Tráfego Internet não Desejado: Conceitos, Caracterização e ...sbseg2008.inf.ufrgs.br/resources/slides/minicursos/apr_02_curso.pdf · 12/9/2008 1 Tráfego Internet não Desejado:

12/9/2008

1

Tráfego Internet não Desejado: Conceitos, Caracterização e Soluções

Eduardo Feitosa, Eduardo Souto, Djamel Sadok{elf,jamel}@cin.ufpe.br, [email protected]

Grupo de Pesquisa em Redes e Telecomunicações (GPRT)Centro de Informática

Universidade Federal do Pernambuco

SBSeg 2008

RoteiroIntroduçãoCaracterização do tráfego não desejadoCaracterização do tráfego não desejado

Vulnerabilidades e problemas conhecidosTiposClassificação

Soluções existentes

2

TradicionaisBaseadas na análise do tráfego

Potenciais soluçõesConsiderações finais

12/9/2008

2

IntroduçãoIntrodução

o DefiniçõesDi õo Discussões

IntroduçãoO tráfego Internet é formado por serviçose aplicações conhecidas e tradicionaisp(legadas)Nos últimos anos, nota-se o crescimentoem outro nível de tráfego

Desconhecido, não solicitado, não produtivo e ilegítimos

O é ti dO que é esse tipo de tráfego?

4

12/9/2008

3

IntroduçãoTráfego não desejado (unwanted traffic)

Mensagens não solicitadas (spam)Mensagens não solicitadas (spam)Atividades fraudulentas (phishing e pharming)Ataques de negação de serviço (DDoS) e BackscatterProliferação de códigos maliciososg(vírus, worms, cavalos de tróia, etc.)entre outros

5

IntroduçãoAumento refletido nos prejuízosfinanceiros mundiaisa ce os u d a sAlguns exemplos

2006US$ 245 milhões através de wormsentre provedores americanos

2007$US$ 66 milhões entre 194 empresas via

fraudes, intrusões, vírus ... CERT.br registrou 45.298 incidentesCAIS (RNP) registrou 4000 tentativas despam e phishing

6

12/9/2008

4

IntroduçãoParte do problema é atribuída as atuaissoluçõessoluções

Demora na identificação, alta taxa dealarmes falsos e falta de cooperação comoutras soluçõesA definição do que é “não desejado”também é um problema

Download de músicas e vídeos, jogos on-line, comunicação instantânea, TV viaInternet são exemplos

7

DefiniçõesAssociado a vírus, worms, intrusões eataques de baixa carga (anos 80)ataques de baixa carga (anos 80)Definição atual recente (últimos 10 anos)

“tráfego não produtivo composto por partemaliciosa (backscatter, worms, spam,...) eparte benigna (flash crowds, máconfiguração de roteadores,...)” [Pang 2004]g ç , ) [ g ]“tráfego cuja finalidade é comprometercomputadores vulneráveis, propagarcódigos maliciosos, proliferar mensagens despam e negar serviços” [Xu 2005]

8

12/9/2008

5

Definições“Qualquer tipo de tráfego de rede nãorequisitado e/ou inesperado, cujo únicorequisitado e/ou inesperado, cujo únicopropósito é consumir recursoscomputacionais da rede, desperdiçartempo e dinheiro dos usuários eempresas e capaz de gerar algum tipo devantagem ou lucro para seus criadores”vantagem ou lucro para seus criadores

9

DefiniçõesOutras nomenclaturas

Junk trafficJunk trafficTráfego de fundo (background)Tráfego anormal

10

12/9/2008

6

DefiniçõesFalta de consenso

O que é ou não desejado depende doO que é ou não desejado depende docontexto, da aplicação e da localizaçãoSkypeOut é ilegal na China por causar prejuízos a operadora de telefonia Provedores Internet limitam aplicações P2P

Códigos maliciosos e leis de direitos autoraisIRC, sites de relacionamento, mensagensinstantâneas

11

DiscussõesTráfego não desejado não é novidade,mas cresceu rapidamente nos últimos 10mas cresceu rapidamente nos últimos 10anos, porquê?Diversos fatores

Falta de controleAusência de leisE istência de ma indústriaExistência de uma indústria ilícita lucrando muito “Desprezo” para as questões de segurança

12

12/9/2008

7

DiscussõesEventos específicos

SRUTI (Steps to Reducing Unwanted TrafficSRUTI (Steps to Reducing Unwanted Trafficon the Internet)

3 edições, apoio do USENIXWorkshop da IAB (Internet ArchitectureBoard)

Intercâmbio entre operadores, fabricantes,desenvolvedores e pesquisadoresO resultado é a RFC (Request forComments) 4948

13

Caracterização do tráfego não desejado

o Vulnerabilidades e problemasTio Tipos

o Classificação

12/9/2008

8

CaracterizaçãoA atual estratégia de pesquisa é divididaem três passosem três passos

Adquirir conhecimento (origens, tipos eclassificação)Avaliar a efetividade das soluções atuaisCriar novas soluções mais eficazes

15

Vulnerabilidades e problemasO tráfego não desejado está presente naInternet desde seu surgimentoInternet desde seu surgimentoNo começo, incidentes eram erros deoperação ou ataques de quem queriachamar atenção

Worm da InternetE l ã d t ã b tit i ãEvolução, adaptação substituição poratividades abusivas e maliciosas emlarga escalaQuem são os culpados ou causas?

16

12/9/2008

9

Vulnerabilidades e problemasA natureza aberta da Internet

Fator de sucesso e crescimentoFator de sucesso e crescimento

172000 2008

Vulnerabilidades e problemasA natureza aberta da Internet

Por outro lado a “falta de controle” nãoPor outro lado, a falta de controle nãopermite atribuir responsabilidades quandoacontece algo errado, não intencional oumaliciosoA pilha TCP/IP não disponibiliza qualquermecanismo de auditoria ou “tomografia” de

tum ataqueResultado: limite de punição não definido

Quem é o responsável? Quem punir?

18

12/9/2008

10

Veracidade dos endereços IP de origemAtaques de negação de serviço utilizam

Vulnerabilidades e problemas

Ataques de negação de serviço utilizamendereços IP de origem forjadosAtualmente, devido a falta de controle, cabea cada elemento da rede decidir se o pacoterecebido é confiável ou nãoEntretanto, botnets (redes zumbi) utilizam

Lucro estimado em $15.000por mês através de clickfraud

Google assegura $90.000Ancheta conseguiu $60.000

controlando 400 zumbis

19

computadores com IPs válidos para realizardiversos ataquesA questão não é simplesmente confiar ounão em determinado IP

Mau uso dos protocolos na InternetFirewall e sistemas de segurança bloqueiam


Firewall e sistemas de segurança bloqueiamportas não usadasSolução

Tudo sobre HTTP (“all over HTTP”)

Resultado

20

A mesma infra-estrutura Internet utilizada no cotidiano é utilizada para divulgar o tráfego não desejado

This w

ay

12/9/2008

11

Computadores e sistemas vulneráveisGrande número de computadores e


Grande número de computadores esistemas comprometidos e/ou vulneráveisMotivos

Usuários e empresas não preparados ou nãointeressados em aspectos de segurançaConstantes descobertas de vulnerabilidades

21

ResultadoAumento no tráfego não desejado,principalmente através de vírus, worms, espam

AutenticaçãoCenário de grande mobilidade


Cenário de grande mobilidade

Cyber Café

22

802.11

Matriz

Filial

Rede Celular

12/9/2008

12

AutenticaçãoExistem diferentes soluções algumas


Existem diferentes soluções, algumassimplificadasO atual processo de autenticação (usuáriose dispositivos) ainda é complexoOs mecanismos de autenticação sãovinculados ao tipo de meio físico utilizados

23

(diferentes credenciais, semânticas e basesde autenticação)

A união dessas e outras vulnerabilidadescontribuíram para o estabelecimento de


contribuíram para o estabelecimento deum “Mercado Negro” (submundo)

24

12/9/2008

13

Vulnerabilidades e problemasMercado negro (underground economy)

Um grande shopping virtual onde “seusUm grande shopping virtual onde seuspercentes e bens” são comprados evendidosO que é vendido: cartões de crédito, contase senhas bancárias, senhas de roteadoresda Internet, acesso a servidores, bot,b t t tbotnets, etc.Uso de ferramentas tradicionais ouaprimoradas

25

Mercado negro (underground economy)


2° d

3° andar Varejo:cartões de crédito,contas bancárias

4° andar Servidores:empresas, governo

26

2° andar Internet:hosts, roteadores, endereços forjados

1° andar Equipamentos:bot e botnets

12/9/2008

14

Mercado negro (underground economy)Lucros na casa dos bilhões de dólares ao


Lucros na casa dos bilhões de dólares aoredor do mundoIRC como baseParte do lucro é reinvestido

Escritores, programadores e especialistas web

27

IAB considera “a raiz de todos os males da Internet”

Atribuição de responsabilidade oupunição


puniçãoCom o grande número de elementosenvolvidos, quem tem a responsabilidade

Ataque DDoSAusência de leis penalizam violações relacionadas a

28

crimes

12/9/2008

15

Vulnerabilidades e problemasAusência e/ou ineficiência das leis

Falta de leis contra crimes ou para regular aFalta de leis contra crimes ou para regular aconduta de usuários em muitos paísesPaíses com jurisdição sobre Internet como USA e UK, as leis só são aplicadas muito depois dos fatos terem acontecido

29

Tipos de Tráfego não DesejadoPrincipais tipos de ataques, anomalias eaplicativos relacionados com o tráfegoaplicativos relacionados com o tráfegonão desejado

Ataques de negação de serviçoAtaques ao DNSAtaques ao roteamentoSPAMSPAMCódigos maliciososAplicações recreativos

30

12/9/2008

16

Tipos de Tráfego não DesejadoAtaques de negação de serviço

Tentativas de impedir usuários legítimos deTentativas de impedir usuários legítimos deutilizarem um determinado serviço de umcomputador ou redeConsumem recursos como memória, poderde processamento, espaço em disco elargura de bandaTambém podem ser executados de formadistribuída (DDoS) para aumentar ousuperdimensionar sua potência

31


32

12/9/2008

17


Exploram alguma característica ou falha daExploram alguma característica ou falha dapilha de protocolosTCP three-way handshake é o “escolhido”Inundação (flooding) é o mais conhecido

ICMP Unreachable, Fraggle e UDP PacketStorm, Smurf

Ataques por refletores (lógicos) executaminundações

33


Backscatter é o tráfego recebido de vítimasBackscatter é o tráfego recebido de vítimasque estão respondendo a ataques denegação de serviçoNormalmente, emprega endereços IP deorigem forjadosPacotes típicos são TCP SYN/ACK, TCPRST/ACK e ICMP Echo Reply e DestinationUnreachable

34

12/9/2008

18

Tipos de Tráfego não DesejadoAtaques ao DNS

O DNS (Domain Name System) é uma baseO DNS (Domain Name System) é uma basede dados hierárquica distribuída deinformações da InternetTradução de nomes dos computadores paraendereços IP e vice-versaDevido a sua importância, qualquer falhaafeta um grande número de usuáriosÉ vulnerável a ataques de negação deserviço e outros mais elaborados

35

Tipos de Tráfego não DesejadoAtaques ao DNS

Envenenamento de cache (cache poisoning)Envenenamento de cache (cache poisoning)Pharming é o maior exemplo

36

12/9/2008

19

Tipos de Tráfego não DesejadoAtaques ao roteamento

O roteamento Internet é um sistemaO roteamento Internet é um sistemadistribuído agrupado em domínioschamados sistemas autônomos (AS)

37

Tipos de Tráfego não DesejadoAtaques ao roteamento

O BGP (Border Gateway Protocol) é umO BGP (Border Gateway Protocol) é umprotocolo de roteamento inter domíniosAtaques ao BGP interferem no roteamento(mudança de rotas), mas não na entrega depacotesPrincipais ataques ao BGP

Redirecionamento (usado em phishing espam)Subversão

38

12/9/2008

20

Tipos de Tráfego não DesejadoSPAM

DefiniçãoDefiniçãoMensagem comercial não solicitada(Unsolicited Commercial E-mail - UCE)Mensagem não solicitada enviada de formamassiva (Unsolicited Bulk E-mail - UBE)

De forma geral, refere-se

39

ao envio de mensagensnão solicitadas de correioeletrônico a um grandenúmero de usuários


ClassificaçãoClassificaçãoBoatos (hoaxes)

Suposta repasteurização do leite longa vida Amazônia internacional (livro didático)Projeto de Lei 5476/2001 (verdadeiro)

Correntes (chain letters) Ajude uma criança doenteAjude uma criança doenteTotem da sorte

PropagandasProdutos farmacêuticos para homens

40

12/9/2008

21


Phishing (Classificação)Phishing (Classificação)

41


ClassificaçãoClassificaçãoGolpes (scam)spam com conteúdo malicioso

42

12/9/2008

22


Verdadeira praga na InternetVerdadeira praga na InternetEstimativas do Radicati Group

Perdas mundiais equivalentes a US$ 198bilhões em 2007Os spam representarão 79% do volumemundial de e-mail em 2010

VariaçõesSPIT (Spam via Internet Telephony) e SPIM(Spam via Instant Messages)

43

Tipos de Tráfego não DesejadoCódigos maliciosos

Qualquer código usado para causar danosQualquer código usado para causar danosou obter dados, sem o consentimento dousuárioRoubam dados, permitem acesso nãoautorizado, vasculham sistemas (exploits) eutilizam sistemas comprometidos (botnets)

lif i t áfpara proliferar mais tráfegoOs principais exemplos são:

Vírus, worms, cavalos de tróia e e spywares

44

12/9/2008

23

Tipos de Tráfego não DesejadoCódigos maliciosos - Vírus

Programas que alteram a operação normalProgramas que alteram a operação normalda vítima, replicando-se e espalhandocópias em outros códigos ou programasexecutáveisCiclo de vida

Dormência, propagação ou replicação, ativação e execução

45

Tipos de Tráfego não DesejadoCódigos maliciosos - Worms

Programa auto-replicante capaz de se auto-Programa auto replicante capaz de se autopropagar explorando falhas de segurançaem serviçosTaxa de propagação muito rápida e podeameaçar a infra-estrutura da InternetAlto consumo de largura de bandaA ativação pode ser rápida e direta ou lentae depender de humanos

46

12/9/2008

24

Tipos de Tráfego não DesejadoCódigos maliciosos – Cavalos de Tróia

(Trojan Horse) Programas que executam(Trojan Horse) Programas que executamfunções escondidas e não desejadas

Varreduras de endereço IP e portas, spam,ataques DDoS ou adição em uma botnet

Não se auto-propagam, dependem dohomemAtualmente, são conhecidos como “gimme”(gíria para “give me”) graças as mensagensde spam scam

47

Tipos de Tráfego não DesejadoCódigos maliciosos – Spyware

Programas que recolhem informações sobreProgramas que recolhem informações sobreo usuário e os transmite para alguém

Habítos de compras, contas bancárias esenhas pessoais

Dados vendidos a terceiros e/ou usados emroubos e fraudesAperfeiçoamento constante para evitar detecçãoAdware e keylogger também são programas espiões

48

12/9/2008

25

Tipos de Tráfego não DesejadoAplicações recreativas

Representam a convergência natural entreRepresentam a convergência natural entreos diversos tipos de dados e os novosusuários

Rádio e televisão via Internet,compartilhamento de arquivos, mensagensinstantâneas, jogos on-line interativos emultimídiamultimídia

Geralmente não são relacionados aataques, mas ao consumo de largura debanda

49

Tipos de Tráfego não DesejadoAplicações recreativas

Redes sociais são ligadas a proliferaçãoRedes sociais são ligadas a proliferaçãovírus, worms e spywares e afetam aprodutividadeA exceção são as aplicações P2P decompartilhamento

50

12/9/2008

26

ClassificaçãoApesar de conhecido desde os anos 80,não existem muitas classificaçõesnão existem muitas classificaçõesformaisProposta IAB em 2006

Pertubantes (Nuisance)Maliciosos (Malicious)Desconhecidos (Unkno n)Desconhecidos (Unknown)

51

ClassificaçãoPertubantes (Nuisance)

Tráfego de fundo que “atrapalha” o uso daTráfego de fundo que atrapalha o uso dalargura de banda e outros recursos comopoder de processamento e espaço em discoSPAM e P2P são exemplos

Servem como canal para propagação decódigos maliciososP2P aumenta em muito a carga da rede

Discussão se P2P é ou não indesejado, masé consenso que fere os direitos autoraisAtaques DDoS pode ser incluídos

52

12/9/2008

27


Pop-up spamPop up spamTráfego UDP entre 1025 e 1030 geram pop-ups no serviço de mensagem do WindowsOcasionalmente são variantes de phishing(“error occurred”, “machine compromised”,“Download software for fix”)U á i ã l á iUsuários são vulneráveisCentenas de milhões dessas mensagens sãoenviadas por hora

53


Pop-up spamPop up spam

54

12/9/2008

28

ClassificaçãoMaliciosos (Malicious)

Tráfego responsável por proliferar códigosTráfego responsável por proliferar códigosmaliciosos incluindo vírus, worms, spywaresGeram pequeno volume de tráfego, mas oresultado do estrago é geralmente alto(perdas financeiras)Livrar-se dele requer habilidade dos

55

operadores de rede

ClassificaçãoDesconhecidos (Unknown)

Tráfego que mesmo pertencendo a uma dasTráfego que mesmo pertencendo a uma das categorias anteriores, por algum motivo não pode ser classificado com tal ou que não se conhece suas intenções ou origens

Tráfego malicioso criptografado ou misturado com tráfego legitimo, por exemploW il i ( i t ) lWorms silenciosos (quiet worms) e malwares

56

12/9/2008

29

ClassificaçãoClassificação de acordo com a origemem primárias e secundáriasem primárias e secundáriasPrimárias correspondem a requisiçãoinicial de comunicação

Aplicações P2P, mensagens de spam, víruse worms, intrusões e ataques massivos

Secundárias correspondem ao tráfego deSecundárias correspondem ao tráfego deresposta

Backscatter, ataques de baixa intensidade etráfego “benigno”

57

Soluções ExistentesSoluções Existentes

o Soluções tradicionaisS l õ b d áli d t áfo Soluções baseadas na análise do tráfego

12/9/2008

30

Soluções existentesExistem vários esquemas, ferramentas esoluções desenvolvidos e/ou utilizadassoluções desenvolvidos e/ou utilizadaspara identificar e minimizar o tráfego nãodesejadoSoluções tradicionais

Firewall, sistemas de detecção de intrusão,honeypots softwares “anti-alguma coisa”honeypots, softwares anti-alguma coisa ,ferramentas de medição de tráfego econtrole de acesso

Soluções baseadas na análise de tráfego59

FirewallSolução mais empregada no mundoUtilizam regras (filtros) que definem oUtilizam regras (filtros) que definem oque deve ser feito

Todo tráfego que entra ou sai da rede oumáquina é comparado com as regras e oresultado é a ação de permitir ou negar otráfego

60

gClassificação

Filtro de pacotes, filtro de estados e filtros deaplicação (gateways)

12/9/2008

31

Firewall Filtros de pacotes

Compara as informações do cabeçalho deCompara as informações do cabeçalho decada pacote com as regras para decidir oque fazer

Campos: endereços IP, portas e protocoloSimples e fáceis de configurarListas de controle de acesso (ACL) e

61

( )ipchain (Kernel 2.2) são bons exemplosVulneráveis a ataques com endereços IPforjados e ineficazes contra tráfegocriptografado

Firewall Filtros de estado

Mantêm registros do estado das conexõesMantêm registros do estado das conexõesde rede (TCP e UDP) que estão ativasA filtragem é feita sobre o estado dasconexões estabelecidas e não apenas nocabeçalhoTrês tipos de estados:

62

NEW (novas conexões), ESTABLISHED(conexões estabelecidas), RELATED(conexões relacionadas com outrasexistentes)

Iptables é o maior expoente

12/9/2008

32

Firewall Gateways de aplicação

Atuam na camada de aplicação (application-Atuam na camada de aplicação (applicationlevel gateways) vasculhando o conteúdo dospacotes a procura de indícios de anomaliasPosicionados como intermediários (proxies)de um determinado serviço

Soluções anti-spam e web (Squid)

63

Permitem avaliar o tráfego e as transaçõescriptografadas, porém são específicos porserviço e inserem mudanças nodesempenho da rede

Firewall Firewall pessoais

Inúmeras soluções de firewall desenvolvidasInúmeras soluções de firewall desenvolvidaspara uso pessoalZoneAlarm e Sygate (windows) e IPTables esuas diversas interfaces gráficas deconfiguração para ambiente Linux

64

12/9/2008

33

IDSSistemas de Detecção de Intrusos (IDS)

Sistemas (hardware ou software)Sistemas (hardware ou software)especializado em tentar descobrir quandoum alvo (sistema, rede ou host) está sobalgum tipo de tentativa de intrusãoIDS são alvos lógicos de ataque

A escolha, instalação e configuração podem

65

ocasionar falhas de segurançaPrincipal problema

Precisão

IDS Problema de Precisão

66

12/9/2008

34

IDS Classificação (tecnologia de análise)

Tecnologia de análiseTecnologia de análiseAssinaturasAnomalias

Local de aplicaçãoRedesHostsosts

Variantes e evoluçõesIPSADS

67


Análise de assinaturasAnálise de assinaturasOs dados do tráfego de rede ou dados deuma determinada aplicação são comparadoscom uma base de padrões (assinaturas) deataquesVantagem: ataques conhecidos sãodetectados com bastante rapidez e comdetectados com bastante rapidez e combaixa taxa de erroDesvantagem: ataques desconhecidos nãosão detectados

68

12/9/2008

35


Detecção de anomaliasDetecção de anomaliasConstrói perfis de comportamento paraaquilo que é considerado como atividadenormalDesvios da normalidade são então tratadoscomo ameaçasV t d d tVantagem: capazes de se adaptar a novasclasses de anomalias bem com detectarataques desconhecidos (ataques “zero-day”)Desvantagem: estabelecimento do perfil decomportamento normal

69

IDSClassificação (local de aplicação)

Baseados em rede (NIDS)Baseados em rede (NIDS)São empregados em pontos estratégicos darede para monitorar o tráfego de entrada esaída de todos os dispositivos em uma redeGeram alarmes de atividades suspeitas eatuam em conjunto com um firewall paraautomaticamente bloquear o tráfegoautomaticamente bloquear o tráfegoanalisado como malicioso ou anormalSnort e Bro são exemplos

70

12/9/2008

36

IDSClassificação (local de aplicação)

Baseados em host (HIDS)Baseados em host (HIDS)Coletam dados do sistema onde estãoinstalados, ou seja, os sensores ficaminstalados na máquina que está sendomonitoradaSofrem de subversão, ou seja, podem serdesativados ou modificados por um intrusodesativados ou modificados por um intrusobem sucedido, para esconder sua presençae suas atividades

71

IDS Evolução

IDS são passivos apenas detectam eIDS são passivos, apenas detectam eregistram eventosIPS (Intrusion Prevention System) são iguaisaos IDS, mas podem interagir com outroselementos de segurança (firewall) parabloquear determinado tráfegoOperam on-line (prevenção em tempo real)Algumas implementações agregam usamDPI para fornecer resultados mais precisos

Cisco e ISS (comerciais) - Snort e Untangle(gratuitas) 72

12/9/2008

37

IDS Evolução

APS (Anomaly Prevention Systems)APS (Anomaly Prevention Systems)consideraram cada tipo de anomaliaseparadamente através da criação de um perfildo comportamento do tráfegoPode ser aplicado fora do perímetro da rede(backbones, por exemplo) enquanto IDS e IPSsão voltados à segurança interna da redesão o tados à segu a ça te a da ede

73

Honeypot Honeypot é uma ferramenta desegurança cuja função é colhersegurança cuja função é colherinformações sobre ataques e atacantesDefinições

Software ou sistema que possui falhas reais ou virtuais de segurança, implementadas propositalmente, com a únicapropositalmente, com a única finalidade de ser invadido, sondado e atacado para que os mecanismos utilizados na invasão possam ser estudados

74

12/9/2008

38

Honeypot Não fazem nenhum tipo de prevenção,mas fornecem informações adicionaismas fornecem informações adicionaisClassificação de acordo com o nível deatuação

Baixa InteratividadeAlta Interatividade

75

Honeypot Classificação (nível de atuação)

Honeypots de baixa interatividade sãoHoneypots de baixa interatividade sãoferramentas instaladas para emularsistemas operacionais e serviços com osquais os atacantes irão interagirSistema operacional real configurado demodo seguro, para minimizar o risco de

ti t (h t d d ã )comprometimento (honeypot de produção)Utilizados na proteção de empresashoneyd [http://www.honeyd.org]

76

12/9/2008

39

Honeypot Classificação (nível de atuação)

Honeypots de alta interatividade sãoHoneypots de alta interatividade sãomáquinas completas que implementamsistemas operacionais e serviços reaiscomprometidosAjudam a entender como vulnerabilidadessão exploradas (honeypots de pesquisa)Localizados no perímetro externo da redeOferecem um maior risco e demandampessoal especializado, tempo e dinheiroAs honeynets são exemplos

77

Honeypot Uma honeynet é uma rede composta porum ou mais honeypots e um honeywallum ou mais honeypots e um honeywall

78

12/9/2008

40

Honeypot Em relação ao tráfego não desejado

Honeypots podem ser usados com oHoneypots podem ser usados com opropósito de advertir previamenteoperadores e gerentes de rede de ataques eanomaliasEspecificamente, são usados para anunciarespaços de endereçamento não alocados e

lh i f õ b i i drecolher informações sobre os originadoresdo tráfego de tais endereçosÉ uma interessante área de pesquisa

79

Software Anti-”alguma coisa”Softwares e programas capazes dedetectar e eliminar potenciais ameaçasdetectar e eliminar potenciais ameaçasaos computadores e redes

AntivírusAnti-spywareAnti-phishingAnti spamAnti-spam

Existe uma tendência em agregar essessoftwares na forma de pacotes

80

12/9/2008

41

Software Anti-”alguma coisa”Antivírus

Programas que detectam e removem vírusProgramas que detectam e removem vírusde computadorNecessitam de atualizações constantesAs soluções são diferenciadas pelosmétodos de detecção, funcionalidadesoferecidas e o preçoNorton, McAfee e Trend Micro (comerciais)e Avast, AVG e Vírus Shield (gratuitos)

81

Software Anti-”alguma coisa”Anti-spyware

Usados no combate a programas e códigosUsados no combate a programas e códigosespiões como spyware, adware, keyloggers.Spyware Doctor, HijackThis e Spy Sweeper(comerciais) e Ad-Aware SE, Spybot eWindows Defender (comerciais)

Algumas soluções são famosas por divulgarspywares tais como Spyware Quake,Antivirus Gold, PSGuard, Malware Alarm, etc

82

12/9/2008

42

Software Anti-”alguma coisa” Anti-phising

Visam bloquear possíveis tentativas deVisam bloquear possíveis tentativas defraude através de sites web ou mensagensde correio eletrônicoSoluções na forma de barras de tarefas(toolbar)

83

Software Anti-”alguma coisa”Anti-spam

Baseiam-se na filtragem de mensagens nãoBaseiam se na filtragem de mensagens nãosolicitadas através dos campos docabeçalho ou do conteúdo da mensagem

Filtragem de cabeçalho são simples, massujeita a erros de configuração (blacklist)Filtragem baseada no conteúdo da

é i tili dmensagem é a mais utilizadaAtualmente, o uso de filtros com mecanismo de auto-aprendizagem vem sendo muito utilizado

84

12/9/2008

43

Ferramentas de mediçãoO monitoramento de tráfego é umaatividade essencial para o gerenciamentoatividade essencial para o gerenciamentode redesRealizado através da observação dospacotes ou fluxosApesar de funcionais, as soluçõesprod idas não são diretamenteproduzidas não são diretamenteresponsáveis pela tomada de ações

85

Ferramentas de mediçãoMedição baseada em Pacotes

Consiste na captura e análise doConsiste na captura e análise docabeçalho dos pacotes

Endereço IP de origem (srcIP), o endereço IPde destino (dstIP), a porta de origem (srcPrt),a porta de destino (dstPrt) e o número doprotocolo

Vá i f dVárias ferramentas de capturaTCPdump e Wireshark

86

12/9/2008

44


Mecanismo mais eficiente é a InspeçãoMecanismo mais eficiente é a InspeçãoProfunda dos Pacotes (DPI)Permite identificar aplicações pela análisedo conteúdo dos pacotesÚtil para detectar protocolos não conformes,vírus, spam, ataques, etc.

“Grande Firewall da China”Fere a neutralidade da Internet

87


88

12/9/2008

45

Ferramentas de mediçãoMedição baseada em Fluxos

Agregação de pacotes em fluxosAgregação de pacotes em fluxosVários conceitos de fluxo

“conjunto unidirecional de pacotes IP com osmesmos endereços de origem e destino,número de portas e protocolo”

Reduzem o volume do tráfego analisadoTupla {srcIP, dstIP, srcPrt,dstPrt,prot}

Técnica bastante empregada em soluçõespara modelar o tráfego de rede

Cisco Netflow e Juniper JFlow89

Ferramentas de mediçãoMedição baseada em Fluxos

90

12/9/2008

46

Controle de acessoControle de acesso como mecanismopara coordenar a segurançapara coordenar a segurançaA idéia é reforçar a política de segurançaregulamentando o acesso a rede peloscomputadores

Para ter acesso a rede, um computadordeve fornecer informações (estado dodeve fornecer informações (estado doantivírus, atualização do SO, etc.)

91

Controle de acessoPode ser visto como uma automação doprocesso manual usado pelosprocesso manual usado pelosadministradores do sistema paraidentificar e isolar as vulnerabilidadesdentro de suas redesDiversas propostas e abordagens

Safe AccessSafe AccessCisco NACNAP

92

12/9/2008

47

Controle de acessoSafe Access

Protege a rede através de testes deProtege a rede através de testes deconformidade dos computadores em relaçãoas políticas

Computadores não conformes são isoladosda rede

As políticas de acesso consistem de testesi di id i li t d dindividuais para avaliar o estado desegurança de cada computador

93

Controle de acessoCisco NAC

Sistema de controle de admissão de redeSistema de controle de admissão de redepara validar o acesso a rede somente dedispositivos confiáveis e em conformidadeArquitetura formada por agentes CTA (CiscoTrust Agent), dispositivos de acesso a rede,servidor ACS (Access Control Server) e

id ífi ( ti íservidores específicos (antivírus, porexemplo)

94

12/9/2008

48

Controle de acessoCisco NAC

Clientes Cisco Trust

Agent

95

Servidor de Políticas

ACS

CredencialCredencialCredencialCredencial

NotificaçãoNotificação Direitos deDireitos deAcessoAcesso

ValidaçãoValidação

CredencialCredencial

Controle de acessoNAP

NAP (Network Access Protection) é umaNAP (Network Access Protection) é umasolução de segurança capaz de detectar oestado de segurança de um computador queestá tentando se conectar a redeRealiza funções:

Inspeção: checagem do estado desegurançaIsolamento: acesso restringido acomputadores não conformesRemediação

96

12/9/2008

49


A arquitetura é formadaA arquitetura é formada Servidores VPNServidores DHCPServiço de diretório (armazenar contas ecredenciais)Rede de quarentenaServidor NPS (Network Policy Server)

97


98

12/9/2008

50

Soluções de análise do tráfegoAs atuais soluções contra o tráfego nãodesejado necessitam de uma “análisedesejado necessitam de uma análisemanual” do tráfegoProcedimento impraticável devido aorápido crescimento de novos serviços eaplicaçõesAbordagens de análise de tráfego tem siAbordagens de análise de tráfego tem simostrada adequadas, especialmente emenlaces de alta velocidade

99

Soluções de análise do tráfegoPrincipais iniciativas

Caracterização do tráfegoCaracterização do tráfegoDescoberta o tráfego das aplicaçõesAbordagens de criação de sistemas dedetecção mais precisos e específicos

Iniciativas apresentadasModelos estatísticos e matemáticosModelos estatísticos e matemáticosAnálise comportamental do tráfego Internet

100

12/9/2008

51

Soluções de análise do tráfegoModelos estatísticos

Construção de séries temporais do tráfegoConstrução de séries temporais do tráfegoInternet e procedimentos para detectaranomalias

Tráfego de rede consiste de um processo dechegada de pacotes IP modelado comoprocessos Markovianos

P blProblemaGrandes volumes de dados geram grandesconjuntos de informação e necessitam dealto poder computacional

101

Soluções de análise do tráfegoModelos estatísticos

Outro problema: distribuições gaussianasOutro problema: distribuições gaussianasnão geram boa distribuição marginal

Distribuição Gama (não Gaussiana) muito

0 1 2 3 P(y)0 1/8 2/8 1/8 0 1/21 0 1/8 2/8 1/8 1/2

P(x) 1/8 3/8 3/8 1/8 1

Y \ X

Distribuição Gama (não Gaussiana) muitoempregada

Extracting Hidden Anomalies using Sketchand Non Gaussian Multiresolution StatisticalDetection Procedures (ACM SIGCOMM2007) 102

12/9/2008

52

Soluções de análise do tráfegoSketch and Non Gaussian Multiresolution

Detecção de anomalias de baixa intensidadeDetecção de anomalias de baixa intensidadeocultas no tráfego InternetCombina Sketches e com a distribuiçãogama

Sketches são estruturas de dados (tabelashash) que sumarizam dados massivos em

t bidi i ivetores bidimensionais

103


Procedimento de detecçãoProcedimento de detecção1. Geração dos sketches

2. Agregação multiresoluçãoSegmentos de tráfego são agrupados para formarséries temporais de acordo com uma escala

104

12/9/2008

53


Procedimento de detecçãoProcedimento de detecção3. Modelagem não gaussiana

A distribuição Gama retira as distribuiçõesmarginais das séries temporais agregadas

4. ReferênciaA média dos comportamentos e a variabilidadetípica são estimadas para cada elemento da tabelap phash usando estimadores de média e variância

5. Distância estatísticaDistância de Mahalanobis mede o comportamentoanômalo comparando com um threshold

6. Detecção de anomalias105


106

12/9/2008

54


Capaz de descobrir pacotes elefante flashCapaz de descobrir pacotes elefante, flashcrowds, ataques DDoS (inundação TCPSYN e ICMP), varreduras de IP e porta,tráfego P2P, worms, ...Vantagens

Nenhum conhecimento prévio do tráfego,baixo poder computacional (on-line) e janelade detecção variada (< 1 minuto e > 10minutos)

DesvantagemFalso positivo (DNS, por exemplo)

107

Soluções de análise do tráfegoModelos matemáticos

WaveletsWaveletsCapturam correlações temporais complexasatravés de múltiplas escalas de tempo eencontram variações no comportamento dotráfego de rede

Anomaly Detection of Network Traffic basedon Wavelet Packet

108

12/9/2008

55

Soluções de análise do tráfegoAD based on Wavelet Packet

Análise wavelet permite dividir um sinal emAnálise wavelet permite dividir um sinal emaproximação e detalhe que é dividida emuma aproximação de segundo nível edetalhe, assim sucessivamente

109

Soluções de análise do tráfegoAD based on Wavelet Packet

O método é capaz de ajustar o processo deO método é capaz de ajustar o processo dedecomposição adaptativamenteDetecta anomalias de baixa, média e altaintensidadeUtiliza um algoritmo de detecção estatísticoquando são percebidas anomalias naanálise de pacotes de waveletQuando uma anomalia é percebida, umanova decomposição de pacotes de waveleté feita e este passo é executado novamente

110

12/9/2008

56

Soluções de análise do tráfegoMetodologias baseadas na análise docomportamentocomportamento

Identificação automática de perfis de tráfegoem redes de backboneFornece um entendimento sobre o padrãode comunicação dos hosts e serviçosGeralmente, a análise do comportamento é, pcaracterizada pelo do processamento degrandes volumes de tráfego

111

Soluções de análise do tráfegoMetodologias baseadas na análise docomportamentocomportamento

Traffic Classification on the Fly (ACMSIGCOMM 2006)BLINC: Multilevel Traffic Classification in theDark (ACM SIGCOMM 2005)Profiling Internet backbone Traffic: BehaviorgModels and Applications (ACM SIGCOMM2005)Mining Anomalies Using Traffic FeatureDistributions (ACM SIGCOMM 2005)

112

12/9/2008

57

Soluções de análise do tráfegoTraffic Classification on the Fly

Classificação e identificação do tráfegoClassificação e identificação do tráfegoatravés da análise dos cinco inicias pacotesde uma conexão TCPEmprega o conceito de clusters nãosupervisionados para descobrir grupos defluxos que compartilham um comportamentod i ãde comunicação comumMetodologia em duas fases: aprendizagemoff-line e classificação de tráfego on-line

113


A aprendizagem off-line permite detectarA aprendizagem off line permite detectarcomportamentos comuns através de umconjunto de dados de treinamento

Fluxos TCP agrupados de acordo com seuscomportamentos

A fase de classificação emprega estesfl d d b i lfluxos agregados para descobrir qual aaplicação está associada a cada fluxo TCP

114

12/9/2008

58


Em resumo obtém mais informação do queEm resumo, obtém mais informação do quea inspeção DPI sem desrespeitar aprivacidade do pacote e ferir qualquerrestrição legal

Precisão acima de 80% para aplicações TCPbem conhecidas.

D tDesvantagemPacotes entregues fora de ordemAplicações com comportamento inicialsemelhante

115

Soluções de análise do tráfegoBLINC

Classificação de fluxos de tráfego de acordoClassificação de fluxos de tráfego de acordocom o tipo de aplicação (nível de transporte)Não examina o conteúdo dos pacotes

Observa os fluxos de hosts específicosAssume o uso de portas bem conhecidasSomente informações de fluxo (“in the dark”)ç ( )

Três níveis de detalhamento: social,funcional e aplicação

116

12/9/2008

59


O nível social revela a popularidade do hostO nível social revela a popularidade do host

117


O nível funcional investiga o que o host fazO nível funcional investiga o que o host fazÉ analisado se o host atua como provedor ouconsumidor de um serviço ou se participa decomunicações colaborativasSão avaliados os endereços IP de origem edestino e a porta de origem

O í l d li ã t i t ã dO nível de aplicação captura a interação doscomputadores na camada de transportepara identificar aplicações e suas origens

118

12/9/2008

60


Nível de aplicaçãoNível de aplicação

119

Soluções de análise do tráfegoProfiling

Emprega mineração de dados e técnicas deEmprega mineração de dados e técnicas deinformação teóricaDescobre comportamentos de tráfegomassivo e fornece meios para entender erapidamente reconhecer tráfego anômaloExamina os padrões de comunicação doscomputadores que são responsáveis por umsignificativo número de fluxos em umdeterminado período de tempo

120

12/9/2008

61


Metodologia em duas fases: extração deMetodologia em duas fases: extração declusters significativos e a classificaçãobaseado no relacionamento dos clustersExtração dos clusters

Fluxo em tuplas {srcIP, dstIP, srcPrt, dstPrt}Clusters mais significativos extraídos de umadimensão fixaUso de entropia para medir a quantidade deincerteza relativa (RU) dos dados

Valor de 0 a 1

121


Relacionamento entre clusters (perfisRelacionamento entre clusters (perfiscomuns de comportamento)

Classificação dos padrões de comunicaçãodos computadores de usuários e serviçosUma RU é computada para cada cluster eusada como métrica para criar classes decomportamento (BC)comportamento (BC)

Os valores atribuídos a cada RU é: 0 (baixainteração), 1 (média interação) e 2 (alta interação)

122

12/9/2008

62


Relacionamento entre clusters (perfisRelacionamento entre clusters (perfiscomuns de comportamento)

123

0 1

2


rimeir

o Passo Seg

undo Passo

124

Prim

12/9/2008

63


Capaz de detectar anomalias massivasCapaz de detectar anomalias massivas(varreduras e ataques DDoS), exploits nãoconhecidas, etcDesvantagem:

Não é apropriada para o tráfego amplo derede e sim para enlaces únicosResultados simplórios para ataques de baixaintensidade

125

Soluções de análise do tráfegoMining

Avalia a distribuição dos pacotes e é capazAvalia a distribuição dos pacotes e é capazde detectar anomalias de alto e baixovolumeAnálise de fluxos de origem e destino (OD)Emprega entropia para fazer observações eextrair informações úteis em relação adispersões na distribuição do tráfegoMetodologia organizada em duas etapas: adistribuição do tráfego e diagnóstico

126

12/9/2008

64


Distribuição do tráfegoDistribuição do tráfegoExtração dos campos dos cabeçalhos paraprocurar eventuais dispersões na distribuiçãoendereços ou portas observadas

Portas de destino durante uma varredura

Tupla {srcIP, dstIP, srcPrt, e dstPrt}U d t i di dUso de entropia para medir o grau dedispersão ou concentração de umadistribuição

127


DiagnósticoDiagnósticoMétodo Multiway Subspace para detectaranomalias (classificação não supervisionada)Identifica variações correlacionadas commúltiplas características de tráfegoA operação ocorre em duas fases

Anomalias bem conhecidas são agregadas paradescobrir suas origensClassificação das anomalias desconhecidas

128

12/9/2008

65

Soluções de análise do tráfegoMétodos baseados no comportamento

Apesar dos avanços muitos problemasApesar dos avanços, muitos problemas(custo computacional, mudanças na infra-estrutura e imprecisão)No entanto, é uma tendência para o futuro

Exibição da origem e destino de formasimples, sem perda de dadosObtém mais tipos de tráfego indesejado eextraem mais dados sobre o tráfegoSoluções mais automáticas

129

Potenciais soluçõesPotenciais soluções

130

12/9/2008

66

Potenciais soluçõesApesar do grande número de soluções,fatores tem imposto desafios a atividadefatores tem imposto desafios a atividadede controleAlgumas soluções são ou podem serfuturas aliadas no combate ao tráfegonão desejado

Filtragem avançada Investigação do espaçoFiltragem avançada, Investigação do espaçode endereçamento IP, sistemas deautenticação de pacotes e orquestração desoluções

131

Potenciais soluçõesFiltragem avançada

Filtros atuais são insuficientesFiltros atuais são insuficientesNovos mecanismos e sistemas avançadosde filtragemAs melhores práticas: BCP 38 e BCP 84

BCP 38 recomenda filtragem e descarte depacotes (entrada) IPs não alocados a essesclientesBCP 84 apresenta filtragem mais avançadascom configuração dinâmica de filtros deentrada ao núcleo e borda das redes

132

12/9/2008

67

Potenciais soluçõesFiltragem avançada

A implantação global do BCP 38 e BCP 84A implantação global do BCP 38 e BCP 84permitirá efetivamente bloquear ataquesDDoS com IPs forjadosQuestões de implantação

Custo financeiro devido a pessoal técnicoespecializadoImplantação em todas as redes existentesBloqueio de tráfego legítimo devido a errosacidentais na configuraçãoTráfegos sobre HTTP poderiam passar

133

Potenciais soluçõesInvestigação do espaço de endereços IP

Tráfego indesejado usa espaço de endereçoTráfego indesejado usa espaço de endereçoIP não atribuídos (não utilizados)Atividades como varredura devulnerabilidades, ataques DoS e DDoS,divulgação de vírus e worms, entre outrasAlgumas soluções

Internet Motion Sensor (IMS)Redes Telescópio (Network Telescopes)

134

12/9/2008

68


Internet Motion Sensor (IMS)Internet Motion Sensor (IMS)Sistema de vigilância distribuída em nívelmundialIdentificar e monitorar o tráfego provenientede darknetsControla cerca de 17 milhões de

fi (/8 /16 /24)prefixos (/8, /16 e /24), cerca de 1.2% do IPv4Não é uma solução contra o tráfego não desejado

135


Internet Motion Sensor (IMS)Internet Motion Sensor (IMS)

136

12/9/2008

69


Network TelescopesNetwork TelescopesObservam o tráfego encaminhado paraespaços de endereços IP não utilizadosRegistram eventos (propagação de vírus)A idéia é manter os sensores ativos para“escutar” todo o tráfego enviado para estes

d d tespaços de endereçamentoÉ possível ver exatamente todos os eventos em seu "estado bruto", sem quaisquer interferências de tráfego

137

Potenciais soluçõesLightweight Internet Permit System

Fornece um método para responsabilizaçãoFornece um método para responsabilizaçãodo tráfego através da autenticação rápida depacotes (fast packet authentication)Funciona como um mecanismo eficiente defiltragem de tráfego

Para se comunicar, um computador origemdeve requisitar uma autorização de acessoao destinoSe a autorização for concedida, umpassaporte é enviado

138

12/9/2008

70


Opera de dois modos: host ou gatewayOpera de dois modos: host ou gatewayO modo Host é aplicável para comunicaçõesem pequena escalaNo modo Gateway, os computadores LIPSsão organizados em zonas de segurança

Permit Server (PS) para gerenciar licenças( ) p g çentre zonasSecurity Gateway (SG) para validar ospacotes entre zonas

139


Arquitetura simples escalável e que garanteArquitetura simples, escalável e que garanteaprovisionamento de recursosPode ser implantada de forma incremental(não é necessário que ambos os lados deuma conexão tenham LIPS)Nenhuma modificação nos programas ou naarquitetura Internet é necessáriaNão há necessidade de chavescriptográficas pesadas

140

12/9/2008

71

Potenciais soluçõesSHRED

Spam Harassment Reduction via EconomicSpam Harassment Reduction via EconomicDisincentivesÉ um esquema que visa diminuir o volumedo tráfego de spam através da puniçãomonetária dos spammersA idéia central é utilizar selos ou marcas(stamp) para inserir desincentivoseconômicos para usuários que geram oupropagam spam

141


Utiliza dois conceitos econômicos: passivoUtiliza dois conceitos econômicos: passivocontingente e limite de crédito

Passivo contingente refere-se a uma dívidapossa ser gerada baseada em uma açãoexterna dentro de um tempo limite

O limite de crédito é pré-definido para cadaá iusuário

Selos representam o endividamento epossuem um valor monetário associado

142

12/9/2008

72


Os selos são pré-alocados para osOs selos são pré alocados para osprovedores de acesso através deautoridades de marcação eletrônica (ESA)Os selos são colados em cada mensagemenviada

143

Potenciais soluçõesSHRED (ESA)

Autoridade deMarcação Eletrônica

Provedor deAcesso do Remetente

Crédito doRemetente$$$$$$$$

Alocação de Selo

Requisição deCancelamento de Selo

Notificação deCancelamento de Selo

Mensagem com Selo

Provedor deAcesso do

Destinatário

144

MensagemMensagem Requisição de

Cancelamento deSeloValor pago ($) por

cada selo cancelado

Remetente

Fatura dos seloscancelados

Destinatário

12/9/2008

73

Potenciais soluçõesOADS

A Internet funcionou por um longo tempoA Internet funcionou por um longo tempoatravés na base da boa fé

Infra-estrutura auto governadaHoje, este modelo de confiança nãofunciona mais

Diversidade de usuários, comunidades e“estilo de vida”

PropostaOrchestration oriented Anomaly DetectionSystem (OADS)

145


Metáfora moderna que descreve umaMetáfora moderna que descreve umaatividade de gerenciamento de segurançabem conhecidaAnalogia a um maestro

Gerentes de segurança orquestram IDS, IPS,APS, sistemas de remediação, firewall,

ti í li õ d áli d t áfantivírus, aplicações de análise de tráfego, ...Empresta o conceito de arquiteturaorientada a serviços (SOA)

146

12/9/2008

74


A idéia é o gerenciamento automático deA idéia é o gerenciamento automático dediferentes detectores de anomaliaColaboração e harmonização contraatividades maliciosasA colaboração facilita a relação entrediferentes detectoresA harmonia permite que um serviço dequalquer origem, empregando qualquertecnologia, trabalhe corretamente

147


148

12/9/2008

75


Sistemas detectores de anomalia (ADS)Sistemas detectores de anomalia (ADS)Atuam como sensores abastecendo omecanismo de orquestraçãoPodem e devem colaborar entre si

Fluxos do Profiling para outro detector

Bases de tráfego

149

Armazenam o tráfego processado pelosdetectores (apoio a tomada de decisão)Devem suportar diferentes formatos detráfego (fluxos OD, pacotes completos,sketches, níveis de agregação, clusters, etc)


Mecanismo de orquestraçãoMecanismo de orquestraçãoAvalia características como precisão, tempode detecção e grau de sensibilidade de cadaelementoAlém dos alarmes, o conhecimento prévio deoutras observação pode ser usado paratomar decisões

150

tomar decisõesImplementação de simples esquemas(votação ou prioridade) ou mesmo comsoluções complexas (redes neurais, lógica)

12/9/2008

76


Para resumir, consiste em criar um modeloPara resumir, consiste em criar um modelode processos executável que implementaum novo serviço através da harmonizaçãode serviços pré-existentesO estilo de comunicação colaborativa entreos serviços de segurança representa umi ifi ti di ã

151

significativo passo em direção adesenvolvimento de sistema de autodefesa

Considerações FinaisConsiderações Finais

152

12/9/2008

77

ConsideraçõesO tráfego não desejado é a verdadeira“pedra no sapato” da Internetpedra no sapato da InternetMuitas questões ainda a discutirA “indústria do mal” deve ser detidaNovos serviços e aplicações, a evoluçãotecnológica e os novos usuários sãodesafios na atividade de detectar e limitaro tráfego não desejado

153

Questões em abertoAs redes não estão preparadas paraatender imediatamente todos osatender imediatamente todos osrequisitos de novos serviço

“Não fazer nada” ou bloqueá-las não pareceser o correto

Quanto maior a largura de banda, maiora carga para o gerenciamento (volumea carga para o gerenciamento (volumede dados)

Tráfego agregado (fluxos OD, PCA esketches

154

12/9/2008

78

Questões em abertoO tempo de detecção é muito importante

Tempos curtos significa melhor precisãoTempos curtos significa melhor precisão,menos em anomalias de baixa cargaA tomada de ações precisa ser avaliada

A quantidade de soluções de detecçãonão acompanha o crescimento dosserviçosserviços

Diferentes tipos ou classes de tráfego nãodesejado, tempos de duração, objetivo egravidade

155

Questões em abertoGeração do perfil do tráfego “normal”

Existem tendências em direção aExistem tendências em direção adeterminada aplicação? Qual ocomportamento hoje?

Conhecimento das vulnerabilidades narede

Notificar os usuários quase nunca funcionaNotificar os usuários quase nunca funcionaSoluções automatizadas (NAC e NAP) sãomuito caras

156

12/9/2008

79

Observações finaisA Internet transporta uma grandequantidade de tráfego indesejadoquantidade de tráfego indesejadoA capacidade de causar danosfinanceiros é tamanha (até em redes 3G)A existência de uma economia desubmundo, a falta de leis, as limitadasferramentas perpet am o tráfego nãoferramentas perpetuam o tráfego nãodesejadoNão existe uma lâmpada mágica

157

Observações finaisAções que podem ser tomadas

Aumento do fomento a pesquisa nessa áreaAumento do fomento a pesquisa nessa áreaEstímulos a eventos sobre o temaDesenvolvimento de um modelo jurídicoDesenvolvimento e uso de soluçõesEducação dos usuários Internet para torná-los mais conscienteslos mais conscientes

158

12/9/2008

80

Dúvidas?

159

Documents

Tráfego Internet não Desejado: Conceitos, Caracterização e ...sbseg2008.inf.ufrgs.br/resources/slides/minicursos/apr_02_curso.pdf · 12/9/2008 1 Tráfego Internet não Desejado: