em fluxos tradicional pode ser

usada para classificar os ataques:

Baseado no protocolo, são realizadas verificações da presença

ou não de certos campos ou cabeçalhos.

Outras Técnicas 39

Sistema Cossack [HHP03a]: monitora links de peering

de forma bidirecional entre ISPs para examinar como

os ataques são propagados.

Ferramentas como tcpdump são usadas para capturar

cabeçalhos de pacotes para examinar se certos

limiares pré-configurados foram excedidos (ex. número

de fontes distintas que estão tentando se comunicar

com o mesmo host) para identificar um ataque.

Outros limiares incluem aumento na taxa de chegada de

pacotes e mudança no volume do ataque com o tempo.

Outras Técnicas 40

Foram desenvolvidos arcabouços para classificar os ataques de DoS [HHP03b] usando:

análise de cabeçalhos,

a velocidade de crescimento dos ataques

distinção entre ataques a partir de uma fonte individual ou de múltiplas fontes:

Fornecida através de análise de séries temporais.

O objetivo é ser capaz de caracterizar ataques presentes e ajudar a identificar futuros ataques de DoS.

Rastreamento de tráfego de ataque e

Honeypots (potes de mel). 41

Um honeypot é definido de forma abrangente como um recurso cujo valor reside no seu uso não autorizado

Um mecanismo simples envolve anunciar um conjunto de endereços que não estejam em uso ativo, chamados de endereços escuros.

Quando chega algum tráfego nestes endereços, as origens destes tráfegos são consideradas maliciosas.

Muitos honeypots escutam passivamente a este tráfego de entrada, gastando poucos recursos neste processo.

Outros respondem ativamente desde o simples envio de um SYN-ACK em resposta a um SYN, à emulação de uma sessão de login, e em casos extremos emulando todo o kernel.

Alguns honeypots podem identificar endereços IP suspeitos [Vin04].

Honeyfarms 42

Coleção centralizada de honeypots e ferramentas de análise relacionadas que recebem tráfegos suspeitos redirecionados por diversos dispositivos de detecção espalhados pela Internet.

Wormholes são appliances usadas para transmitir de forma segura o tráfego suspeito para a honeyfarm.

Têm sido usadas para detectar worms automaticamente.

Um conjunto de 𝑘 honeypots serão capazes de detectar um worm quando aproximadamente 1/𝑘 das máquinas vulneráveis estiverem infectadas.

Honeyfarms 43

As honeyfarms usam imagens de máquinas virtuais

para implementar honeypots criando tanto uma

‘assinatura de vulnerabilidade’ e possivelmente

uma assinatura de ataque.

A detecção é baseada nos honeypots infectados e

não no tráfego dos wormholes.

Telescópio de Rede 44

http://www.caida.org/research/security/telescope

/

Permite observar vítimas de certos tipos de ataques

de DoS ou hosts infectados por worms, e má-

configurações a uma distância segura.

http://www.caida.org/research/security/telescope/

http://www.caida.org/research/security/telescope/

Limitações dos Honeypots 45

Os honeypots reúnem dados nos alvos dos ataques e outros dados indesejados, mas são incapazes de localizar o ponto de entrada preciso deste tráfego na rede.

Além do mais, alguns destes endereços de origem podem estar mascarados (spoofed)

Rastrear a origem deste tráfego é difícil devido a diversas razões tais como: Atraso desde a origem até a recepção do pacote

Dificuldade de manutenção do estado ao longo do caminho deste tráfego. Os ASes ao longo do caminho não se beneficiam do conhecimento

de que o tráfego que transportam é malicioso.

Projeto Mohonk 46

Proposta para notificar os ASes no caminho antecipadamente sobre destinos “escuros” levou à criação de honeypots móveis.

Aspectos da mobilidade:

Informação sobre a escuridão dos prefixos é disponibilizada para os ASes a jusante e

O conjunto destes prefixos mudam periodicamente através de anúncios BGP e retiradas.

Sendo as informações sobre os prefixos escuros conhecidas dos ASes a jusante participantes do esquema, eles conheceriam este tráfego e seus originadores muito antes e poderiam tomar alguma ação corretiva.

O tráfego poderia ser descartado ou poderia ser incluído numa lista negra caso a quantidade de tráfego indesejado excedesse um limiar específico ao AS.

Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado para informar aos ASes a jusante que o prefixo é escuro.

Arquitetura do Mohonk 47

Originadores indesejados 48

Medições da habilidade de detectar originadores

indesejados envolve escolher diversos parâmetros:

Comprimento dos prefixos que devem ser anunciados

para atrair tráfego suficiente

Duração da vida dos anúncios

Escolha das aplicações a serem associadas com os

endereços nos prefixos escuros

Limiares da contagem de pacotes que decidem se o

tráfego é indesejado.

Originadores indesejados 49

Medições baseadas no mecanismo de honeypot devem ser resilientes contra ataques visando atrapalhar a configuração.

Dado que a comunidade dos blackhats trocam informações sobre as técnicas de detecção eles evitam os honeypots ao descobrirem os seus prefixos.

Uma medida da utilidade dos esquemas de honeypot é a velocidade na qual os originadores de tráfegos indesejados são detectados e colocados em listas negras entre múltiplos ASes num certo período de tempo comparado ao custo tanto para os whitehats como para os blackhats.

Vírus e Worms 50

Malware – termo que engloba todos os softwares que ao serem executados têm um impacto negativo.

Dentre as medições de interesse com relação a worms temos:

Como as listas dos alvos são escolhidas

O conjunto dos possíveis pontos de entrada

O quão rapidamente eles podem se espalhar na Internet

Adicionalmente:

Extensão do dano econômico causado pelo malware tanto em termos do instante do ataque ou como resultado de outros ataques habilitados pela abertura de backdoors.

Gerador de Carga 51

Um mecanismo para criar um gerador de carga para malware é discutido em [SYB04] com a finalidade de recriar um tráfego de pacotes malicioso.

A ideia é ser capaz de examinar tanto worms conhecidos e explorar o potencial de variantes que podem ser criados no futuro.

As características de desempenho de IDSes bem conhecidos podem ser examinadas pelo gerador de cargas.

Monitoração e Coordenação de

Detecção de Intrusão 52

Medições em combinação com estatísticas têm um

papel chave na melhoria das técnicas de

monitoração e detecção de intrusão.

Diversas ferramentas foram criadas para ajudar

aqueles que trabalham no campo da detecção de

intrusões.

Um dos principais objetivos é o de reduzir os falsos

positivos.

Compartilhamento de Informações 53

Dado que existe uma semelhança entre ataques na

Internet, espera-se que seja benéfico o

compartilhamento de informações entre sistemas de

detecção de intrusão.

Empresas e grandes ISPs tradicionalmente relutam

em compartilhar informações sobre ataques entre

eles devido a questões de privacidade e

preocupações de que as informações sobre as suas

vulnerabilidades se tornem públicas.

Compartilhamento de Informações 54

Organizações neutras desempenham um papel importante em servir como uma central de troca de informações.

Algumas empresas oferecem serviços tanto para monitorar ataques dentro de empresas como para coordenar ataques na Internet para fornecer um sistema de alerta antecipado.

Muitas destas empresas formulam assinaturas de ataques, compila estatísticas, criam bases de dados de vulnerabilidades, e proveem possíveis contramedidas.

Tempos de Reação 55

Um problema chave em coordenar informações de

ataque ou intrusão é que dependendo da natureza

do ataque (varredura lenta ao invés de um worm

que se espalhe rapidamente), as reações do

agente de coordenação e as organizações

participantes devem ser diferentes.

Dado que um worm pode teoricamente se espalhar por

toda a Internet em questão de minutos [SPW02] não é

suficiente trocar informações de ataques

periodicamente.

Produtos Comerciais 56

Riverhead da Cisco

Peakflow da Arbor Networks

Intrushield da MacAfee

Roteiro 57






Segurança


Medições de Ataques na Camada de

Aplicação 58

Aplicações individuais podem mitigar ataques caso as

camadas inferiores sejam incapazes de bloqueá-los.

A forma ais popular de ataque à camada de

aplicação são os spams de e-mail

Que gasta bastante recursos na forma de produtividade do

usuário, largura de banda e armazenamento.

Os firewalls são a primeira linha de defesa (varrendo à

procura de vírus) mas normalmente não são capazes de

identificar os spams!

Spams 59

São realizados diversos tipos de medições seja para caracterizar o problema seja como uma análise contínua.

É preciso garantir que os grandes servidores de e-mail não sejam sobrecarregados com mensagens indesejadas.

Os transmissores SMTP são classificados nas seguintes classes:

Confiáveis

Desconhecidos

Suspeitos

Spams 60

Servidores mais ocupados lidam com transmissores

SMTP suspeitos

Servidores levemente carregados lidam com

transmissores confiáveis.

Estatísticas simples sobre o volume de spam suspeito

podem ser mantidos de modo a atualizar esta

divisão.

Filtragem de spams 61

Nos servidores a filtragem é realizada baseada numa variedade de fatores relacionados com as mensagens que chegam.

Baseado nestas técnicas de filtragem – normalmente uma combinação de medidas estatísticas Bayesianas e outras métricas calculadas pelo software de filtragem – são obtidas informações globais sobre o transmissor SMTP remoto.

As medições são realizadas baseadas no volume de bytes trocados numa única mensagem e agregados num certo período de tempo.

Registro de atividades 62

Nas camadas mais altas, diversos recursos

relacionados com segurança registram as

atividades (syslog, wtmp) que são usadas por

diversos IDSes.

Estes registros são analisados ao nível do usuário

procurando desvios tais como um aumento

inesperado nos níveis de privilégio ou repetidas

falhas durante estas tentativas.

Documents

Medição e monitoração de redes - di.ufpe.brsuruagy/cursos/MR/2012-1-MR-Seguranca.pdf · 6 Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar