AutonomicSec: Um Mecanismo Autonômico para Segurança de
Contents
1. 27 28 29 G Chamales The honeywall cd rom Security Privacy IEEE 2 2 77 79 mar apr 2004 H Chen Y Al Nashif G Qu and S Hariri Self configuration of network security In Enterprise Distributed Object Computing Conference 2007 EDOC 2007 11th TEEE International page 97 oct 2007 S Corr a and R Cerqueira Computa o aut noma Conceitos infra estruturas e solu es em sistemas distribu dos In SBRC 09 Anais dos Minicursos do Simp sio Brasileiro de Redes de Computadores e Sistemas Distribu dos pages 151 198 SBC 2009 R P da Cunha Neto Sistema de detec o de intrusos em ataques oriundos de botnets utilizando m todo de detec o h brido Master s thesis PPGEE UFMA 2011 R L da Rocha Ataide Uma arquitetura para a detec o de intrusos no ambiente wireless usando redes neurais artificiais Master s thesis PPGEE UFMA 2007 A L da Silva Modelo ids para usu rios de dispositivos mov is Master s thesis PPGEE UFMA 2008 Y S Dai M Hinchey M Qi and X Zou Autonomic security and self protection based on feature recognition with virtual neurons In Proceedings of the 2nd IEEE International Symposium on Dependable Autonomic and Secure Computing DASC 06 pages 227 234 Washington DC USA 2006 IEEE Computer Society L P de Melo D M Amaral F Sakakibara A R de Almeida R T de Sousa Junior and A C A Nascimento An lise de malware Investiga o2. Esse ltimo por sua vez ir pass los como par metros ao atuador para que ele possa realizar o processo de substitui o da m quina virtual 1 192 168 0 201 Ubuntu O home honeypot VirtualBoxVMs Ubuntu vdi 2 192 168 0 202 Debian 2 home honeypot VirtualBoxVMs Debian vdi Figura 6 17 Arquivo de configura o dos Honeypots Como resultado de nosso teste as a es geradas pela estrat gia da fase de an lise e planejamento s o vistas na Figura 6 18 Na primeira linha o atuador quando receber o plano de a es em sequ ncia ir desligar a m quina virtual com nome Ubuntu excluir dados relacionados a ela criar uma nova a partir da r plica ou imagem home honeypot VirtualBoxVMs Ubuntu vdi com nome Ubuntul e inicializ la O mesmo processo realizado na segunda linha no entanto ser feita a substitui o da m quina Debian pela Debian3 com imagem localizada em home honeypot VirtualBoxVMs Debian vdi Lembramos que esse atuador escrito em Shell Script Bash e as tarefas realizadas por ele para a manipula o das m quinas virtuais utiliza a ferramenta VBoxManage 1 Ubuntu 1 nome honeypot VirtualBoxVMs Ubuntu vdi 2 Debian 3 home honeypot VirtualBoxVMs Debian vdi Figura 6 18 Plano de a es criado pelo analisador planejador 6 3 Conclus o Neste cap tulo apresentamos a avalia o do framework a qual detalhamos como foi feita a implementa o do mesmo e como utiliz lo para a cr
3. de sistema vista atrav s dessa camada de virtualiza o denominada m quina virtual 83 A camada de virtualiza o em si denominada hipervisor ou monitor de m quina virtual como visto na Figura 3 2 sistema convidado monitor Boa Maquina sistema Virtual hospedeiro Figura 3 2 Uma maquina virtual 82 53 Existem v rias formas de implementar a virtualiza o as principais s o apresentadas 53 tamb m vistas na Figura 3 3 e Virtualiza o completa Um sistema operacional convidado e suas aplica es desenvolvidas para uma plataforma de hardware A s o executadas sobre uma plataforma de hardware distinta B e Emula o do sistema operacional As aplica es de um sistema operacional X s o executadas sobre outro sistema operacional Y na mesma plataforma de hardware e Tradu o din mica As instru es de m quina das aplica es s o traduzidas durante a execu o em outras instru es mais eficientes para a mesma plataforma e Replica o de hardware V rias inst ncias virtuais de um mesmo hardware real s o criadas cada uma executando seu pr prio sistema operacional convidado e suas respectivas aplica es A evolu o da tecnologia de m quinas virtuais tem permitido sua ampla ado o em sistemas de produ o V rios trabalhos de pesquisa e de desenvolvimento nos ltimos anos comprovaram a efic cia da utiliza o de m quinas virtuais no campo da seguran a de
4. etc Os eventos acontecem instantaneamente e portanto nesse tipo de monitoramento cada evento corresponde a um dado que transmitido para o monitor Essa abordagem pode ser aplicada nos casos em que a taxa de ocorr ncia de eventos muito baixa A desvantagem que o n mero de eventos gerados pode ser muito grande e informa es redundantes e desnecess rias estariam sobrecarregando os recursos do sistema e Monitoramento orientado ao tempo Nessa estrat gia o monitor coleta os dados de forma peri dica ou seja um intervalo de tempo definido para que o monitor consulte as informa es do ambiente em busca de eventos significativos A grande dificuldade encontrada nessa estrat gia est em definir o melhor intervalo para a realiza o da coleta A desvantagem nesse caso seria que informa es importantes seriam perdidas durante esse intervalo e Monitoramento auton mico As duas estrat gias acima podem ser intercaladas conforme ocorrem as mudan as no ambiente Por exemplo se a taxa de ocorr ncia de eventos est elevada a melhor estrat gia seria a orientada ao tempo O tamanho do intervalo de tempo na segunda estrat gia tamb m pode ser refinado segundo uma abordagem auton mica de acordo com as caracter sticas do ambiente 2 6 An lise e Planejamento 29 2 6 An lise e Planejamento A an lise vem ap s o monitoramento no ciclo de gerenciamento MAPE K tendo como fase seguinte o planejamento Em geral esta
5. o e suas principais possibilidades de uso em seguran a da informa o 52 4 Trabalhos Relacionados Para dar uma vis o com mais alto grau de realismo da aplica o dos conceitos de CA ao contexto da seguran a de redes s o vistos os seguintes t picos neste cap tulo e Trabalhos relacionados que utilizam a CA como base para o desenvolvimento de suas propostas e Trabalhos relacionados que implementam alguma das propriedades oferecidas pela CA e Caracteriza o da proposta 4 1 Sistemas de Seguran a baseados em Computa o Auton mica ISDS Em 52 foi desenvolvido o Intelligent Security Defensive Software ISDS um modelo de software de seguran a baseado em CA A estrat gia do ISDS fazer o processo de constru o do software de seguran a fornecendo a ele intelig ncia Em outras palavras construir um software utilizando o modelo ISDS fazer com que seus componentes se modifiquem dinamicamente de acordo com a situa o de seguran a atual da rede Para isto o ISDS fornece consci ncia do contexto O ISDS um modelo de sistema de defesa distribu do caracterizado por ser flex vel e autoadaptativo Os dom nios nos quais ele pode ser aplicado s o principalmente no gerenciamento de seguran a em redes locais e na ger ncia de seguran a da informa o na Internet A ideia do modelo que o sistema possa analisar as informa es do ambiente e ajustar sua estrutura e maneira de agir dinamicame
6. estabelecida anteriormente e o established para pacotes de uma mesma conex o j estabelecida Essas principais regras foram baseadas nas utilizadas pelo Honeywall e Sessionlimit Quando as linhas chegam no monitor ele extrai o endere o IP que gerou a ocorr ncia e o envia para o componente de an lise e planejamento como melhor explicado anteriormente na Se o 5 2 3 Nessa pr xima fase verificado se o endere o IP pertence a algum honeypot em um arquivo de configura o que cont m informa es da honeynet virtual Caso seja no mesmo arquivo de configura o s o extra dos os demais campos para serem enviados como evento ao executor A l gica do algoritimo da estrat gia auton mica aplicada neste ciclo pode ser vista na Figura 6 6 1 para cada event fa a 2 occurrences separatesoccurrences event 3 para cada occurrence fa a 4 se checkHoneypots ip fileHoneynet ent o 5 fields extractFields ip fileHoneynet 6 insertActionPlan fields 7 fim 8 fim 9 se actionPlan null ent o 10 sendPlanEvent actionPlan 11 fim 12 fim Figura 6 6 Logica da estrat gia auton mica do segundo ciclo Os campos contidos no arquivo de configura o fileHoneynet s o listados abaixo e IP do Hipervisor Endere o da m quina do hipervisor respons vel pelo gerenciamento da virtualiza o e IP do honeypot Endere o do honeypot para sua identifica o quando gerarem ocorr ncias
7. inseridas em sua configura o vistas na Figura 6 5 N iptables A FORWARD p tcp i eth1 m state state ESTABLISHED RELATED j ACCEPT iptables A FORWARD i eth1 m state state NEW m limit limit 10 hour limit burst 10 j ACCEPT iptables A FORWARD i eth1 m state state NEW m limit limit 1 hour limit burst w na 1 j LOG log prefix Honeypot Comprometido log level 7 a iptables A FORWARD i eth1 m state state NEW j ACCEPT Figura 6 5 Regras para controle de tr fego e log no iptables As linhas 3 e 4 estabelecem o registro no log quando um dispositivo da rede interna inicia uma conex o com algum outro externo No exemplo da Figura 6 5 a cada dez novas conex es por hora linha 3 criada uma ocorr ncia no log por hora linha 4 Essa ocorr ncia considerada um alerta pelo iptables e syslog devido est sendo logada em prioridade de n vel sete com o par metro log level 7 Para identificar uma ocorr ncia no log criada por uma dessas regras basta realizar uma busca pela palavra chave Honeypot Comprometido Uma regra espec fica para o protocolo TCP necess ria linha 2 para que n o sejam criadas ocorr ncias de conex es iniciadas da rede externa atrav s do seu estado ESTABLISHED RELATED O estado related ocorre 2 quando uma conex o nova mas de alguma maneira relacionado com outra j 6 2 Avalia o dos Ciclos Auton micos 89
8. main args Strin void getinstance RegisterManager Manitor ActionPlan ActionPlan actionsList Action ActionPlan actionsList ArrayList lt Action gt getActionsList ArrayList lt Action gt setActionsList actionsList ArrayList lt Action gt void addAction action Action void removeAction action Action void Monitor run void waiting void addAnalyser analyser Analyser void sendMonitoringEvent monitoringEvent MonitoringEvent void addEvent event SensorEvent void executeFilter sensorEvent SensorEvent void ServerAutonomicSec addMonitor sensorkey String monitor Monitor void data Object objects Object Action objects Object Action execute void SensorEvent src Object data Object getData Object setData data Object void Figura 6 2 Diagrama de classe do Framework A classe RegisterManager inicializa o framework juntamente com todos os processos representados em Java por threads que a comp em atrav s do 6 1 Implementa o do Framework Auton mico 82 m todo startMapek s o eles ServerAutonomicSec Monitor Analyser e Executor A funcionalidade desta classe a cria o do registro ou associa o entre componentes onde monitores s o registrados no servidor analisadores planejadores nos monitores que por sua vez s o
9. o autocura autoaprendizagem auto otimiza o e autoprote o Al m disto a proposta deste trabalho framework e ciclos auton micos mostra que poss vel obter integra o e coopera o entre sistemas de seguran a que foram inicialmente desenvolvidos para trabalharem isoladamente intelig ncia atrav s da implanta o de estrat gias auton micas que dinamizam o processo de prote o e autonomia para alcan ar auto seguran a na rede de maneira que os sistemas consigam se auto gerenciarem 5 3 Conclus o 79 5 3 Conclus o Este cap tulo apresentou o AutonomicSec o nosso mecanismo auton mico para seguran a de redes baseado em decep o Foi visto a aplicabilidade da CA para a rea de seguran a de redes de maneira que foi poss vel verificar a viabilidade disto Em seguida foi detalhada toda a ideia de nossa proposta atrav s da explica o da arquitetura topologia e seu funcionamento Para isso dividimos o mecanismo nos tr s t picos framework auton mico primeiro ciclo auton mico e segundo ciclo auton mico sendo que os dois ciclos auton micos s o uma extens o do framework Al m disso foi poss vel observar o principal contexto em que o AutonomicSec aplic vel E ressaltamos que o framework permite atrav s de seu reuso ser estendido para criar outros ciclos auton micos 80 6 Avalia o do Mecanismo Auton mico Este cap tulo descreve a avalia o de nossa proposta Para isso desenv
10. padroniza o das aplica es Ent o se faz necess rio aplicar a ideia de CA s Redes de Computadores atrav s da atribui o da capacidade para gerenciarem a si pr prias denominadas ent o como Redes Auton micas 19 Os servi os e fun es de gerenciamento da rede s o executados sem a necessidade de um gerente humano de maneira transparente para seus usu rios havendo apenas a necessidade de objetivos e par metros iniciais os quais o sistema leva em considera o A rede deve ser capaz de aprender com as a es dos seus componentes atrav s da an lise dos resultados obtidos A capacidade de adapta o e aprendizagem s o as caracter sticas das redes auton micas Neste cen rio n o se pode deixar de lado a seguran a da informa o que requisito fundamental para o bom funcionamento de qualquer sistema computacional 3 1 Considera es Iniciais 34 compreendendo o conjunto de medidas que visam preservar e proteger as informa es e os sistemas de informa o Visto que essas redes est o conectadas quase sempre Internet as aplica es residentes nelas podem sofrer com atividades maliciosas originadas a partir de qualquer usu rio conectado rede normal que o acesso rede mundial de computadores ofere a a possibilidade de descoberta e explora o de vulnerabilidades de forma bem r pida quase sempre mais do que a atualiza o das ferramentas de seguran a e da emiss o de corre es pelos
11. uma redu o na sua quantidade retirando as que rejeitam para servi os espec ficos e adicionando apenas a que bloqueia para toda rede interna por fim autoprote o sendo esta a propriedade impl cita a ser atingida pela rede e objetivo deste primeiro ciclo auton mico 5 2 3 Segundo Ciclo Auton mico O segundo ciclo auton mico tamb m proposto utilizando o framework como uma exten o Ele respons vel por manipular dinamicamente honeypots virtuais comprometidos com base em logs de firewall Como pode ser visto na Figura 5 8 o sensor representado pelo firewall e o atuador pelo hipervisor dos honeypots virtuais O uso de honeypots combinado com a tecnologia de virtualiza o em seguran a de redes vem sendo explorado a fim de obter uma melhor utiliza o dos recursos oferecidos 53 A implanta o de uma honeynet implica em alocar v rios computadores com sistemas operacionais e servi os distintos o que pode significar um alto custo de implanta o e opera o Nesse contexto m quinas virtuais podem ser usadas para construir honeynets virtuais Para esta situa o a virtualiza o traz vantagens como o menor custo de implanta o e ger ncia 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 75 AutonomicSec Analisador Fi Planejador Pos Monitor Executor Firewall Honeypot Honeypot Figura 5 8 Arquitetura do Segundo Ciclo Auton mico Um honeypot considera
12. Uma s rie de propriedades auton micas s o utilizadas por esta abordagem para diminuir ou eliminar a interven o humana sob a ger ncia dos sistemas computacionais tais como autocura autoprote o auto otimiza o autoaprendizagem autoconfigura o entre outras Neste sentido ser colocado sob responsabilidade das pr prias m quinas a tarefa de gerenciamento Apresentamos o estado atual da seguran a de redes no qual foi poss vel conhecer as fases que uma rede pode ser protegida os atuais problemas de seguran a enfrentados por ela e as possibilidades de uso de virtualiza o na rea de seguran a Os trabalhos relacionados nossa pesquisa mostram que a dire o correta para as aplica es de seguran a a ado o de integra o coopera o e intelig ncia para prov autonomia Dessa forma mostramos que as redes de computadores mais especificamente a ger ncia da seguran a de redes s o cen rios onde a CA pode ser aplicada principalmente pelo crescimento resultante da Internet que as tornam muito mais din micas Para isto foi explicitado a necessidade da seguran a de redes por mecanismos auton micos e maneiras de como poss vel implement los Isso 7 Conclus es e Trabalhos Futuros 101 mostra que os recursos de autonomia fornecidos pela CA o caminho mais vi vel para solucionar problemas de seguran a existentes nas redes de computadores Contribui es Nesse contexto as principa
13. dom nio e tamb m do seu pr prio projeto 2 3 Arquitetura de um Sistema Auton mico Arquiteturas de sistemas auton micos visam formalizar um quadro de refer ncia que identifica as fun es comuns e estabelece os alicerces necess rios para alcan ar a autonomia Em geral essas arquiteturas apresentam solu es para automatizar o ciclo de gerenciamento de sistemas conforme mostrado na Figura 2 1 0 qual envolve as seguintes atividades Decis o o O S z O Q o D Recurso Figura 2 1 Ciclo de gerenciamento de sistemas 23 2 4 MAPE K 25 e Monitoramento ou Medi o Coleta agrega correlaciona e filtra dados sobre recursos gerenciados e An lise e Planejamento Analisa os dados coletados e determina se devem ser realizadas mudan as nas estrat gias utilizadas pelo recurso gerenciado e Controle e Execu o Escalona e executa as mudan as identificadas como necess rias pela fun o de an lise e decis o 24 MAPE K Em 2003 a IBM prop s uma vers o automatizada do ciclo de gerenciamento de sistemas chamado de MAPE K 46 representado na Figura 2 2 Este modelo est sendo cada vez mais utilizado para inter relacionar os componentes arquiteturais dos sistemas auton micos De acordo com essa arquitetura um sistema auton mico formado por um conjunto de elementos auton micos Um elemento auton mico cont m um nico gerente auton mico que representa e monitora um ou mais ele
14. e Fornecer autonomia para sistemas que atuam na rea de seguran a de redes e Elaborar um mecanismo auton mico para a prote o de redes atrav s do projeto e implementa o de um framework que pode ser estendido para solucionar problemas de integra o coopera o e intelig ncia 1 2 Organiza o do Trabalho 20 e Desenvolver um ciclo auton mico respons vel por dinamizar o processo de 1 2 an lise dos logs de honeypots e utilizar as informa es coletadas para a cria o de filtros de tr fego com a aplica o de regras de firewall Propor uma solu o para o problema de honeypots comprometidos com a utiliza o de recursos virtualizados atrav s de um ciclo auton mico Organiza o do Trabalho O restante deste trabalho est estruturado da seguinte forma O Cap tulo 2 descreve todos os fundamentos de CA mostrando suas propriedades arquitetura e detalhes do ciclo auton mico explicando a fun o de cada fase com informa es pertinentes para o contexto de seguran a de redes No Cap tulo 3 s o descritos os conceitos b sicos da rea de seguran a em redes de computadores e mostrado o estado atual em que elas se encontram nesse segmento As poss veis fases que uma rede pode ser protegida e as ferramentas e t cnicas mais utilizadas em cada uma dessas fases s o explicadas como tamb m os problemas enfrentados por elas no quesito seguran a Ainda neste cap tulo os fundamentos conceituais sob
15. o Na ocorr ncia de uma intera o com um servi o A emulado por honeypot o usu rio malicioso ter acesso rejeitado a todos servi os do tipo A na rede de produ o 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 72 Esse processo realizado de maneira transparente para qualquer usu rio inclusive o pr prio intruso tendo como base sua inten o Servidores de Produ o Atuador Firewall Internet Rede Externa md Sensores Honeypots Figura 5 5 Topologia do Primeiro Ciclo Auton mico A exemplo de uso da estrat gia auton mica baseada em inten es um usu rio mal intencionado est objetivando realizar um ataque ao servidor Web da rede Ele interage primeiramente com o honeypot que emula o respectivo servi o de porta 80 utilizada normalmente por servidores Web Com isso ser gerada uma regra a ser aplicada pelo executor atrav s do atuador na tabela de encaminhamento em uma aplica o de firewall Esta regra modifica as permiss es de acesso do endere o do intruso de maneira que ele seja rejeitado em qualquer tentativa de acesso ou ataque a todos servi os Web de porta 80 que possam existir na rede de produ o Portanto nossa estrat gia aplicar regras para controle de tr fego entre redes distintas associadas a modifica o das permiss es de acesso de usu rios externos a servi os da rede interna como pode ser visto na Figura 5 6 No caso de in
16. o utilizados com a finalidade de obter dados que reflitam mudan as de comportamento do elemento gerenciado ou informa es do ambiente de execu o que sejam relevantes ao processo de auto gerenciamento Os sensores s o dispositivos de hardware ou software que est o diretamente ligados ao componente que se deseja monitorar O tipo de informa o coletada bem como o modelo do s monitor es empregados s o espec ficos para cada tipo de aplica o Contudo alguns requisitos s o comuns entre eles tais como a filtragem a escalabilidade a dinamicidade e a toler ncia a falhas 58 Um monitor deve prover filtragem pois a quantidade de dados coletados pode crescer muito rapidamente e consumir recursos de transmiss o processamento e armazenamento Grande parte desses dados podem ser de pouca relev ncia e portanto descart los n o implicaria em preju zo Considerando se que um sistema pode crescer indefinidamente contendo in meros objetos sob monitoramento a tarefa dos monitores n o pode consumir recursos e reduzir o desempenho do sistema Em contrapartida as mudan as no ambiente ou no comportamento do sistema n o podem afetar o servi o de monitoramento 36 Al m disso falhas podem ocorrer e o monitor pode apresentar algum comportamento at pico ou mesmo parar de funcionar completamente Dessa forma devem ser levadas em considera o provis es como redund ncia e mecanismos de recupera o de falhas dos monitores 2
17. s mudan as a fim restabelecer seu equil brio de acordo com as pol ticas e os objetivos de neg cio do sistema 46 Para isso devem dispor de mecanismos efetivos que os permita monitorar controlar 2 2 Propriedades de Sistemas Auton micos 23 e regular a si pr prios bem como recuperarem se de problemas sem a necessidade de interven es externas 2 2 Propriedades de Sistemas Auton micos A ess ncia da CA o auto gerenciamento Para implement lo o sistema deve ao mesmo tempo estar atento a si pr prio e ao seu ambiente Desta forma o sistema deve conhecer com precis o a sua pr pria situa o e ter consci ncia do ambiente operacional em que atua Do ponto de vista pr tico conforme Hariri 40 o termo computa o auton mica tem sido utilizado para denotar sistemas que possuem as seguintes propriedades Autoconsci ncia self awareness O sistema conhece a si pr prio seus componentes e inter rela es seu estado e comportamento Consci ncia do contexto context aware O sistema deve ser ciente do contexto de seu ambiente de execu o e ser capaz de reagir a mudan as em seu ambiente Autoconfigura o self configuring O sistema deve ajustar dinamicamente seus recursos baseado em seu estado e no estado do ambiente de execu o Auto otimiza o self optimizing O sistema capaz de detectar degrada es de desempenho e de realizar fun es para auto otimiza o Autoprot
18. GNU Linux 2010 Dispon vel em http www guiafoca org Acessado em 31 mar 2012 J F Gon alves Introdu o computa o auton mica e sua aplica o em ambientes computacionais distribu dos Monografia do curso de Bacharelado em Ci ncia da Computa o da Universidade Federal do Maranh o S o Lu s MA 2010 A Goodloe and L Pike Monitoring distributed real time systems A survey and future directions Technical Report NASA CR 2010 216724 NASA Langley Research Center 2010 Dispon vel em https www cs indiana edu lepike pubs survey pdf Acessado em 31 mar 2012 P H C Guerra D Guedes W M Jr C Hoepers K Steding Jessen and M H Chaves Caracteriza o de encadeamento de conex es para envio de spams In 270 Simp sio Brasileiro de Redes de Computadores e Sistemas Distribu dos Recife PE 2009 P H C Guerra M T Ribeiro D Guedes W M Jr C Hoepers K Steding Jessen and M H Chaves Identifica o e caracteriza o de spammers a partir de listas de destinat rios In 28o Simp sio Brasileiro de Redes de Computadores e Sistemas Distribu dos Gramado RS 2010 REFER NCIAS BIBLIOGR FICAS 109 39 40 41 42 43 44 45 46 47 48 49 S Hallsteinsen Madam theory of adaptation Technical report SINTEF ICT 2010 S Hariri B Khargharia H Chen J Yang Y Zhang M Parashar and H Liu The autonomic computing paradig
19. Qualidade de Servi o Quality of Service QoS O objetivo prov servi os diferenciados para fluxos de tr fegos de acordo com seu grau de anormalidade Para isso foi criado uma nova m trica chamada de Dist ncia de Anormalidade DA como visto na Figura 4 5 que pode ser usada para classificar o tr fego em normal incerto tr fego suspeito e anormal tr fego malicioso Existe uma fun o Delta que mostra o quanto mais pr ximo o tr fego est de normal ou anormal podendo ser classificado ent o como provavelmente normal ou provavelmente anormal Abnormal Uncertain Measurement Attribute Value Ea Normal Time t Figura 4 5 Dist ncia de Anormalidade 77 4 2 Propriedades de Computa o Auton mica em Sistemas de Seguran a 58 A ideia que a m trica DA seja usada em conjunto com protocolos de QoS para aumentar a prioridade de tr fegos considerados normais e diminuir a prioridade de tr fegos anormais Testes foram realizados com ataques de DDoS e propaga o de Worms Com isso foi poss vel demonstrar o quanto a abordagem proposta pode detectar e reduzir o impacto causado pelos ataques 4 2 Propriedades de Computa o Auton mica em Sistemas de Seguran a Alguns trabalhos se caracterizam por fornecer alguma s das propriedades auton micas de maneira isolada mesmo n o tendo como base a CA Ou seja foram desenvolvidos sem seguir os conceitos da CA mas provem algum mecanismo que se qu
20. Silva pelos ensinamentos passados durante suas disciplinas contribui es na rea de Computa o Auton mica e por acreditar no meu potencial ao me aceitar como seu aluno de Doutorado Agrade o a minha namorada Milena pelo companheirismo e tamb m pela paci ncia e presen a em momentos de dificuldade Agrade o ao meu parceiro Linhares J nior pelas conversas e companheirismo Agrade o a Profa Maria da Guia pelas conversas sobre pesquisa cient fica e dicas passadas Agrade o a UFMA e ao Programa de P s Gradua o em Engenharia de Eletricidade especialmente ao Alcides que sempre se faz presente atendendo as necessidades dos alunos Agrade o a Funda o de Amparo Pesquisa e ao Desenvolvimento Cient fico e Tecnol gico do Maranh o FAPEMA pelo apoio financeiro concedido atrav s de bolsa de estudos Por fim agrade o a meus amigos e colegas de Parna ba e os que fiz durante esses dois anos de luta que contribu ram de forma direta ou indireta para a concretiza o deste trabalho A diferen a entre envolvimento e comprometimento como ovo com bacon no caf da manh a galinha estava envolvida EHE o porco comprometido Autor Desconhecido 2 1 2 2 2 3 3 1 3 2 3 3 4 1 4 2 4 3 4 4 4 5 5 1 5 2 5 3 5 4 5 5 5 6 5 7 5 8 5 9 6 1 Lista de Figuras Ciclo de gerenciamento de sistemas 23 ooo aaa 24 MAPE K Ciclo
21. anteriormente criadas Caso sejam encontradas mais de uma determinada quantidade as ocorr ncias anteriores s o exclu das e logo ap s criada uma nova regra que bloqueia qualquer encaminhamento de pacote originado pelo endere o que excedeu as tr s ocorr ncias Essa quantidade um valor passado por par metro e que para nosso cen rio utilizamos tr s 3 pois consideramos que mais de tr s ocorr ncias significa que o usu rio quer realmente realizar atividade maliciosa na rede Os endere os que s o bloqueados dessa maneira para toda rede s o os que comp em a lista negra Com isso ap s os tr s eventos as regras otimizadas inseridas pelo atuador no iptables s o as vistas na Figura 6 14 1 iptables A FORWARD s 192 168 1 45 d 192 168 0 121 24 p udp dport 53 j REJECT 2 iptables A FORWARD s 192 168 177 247 j REJECT Figura 6 14 Regras otimizadas A otimiza o feita atrav s da exclus o de todas as regras geradas anteriormente que possuem o IP 192 168 177 247 linhas 1 2 4 e 5 da Figura 6 13 e adi o de uma nova que bloqueia o mesmo IP a toda rede linha 2 da Figura 6 14 Nessa nova regra os pacotes encaminhados pelo firewall com origem 192 168 177 247 s o rejeitados Segundo Ciclo Auton mico Neste ciclo como visto na Se o 6 2 1 s o inseridas regras no iptables que criam logs Com isso foram gerados os registros no log vistos na Figura 6 15 os 6 2 Avalia o dos Ciclos
22. associados ao executor de maneira que cada componente saiba para onde enviar o resultado de seu processamento criando assim a ideia de ciclo Al m disso esta classe implementa o padr o de projeto Singleton 32 atrav s do m todo get Instance garantindo que apenas um objeto possa ser instanciado a partir dessa classe A classe ServerAutonomicSec respons vel pela cria o do servidor socket onde sensores ir o conectar para o envio de dados sensoreados a monitores Dessa maneira atrav s do m todo addMonitor String sensorkey Monitor monitor devem ser adicionados todos os monitores da aplica o Al m disso essa classe implementa a estrutura de decis o para a escolha do monitor correto que ir tratar os dados recebidos dos sensores Essa tomada de decis o feita de acordo com o par metro sensorKey utilizado ao instanciar monitores e adicion los no servidor como tamb m passado por sensores para serem associados a esses ltimos A filtragem nos dados recebidos por sensores de responsabilidade da classe Monitor realizada pelo m todo executeFilter SensorEvent sensorEvent Ela instanciada como processo herda de Thread onde eventos sensoriados s o depositados em uma fila por sensores com o uso do m todo addEvent SensorEvent event Quando esta fila est vazia o processo entra em estado de espera waiting sendo notificado para entrar em execu o quando inserido algum evento nes
23. condi o a parte a ser verificada podendo esta ser satisfeita ou n o E por fim a a o a qual representa a opera o a ser realizada caso a condi o seja satisfeita ECA rules s o definidas da seguinte forma on event if condition do action Figura 2 3 Defini o de uma regra do tipo ECA 2 7 Execu o de A es de Reconfigura o Na etapa de execu o do ciclo MAPE K s o realizadas reconfigura es no sistema de forma a restabelecer seu equil brio A finalidade da reconfigura o permitir que um sistema evolua ou simplesmente mude incrementalmente de uma configura o para outra em tempo de execu o introduzindo pouco ou idealmente nenhum impacto sobre a execu o do sistema Desta forma os sistemas ou aplica es n o necessitam ser finalizados ou reiniciados para que haja as mudan as A autoconfigura o self configuring a caracter stica do sistema aut nomo que o permite ajustar se automaticamente s novas circunst ncias percebidas em virtude do seu pr prio funcionamento de forma a atender a objetivos especificados pelos processos de autocura auto otimiza o ou autoprote o 23 O processo de reconfigura o realizado pelos executores atrav s dos atuadores Executores recebem como entrada um plano de a es gerado na etapa 2 7 Execu o de A es de Reconfigura o 31 de an lise e planejamento e utiliza os atuadores pertinentes para implementa
24. da utiliza o de honeypot que considerado passivo 65 O problema da abordagem ativa que o atacante toma a iniciativa para invadir de acordo com as vulnerabilidades espec ficas do mecanismo que ele identificou na rede Dessa forma ele est sempre um passo frente das tecnologias de seguran a existentes 3 2 Fases para Prote o de Redes 40 Spitzner 86 classifica os honeypots quanto sua intera o com o atacante como segue e Baixa Interatividade Prov servi os falsos que aguardam conex es em uma determinada porta e responde ao atacante com respostas falsas Os servi os podem ser emulados individualmente por ferramentas sendo a mais conhecida o Honeyd 75 como tamb m colocados em funcionamento com o uso de m quinas virtuais e Alta Interatividade Uma m quina com sistema operacional e servi os reais e n o emulados colocados para funcionar como honeypot Este tipo oferece uma maior intera o com o intruso visto que o acesso a um recurso real com todas suas caracter sticas Por m nesse tipo de honeypots necess rio uma aten o especial com a sua implanta o pois demanda uma maior estrutura de seguran a para evitar que sejam comprometidos podendo passarem a ser utilizados como ponte para a realiza o de novos ataques Na Tabela 3 1 mostrado um comparativo entre honeypots de baixa e alta interatividade Tipo Baixa Interatividade Alta Interatividade Emu
25. dados recebidos 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 71 AutonomicSec Analisador E Planejador Pod Monitor Executor Honeypot Firewall Honeypot Honeypot Figura 5 4 Arquitetura do Primeiro Ciclo Auton mico s o endere o IP de origem poss vel intruso IP de destino honeypot que recebeu intera o porta de origem porta de destino informa o servi o timestamp hor rio e data e protocolo Este ltimo podendo ser Transmission Control Protocol TCP User Datagram Protocol UDP Internet Control Message Protocol ICMP ou Internet Group Management Protocol IGMP Para esse ciclo auton mico s o descartados timestamp porta de origem e intera es com o protocolo IGMP pois n o s o informa es utilizadas pela estrat gia auton mica Dessa maneira s o enviadas apenas informa es teis N s chamamos a tomada de decis o realizada no componente de an lise e planejamento de estrat gia auton mica baseada em inten es As regras de firewall geradas por ela s o de acordo com a inten o do intruso ao interagir com um honeypot Caso a intera o com o honeypot seja a um determinado servi o o atacante ter acesso bloqueado a todos os servi os equivalentes da rede de produ o Como visto na Figura 5 5 os honeypots emulam dispositivos e servi os equivalentes aos servidores de produ o Em suma criado uma honeynet sendo esta uma imagem da rede de produ
26. de gerenciamento auton mico 45 oana 26 Defini o de uma regra do tipo ECA 2 aaa 30 Quatro fases de prote o 97 sua sp a 36 Uma m quina virtual 82 53 ves ooa 49 Forma de implementar virtualiza o 82 53 ooa 50 Framework conceitual do ISDS 52 s use seem a 53 Neur nio Virtual 27 aa aaa ee 54 Estrutura de organiza o hier rquica e P2P dos neur nios virtuais 27 55 Arquitetura do AND P2 vise E SE E E OR ae A 56 Dist ncia de Anormalidade 77 oaoa aa 57 Exemplo de reconfigura o ooa a 64 Arquitetura do Framework Gas Gk ET e e EES ES RES 67 Comunica o entre componentes do Framework 0 4 69 Arquitetura do Primeiro Ciclo Auton mico 004 71 Topologia do Primeiro Ciclo Auton mico 2 22 0004 72 Eista CINZA 84 mi E AS NA bok SDS E EEE Er ak ee ed 73 EIS Negras e beet hoc ca SS de a ee UR de gd GE de da Se eS 73 Arquitetura do Segundo Ciclo Auton mico 0004 75 Topologia do Segundo Ciclo Auton mico 2 0004 77 Diagrama de componentes do Framework 0 00000004 80 6 2 6 3 6 4 6 5 6 6 6 7 6 8 6 9 6 10 6 11 6 12 6 13 6 14 6 15 6 16 6 17 6 18 Diagrama de classe do Framework 6 custar medo es Lancia wba a 81 L gica do sensor no primeiro ciclo auton mico 85 L gica da estrat gia auton mica do primeiro ciclo 86 Regras par
27. deve ser registrado em pelo menos um monitor Por fim o executor nico no sistema registrado em todos os componentes de an lise e planejamento Dessa forma o monitor sabe que deve encaminhar os dados relevantes para um determinado analisador planejador que por sua vez ir passar um plano de a es de reconfigura o para serem tomados pelo executor como pode ser visto na Figura 5 3 O plano de a es resultante do processamento realizado pelo componente de an lise e planejamento baseado no que chamamos de estrat gia auton mica Atrav s desta ltima s o geradas as decis es sobre quais modifica es ser o realizadas no elemento gerenciado Estas modifica es correspondem s opera es de reconfigura o que de acordo com o mecanismo de tomada de decis o devem ser 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 69 AutonomicSec 1 Qual o monitor dever receber os dados 2 H informa es a serem enviadas para o analisador planejador 3 Qual analisador planejador dever receber as informa es 4 H plano de a es a ser executado Figura 5 3 Comunica o entre componentes do Framework executadas A estrat gia auton mica adotada pela fase de an lise e planejamento deve levar em considera o os objetivos do ciclo a qual ela faz parte O executor nico para todo o sistema e processa as a es em s rie sendo estas as caracter sticas fundamentais par
28. do sistema A reconfigura o n o deve prejudicar a funcionalidade do sistema L ger et al em 55 definiram um conjunto de propriedades a fim de garantir a confiabilidade no contexto das reconfigura es din micas em sistemas baseados em componentes Esse conjunto de propriedades foi baseado em transa es e denominado Atomicidade Consist ncia Isolamento e Durabilidade ACID e Preserva o de consist ncia Quando a reconfigura o do sistema ocorre em tempo de execu o importante que a reconfigura o preserve a consist ncia do sistema O estado do sistema interno deve ser mantido e as informa es trocadas entre os componentes n o devem ser perdidas 2 8 Conclus o 32 e Custo da reconfigura o Em 39 o custo de reconfigura o definido como uma medida dos efeitos negativos introduzidos pela reconfigura o Esses efeitos negativos incluem por exemplo a indisponibilidade tempor ria do servi o ou a perturba o induzida em outros servi os ap s o poss vel aumento do consumo de recursos de rede durante a reconfigura o A rela o custo benef cio deve ser avaliada 2 8 Conclus o Nesse cap tulo foi visto que o auto gerenciamento a caracter stica necess ria para um sistema ser classificado como auton mico Foi mostrado as principais propriedades de sistemas auton micos e que para um sistema alcan ar o auto gerenciamento necess rio prov as propriedades de auto configura o
29. fabricantes de softwares Ent o o n mero de incidentes de seguran a cresce muito rapidamente juntamente com a quantidade de danos causados 3 No entanto proporcionalmente tem crescido tamb m as pesquisas de novos mecanismos e t cnicas para aumentar o n vel de seguran a Pol ticas de acesso uso de firewalls sistemas de detec o de intrus o sistemas de preven o de intrus o honeypots entre outros tem sido essas contra medidas Em seguran a da informa o poss vel identificar os seguintes propriedades b sicas consideradas tamb m os pilares para a seguran a de redes 50 Confidencialidade Prote o dos dados contra divulga o n o autorizada A informa o s deve estar dispon vel para aqueles devidamente autorizados e Integridade Prote o dos dados contra modifica o n o autorizada A informa o n o deve ser destru da ou comprometida e os sistemas devem ter um desempenho correto e Disponibilidade Prote o de acesso aos recursos da rede para que estejam dispon veis quando requisitados pelas entidades autorizadas Os servi os e recursos do sistema devem estar dispon veis sempre que forem necess rios e Autenticidade Prote o dos recursos da rede contra acesso n o autorizado E necess rio a identifica o dos elementos da transa o e N o rep dio Prote o contra nega o falsa de a es que um usu rio ou entidade tenha feito N o poss vel negar a exist ncia
30. fase de detec o visto atrav s das chamadas Metodologias de Decep o definidas em 76 como a cria o de um ambiente falso para enganar usu rios mal intencionados Elas s o usadas quando aplicadas t cnicas no qual o atacante interage com um recurso colocado como uma armadilha propositalmente vulner vel que emula os servi os ou sistemas que realmente deveriam ser alvos de sua a o T cnicas bastante utilizadas s o com o uso de honeypots definido por Spitzner 86 como um recurso de rede cuja fun o de ser sondado atacado ou comprometido De acordo com Spitzner o valor de um honeypot est diretamente ligado ao fato de que tal recurso n o ser utilizado por usu rios leg timos ou para prover servi os para outros sistemas Ou seja nenhuma atividade envolvendo o honeypot ser esperada de modo que qualquer intera o com ele pode ser considerada suspeita Ent o s o implementados de maneira que todo o tr fego destinado a eles seja an malo ou malicioso minimizando os falsos positivos Um honeypot poder ser invadido sendo uma m quina configurada a fim de obter informa es sobre o invasor A inten o que o intruso ao realizar uma tentativa de invas o na qual a rede possua um honeypot em funcionamento tenha a sensa o de est interagindo com uma m quina que exerce alguma funcionalidade e poder conseguir algum recurso Existem mecanismos de seguran a que funcionam de maneira ativa diferente
31. houve intera o do IP 192 168 1 45 com servi o de porta 53 que utiliza protocolo UDP de algum honeypot e Regra 4 Pacotes encaminhados pelo firewall com origem 192 168 177 247 e destino 192 168 0 130 24 com protocolo TCP e porta de destino 22 s o rejeitados Essa regra foi gerada porque houve intera o do IP 192 168 177 247 com servi o de porta 22 que utiliza protocolo TCP de algum honeypot e Regra 5 Pacotes encaminhados pelo firewall com origem 192 168 177 247 e destino 192 168 0 120 24 com protocolo TCP e porta de destino 80 s o rejeitados Essa regra foi gerada porque houve intera o do IP 192 168 177 247 com servi o de porta 80 que utiliza protocolo TCP de algum honeypot 1 iptables A FORWARD s 192 168 177 247 d 192 168 0 120 24 p icmp j REJECT 2 iptables A FORWARD s 192 168 177 247 d 192 168 0 121 24 p icmp j REJECT 3 iptables A FORWARD s 192 168 1 45 d 192 168 0 121 24 p udp dport 53 j REJECT 4 iptables A FORWARD s 192 168 177 247 d 192 168 0 130 24 p tcp dport 22 j REJECT 5 iptables A FORWARD s 192 168 177 247 d 192 168 0 120 24 p tcp dport 80 j REJECT Figura 6 13 Regras geradas pela estrat gia baseada em inten es 6 2 Avalia o dos Ciclos Auton micos 96 No entanto quando a regra do terceiro evento gerada linha 5 da Figura 6 13 antes de ser realmente carregada para ser aplicada um m todo verifica as ocorr ncias do endere o de origem em todas regras
32. lisee Planejamento os nee s Se E 08 a ae Re aR es O T a An lise e Planejamento Baseados em Regras ECA Execu o de A es de Reconfigura o a aa ee Quest es de Projeto de Mecanismos de Reconfigura o Conclusion sai Moshe ee ie EB DEORE a DOPED PG PONG E Ad O UR A 3 Estado Atual da Seguran a em Redes de Computadores 3 1 Considera es Iniciais pes kbs be ee Bi ES eR A O ET ee ee IX xi xii 17 19 20 22 22 23 24 25 27 27 29 29 30 31 32 33 3 2 Fases para Prote o de Redes ana hte agia a aries seia ca Tl ETs Sek VE PEVEN O pone queime Apae cul RC Ed e Ae SAD ES AD O S22 IDELCCC O sa poate gage Saar Gee o A ee ee eos 3 2 9 Defesa a eru voto ovat nt Vania Vaio aai ae fewer Sguslb ae Sewn opus by Y C2 FOTENE sa bee ae ee o de eR ee ee ee Be Ge ee el ee ee A 3 3 Problemas Enfrentados SS Ga Ge Bed Gare oe Bt Gere oe Bee eg 3 3 1 Problemas em Sistemas de Seguran a 1 2 2 ee ee 3 3 2 Robustez dos Ataques a Sistemas Computacionais 3 4 Aplica es de Virtualiza o em Seguranga 2 2 a 3 5 Conclus o A s te trava ak eran aa a a ak aa acs ERR ap dp cp A 4 Trabalhos Relacionados 4 1 Sistemas de Seguran a baseados em Computa o Auton mica 4 2 Propriedades de Computa o Auton mica em Sistemas de Seguran a 4 3 Caracteriza o da Proposta a ps a eae Bs A da A GS dc AA CON
33. maliciosas nos logs 4 3 Caracteriza o da Proposta 59 No caso do SweetBait 72 foi desenvolvido um sistema automatizado de prote o que utiliza honeypots de baixa e alta interatividade para reconhecer e capturar tr fego malicioso Com base nos logs gerados ap s descartar padr es da lista branca ele automaticamente cria assinaturas de ataques autoaprendizagem componente implementado utilizando o Honeycomb Para prov um baixo tempo de resposta ao ataque ele distribui imediatamente assinaturas para IDSs autoconfigura o ap s sua gera o Paralelamente a isto as assinaturas s o refinadas continuamente a fim de aumentar sua precis o e diminuir falsos positivos auto otimiza o Este trabalho estendido e surge ent o o Argos 73 um sistema de resposta automatizado que emprega uma caracter stica mais ampla a propriedade de autoprote o por reagir proativamente contra ataques 4 3 Caracteriza o da Proposta Esta se o apresenta a caracteriza o da proposta deste trabalho O mecanismo auton mico para prote o de redes desenvolvido neste trabalho pode ser dividido em tr s t picos de maneira a representar mais claramente o escopo da proposta e mostrar o que ela trouxe de acr scimo para a rea de pesquisa e as suas diferen as em rela o aos trabalhos que foram desenvolvidos anteriormente Esses t picos s o listados a seguir 1 Um framework auton mico no qual organizado seguindo o m
34. na qual mostramos sua origem e conceitos principais propriedades arquitetura modelo MAPE K e suas fases Uma vis o geral do estado atual da seguran a das redes de computadores 7 Conclus es e Trabalhos Futuros 102 Li es Aprendidas No decorrer da pesquisa e desenvolvimento do trabalho aprendemos algumas li es as quais listamos a seguir e teoria de CA ainda est em desenvolvimento e seu objetivo principal fornecer auto gerenciamento para os sistemas computacionais ent o a maneira que seus conceitos s o interpretados e aplicados s o particulares a cada situa o Desenvolvedores e pesquisadores podem ampliar os recursos que a CA fornece de acordo com a sua necessidade buscando obter o melhor dessa abordagem para desenvolvimento de sistemas tem a oferecer e A ideia de fornecer recursos para que os pr prios sistemas em conjunto possam garantir seguran a rede uma maneira eficiente de aproveitar todos as qualidades que eles podem oferecer O emprego de autonomia para o processo de defesa fazer com que os sistemas utilizem esses recursos uns dos outros de forma integrada e coordenada para contornar problemas de seguran a e A partir do momento que ensinamos a um software que um determinado evento considerado uma atividade maliciosa e que poss vel se defender de uma tal maneira e ainda o informamos as estrat gias utilizadas para realizar a prote o atribu mos a ele a capacidad
35. nico componente O processamento realizado por esse componente varia de acordo com a estrat gia auton mica adotada pelo administrador que inseriu os objetivos para o sistema Um exemplo de processamento utilizando ECA rules pode ser visto na Figura 5 1 Neste exemplo na ocorr ncia de um alerta de IDS IDSAlert se o IP de origem que gerou o alerta n o estiver na lista negra do firewall BlackList Contains SrclpAddr ser adicionado Add SrclpAddr in BlackList on IDSAlert if BlackList Contains SrclpAddr do Add SrclpAddr in BlackList Figura 5 1 Exemplo de reconfigura o A base de conhecimento pode ser utilizada pelo componente de an lise e planejamento na ado o de estrat gias para por exemplo n o realizar a es anteriormente j feitas Na Figura 5 1 n o ser o adicionados endere os IP na lista negra que j estiverem contidos O componente de an lise e planejamento tem como sa da um plano de a o a ser executado pelo componente executor que na Figura 5 1 a adi o do endere o IP de origem que gerou o alerta na lista negra O executor aplica as a es no elemento gerenciado atrav s dos atuadores Atuadores s o respons veis por fazerem altera es de configura o no elemento gerenciado ou seja em alguma aplica o de seguran a da rede O objetivo em realizar as mudan as nas configura es aumentar o n vel de seguran a No exemplo da 5 1 Aplicabilidade 65 Figura 5 1 o atu
36. o que relevante para a tomada de decis o passando dados teis para o componente de an lise e planejamento Este ltimo por sua vez possuir o algoritmo da estrat gia auton mica Eo plano de a es ter o c digo processado pelo executor Ressaltamos que nosso framework criado com o objetivo de ser aplicado em redes para coopera o entre sistemas de seguran a uma vez que foi pensado com intuito de resolver problemas nesses ambientes Isso n o significa que ele n o pode ser estendido ou adapta o para problemas em outras reas Com o reuso dele o primeiro ciclo auton mico foi implementado tendo como inten o a melhor utiliza o dos logs gerados por honeypots Ele foi inspirado em CA e objetiva alcan ar a caracter stica de autoaprendizagem utilizando regras ECA atrav s da gera o autom tica de novas regras de firewall e poss vel identifica o de ataques de ltimo dia O segundo ciclo auton mico foi desenvolvido tamb m com o reuso do framework para contornar o problema de honeypots comprometidos atrav s da manipula o din mica de m quinas virtuais Ele possui uma abordagem ativa para o problema em quest o utilizando se para isso a substitui o dos honeypots virtuais comprometidos Reiteramos ainda que esses dois ciclos auton micos prop em solu es para problemas particulares na rea de metodologias de decep o e que as propriedades b sicas de CA s o alcan adas por ele autoconfigura
37. para desenvolver o mecanismo Shell Script Bash iptables servidor SSH e VirtualBox De maneira geral criando uma certa restri o para seu uso apenas com os softwares citados ou necessidade de adequa o com outros Trabalhos Futuros A partir deste trabalho inicial identificamos diversas possibilidades de trabalhos futuros que poderiam ser desenvolvidos tais como e Neste trabalho utilizamos para a tomada de decis o para os dois ciclos no processo de an lise e planejamento representa es do conhecimento baseadas em ECA Rules No entanto poderiam ser aplicadas outras t cnicas de intelig ncia tais como Fun es de Utilidades e Aprendizagem por Refor o e No mesmo sentido poderiam ser criadas outras estrat gias mais sofisticadas para os ciclos e Como explicado nas limita es a nossa proposta foi projetada para funcionar de modo centralizado ent o trabalhos futuros poderiam investigar a possibilidade de extens o do AutonomicSec em uma abordagem distribu da 7 Conclus es e Trabalhos Futuros 104 e O mecanismo auton mico n o leva em considera o a toler ncia a falhas de si pr prio portanto propor autocura para o AutonomicSec uma interessante contribui o e Outras formas de comunica o poderiam ser estudadas entre o AutonomiSec e sensores atuadores podendo ser inserido um mecanismo de descoberta din mica de sensores e atuadores na rede e A extens o do framework com o uso de ou
38. pode adicionar ou remover a es em uma lista Por fim a classe Executor que tamb m herda de Thread realiza a execu o de todas as a es enviadas a ela Em um ambiente de redes o componente executor normalmente aplica a es de reconfigura o nos sistemas atrav s da passagem de par metros para scripts Esses scripts representam os atuadores e s o usados para modificar inserir ou remover configura es em sistemas de seguran a de redes No caso dos atuadores do AutonomicSec os par metros s o passados a eles remotamente atrav s do protocolo Secure Shell SSH 9 e como os sistemas de seguran a executam em sistema operacional Linux os scripts s o na verdade escritos em Shell Script Bash 1 Processo de Cria o de Ciclos Auton micos Um desenvolvedor ao querer utilizar o framework proposto para a cria o de um ciclo auton mico deve estender os tr s principais componentes monitor analisador planejador e o plano de a o que o c digo a ser processado pelo executor Al m disso o sensor deve ser criado como um cliente socket coletando dados e os enviando ao monitor passo 1 Como tamb m o atuador que poder ser qualquer aplica o respons vel pela reconfigura o do elemento gerenciado passo 2 O monitor deve ser implementado passo 3 de maneira a filtrar o que relevante para a tomada de decis o Ele receber os dados vindos de uma conex o socket e seu c digo possuir os filtros para e
39. primeira foi de Multicast Domain Name System mDNS 4 e a segunda com o uso do protocolo IGMP Nas linhas 3 e 4 s o tamb m conex es mDNS As linha 5 a 8 s o conex es ICMP e provavelmente de um ping iniciada por uma m quina com sistema operacional Windows pois s o quatro pacotes em dire o ao honeypot de baixa interatividade com endere o 192 168 0 212 As linhas 9 e 10 s o requisi es Domain Name System DNS para o honeypot de endere o 192 168 0 211 E nas linhas 11 12 e 13 14 s o tentativas de conex o a servidores SSH e Web respectivamente 1 2012 01 09 13 50 04 2573 udp 17 192 168 0 50 5353 224 0 0 251 5353 67 2 2012 01 09 13 51 32 7188 igmp 2 224 0 0 22 192 168 0 10 40 3 2012 01 09 13 51 32 7588 udp 17 192 168 0 10 5353 224 0 0 251 5353 210 4 2012 01 09 13 51 32 7704 udp 17 192 168 0 215 5353 224 0 0 251 5353 305 5 2012 01 09 13 51 33 5703 icmp 1 192 168 177 247 192 168 0 212 8 0 84 6 2012 01 09 13 51 34 5704 icmp 1 192 168 177 247 192 168 0 212 8 0 84 7 2012 01 09 13 51 34 5785 icmp 1 192 168 177 247 192 168 0 212 8 0 84 8 2012 01 09 13 51 34 5825 icmp 1 192 168 177 247 192 168 0 212 8 0 84 9 2012 01 09 13 51 34 9720 udp 17 192 168 0 1 53 192 168 0 211 53 71 10 2012 01 09 13 51 36 4733 udp 17 192 168 1 45 53 192 168 0 211 53 71 11 2012 01 09 14 05 38 1172 tcp 6 S 192 168 177 247 1331 192 168 0 211 22 12 2012 01 09 14 05 39 1532 tcp 6 E 192 168 177 247 1331 192 168 0
40. rea de metodologias de decep o 76 Estas ltimas s o definidas em 76 como a cria o de um ambiente falso para enganar usu rios mal intencionados Os ciclos s o extens es do framework desenvolvido No entanto consideramos que de uma forma geral o escopo deste trabalho envolve a aplicabilidade dos conceitos que permeiam a CA para a rea de seguran a de redes Os resultados mostram que com a utiliza o de CA e extens o do framework poss vel obter integra o e coopera o entre os sistemas de seguran a que foram inicialmente desenvolvidos para trabalharem isoladamente intelig ncia atrav s da implanta o de estrat gias auton micas que dinamizam o processo de prote o e por fim autonomia para alcan ar auto seguran a na rede de maneira que os sistemas consigam se auto gerenciarem 1 1 Objetivos Esta disserta o de mestrado tem como objetivo geral propor um mecanismo auton mico para seguran a de redes baseado em decep o A inten o de nossa proposta aumentar o n vel de seguran a da rede fazendo que os sistemas tenham autonomia para realizar a defesa da rede contra atividades maliciosas e atrav s disso seja poss vel introduzir a ela a capacidade de auto seguran a Para isso considera se os seguintes objetivos espec ficos e Mostrar de forma argumentativa e tamb m atrav s de exemplos as maneiras que conceitos de Computa o Auton mica podem ser aplicados a seguran a de redes
41. sistemas Algumas das propriedades conceituais da virtualiza o 3 4 Aplica es de Virtualiza o em Seguran a 50 hardware 2 Aplica es Aplica es Aplica es hardware 1 hardware 2 hardware 2 virtualiza o completa replica o lac Bon tgs AR sao emula o do SO tradu o din mica de hardware Figura 3 3 Forma de implementar virtualiza o 82 53 podem ser teis para se obter as propriedades b sicas de seguran a da informa o Se o 3 1 tais como 53 e Isolamento Ao manter os ambientes virtuais isolados entre si e do sistema real subjacente o hipervisor prov a confidencialidade de dados entre os sistemas convidados Adicionalmente como os dados presentes em uma m quina virtual s podem ser acessados pelas respectivas aplica es convidadas sua integridade preservada Al m disso o isolamento permite a conten o de erros de software acidentais ou intencionais no mbito da m quina virtual o que permite melhorar a disponibilidade dos sistemas e Controle de recursos Como o hipervisor intermedeia os acessos do sistema convidado ao hardware poss vel implementar mecanismos para verificar a consist ncia desses acessos e de seus resultados aumentando a integridade do sistema convidado da mesma forma poss vel acompanhar e registrar as atividades do sistema convidado para fins de auditoria e Inspe o A vis o privilegiada do hipervisor sobre o estado in
42. 006 N Al Gharabally N El Sayed S Al Mulla and I Ahmad Wireless honeypots survey and assessment In Proceedings of the 2009 conference on Information Science Technology and Applications ISTA 09 pages 45 52 New York NY USA 2009 ACM S Almotairi A Clark G Mohay and J Zimmermann A technique for detecting new attacks in low interaction honeypot traffic In Proceedings of the 2009 Fourth International Conference on Internet Monitoring and Protection pages 7 13 Washington DC USA 2009 IEEE Computer Society M F A Assun o Honeypots e honeynets aprenda a detectar e enganar invasores Visual Books Florian polis 2009 S Atay and M Masera Challenges for the security analysis of next generation networks In Broadband Communications Networks and Systems 2009 BROADNETS 2009 Sixth International Conference on pages 1 4 sept 2009 T Braga F Silva L Ruiz and H Assun o Redes auton micas In SBRC 06 Anais dos Minicursos do Simp sio Brasileiro de Redes de Computadores e Sistemas Distribu dos pages 159 208 SBC 2006 A Castiglione A De Santis U Fiore and F Palmieri An enhanced firewall scheme for dynamic and adaptive containment of emerging security threats In Broadband Wireless Computing Communication and Applications BWCCA 2010 International Conference on pages 475 481 nov 2010 REFER NCIAS BIBLIOGR FICAS 107 21 22 23 24 25 26
43. 211 22 0 13 13 2012 01 09 14 13 27 1009 tcp 6 S 192 168 177 247 1550 192 168 0 213 80 14 2012 01 09 14 13 28 1502 tcp 6 E 192 168 177 247 1550 192 168 0 213 80 0 15 au Figura 6 8 Log gerado no Honeypot As linhas 1 a 10 representam o primeiro evento 11 e 12 o segundo e por fim 13 e 14 o terceiro Pois como o sensoriamento monitoramento baseado em tempo e ocorre a cada cinco segundos neste ciclo essas foram ocorr ncias em tempos distintos Ao chegar no componente de monitoramento o log passa por um filtro que organiza as informa es e descarta dados desnecess rios Dessa forma os registros 6 2 Avalia o dos Ciclos Auton micos 93 mostrados anteriormente tem o resultado mostrado na Figura 6 9 ap s filtragem realizada pelo monitor 10 11 12 13 udp 192 168 0 50 5353 224 0 0 251 5353 udp 192 168 0 10 5353 224 0 0 251 5353 udp 192 168 0 215 5353 224 0 0 251 5353 icmp 192 168 177 247 192 168 0 212 icmp 192 168 177 247 192 168 0 212 icmp 192 168 177 247 192 168 0 212 icmp 192 168 177 247 192 168 0 212 udp 192 168 0 1 53 192 168 0 211 53 udp 192 168 1 45 53 192 168 0 211 53 tcp 192 168 177 247 1331 192 168 0 211 22 tcp 192 168 177 247 1331 192 168 0 211 22 tcp 192 168 177 247 1550 192 168 0 213 80 tcp 192 168 177 247 1550 192 168 0 213 80 Figura 6 9 Informa es resultantes do filtro realizado pelo monitor Neste resultado poss vel observar que a linha que co
44. 5 1 Classifica o de Sistemas de Monitoramento Aplica es auton micas possuem requisitos de monitoramento diferentes variando os elementos que se deseja monitorar De acordo com as caracter sticas deste elementos podem ser implementadas formas de monitoramento espec ficas Em 45 Huebscher e McCann identificaram dois tipos de monitoramento em sistemas auton micos classificados de acordo com o tipo de sensor utilizado e Monitoramento Passivo No monitoramento passivo os dados obtidos de monitoramento s o fornecidos pelo sistema sem necessidade de nenhuma 2 5 Monitoramento 28 altera o na aplica o Por exemplo no Linux informa es sobre uso de CPU e mem ria podem ser coletados do diret rio proc e Monitoramento Ativo Para que se possa fazer a captura de dados nesse tipo de monitoramento necess rio alterar a implementa o da aplica o ou sistema operacional sendo ent o considerado um monitoramento invasivo A exemplo desse tipo de monitoramento s o os sensores inseridos na forma de bytecodes em aplica es Java Conforme observado nos trabalhos de 58 e 45 foi poss vel constatar que o monitor tamb m pode ser classificado quanto estrat gia utilizada e Monitoramento orientado eventos Eventos s o a es que acontecem no sistema e podem alterar o seu estado por exemplo o processo ocioso processo em execu o in cio do processo chegada de uma requisi o
45. 6 2 Avalia o dos Ciclos Auton micos 90 e Nome Possui o nome da m quina virtual no qual est funcionado o honeypot e N mero de sequ ncia N mero de sequ ncia que conta a quantidade de vezes que um determinado honeypot virtual substitu do Tamb m utilizado pelo algoritmo do atuador para a cria o de novo nome para a m quina virtual concatenando o com o nome anterior por exemplo Ubuntu3 Ubuntu4 Ubuntu5 e Localiza o da m quina Localiza o das imagens da m quina virtual que representa a r plica n o infectada por c digos maliciosos Para os nossos testes utilizamos honeypots de alta interatividade sendo instalado neles sistemas operacionais reais Os honeypots s o considerados de alta interatividade por serem m quinas virtuais que oferecem servi os e recursos de sistemas reais e n o emulados Usamos como hipervisor o VirtualBox 11 e a ferramenta VBoxManage 10 para manipular as m quinas virtuais atrav s de Shell Script Bash sendo esse ltimo a representa o dos atuadores no ciclo A comunica o entre o AutonomicSec e atuador neste ciclo via SSH 6 2 2 Resultados Os resultados que apresentamos s o organizados de maneira a mostrar a reconfigura o aplicada na rede em seus sistemas de seguran a e o que foi produzido por cada fase do ciclo Mostramos tamb m os campos utilizados nos componentes que usam arquivos de configura o O cen rio utilizado para a coleta dos resultados pod
46. Auton micos 97 quais foram identificados pela palavra chave Honeypot Comprometido e logo depois passados para o monitor respons vel por trat los N Jan 9 17 47 59 firewall desktop kernel 7459 494175 Honeypot Comprometido IN eth1 OUT ethO SRC 192 168 0 201 DST 192 168 177 247 LEN 60 TOS 0x00 PREC 0x00 TTL 63 ID 41750 DF PROTO UDP SPT 60909 DPT 53 LEN 40 Jan 9 18 51 27 firewall desktop kernel 11267 716532 Honeypot Comprometido IN eth1 OUT ethO SRC 192 168 0 10 DST 200 137 130 2 LEN 58 TOS 0x00 PREC 0x00 TTL 63 ID 32374 DF PROTO UDP SPT 35161 DPT 53 LEN 38 4 Jan 9 20 33 19 firewall desktop kernel 17379 672687 Honeypot Comprometido IN eth1 OUT ethO SRC 192 168 0 202 DST 192 168 177 247 LEN 84 TOS 0x00 PREC 0x00 TTL 63 ID 0 DF PROTO ICMP TYPE 8 CODE 0 ID 1433 SEQ 1 wo Figura 6 15 Log gerado no Firewall Ao chegar no monitor o log filtrado e extra do apenas o endere o de origem de cada registro Ent o os endere os vistos na Figura 6 16 s o passados para a etapa de an lise e planejamento do ciclo 1 192 168 0 201 2 192 168 0 10 3 192 168 0 202 Figura 6 16 Endere os ap s filtro realizado pelo monitor A estrat gia deste ciclo de verificar se o n da rede que gerou o registro um honeypot Caso seja campos do arquivo de configura o Figura 6 17 usado na verifica o para saber se um honeypot s o enviados como par metro para o executor 6 3 Conclus o 98
47. CIUIS O ei ene us e edule GORE CESPE CRC RGE BR O DE EO ERA E es 5 Seguran a Auton mica em Redes de Computadores Olt Aplicabiidsdey 34 34 seh ee ke eh sk whe Ten dr EU eee A 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 5 2 1 Framework Auton mico la E rata Se ee de Oo UR 5 2 2 Primeiro Ciclo Auton mico s e 625 24 RES qua AEA AE dc 5 2 3 segundo Ciclo Auton mico aera aaa SD A LR o 24 DISCUSS O 2a fas Gs AE ECA E TAS oes SE SEA a DO CONCIUS O A aen alga feia Moen Ghd o ALSO A USO De ie 2 Gian A q ai 6 Avalia o do Mecanismo Auton mico 6 1 Implementa o do Framework Auton mico 00020008 52 52 58 59 62 63 63 66 67 70 74 77 79 80 621 vestes gre as sesuais tects GS ROGUE eed Ape pad Pa VS Ag ak eek BS a DR E DS es 85 622 Resultado Sirima rd mo tas gaga ete GR NG Be Gite A GEO ee O doa Eee 90 6 3 Conchis O sms md ind he Se a Eae ao Teus Ro e Tong gee Dee Se La o BO 98 7 Conclus es e Trabalhos Futuros 100 Refer ncias Bibliogr ficas 105 17 1 Introdu o Seguran a em redes de computadores compreende a rea respons vel pela prote o dos dados que a transitam contra altera es indevidas acesso n o autorizado e indisponibilidade Desde o surgimento da Internet a busca por melhores estrat gias de seguran a tem aumentado consideravelmente tendo em vista a grande quantidade de tentativas de ataques que vem sen
48. HOC o VA Prof lays ne dos Sente KR Dr Membro da Banca Examinadora Ear Francis o Jos ie Silva e Silva Dr Membro da Banca Examinadora J JR nel 4 NOT qua Io pi Prof Denivaldo Cicero Pav o Lopes Dr Membro da Banca Examinadora Dedico esta disserta o de mestrado minha m e maior fonte de inspira o Resumo Seguran a em redes de computadores compreende a rea respons vel pela prote o dos dados que a transitam A busca por melhores estrat gias de seguran a tem aumentado consideravelmente tendo em vista a grande quantidade de tentativas de ataques que vem sendo realizados Esses ataques tem causado preju zos financeiros e de imagem para empresas institui es e pessoas f sicas V rios obst culos a serem enfrentados para se alcan ar redes realmente seguras existem e isso eleva a complexidade do problema da ger ncia de seguran a Por esse motivo interessante a utiliza o de recursos oferecidos pela Computa o Auton mica CA Sistemas de CA s o capazes de gerenciarem a si pr prios e se adaptarem dinamicamente s mudan as a fim de restabelecer seu equil brio de acordo com as pol ticas e os objetivos de neg cio A arquitetura e as propriedades de CA para a implementa o de sistemas prop e uma abordagem com muitas vantagens para ser aplicada seguran a de redes Neste trabalho apresentamos os conceitos de CA e mostramos sua aplicabilidade ao contexto de seguran a em redes de com
49. Press Prentice Hall 1 edition 2004 T J O Connor and B Sangster honeym a framework for implementing virtual honeyclients for mobile devices In Proceedings of the third ACM conference on Wireless network security WiSec 10 pages 129 138 New York NY USA 2010 ACM A A P Oliveira Sociedade de agentes para a monitora o de ataques e respostas automatizadas Master s thesis PPGEE UFMA 2005 N D Palma D P Laumay and L Bellissard Ensuring dynamic reconfiguration consistency In In 6th International Workshop on Component Oriented Programming WCOP 2001 ECOOP related Workshop pages 18 24 2001 G Palmer A road map for digital forensic research Technical report First Digital Forensic Research Workshop DFRWS 2001 M Parashar and S Hariri Autonomic computing An overview In Unconventional Programming Paradigms pages 247 259 Springer Verlag 2005 M Parashar and S Hariri Autonomic Computing Concepts Infrastructure and Applications CRC Press 2006 V Paxson Bro A system for detecting network intruders in real time In Computer Networks pages 2435 2463 1999 E S Pilli R C Joshi and R Niyogi Network forensic frameworks Survey and research challenges Digital Investigation 7 1 2 14 27 2010 REFER NCIAS BIBLIOGR FICAS 112 72 73 74 75 76 77 78 79 80 81 G Portokalidis and H Bos Sweetbait Zero hour worm detection
50. Service Domain Name System Denial of Service Evento Condi o A o Host Based Intrusion Detection System Internet Control Message Protocol Integrated Development Environment Intrusion Detection Systems Internet Group Management Protocol Internet Protocol Intrusion Prevention System Internet Protocol version 4 Internet Protocol version 6 Intelligent Security Defensive Software Monitoring Analysis Planning Execution and Knowledge loop mDNS NIDS P2P QoP QoS SGBD SMS SSH TCP UDP Multicast Domain Name System Network Based Intrusion Detection System Peer to peer Quality of Protection Quality of Service Sistemas de Gerenciamento de Banco de Dados Short Message Service Secure Shell Transmission Control Protocol User Datagram Protocol Sum rio Lista de Figuras Lista de Tabelas Lista de Siglas 1 Introdu o 11 1 2 ODICHVOS ie race wee eee WE HE RAE HE ER ag A bag E Organiza o do Trabalho ais od Re BN ROSA Bh ADR I 2 Computa o Auton mica 2 1 2 2 2 3 2 4 2 9 2 5 1 2 6 2 6 1 2 7 271 2 8 Considera es Iniciais ca s a Se TAS ioga ai Goes Ai Spe A TL T AS Se Propriedades de Sistemas Auton micos o oo 0 020008 Arquitetura de um Sistema Auton mico aaoo a Monitoramento as qts a dera Sra k s a a e a Taa E E AAG Classifica o de Sistemas de Monitoramento aooaa aaa An
51. UNIVERSIDADE FEDERAL DO MARANH O CENTRO DE CI NCIAS EXATAS E TECNOLOGIA PROGRAMA DE P S GRADUA O EM ENGENHARIA DE ELETRICIDADE Ariel Soares Teles AutonomicSec Um Mecanismo Auton mico para Seguran a de Redes baseado em Decep o S o Lu s 2012 Ariel Soares Teles AutonomicSec Um Mecanismo Auton mico para Seguran a de Redes baseado em Decep o Disserta o apresentada ao Programa de P s Gradua o em Engenharia de Eletricidade da Universidade Federal do Maranh o como requisito parcial para a obten o do grau de MESTRE em Engenharia de Eletricidade Orientador Zair Abdelouahab Doutor em Computer Science UFMA S o Lu s 2012 Teles Ariel Soares AutonomicSec Um Mecanismo Auton mico para Seguran a de Redes baseado em Decep o Ariel Soares Teles S o Lu s 2012 114 f Orientador Zair Abdelouahab Impresso por computador fotoc pia Disserta o Mestrado Universidade Federal do Maranh o Programa de P s Gradua o em Engenharia de Eletricidade S o Lu s 2012 1 Seguran a de Redes 2 Computa o Auton mica 3 Metodologia de Decep o I Abdelouahab Zair orient II T tulo CDU 004 056 53 AUTONOMICSEC UM MECANISMO AUTON MICO PARA SEGURAN A DE REDES BASEADO EM DECEP O Ariel Soares Teles Disserta o aprovada em 21 de mar o de 2012 7 NG a OQ So Prof Zair Abldelouabab Ph Di i Orientador Jf 7
52. a controle de tr fego e log no iptables 2 2 88 L gica da estrat gia auton mica do segundo ciclo 89 Cen rio para coleta de resultados 2 002 000 91 Log gerado no Honeypot a ok ei a a Sa a ES ad de ES 92 Informa es resultantes do filtro realizado pelo monitor 93 Arquivo de configura o da listabranca 00 4 93 Arquivo de configura o dos servi os 2 2 2 a 94 Servidores de produ o do cen rio 2 ee es 94 Regras geradas pela estrat gia baseada em inten es 95 Regras otimi adas pele ae wise Sai Sse a D he E ED ES 96 L g Seradomno POCA icin e es Wad e ae aon ia apo Gite ita Bie ey 97 Endere os ap s filtro realizado pelo monitor 97 Arquivo de configura o dos Honeypots 2 6 ee ee ee ee 98 Plano de a es criado pelo analisador planejador 98 Lista de Tabelas 3 1 Compara o entre os tipos de honeypots 1 0 0 ee ee 4 1 Compara o Qualitativa entre Sistemas de Seguranca ACID ACLs AND CIDS CMI CRM DDoS DNS DoS ECA HIDS ICMP IDE IDS IGMP IP IPS IPv4 IPv6 ISDS MAPE K Lista de Siglas Atomicidade Consist ncia Isolamento e Durabilidade Access Control Lists Autonomic Network Defense System Collaborative Intrusion Detection System Component Management Interface Component Runtime Manager Distributed Denial of
53. a de Preven o de Intrus o Intrusion Prevention System IPS sendo este uma extens o dos IDSs normalmente implementado com a utiliza o de plugins Ele gera alguma resposta a fim de neutralizar o ataque podendo integrar por exemplo um IDS a um firewall ou enviar uma mensagem de Short Message Service SMS ou e mail ao administrador da rede informando a ocorr ncia de atividade s maliciosa s Dessa forma surge os Sistemas de Detec o de Intrus o Colaborativos Collaborative Intrusion Detection System CIDS um IDS ou IPS com capacidade de analisar evidencias de m ltiplas redes simultaneamente Um CIDS tem a fun o de detectar ataques coordenados em est gio inicial antes que tenham causado danos maiores Internet 33 Softwares anti Programas desenvolvidos para detectar e eliminar potenciais amea as aos computadores e redes como por exemplo antiv rus antispyware antiphishing e antispam Antiv rus s o programas que detectam e removem v rus de computador J os antispywares s o usados no combate a programas e c digos espi es como spyware adware keyloggers Softwares antiphishing visam bloquear poss veis tentativas de fraude atrav s de sites Web ou mensagens de correio eletr nico Normalmente este tipo de solu o apresentado na forma de barras de tarefas integradas com navegadores Web ou clientes de correio eletr nico As solu es antispam tamb m se enquadram nesta categoria Basicamente a
54. a este componente pois as a es de reconfigura o no elemento gerenciado podem ser conflitantes Igualmente aos monitores no componente de an lise e planejamento criada uma fila mas esta contida de dados filtrados e considerados relevantes E no executor tamb m criada uma fila contendo plano de a es a serem executadas Logo quando n o h nenhum dado a ser processado pela fase de an lise e planejamento ou plano de a es a ser tomado pelo executor estes entram em modo de espera 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 70 O executor tem a fun o de simplesmente executar os planos de a es enviados pelos analisadores planejadores Ele aplica a es no elemento gerenciado atrav s dos atuadores Estes por sua vez interagem diretamente com o elemento gerenciado Os atuadores podem modificar por exemplo a configura o de algum sistema de seguran a da rede com o objetivo de aumentar o n vel de dificuldade para a concretiza o de ataques Como visto na Figura 5 2 podem existir v rios tipos de atuadores e em quantidade escal vel considerando que o elemento gerenciado a rede e n o sistemas isolados Diferentemente da liga o que existe entre sensores e monitores os planos de a es podem ser executados atrav s de qualquer atuador independente do seu tipo ou da sua quantidade dependendo apenas da tomada de decis o realizada pelo componente de an lise e planejamento A
55. a fase tem se como produto uma esp cie de plano de trabalho que consiste de um conjunto de a es a serem executadas pelo executor execute O componente respons vel por fazer as altera es no ambiente chamado de atuador effectors Somente os sensores e atuadores possuem acesso direto ao elemento gerenciado Durante todo ciclo de gerenciamento auton mico pode haver a necessidade de uma tomada de decis o dessa forma faz se necess rio tamb m a presen a de uma base de conhecimento knowledge sendo que esta comumente mais explorada na fase de an lise e planejamento 35 Este modelo implementado utilizando dois ou mais ciclos de gerenciamento auton mico um ou mais ciclos de controle local e um global Os ciclos de controle local tratam apenas de estados conhecidos do ambiente local sendo baseado no conhecimento encontrado no pr prio elemento gerenciado Por esta raz o o ciclo local incapaz de controlar o comportamento global do sistema O ciclo global por sua vez a partir de dados provenientes dos gerenciadores locais ou atrav s de um monitoramento a n vel global podem tomar decis es e atuar globalmente no sistema No entanto a implementa o das intera es entres os diversos n veis existentes vai depender das necessidades e das limita es da aplica o 2 5 Monitoramento 27 2 5 Monitoramento O monitoramento corresponde a primeira fase do ciclo auton mico MAPE K Nesta etapa sensores s
56. a spammer o termo utilizado para definir quem envia esse tipo de mensagem em cuja elabora o geralmente s o utilizados softwares especiais automatizados para coletar bases de e mails atrav s de listas de discuss o caixas postais de grupos ou explora o atrav s de listas adquiridas por empresas especializadas nesse tipo de marketing Existem diversas solu es no mercado que buscam conter o recebimento de spams ferramentas estas que basicamente utilizam filtros contendo blacklists de proxys e relays abertos que s o utilizados para o envio das mensagens 38 28 O termo phishing refere se ao m todo pelo qual iscas e mails s o usadas para pescar informa es de usu rios da Internet constituindo se um ataque que tem como objetivo efetuar algum il cito atrav s do envio de mensagem n o solicitada realizados por phishers Em ataques usando engenharia social o phisher envia mensagens eletr nicas normalmente e mails ou mensagens instant neas alegando ser uma entidade leg tima bancos SPC SERASA receita federal entre outros ou uma pessoa conhecida O conte do dessas mensagens apresenta formul rios para o preenchimento e o envio de dados pessoais e financeiros links para baixar e abrir executar programas ou links para uma p gina Web constru da especificamente para que o destinat rio da mensagem forne a dados pessoais e financeiros Em ataques que utilizam artif cios t cnicos o criminoso instala no computador da
57. abordagem que utilizamos para a nossa proposta de framework foi tentar seguir fielmente o modelo MAPE K considerando todos seus componentes e a base de conhecimento knowledge Esta ltima representada pela estrat gia auton mica Consideramos e acreditamos que nosso framework possa ser utilizado em diversos ambientes de rede para a integra o e coopera o entre sistemas mais especificamente entre sistemas de segura a de redes Para mostrar a viabilidade de utiliza o do framework propomos dois ciclos auton micos focados em seguran a de redes que estendem todos seus componentes O processo de cria o de ciclos auton micos atrav s do reuso do framework descrito no pr ximo cap tulo Os ciclos propostos s o detalhados a seguir 5 2 2 Primeiro Ciclo Auton mico Com a utiliza o do framework propomos o primeiro ciclo auton mico Este ciclo tem a funcionalidade de gerar regras de firewall baseadas em logs de honeypots Como visto na Figura 5 4 os componentes sensores s o representados por honeypots ou seja os dados sensoreados s o logs a n vel de rede gerados por honeypots de baixa interatividade Esses logs registram intera es com o honeypot na camada de rede Ent o qualquer intera o com um honeypot gera log e esse enviado para o componente monitor no AutonomicSec O monitor recebe os dados sensoreados e realiza uma filtragem do que relevante para ser enviado fase de an lise e planejamento Os
58. ador interage diretamente com a aplica o respons vel pela lista negra o firewall Al m da arquitetura de sistemas oferecida pela CA visando o estado em que se encontram os atuais sistemas de seguran a e tamb m o crescimento e evolu o dos ataques s redes de computadores poss vel relacionar a necessidade que este tipo de sistema tem pelas propriedades dos sistemas auton micos destacando as propriedades de autoprote o self protecting autocura self healing autoconfigura o self configuring e autoaprendizagem self learning 74 como visto a seguir e Autoprote o Refere se propriedade do sistema de defender se de ataques acidentais ou maliciosos Para tanto o sistema deve ter conhecimento sobre potenciais amea as bem como prover mecanismos para trat las 23 Para atingir essa propriedade o sistema deve ter habilidade para antecipar detectar identificar e proteger o elemento gerenciado contra amea as e Autocura Respons vel por identificar e corrigir erros ou falhas No contexto da seguran a de redes o sistema auton mico deve ser capaz de detectar diagnosticar e consertar problemas resultantes de ataques a ativos de produ o da rede O sistema deve possuir um componente de diagn stico que analisa informa es que mostram a ocorr ncia de falhas ou danos causados por um ataque rede para isto deve utilizar conhecimento sobre a configura o dos recursos da rede Ent o posteriormente dev
59. alifica dentre alguma das propriedades auton micas Sistemas como estes n o s o considerados auton micos Foi desenvolvido em 94 um esquema de seguran a para atualiza o de regras de firewall baseado no tr fego de uma honeynet autoconfigura o e autoaprendizagem No esquema h um m dulo de an lise de dados que oportunamente descobre novos ataques Este m dulo analisa o tr fego gerado pelos logs da honeynet e com a utiliza o de minera o de dados ele cria dinamicamente novas regras de firewall passando as para o m dulo de aprendizagem de regras que as filtra eliminando incoer ncias entre as regras e por fim ele as aplica Dessa maneira o firewall continua enriquecendo suas estrat gias melhorando sua capacidade para se defender de novos ataques inclusive ataques de ltimo dia A ferramenta Honeycomb 51 tem como objetivo automatizar a gera o de assinaturas de ataques para sistemas de detec o de intrus o a partir de logs gerados por honeypots autoaprendizagem Na verdade esta ferramenta trata se de um plugin a ser utilizado junto ao honeyd 75 que um framework de honeypots de baixa interatividade 86 A implementa o do Honeycomb gera assinaturas no formato Bro 70 e Snort 78 Sua inten o ser utilizado para criar as assinaturas de ataques em tempo de execu o autoconfigura o atividade que normalmente realizada manualmente por especialistas de seguran a ap s o registro das atividades
60. amente deve possuir uma liga o com pelo menos um monitor caso contr rio os dados sensoreados ser o descartados pelo AutonomicSec Essa maneira nos quais sensores e monitores se comunicam fornece possibilidade de crescimento e organiza o para o sistema Por exemplo tendo como base a Figura 5 2 uma rede possui tr s sistemas de seguran a onde poss vel coletar dados para a partir desses realizar alguma tomada de decis o s o eles tr s sensores A dois sensores B e um sensor C Cada sensor envia para o AutonomicSec o dado coletado e o seu tipo Ent o o AutonomicSec fica respons vel por passar os dados coletados pelos sensores do tipo A para o monitor A dos sensores do tipo B para o monitor B e do sensor C para o monitor C Em cada monitor criada um fila de requisi es dos sensores contendo os dados que devem ser filtrados Caso n o haja nenhuma informa o a ser tratada por um monitor este componente processo ficar em modo de espera wait Internamente ao AutonomicSec logo que ele inicializado feita uma liga o entre componentes atrav s da passagem da refer ncia nome de suas inst ncias Chamamos isso de gerenciamento de registros de componentes O monitor inicialmente registrado no servidor AutonomicSec que esperar por requisi es sockets de sensores os quais enviar o dados coletados atrav s dessas conex es O analisador e planejador s o implementados como um nico componente assim ele
61. and containment using low and high interaction honeypots Comput Netw 51 1256 1274 April 2007 G Portokalidis A Slowinska and H Bos Argos an emulator for fingerprinting zero day attacks for advertised honeypots with automatic signature generation SIGOPS Oper Syst Rev 40 15 27 April 2006 S Poslad Autonomous Systems and Artificial Life pages 317 341 John Wiley amp Sons Ltd 2009 N Provos A virtual honeypot framework In Proceedings of the 13th conference on USENIX Security Symposium SSYM 04 pages 1 1 Berkeley CA USA 2004 USENIX Association M Qassrawi and Z Hongli Deception methodology in virtual honeypots In Networks Security Wireless Communications and Trusted Computing NSWCTC 2010 Second International Conference on volume 2 pages 462 467 april 2010 G Qu S Hariri S Jangiti J Rudraraju S Oh S Fayssal G Zhang and M Parashar Online monitoring and analysis for self protection against network attacks In Autonomic Computing 2004 Proceedings International Conference on pages 324 325 may 2004 M Roesch Snort lightweight intrusion detection for networks In Proceedings of the 13th USENIX conference on System administration LISA 99 pages 229 238 Berkeley CA USA 1999 USENIX Association K W Ross and J F Kurose Redes de Computadores e a Internet Uma abordagem top down Addison Wesley 3 edition 2006 A Saxena M Lacoste T Jarboui U Liicking a
62. aques a sistemas computacionais est o se tornando cada vez mais sofisticados imprevis veis frequentes e com uma maior quantidade de origens 18 Como exemplo destes ataques e tamb m atividades maliciosas ser o destacados alguns a seguir Dissemina o de C digos Maliciosos A dissemina o de c digo malicioso atrav s da Internet tem sido a maior amea a atual seguran a de sistemas de informa o C digo Malicioso ou Malware um termo gen rico que abrange todos os tipos de programas desenvolvidos especificamente para executar a es maliciosas em um computador Esta denomina o comumente empregada a um conjunto de aplica es tamb m denominadas individualmente como v rus worms keyloggers trojans backdoors e outros tipos de programas com a inten o de comprometer um sistema 31 Uma das maneiras mais utilizadas para o comprometimento de sistemas atrav s da propaga o auton mica de malwares A busca por m quinas vulner veis com o intuito de explorar vulnerabilidades e comprometer o sistema caracter stica de malwares como worms e bots Uma forma de entender as caracter sticas dos diferentes tipos de malware realizar a an lise de tr fego malicioso 42 3 3 Problemas Enfrentados 47 Spam e Phishing O termo spam utilizado para referenciar o recebimento de uma mensagem n o solicitada que geralmente tem o car ter de fazer propaganda de algum produto ou assunto n o desejado A palavr
63. ation damage to companies institutions and individuals There are several obstacles to achieve security into networks and it led to increase the problem complexity of security management For this reason it is interesting using the resources offered by Autonomic Computing AC AC systems are capable of manage themselves and to adapt dynamically to changes in order to restore its balance according to policies and business goals The architecture and properties of AC to implement systems offers many advantages to be applied to network security In this work we present the concepts of AC and demonstrate its applicability on the network computer security context The AC concepts application in network security introduces the auto security capability to the system To show the feasibility of achieving auto security we developed and present an autonomic mechanism for network protection This mechanism is represented initially by an autonomic framework which is organized according to MAPE K model In this model autonomic managers perform the sensing activities on the execution environment context analysis planning and execution of dynamic reconfiguration actions Then we implemented two autonomic cycles The first cycle aims to generate firewall rules based on honeypots log files The second cycle is responsible for manipulate dynamically virtual honeypots that are classified as compromised The results show that it is possible to obtain integration a
64. auto otimiza o autoprote o autocura autoconsci ncia e ci ncia de contexto Tamb m apresentou se a arquitetura de um sistema auton mico e em seguida o modelo MAPE K proposto originalmente pela IBM e que a refer ncia mais utilizada para o desenvolvimento de sistemas auton micos Por fim foi descrito as fases que envolvem o ciclo do gerenciamento auton mico mostrando detalhes particulares de cada uma 33 3 Estado Atual da Seguran a em Redes de Computadores Este cap tulo mostra a situa o atual em que se encontram as redes de computadores com rela o a sua seguran a Em uma vis o de maior n vel s o mostradas as poss veis fases que uma rede pode ser protegida e as ferramentas e t cnicas mais utilizadas em cada uma dessas fases Em seguida os atuais problemas de seguran a que as redes enfrentam s o descritos Por fim os fundamentos conceituais sobre m quinas virtuais s o apresentados mostrando as principais possibilidades de uso de virtualiza o na rea de seguran a 3 1 Considera es Iniciais O grande crescimento na quantidade de componentes e servi os oferecidos nas atuais redes de computadores tem aumentado o n vel de complexidade no trabalho de gerenciamento e administra o destas Cada vez mais s o integrados novos dispositivos s redes que requerem conectividade a qualquer momento e em qualquer lugar al m de se caracterizarem por sua heterogeneidade que dificulta o processo de
65. dades b sicas de CA s o alcan adas pela proposta deste trabalho Ou seja a nossa proposta oferece a possibilidade de alcan ar todas as propriedades b sicas listadas atrav s da extens o do framework A capacidade de oferecer como recurso as propriedades auton micas uma maneira de qualificar nosso trabalho podendo levar isso em considera o para caracteriz lo em rela o aos demais trabalhos desenvolvidos anteriormente Al m de fornecer as propriedades de CA como visto na Tabela 4 1 e detalhado nos pr ximos cap tulos este trabalho mostra atrav s de sua proposta que poss vel obter integra o e coopera o entre os sistemas de seguran a que foram inicialmente desenvolvidos para trabalharem isoladamente intelig ncia atrav s da implanta o de estrat gias auton micas que dinamizam o processo de prote o e por fim autonomia para alcan ar auto seguran a na rede de maneira que os sistemas consigam se auto gerenciarem 4 4 Conclus o 62 4 4 Conclus o Nesse cap tulo inicialmente foram mostrados exemplos de sistemas que se fundamentam na CA tendo como base os conceitos arquitetura e propriedades propostos por ela Em seguida foram vistos trabalhos que fornecem algumas propriedades da CA de maneira isolada mesmo n o sendo baseados nela E por fim a proposta deste trabalho foi detalhada e caracterizada mostrando o que trouxe de acr scimo para a rea de pesquisa e suas diferen as em rela o aos
66. de c digos maliciosos atrav s de uma abordagem pr tica In SBSeg 11 Anais dos Minicursos do Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais pages 9 52 SBC 2011 X Dong S Hariri L Xue H Chen M Zhang S Pavuluri and S Rao Autonomia an autonomic computing environment In Performance Computing and Communications Conference 2003 Conference Proceedings of the 2003 IEEE International pages 61 68 april 2003 REFER NCIAS BIBLIOGR FICAS 108 30 31 32 33 34 35 36 37 38 M Feily A Shahrestani and S Ramadass A survey of botnet and botnet detection In Emerging Security Information Systems and Technologies 2009 SECURWARE 09 Third International Conference on pages 268 273 june 2009 D S F Filho V M Afonso V F Martins A R A Gr gio P L de Geus M Jino and R D C dos Santos T cnicas para an lise din mica de malware In SBSeg 11 Anais dos Minicursos do Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais pages 104 144 SBC 2011 E Freeman and E Freeman Use a Cabe a Padr es de Projetos Design Patterns Alta Books 2009 P Garc a Teodoro J D az Verdejo G Maci Fern ndez and E V zquez Anomaly based network intrusion detection Techniques systems and challenges Computers amp Security 28 1 2 18 28 2009 Gleydson Mazioli da Silva Guia Foca
67. demais trabalhos anteriormente desenvolvidos 63 5 Seguran a Auton mica em Redes de Computadores Neste cap tulo apresentada a nossa proposta de abordagem auton mica a ser oferecida aos sistemas de seguran a de redes Primeiramente discutiremos as poss veis maneiras de aplicar CA a seguran a de redes tentando mostrar a viabilidade em conseguir atingir seguran a auton mica Em seguida descrevemos em uma vis o de mais alto n vel o nosso mecanismo auton mico mostrando a ideia da proposta atrav s de sua arquitetura topologia e funcionamento 5 1 Aplicabilidade Os sistemas de prote o das redes atuais est o baseados no paradigma da computa o interativa ou seja fica a cargo dos administradores humanos decidirem o que fazer e como proteger os sistemas no caso de ocorr ncias de ataques maliciosos ou erros em cascata imprevistos 19 Os sistemas que incorporam mais de uma fase para prote o de rede Se o 3 2 objetivando aumentar ainda mais o n vel de seguran a s o mais complexos Isso se deve ao fato de possu rem mais componentes para atenderem os requisitos de cada fase Essa complexidade necessita de uma constante interven o humana especializada para a correta utiliza o do sistema Dessa maneira interessante a utiliza o de mecanismos auton micos para automatizar os processos de ger ncia A aplica o dos conceitos da CA seguran a de redes introduz no sistema a capacidade de auto s
68. detec o de spam baseada na filtragem de mensagens n o solicitadas atrav s dos campos do cabe alho ou do conte do da mensagem 42 3 3 Problemas Enfrentados 43 3 2 4 Forense Em alguns casos quando as fases anteriores de preven o e detec o falham e o ataque foi bem sucedido se faz necess rio uma an lise de todos os logs no sentido de aprender como os m todos utilizados nos processos de detec o e defesa podem ser melhorados para futuros incidentes Sendo esta a fase chamada de forense que tem como objetivo realizar uma investiga o para descobrir detalhes espec ficos de ataques apresentando resultados que contribuam de alguma maneira para a melhoria da prote o da rede Outro objetivo desta fase fornecer provas suficientes para permitir que o autor do incidente de seguran a seja processado Para Pilli ES et al em 71 as t cnicas de forense de rede fornecem recursos para os investigadores rastrearem os atacantes Per cia Digital Para Palmer 67 Inform tica Forense definida como o uso de m todos cientificamente estabelecidos e comprovados para a preserva o coleta valida o identifica o an lise interpreta o documenta o e apresenta o da evid ncia derivada de fontes digitais para o prop sito de facilitar ou promover a reconstru o de eventos que causem a perturba o de opera es planejadas A per cia digital tem uma natureza investigativa em crimes relacionados a co
69. do comprometido quando o intruso que interage com ele descobre que est sendo enganado ganha dom nio e passa a utiliz lo como intermediador para a realiza o de outros ataques 86 59 17 Normalmente honeypots comprometidos quando dominados invadidos s o usados como n s integrantes de uma botnet e utilizados para prejudicar outros sistemas Dessa forma o problema de honeypots comprometidos um risco que diminui o potencial da ideia de metodologias de decep o para a rea de seguran a no qual merece aten o e deve ser tratado Neste ciclo o sensoriamento s o em logs gerados por uma aplica o de firewall para verificar a ocorr ncia de tr fego de sa da originados a partir de honeypots O firewall dever est configurado para registrar no log tentativas de in cio de conex o que utilizam os protocolos TCP UDP e ICMP que excedam uma determinada quantidade Ou seja o honeypot s poder receber conex es UDP e ICMP como tamb m responder conex es TCP que tenham sido iniciadas a partir de um usu rio externo A configura o inserida no firewall respons vel por determinar a quantidade limite de conex es que podem ser iniciadas a partir do honeypot em um intervalo de tempo por exemplo dez conex es por hora Dessa maneira poss vel identificar uma m quina que est sendo utilizada para intermediar a realiza o de ataques 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 76 pois u
70. do realizados Esses ataques quando bem sucedidos tem causado preju zos financeiros e de imagem para empresas institui es e pessoas f sicas V rios obst culos a serem enfrentados para se alcan ar redes realmente seguras existem dentre eles pode se destacar a exist ncia de depend ncia dos sistemas de seguran a por gerenciamento com interven o humana sendo este um processo que aumenta continuamente o n vel de dificuldade O fato dos ataques sistemas computacionais estarem se tornando cada vez mais sofisticados e as v rias defici ncias encontradas nos atuais sistemas de seguran a tamb m s o outros exemplos de obst culos 97 Tudo isso eleva a complexidade do problema da ger ncia de seguran a e por esse motivo interessante a utiliza o de recursos oferecidos pela Computa o Auton mica CA 81 Sistemas de CA s o capazes de gerenciarem a si pr prios e se adaptarem dinamicamente s mudan as a fim de restabelecer seu equil brio de acordo com as pol ticas e os objetivos de neg cio Para isso disp em de mecanismos efetivos que os permitem monitorar controlar e regular a si pr prios bem como recuperarem se de problemas sem a necessidade de interven es externas A arquitetura e as propriedades de CA para a implementa o de sistemas prop e uma abordagem com muitas vantagens para ser aplicada seguran a de redes 52 Al m de apresentar caracter sticas intr nsecas de auto gerenciamento um e
71. e o self protecting O sistema capaz de detectar e proteger seus recursos de atacantes internos e externos mantendo sua seguran a e integridade geral Autocura self healing O sistema deve possuir a habilidade de identificar potenciais problemas e de se reconfigurar de forma a continuar operando normalmente Aberto open O sistema deve ser port vel para diversas arquiteturas de hardware e software e consequentemente deve ser constru do a partir de protocolos e interfaces abertos e padronizados 2 3 Arquitetura de um Sistema Auton mico 24 e Capacidade de Antecipa o anticipatory O sistema deve ser capaz de antecipar na medida do poss vel suas necessidades e comportamentos considerando seu contexto e de se autogerenciar de forma pr ativa As propriedades de autoconfigura o auto otimiza o autocura e autoprote o s o suficientes para realizar a vis o original da Computa o Auton mica 63 Para a incorpora o das propriedades de auto otimiza o e autocura mecanismos de autoconsci ncia consci ncia de contexto e autoconfigura o devem ser requisitos do sistema Existem ainda outras propriedades que fornecem autonomia para sistemas como as listadas em 74 autoaprendizagem auto regula o auto interesse auto cria o auto replica o auto evolu o autodescoberta entre outras Para Poslad 74 as propriedades utilizadas para prov autonomia ao sistema dependem do seu
72. e ser visto na Figura 6 7 As configura es principais de endere amento desse cen rio s o e Firewall Interface da rede externa eth0 192 168 177 2 Interface da rede interna DMZ eth1 192 168 0 1 Interface da rede interna eth2 192 168 1 1 e AutonomicSec 192 168 0 10 6 2 Avalia o dos Ciclos Auton micos 91 e Honeynet Virtual Hipervisor 192 168 0 50 Maquina Virtual 1 Honeypot de alta interatividade 192 168 0 201 Maquina Virtual 2 Honeypot de alta interatividade 192 168 0 202 Honeypot de baixa interatividade 1 192 168 0 211 Honeypot de baixa interatividade 2 192 168 0 212 Honeypot de baixa interatividade 3 192 168 0 213 e Servidores de Produ o Servidor Web 192 168 0 120 Servidor DNS 192 168 0 121 Servidor SSH 192 168 0 130 Servidores de Produ o rd ethl AutonomicSec eth2 Internet Rede Externa d ee 2 Honeynet Rede Interna Figura 6 7 Cen rio para coleta de resultados Primeiro Ciclo Auton mico Inicialmente em um sensor deste primeiro ciclo auton mico foram gerados v rios registros no log nos quais selecionamos alguns para serem explorados e que podem ser vistos na Figura 6 8 O log segue o formato da ferramenta Honeyd e geraram tr s eventos pelo sensor para serem enviados ao monitor 6 2 Avalia o dos Ciclos Auton micos 92 Nas linhas 1 e 2 foram registradas conex es multicast sendo que na
73. e buscar uma solu o a ser tomada aplic la e depois testar se foi satisfat ria O processo de cura deve ser realizado com m xima transpar ncia para usu rios leg timos da rede e Autoconfigura o Nesta propriedade fornecida a capacidade para os sistemas se configurarem e reconfigurarem automaticamente de acordo com pol ticas de neg cio fornecidas por seus administradores os quais definem o que deve ser feito e n o como fazer 23 A fim de automatizar o gerenciamento de configura o um sistema de seguran a deve possuir capacidade de reconfigura o din mica com o m nimo de interven o humana e Autoaprendizagem Propriedade que fornece capacidade de aprendizado a partir de dados sensoreados e tamb m atrav s de experi ncias e resultados obtidos em a es anteriores Propriedade fundamental para sistemas de 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 66 seguran a visto que ela oferece a capacidade para o sistema aprender a se defender de ataques antes desconhecidos ou pelo menos reconhecer tr fego malicioso na rede para posterior defesa Mesmo diante de v rias qualidades oferecidas pela CA aplic la s redes de computadores e sua seguran a n o um processo trivial h desafios a serem enfrentados para alcan ar o auto gerenciamento Segundo Agoulmine et al em 14 o desafio simplificar as tarefas de ger ncia para o administrador automatizando o processo de deci
74. e de auto seguran a e A CA aplicada s redes de computadores ou a seguran a destas n o vem substituir o papel do administrador de redes ou do gerente de seguran a ou de maneira geral do respons vel por essas reas no segmento de Tecnologia da Informa o das organiza es Acreditamos que a CA vem fornecer na verdade um recurso a mais para esse profissional para que ele possa garantir maior qualidade no servi o prestado e Em rela o aos conhecimentos t cnicos aprendidos afirmamos que um estudo aprofundado sobre uma ferramenta desej vel a ser utilizada como sensor ou atuador tendo foco ou n o em seguran a o caminho para que ela possa ser integrada a ciclos auton micos junto ao AutonomicSec 7 Conclus es e Trabalhos Futuros 103 Limita es Em nossa proposta identificamos as seguintes limita es e O AutonomicSec foi projetado para funcionar de modo centralizado Contudo essa estrutura vulner vel por apresentar um nico ponto de falhas Ou seja o pr prio AutonomicSec pode se tornar uma vulnerabilidade caso o atacante tenha conhecimento sobre ele e A comunica o entre o AutonomicSec e os atuadores feita de forma remota usando Shell Script Bash atrav s de esquemas de autentica o com chaves assim tricas o que limita o uso dos ciclos ferramenta ssh e a sistemas operacionais baseados em Linux e Da mesma forma h limita es em rela o as ferramentas ou softwares utilizados
75. e garantir a confidencialidade e integridade dos dados com a utiliza o de controles de acesso aos recursos da rede Isso inclui t cnicas de autoriza o e autentica o servi os de login estabelecimento de confian a bem como criptografia e filtragem de tr fego uso de firewall importante ressaltar que preven o s poss vel para ataques conhecidos mas h trabalhos sendo desenvolvidos no sentido de prever a ocorr ncia de ataques desconhecidos como em 73 e 85 3 2 1 Preven o Mecanismos de preven o s o considerados sistemas de defesa em primeira linha ou seja s o respons veis pela primeira etapa na seguran a de uma rede de computadores Normalmente essa defesa em primeira linha feita na fase de projeto 3 2 Fases para Prote o de Redes 36 Preataquey Ataque Ros sataque Tempo lt Prevencao gt Detec o Atividades de Prepara o do Ataque DP Forense Defesa Figura 3 1 Quatro fases de prote o 97 da rede a fim de implant la de maneira segura e obter melhores resultados quando colocada em opera o Esses mecanismos s o tipicamente implantados para controlar acesso a recursos e informa o que transita na rede Filtragem Filtragem de pacotes feita atrav s de um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunica o Ela consiste no encaminhamento de pacotes determinando se esses devem ser descartados ou p
76. ecupera o dos dados depende de um algoritmo e uma ou mais chaves 87 Ou seja t cnicas criptogr ficas permitem que um remetente disfarce os dados de modo que um intruso n o consiga obter nenhuma informa o dos dados interceptados O destinat rio deve estar habilitado a recuperar os dados originais a partir dos dados disfar ados 79 3 2 Fases para Prote o de Redes 38 3 2 2 Detec o Se a preven o falhar detec o a pr xima fase a lidar com um incidente Detec o ent o o processo de descoberta de um ataque ou da prepara o para sua realiza o ou quaisquer outras atividades maliciosas desde um port scan at ind cios de quebra de senhas por t cnica de for a bruta Isso normalmente feito pela an lise de dados capturados por um sniffer sendo este a intercepta o e registro de dados que trafegam pela rede IDS Sistemas de detec o de intrus o Intrusion Detection Systems IDS s o utilizados na fase de detec o Eles realizam o monitoramento da rede chamado de Network Based Intrusion Detection System NIDS ou de um dispositivo conectado a ela bem conhecido como Host Based Intrusion Detection System HIDS com objetivo de encontrar a ocorr ncia de algum ataque ou atividade maliciosa IDSs podem ser aplicados a diferentes arquiteturas de rede como redes sem fio 25 e em dispositivos m veis 26 Um IDS pode utilizar v rias abordagens para identificar um ataque sendo as mais conhec
77. eguran a atrav s da qual servi os e fun es de gerenciamento da seguran a s o executados sem a necessidade de um gerente humano a partir da defini o de objetivos e par metros iniciais fornecidos por seus administradores 84 Para tentar propor solu es aos problemas descritos anteriormente Se o 3 3 poss vel destacar tamb m que a arquitetura de sistemas auton micos pode ser aplicada ao desenvolvimento de software voltado para defesa e seguran a O modelo 5 1 Aplicabilidade 64 MAPE K Se o 2 4 oferece uma vis o conceitual de como sistemas auton micos podem ser desenvolvidos para atender necessidades de seguran a Sensores podem ser qualquer programa que verifique ocorr ncias de tr fego malicioso independente de qual fase de prote o seja coletando informa es da rede para serem enviadas aos monitores Exemplo de dados coletados podem ser por exemplo o tr fego destinado a honeypots alertas de IDS logs de firewall etc Os monitores ir o receber essas informa es e trat las a fim de extrair o que vem a ser relevante por exemplo o endere o IP de origem do intruso o protocolo utilizado pelo servi o no qual foi realizado o ataque hor rio data da intrus o etc Os monitores enviam as informa es necess rias para os componentes de an lise e planejamento que as utilizam para seu processamento Como se sabe geralmente as fases de an lise e planejamento s o implementadas em um
78. ermitidos conforme o conte do de certos campos de seus cabe alhos Basicamente s o inspecionados os endere os Internet Protocol IP de origem e destino protocolo portas de origem e destino e em alguns casos o estado da conex o Os filtros de pacotes normalmente podem ser implementados atrav s de listas de controle de acesso Access Control Lists ACLs um m todo utilizado para configurar e distribuir filtros em roteadores e firewall um dispositivo de seguran a situado no limite da conex o com a Internet que examina os dados trafegados enquanto eles entram em uma das interfaces e aplica regras ao tr fego 92 Portanto um dispositivo ou conjunto de dispositivos configurado para permitir negar encriptar decriptar ou encaminhar tr fego de dados entre computadores de diferentes dom nios baseado em um conjunto de regras ou crit rios 61 Firewalls podem ser implementados diretamente em hardwares ou atrav s de softwares ou ainda com a combina o de ambos firmware Embora n o exista um consenso sobre a classifica o dos tipos de firewall a mais usual considera a exist ncia de tr s filtro de pacotes filtro de estados e filtros 3 2 Fases para Prote o de Redes 37 de aplica o gateways O primeiro tipo filtro de pacote compara as informa es do cabe alho de cada pacote com as regras definidas para decidir qual a o tomar A segunda filtros de estado mant m registros do estado das conex
79. es In Wireless Communications Networking and Mobile Computing WiCOM 2011 7th International Conference on pages 1 3 2011 96 K Zolfaghar and S Mohammadi Securing bluetooth based payment system using honeypot In Innovations in Information Technology 2009 IIT 09 International Conference on pages 21 25 dec 2009 97 SY T Zseby H Pfeffer and S Steglich Concepts for self protection In Y Zhang L T Yang and M K Denko editors Autonomic Computing and Networking pages 355 380 Springer US 2009
80. es de rede que est o ativas Assim a filtragem feita baseada na tabela de estados de conex es estabelecidas e n o apenas no cabe alho O ltimo tipo firewall de aplica o opera na camada de aplica o vasculhando o conte do dos pacotes a procura de ind cios de anomalias 42 O sistema operacional Linux considerado muito est vel em rela o a outros pois n o comumente amea ado por v rus de computador e tem o c digo aberto 95 No kernel do Linux 2 4 foi introduzido o firewall iptables comumente associado com netfilter 5 que substitui o ipchains dos kernels da s rie 2 2 Este firewall tem como vantagem ser muito est vel confi vel e permitir muita flexibilidade na programa o de regras pelo administrador do sistema 34 O iptables um firewall cl ssico em n vel de pacotes filtro de pacote Ele baseado no endere o porta de origem destino do pacote prioridade entre outros par metros Ele funciona atrav s da compara o de regras para saber se um pacote tem ou n o permiss o de acesso Em firewalls mais restritivos o pacote bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que est acontecendo em seu sistema Ele tamb m pode ser usado para muitas outras funcionalidades 34 Cifragem ou Criptografia o uso de algoritmos matem ticos para transformar os dados em um formato que n o seja prontamente decifr vel A transforma o e subsequente r
81. es de seguran a limitado S o desenvolvidas apenas para atender alguma das fases de prote o sem ter a habilidade para prover um mecanismo integrado que forne a maior capacidade de seguran a e Sem autoadapta o Aplica es n o tem a capacidade de mudar componentes internos para se adaptarem s necessidades do ambiente em que se encontram a fim de conseguir prov seguran a rede Todo um processo de reconfigura o manual preciso para manter a seguran a e Sem autoaprendizagem Aplica es n o possuem a habilidade para aprender com o tempo que se encontram em funcionamento necessitando de interven o para se atualizarem N o conseguem aprender com suas pr prias a es verificando os resultados destas que foram providos rede para uma an lise e melhorias futuras e Sem auto evolu o Al m de n o possu rem capacidade para aprenderem ainda n o implementam meios para que novos conhecimentos sejam agregados s t cnicas de defesa Para Atay e Masera em 18 todos os m todos de an lise de amea as vulnerabilidades e riscos necessitam atualizarem continuamente os seus conhecimentos sobre as novas fraquezas encontradas nos ativos da rede Isso servir para identificar como estas fraquezas podem ser exploradas para posteriormente 3 3 Problemas Enfrentados 45 definir e aplicar as contra medidas necess rias Esse um ciclo cont nuo pois novas avalia es ser o necess rias ao lon
82. fileServices que faz algo semelhante ao anterior no entanto ele retorna para services o s endere os s de todos os servi os de produ o que estejam no arquivo de configura o fileServices nos quais funcionem com mesma porta e protocolo Em seguida services e a pr pria intera o s o passados para a cria o e ou exclus o das regras de acordo com as listas cinza e negra explicadas na Se o 5 2 2 Elas ent o s o inseridas em um plano de a es para que dessa forma v rias possam ser enviadas ao executor Por fim verificado se a tomada de decis o gerou alguma regra para que o analisador planejador n o envie um evento vazio ou nulo null para o executor Na 6 2 Avalia o dos Ciclos Auton micos 88 verdade os eventos s o as pr prias regras utilizadas como par metros na chamada do Shell Script Esse script escrito em Bash e para este ciclo ele o atuador respons vel por reconfigurar um firewall iptables Esse atuador tamb m cria um relat rio com hor rio e data de regras aplicadas para que o administrador do sistema possa visualizar o que est sendo feito A comunica o entre o AutonomicSec e atuador neste ciclo via SSH Segundo Ciclo Auton mico Este ciclo tamb m serializa os dados no sensor para serem enviados tem monitoramento baseado em tempo e utiliza ECA Rules para tomada de decis o como no anterior Os dados sensoreados s o logs gerados pelo iptables atrav s de regras
83. go do tempo No entanto sabe se que informa es sobre novos ataques n o s o imediatamente divulgadas pelos fabricantes ou pela comunidade que desenvolve o software devido sua sensibilidade Isso ocorre devido essas informa es poderem ser utilizadas para explorar mais ainda as vulnerabilidades visto que usu rios mal intencionados podem obt las Elas s o publicadas ent o logo ap s os fabricantes liberarem as corre es Os m todos de an lise de riscos citado por 18 devem refazer a avalia o de seguran a dos sistemas levando em considera o informa es de novos ataques quando forem divulgadas ou com a utiliza o de t cnicas de intelig ncia para detec o antes mesmo da divulga o Diante desta situa o Wang et al 52 afirmam que a dire o correta para o desenvolvimento de aplica es de defesa e seguran a com a ado o de duas caracter sticas a integra o e intelig ncia Integra o para possibilitar o gerenciamento de v rios recursos de prote o em um ambiente de rede distribu do e a intelig ncia para prover adapta o ao ambiente aumentar a efici ncia de prote o baseado em seu conhecimento e no que adquiriu e por fim alcan ar um equil brio entre a aplica o de seguran a e o ambiente de rede Os problemas dos Antiv rus Em 31 foram listados os problemas mais recorrentes em softwares antiv rus como segue e Surgimento frequente e crescente de variantes de malware
84. guardian web page guardian active response for snort Dispon vel em http www chaotic org guardian Acessado em 03 jan 2012 7 Oracle e java tecnologias Dispon vel em http www oracle com br technologies java index html Acessado em 23 jan 2012 8 Rfc 792 internet control message protocol Dispon vel em http tools ietf org html rfc792 Acessado em 24 jan 2012 9 Ssh communications security ssh secure shell data in transit Dispon vel em http ssh com Acessado em 24 jan 2012 10 Vboxmanage Dispon vel em http www virtualbox org manual ch08 html Acessado em 24 jan 2012 11 Vm virtualbox Dispon vel em http www virtualbox org Acessado em 24 jan 2012 REFER NCIAS BIBLIOGR FICAS 106 12 13 14 15 16 17 18 19 20 M Abu Rajab J Zarfoss F Monrose and A Terzis A multifaceted approach to understanding the botnet phenomenon In Proceedings of the 6th ACM SIGCOMM conference on Internet measurement IMC 06 pages 41 52 New York NY USA 2006 ACM C Act Net Consortium The active database management system manifesto a rulebase of adbms features SIGMOD Rec 25 40 49 September 1996 N Agoulmine S Balasubramaniam D Botvich J Strassner E Lehtihet and W Donnelly Challenges for autonomic network management In 1st IEEE International Workshop on Modelling Autonomic Communications Environments MACE 2
85. ia o de cilos auton micos Logo depois explicamos o desenvolvimento dos ciclos auton micos os testes realizados com eles e o resultados alcan ados Como visto nos resultados poss vel obter integra o e coopera o entre sistemas de seguran a que foram inicialmente desenvolvidos para funcionarem de forma isolada Como tamb m intelig ncia atrav s da implanta o de estrat gias 6 3 Conclus o 99 auton micas que dinamizam o processo de prote o e autonomia para alcan ar auto seguran a na rede 100 7 Conclus es e Trabalhos Futuros Em 2001 a IBM produziu um manifesto no qual alertou a dificuldade de gerenciamento dos sistemas computacionais atuais apontando a autonomia como alternativa para a solu o deste problema Neste trabalho apresentamos a defini o e as principais caracter sticas de uma nova abordagem para o desenvolvimento de sistemas que provem autonomia a Computa o Auton mica Na qual envolve uma mudan a no modo de projetar sistemas computacionais pois esses devem possuir mecanismos efetivos que os permita monitorar controlar e regular a si pr prios bem como recuperarem se de problemas sem a necessidade de interven es externas A ideia por tr s dessa abordagem desenvolver software auto gerenci vel tendo pouca ou nenhuma interven o humana para manter se baseado apenas em pol ticas de alto n vel definidas pelo supervisor e no conhecimento adquirido ao longo do tempo
86. ica com as mesmas caracter sticas por m sem estar sob dom nio do intruso Consideramos que qualquer c digo malicioso instalado inicialmente pelo usu rio mal intencionado em um honeypot para ser utilizado como ponte para a realiza o de outros ataques n o ter efeito e assim n o ser mais dominado visto que a m quina virtual de decep o ser desativada junto com qualquer atividade maliciosa realizada anteriormente Portanto o plano de a es neste ciclo a realoca o din mica de honeypots substituindo os comprometidos por suas r plicas n o infectadas Para o correto funcionamento deste ciclo informa es da honeynet necessitam ser conhecidas a saber endere o da m quina do hipervisor respons vel pelo gerenciamento da virtualiza o pode haver mais de um endere os dos honeypots para a identifica o dos mesmos quando gerarem log de tr fego de sa da no firewall e localiza o das imagens de cada m quina virtual que representa a r plica n o infectada por c digos maliciosos Esta ltima criada inicialmente antes do honeypot ser colocado em atividade n o havendo a possibilidade de est comprometida 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 77 Servidores de Produ o AutonomicSec Sensor Firewall Internet Rede Externa ia be Atuador Hipervisor Honeypots Virtuais em Execucao tia R plicas dos Honeypots Virtuais Figura 5 9 Topologia do Segu
87. idas Baseado em Assinatura Signature Based e Baseado em Anomalia Anomaly Based 56 sendo descritas em 47 e Baseado em Assinatura Monitora as atividades da rede ou de um dispositivo espec fico procurando por ocorr ncias de alguma intrus o que comparada com uma base de assinaturas esta ltima contendo informa es de caracter sticas de ataques e atividades maliciosas A e Baseado em Anomalia Inicialmente montado um perfil que representa o comportamento normal da rede ou host fase conhecida como treinamento Posteriormente o sistema entra em fase de monitoramento no qual utiliza v rias m tricas para determinar se est havendo algum comportamento diferente do perfil inicial caracterizando ent o uma intrus o Sistemas de Detec o de Intrus o baseados em assinatura prov m timos resultados na detec o de ataques espec ficos ou bem conhecidos No entanto eles n o s o capazes de detectar novos tipos de intrus es mesmo que essas sejam varia es 3 2 Fases para Prote o de Redes 39 m nimas de ataques j conhecidos Ent o o principal benef cio em uma t cnica de detec o baseada em anomalia o seu potencial para detectar atividades maliciosas desconhecidas ou invis veis Por m h como desvantagem a taxa de falsos positivos em sistemas baseados em anomalia que geralmente mais elevada do que os baseados em assinatura 33 54 Honeypots Um outro mecanismo encontrado na
88. igura 4 4 poss vel observar que essa arquitetura baseada no MAPE K ee a a a a Y ee es wa eee ee ae ee ee ee e T Protected information computers and network resources Figura 4 4 Arquitetura do AND 22 4 1 Sistemas de Seguran a baseados em Computa o Auton mica 57 O monitoramento online coleta os dados trafegados na rede e opera es realizadas em computadores atrav s de ferramentas espec ficas e arquivos de log gerados por sistemas operacionais O modelo de sele o de caracter stica ir filtrar os dados monitorados a fim de encontrar informa es ou caracter sticas relevantes para serem passadas para o m dulo de an lise de anomalias Neste executada uma fun o para quantificar se existe um desvio do perfil padr o da rede ou de algum sistema caso haja considerado uma anomalia e o m dulo de a o ir executar a es adequadas Este ltimo ir resumidamente restringir o acesso aos recursos atacados e posteriormente tentar desinstalar c digos maliciosos que est o executando em computadores comprometidos da rede Qualidade de Prote o Este trabalho foi iniciado em 77 e teve como resultado um novo termo em 41 chamado de Qualidade de Prote o Quality of Protection QoP Ele um framework proativo para defesa de redes que pode ser integrado com os j existentes protocolos de
89. ina comprometida Depois de algum tempo a regra removida Neste caso o intruso poder continuar interagindo com o honeypot pois ser bloqueado apenas o tr fego de sa da originado a partir deste Contudo esse nosso segundo ciclo diferencia se dos demais por ter uma abordagem ativa realizando a substitui o dos honeypots virtuais comprometidos 4 3 Caracteriza o da Proposta 61 Esses dois ciclos auton micos criados tem o intuito de propor solu es para problemas particulares em seguran a de redes mais especificamente na rea de metodologias de decep o Eles s o extens es do framework desenvolvido A Tabela 4 1 ilustra uma compara o qualitativa efetuada entre os sistemas de seguran a vistos nas se es anteriores com a proposta deste trabalho Esta compara o leva em considera o se o sistema foi desenvolvido baseado em CA e as propriedades auton micas oferecidas ou que h possibilidade de serem oferecidas como recurso A nossa proposta identificada na Tabela 4 1 91 com a marca o X Propriedades Tipo Baseadoem CA N o baseado em CA Autoconfigura o 52 27 22 41 X 94 73 72 Auto otimiza o 52 22 41 X 73 51 72 Autocura 52 22 X 73 Autoprote o 52 27 22 X 73 Autoaprendizagem 52 22 41 X 94 73 51 72 Tabela 4 1 Compara o Qualitativa entre Sistemas de Seguran a Na Tabela 4 1 poss vel observar que as proprie
90. inserimos os dados dos tr s que comp em nosso cen rio Web linhas 1 e 2 DNS 3 e 4 e SSH 5 Nas linhas 2 e 4 repetimos o ICMP para os dois servidores pois os dois respondem a requisi es desse protocolo Essa configura o dos servidores de produ o do nosso cen rio pode ser representada na Figura 6 12 Web ICMP DNS ICMP SSH Servidores de Produ o Figura 6 12 Servidores de produ o do cen rio Ent o realizado o processamento da estrat gia na qual tivemos como resultado as regras do firewall iptables vistas na Figura 6 13 As linhas 1 a 3 s o regras 6 2 Avalia o dos Ciclos Auton micos 95 geradas pelo primeiro evento a 4 pelo segundo e a 5 pelo terceiro A seguir os objetivos das regras e os motivos nos quais as geraram s o explicados e Regra 1 Pacotes encaminhados pelo firewall com origem 192 168 177 247 e destino 192 168 0 120 24 com protocolo ICMP s o rejeitados Essa regra foi gerada porque houve intera o do IP 192 168 177 247 com protocolo ICMP de algum honeypot e Regra 2 Pacotes encaminhados pelo firewall com origem 192 168 177 247 e destino 192 168 0 121 24 com protocolo ICMP s o rejeitados Essa regra foi gerada porque houve intera o do IP 192 168 177 247 com protocolo ICMP de algum honeypot e Regra 3 Pacotes encaminhados pelo firewall com origem 192 168 1 45 e destino 192 168 0 121 24 com protocolo UDP e porta de destino 53 s o rejeitados Essa regra foi gerada porque
91. irewall baseadas em logs de honeypots Ou seja os dados sensoreados s o os logs a n vel de rede gerados por honeypots de baixa interatividade e a os atuadores aplicam regras para controle de tr fego entre redes distintas em uma aplica o de firewall As regras s o geradas segundo uma estrat gia auton mica baseada em inten es que est associada a modifica o das permiss es de acesso de usu rios externos a servi os da rede interna de acordo com sua intera o com honeypots O segundo ciclo respons vel por manipular dinamicamente honeypots virtuais que s o considerados comprometidos Um honeypot considerado comprometido quando o intruso que interage com ele descobre que est sendo enganado ganha dom nio sob este e passa a utiliz lo como intermediador para a realiza o de outros ataques O componente sensor neste ciclo ir fazer a an lise em logs de firewall para verificar a ocorr ncia de tr fego de sa da originados a partir de honeypots e caso ocorra a m quina virtual comprometida ser substituida por sua r plica Esta ltima criada inicialmente antes do honeypot ser colocado em atividade n o havendo a possibilidade de estar comprometida A a o executada neste ciclo a pr pria substitui o dos honeypots comprometidos 1 1 Objetivos 19 Esses dois ciclos auton micos desenvolvidos tem o intuito de propor solu es para problemas particulares em seguran a de redes mais especificamente na
92. is contribui es desse trabalho s o e A proposta de um mecanismo auton mico para seguran a de redes baseado em decep o na qual combina a ideia de CA com a utiliza o de honeypots Esse mecanismo composto de um framework baseado no modelo arquitetural MAPE K e dois ciclos auton micos que s o extens es do framework Atrav s desse mecanismo integramos sistemas de seguran a de maneira que eles cooperem entre si e O framework auton mico seu modelo e implementa o para ser reutilizado em extens es que desejam criar outros ciclos auton micos e A avalia o do mecanismo auton mico proposto atrav s da realiza o de testes com os dois ciclos auton micos em cen rio comum de uso Nesta avalia o detalhamos os resultados obtidos em cada componente correspondente a uma fase do ciclo MAPE K Ainda mostramos atrav s desses resultados o que o mecanismo auton mico agrega para a seguran a de redes e Uma discuss o sobre a aplicabilidade de CA auton mica rea de seguran a de redes de maneira que foi poss vel contextualizar a nossa proposta que combina CA com metodologias de decep o e Uma an lise comparativa entre o mecanismo auton mico proposto e outros trabalhos relevantes buscando caracteriz lo em rela o a esses ltimos e Para contextualizar essas principais contribui es ainda exploramos os t picos de pesquisa fazendo Uma apresenta o sobre Computa o Auton mica
93. jan 2003 A Khalid M Haye M Khan and S Shamail Survey of frameworks architectures and techniques in autonomic computing In Autonomic and Autonomous Systems 2009 ICAS 09 Fifth International Conference on pages 220 225 april 2009 REFER NCIAS BIBLIOGR FICAS 110 50 51 52 53 54 55 56 57 58 59 60 M Krause and H F Tipton Handbook of Information Security Management Auerbach Publications 1999 C Kreibich and J Crowcroft Honeycomb creating intrusion detection signatures using honeypots SIGCOMM Comput Commun Rev 34 51 56 January 2004 W Kun W Jin dong S Liu ging and H Zhen hua An intelligent security defensive software scheme and realization In Intelligent Information Technology and Security Informatics IITSI 2010 Third International Symposium on pages 793 796 april 2010 M A P Laureano and C A Maziero Virtualiza o Conceitos e aplica es em seguran a In SBSeg 08 Anais dos Minicursos do Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais SBC 2008 F d A Le o Moraes Seguran a e confiabilidade em ids baseados em agentes Master s thesis PPGEE UFMA 2009 M L ger T Ledoux and T Coupaye Reliable dynamic reconfigurations in the fractal component model In Proceedings of the 6th international workshop on Adaptive and reflective middleware held at the ACM IFIP USENIX Internationa
94. l Middleware Conference ARM 07 pages 3 1 3 6 New York NY USA 2007 ACM C F L Lima Agentes inteligentes para detec o de intrusos em redes de computadores Master s thesis PPGEE UFMA 2002 A Mairh D Barik K Verma and D Jena Honeypot in network security a survey In Proceedings of the 2011 International Conference on Communication Computing amp Security ICCCS 11 pages 600 605 New York NY USA 2011 ACM M Mansouri Samani Monitoring of Distributed Systems PhD thesis University of London Imperial College of Science Technology and Medicine December 1995 A Marcelo and M Pitanga Honeypots a arte de iludir hackers Brasport Rio de Janeiro 2003 P K McKinley S M Sadjadi E P Kasten and B H C Cheng Composing adaptive software Computer 37 56 64 July 2004 REFER NCIAS BIBLIOGR FICAS 111 61 62 63 64 65 66 67 68 69 70 71 S Mirzaie A Elyato and M Sarram Preventing of syn flood attack with iptables firewall In Communication Software and Networks 2010 ICCSN 10 Second International Conference on pages 532 535 2010 R Muraleedharan and L Osadciw An intrusion detection framework for sensor networks using honeypot and swarm intelligence In Mobile and Ubiquitous Systems Networking Services MobiQuitous 2009 MobiQuitous 09 6th Annual International pages 1 2 july 2009 R Murch Autonomic Computing IBM
95. la o Emulam sistemas e servi os Executam sistemas e servi os reais Implementa o Simples e de f cil gerenciamento Cuidados devem ser tomados na instala o para que n o sejam comprometidos Controle Atacante n o tem controle Atacante pode ter controle total por se tratar de uma emula o por se tratar de um servi o real Limita es Captura de tr fego e malware Captura de mais informa es Efici ncia Menor facilidade em iludir atacantes Dificuldade em identificar na rede pois s o confundidos com servi os de produ o Tabela 3 1 Compara o entre os tipos de honeypots Um outro conceito o de honeynet relacionado a metodologias de decep o sendo esta um conjunto de honeypots juntamente com um firewall para limita o e registro de tr fego 86 Normalmente ela virtualizada em uma nica m quina sendo os endere os IP servi os de rede e sistemas operacionais emulados uma rede projetada especialmente para ser atacada 3 2 Fases para Prote o de Redes 41 Segundo Stallings 87 os honeypots s o projetados para e Desviar um atacante do acesso a sistemas cr ticos e Coletar informa es sobre a atividade do atacante e Encorajar o atacante a permanecer no sistema por tempo suficiente para que os administradores respondam Pode se citar de acordo com Spitzner 86 algumas vantagens na utiliza o de honeypots e Como ele isolado o registro de informa es para an lise pe
96. lemento auton mico prov outras funcionalidades que podem ser utilizadas para resolver problemas particulares seguran a de redes com o uso de t cnicas de aprendizagem e coopera o entre as aplica es 1 Introdu o 18 Neste trabalho apresentamos os conceitos de CA e mostramos sua aplicabilidade ao contexto de seguran a em redes de computadores A aplica o dos conceitos de CA seguran a de redes introduz no sistema a capacidade de auto seguran a atrav s da qual servi os e fun es de gerenciamento da seguran a s o executados sem a necessidade de um gerente humano a partir apenas da defini o de objetivos e par metros iniciais fornecidos por seus administradores Para mostrar a viabilidade em conseguir auto seguran a desenvolvemos e apresentamos um mecanismo auton mico para prote o de redes Este mecanismo representado inicialmente por um framework auton mico no qual organizado seguindo o modelo Monitoring Analysis Planning Execution and Knowledge loop MAPE K Neste modelo gerentes auton micos realizam as atividades de sensoriamento do ambiente de execu o an lise de contexto planejamento e execu o de a es de reconfigura o din mica Em seguida para mostrar a aplicabilidade do framework e tamb m gerando contribui es para resolver problemas espec ficos de seguran a de redes implementamos dois ciclos auton micos O primeiro tem a funcionalidade de gerar regras de f
97. m Cluster Computing 9 5 17 January 2006 S Hariri G Qu R Modukuri H Chen and M Yousif Quality of protection qop an online monitoring and self protection mechanism Selected Areas in Communications IEEE Journal on 23 10 1983 1993 oct 2005 M Henke E N Clayton Santos E Feitosa E dos Santos and E Souto Aprendizagem de m quina para seguran a de computadores M todos e aplica es In SBSeg 11 Anais dos Minicursos do Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais pages 53 103 SBC 2011 B W P Hoelz F I Mesquita and P Auler Live forensics em ambiente microsoft windows In SBSeg 11 Anais dos Minicursos do Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais pages 232 275 SBC 2011 C Hoepers K Steding Jessen and A Montes Honeynets Applied to the CSIRT Scenario In Proceedings of the 15th Annual Computer Security Incident Handling Conference to appear Ottawa Canada June 2003 M C Huebscher and J A McCann A survey of autonomic computing degrees models and applications ACM Comput Surv 40 7 1 7 28 August 2008 IBM An architectural blueprint for autonomic computing 2003 P Kabiri and A A Ghorbani Research on intrusion detection and response A survey International Journal of Network Security 1 84 102 2005 J Kephart and D Chess The vision of autonomic computing Computer 36 1 41 50
98. m honeypot n o deve ser instalado e mantido de forma que inicie intera es conex es Portando se um honeypot iniciar conex es acima de um limite especificado ele considerado comprometido Esse mecanismo de identifica o de honeypots comprometidos j implementado no Honeywall e sessionlimit ent o tomamos como base na gera o dos logs para os sensores deste ciclo Os sensores enviam para o AutonomicSec os logs gerados pelo firewall nas ocorr ncias explicadas acima que as repassam ao monitor respons vel Este por sua vez extrai o endere o do n da rede que gerou a ocorr ncia e o envia para o componente de an lise e planejamento Portanto a filtragem realizada pela fase de monitoramento neste ciclo simples havendo a necessidade de extrair apenas o campo de endere amento Dessa maneira poss vel identificar um honeypot comprometido se o log tiver sido gerado pelo endere o de um e isso feito pela estrat gia auton mica deste ciclo Ent o na pr xima etapa a de an lise e planejamento a estrat gia auton mica verifica se o endere o recebido pertence a alguma m quina virtual da honeynet Caso isso ocorra a a o a ser executada atrav s do atuador que neste ciclo representado pelo hipervisor dos honeypots virtuais como visto na Figura 5 9 a substitui o dos honeypots comprometidos Essa substitui o din mica e representa o desligamento da m quina virtual e inicializa o de outra id nt
99. mentos gerenciados componente de hardware ou de software 48 Cada elemento auton mico atua como um gerente respons vel por promover a produtividade dos recursos e a qualidade dos servi os providos pelo componente do sistema no qual est instalado No ciclo MAPE K auton mico Figura 2 2 o elemento gerenciado representa qualquer recurso de software ou hardware o qual dado o comportamento auton mico atrav s do acoplamento de um gerenciador auton mico podendo ser por exemplo um servidor Web ou banco de dados um componente de software espec fico em um aplicativo por exemplo o otimizador de consulta em um banco de dados o sistema operacional um conjunto de m quinas em um ambiente de rede etc Os sensores sensors s o respons veis por coletar informa es do elemento gerenciado Estes dados podem ser os mais diversos poss veis por exemplo o tempo de resposta das requisi es dos clientes caso o elemento gerenciado seja um servidor Web As informa es coletadas pelos sensores s o enviadas aos monitores monitors onde s o interpretadas preprocessadas e colocadas em um n vel mais alto de abstra o para ent o serem enviadas para a etapa seguinte no ciclo a fase de an lise 2 4 MAPE K 26 Elemento Auton mico Gerente Auton mico Analisador Samu Sensores Atuadores Elemento Gerenciado Figura 2 2 MAPE K Ciclo de gerenciamento auton mico 45 e planejamento analyze and planing Nest
100. mo neur nio chefe Head Neuron o algoritmo de elei o leva em considera o os recursos computacionais e velocidade de comunica o do host Head Head Figura 4 3 Estrutura de organiza o hier rquica e P2P dos neur nios virtuais 27 Na organiza o hier rquica um neur nio chefe eleito como o chefe de alto n vel Head Head para outros neur nios chefes Este procedimento repetido at existir um nico neur nio chefe de maior n vel sobre os demais Se ocorrer alguma falha em algum neur nio chefe de uma c lula um outro neur nio desta mesma c lula ir assumir o papel de neur nio chefe atrav s de uma nova elei o Nessa organiza o hier rquica as mensagens s o entregues de maneira mais eficiente O mecanismo de seguran a empregado por este sistema distribu do feito na detec o de mensagens com dados ou mensagens ilegais Primeiramente as origens dos ataques s o rastreadas para identificar e localizar o atacante Depois o tr fego ilegal originado por ele bloqueado ou seja todos os neur nios ir o receber mensagens para descartarem tr fego que tenha como origem um usu rio malicioso identificado A reconfigura o de recursos feita neste momento para realiza o da defesa pelo sistema Para realizar a detec o e posterior defesa foi desenvolvido um mecanismo caracter stica ou assinatura para cada tipo de ataque dentre esses 4 1 Sistemas de Seguran a baseados em Compu
101. mputadores 43 Diante destas fases poss vel caracterizar a atua o das aplica es de seguran a de redes Por sua vez muitas das aplica es utilizadas atualmente possuem problemas Junto a isso os ataques redes de computadores vem se tornando cada vez mais sofisticados Esses problemas ser o detalhados a seguir 3 3 Problemas Enfrentados Nesta se o ser descrito em duas classifica es os problemas em seguran a de redes de modo a facilitar a compreens o do n vel de complexidade em que se encontram S o eles problemas enfrentados pelos atuais sistemas de seguran a e a robustez dos ataques a sistemas computacionais 3 3 Problemas Enfrentados 44 3 3 1 Problemas em Sistemas de Seguran a Zseby et al em 97 afirmam que a seguran a de redes necessita crucialmente de uma maior aten o por parte do administrador e quase sempre de mais esfor os e custos pois novos protocolos e aplica es introduzem novas vulnerabilidades Infelizmente os mecanismos utilizados para aumentar o n vel de seguran a atualmente possuem alguns problemas a saber e Estrutura s lida Sistemas desenvolvidos para seguran a possuem pouca flexibilidade pois s o desenvolvidos apenas para situa es isoladas N o possuem as caracter sticas de um sistema aberto Tamb m n o s o capazes de se integrar com outros mecanismos de seguran a existentes no ambiente e Habilidade de defesa baixa O escopo das atuais aplica
102. nd B Steinke A software framework for autonomic security in pervasive environments In Proceedings of the 3rd international conference on Information systems security ICISS 07 pages 91 109 Berlin Heidelberg 2007 Springer Verlag L Shen J Wang K Wang and H Zhang The design of intelligent security defensive software based on autonomic computing In Proceedings of the 2009 REFER NCIAS BIBLIOGR FICAS 113 Second International Conference on Intelligent Computation Technology and Automation Volume 01 pages 489 491 Washington DC USA 2009 IEEE Computer Society 82 J E Smith and R Nair Virtual Machines Architectures Implementations and Applications Morgan Kaufmann 2004 83 J E Smith and R Nair The architecture of virtual machines Computer 38 5 32 38 may 2005 84 A Soares Teles F J da Silva e Silva and Z Abdelouahab Computa o auton mica aplicada a seguran a de redes In V Escola Regional de Inform tica Cear Maranh o Piaui pages 54 78 Sociedade Brasileira de Computa o 2011 85 J Song H Takakura and Y Kwon A generalized feature extraction scheme to detect 0 day attacks via ids alerts In Applications and the Internet 2008 SAINT 2008 International Symposium on pages 55 61 28 2008 aug 1 2008 86 L Spitzner Honeypots Definitions and value of honeypots In SANS Annual Conference 2002 87 W Stallings Criptografia e seguran a de redes Princ pi
103. nd cooperation between security systems intelligence through the deployment of autonomic strategies that turn the protection process dynamic and autonomy to achieve self security on the network Keywords Network Security Autonomic Computing Methodology of Deception Agradecimentos Agrade o a Deus em primeiro lugar e a minha fam lia que sempre me apoiou em momentos dif ceis nesses dois anos de curso principalmente minha m e F tima que me incentiva nos estudos desde crian a meu pai Marcondes e minha irm Layla Agrade o ao meu orientador Prof Zair Abdelouahab que me conduziu na elabora o deste trabalho com in meras discuss es sobre o tema de pesquisa e tamb m de como fazer pesquisa cient fica que contribu ram muito Mas agrade o principalmente por ele ter acreditado em mim desde o in cio ao me aceitar no Mestrado como seu aluno Agrade o a equipe do Laborat rio de Sistemas em Arquiteturas Computacionais LABSAC da UFMA com os quais compartilhamos conhecimentos na rea de pesquisa em Seguran a de Redes Em especial Lianna Vladimir e Jean Pablito que contribu ram em discuss es sobre o assunto Agrade o a equipe do Laborat rio de Sistemas Distribu dos LSD da UFMA com os quais compartilhamos conhecimentos na rea de pesquisa em Computa o Auton mica Em especial agrade o a Jesseildo e Berto que contribu ram efetivamente com este trabalho Agrade o ao Prof Francisco Jos da Silva e
104. ndo Ciclo Auton mico Ao final deste ciclo obtemos as seguintes propriedades auton micas autoconfigura o pois este ciclo do AutonomicSec reconfigura dinamicamente a honeynet atrav s da manipula o dos honeypots virtuais autoprote o para a rede como um todo partindo do princ pio que metodologias de decep o n o ser o utilizadas para a realiza o de ataques rede externa e tamb m interna por ltimo autocura para os pr prios honeypots desabilitando o infectado e inserindo um que n o esteja sendo este o processo de cura Contudo consideramos que um mecanismo de decep o deve ser na verdade utilizado para a prote o de redes na fase de detec o de intrus o e n o um meio para a realiza o de ataques sendo este segundo ciclo focado em conseguir uma solu o que garanta isso 5 2 4 Discuss o Para introduzir um novo ciclo necess rio estender os tr s principais componentes do AutonomicSec monitor analisador planejador e o plano de a o que o c digo a ser processado pelo executor Como tamb m devem ser implementados 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 78 os componentes sensor e atuador O sensor deve ser criado como um cliente socket coletando dados e os enviando ao monitor O atuador tamb m externo ao framework poder ser qualquer aplica o respons vel pela reconfigura o do elemento gerenciado O monitor deve ser implementado de maneira a filtrar
105. nspirado em CA e objetiva alcan ar a caracter stica de autoaprendizagem atrav s da gera o autom tica de novas regras de firewall e poss vel identifica o de ataques de ltimo dia Nosso ciclo ainda pode ser facilmente aplicado em um ambiente de redes com seguran a distribu da bastando seguir os padr es de log Em rela o ao segundo ciclo auton mico desenvolvido respons vel por manipular dinamicamente honeypots virtuais h trabalhos que visam resolver o problema de honeypots comprometidos por m eles tem uma abordagem passiva em rela o a a o a ser tomada nos hosts que est o sendo controlados por atacantes para realizar atividades maliciosas a outras m quinas na mesma ou outras redes Neste sentido o Honeywall 21 foi desenvolvido um bootable CD ROM capaz de instalar e configurar um centro de controle de honeynets junto a um gateway O objetivo dele proteger a rede de produ o de ataques originados a partir dos honeypots Al m de utilizar um IDS com m dulo reativo plugin 6 se tornando um IPS possui regras de firewall para controlar o tr fego de sa da da honeynet No mesmo sentido a ferramenta Sessionlimit 88 44 foi desenvolvida projetada com o objetivo de conter atividades de intrusos depois que um honeypot comprometido Ela pode detectar quando h iniciativa de scan e DoS reagindo dinamicamente inserindo uma nova regra no firewall para bloquear o tr fego de sa da especificamente da m qu
106. nte Ele consiste de alguns componentes b sicos s o eles componente de comando 4 1 Sistemas de Seguran a baseados em Computa o Auton mica 53 componente de execu o componente sensor componente de pol ticas componente de equipamento e outros auxiliares como visto na Figura 4 1 Command Component Execution Component Equipment gt Sense Data Set Security o aaa Policy Set Variants type value Security Policy lt condition Component action gt Figura 4 1 Framework conceitual do ISDS 52 O componente de comando Command Component a principal parte do ISDS tendo como fun es a ativa o dos componentes de pol ticas Policy sensor Sense e equipamento Equipment a execu o da tomada de decis o baseada no componente sensor o gerenciamento do conjunto de componentes de seguran a e pol tica atualiza o de novos componentes de seguran a e pol ticas verificando e resolvendo conflitos de pol ticas J o componente de execu o Execution Component trabalha como um canal de comunica o entre as entidades de seguran a e o componente de comando Ele se encarrega de filtrar tratar e transmitir a mensagem para todos os outros componentes os fazendo trabalharem corretamente O componente de pol ticas se encarrega principalmente em fazer a manuten o do conjunto de pol ticas a tomada de decis o das pol ticas adequadas e tamb m a passagem do resultado da decis o As inf
107. nteriormente e criando apenas uma de bloqueio total a rede Servidores de Produ o a Em Ea L Acesso Negado Intruso e t E aE Firewall Internet Rede Externa AutonomicSec Sensores Honeypots Figura 5 7 Lista Negra 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 74 A estrat gia auton mica necessita de algumas informa es para funcionar corretamente sendo uma delas a de identifica o dos servidores de produ o da rede na qual deve conter o endere o protocolo TCP UDP ou ICMP e porta utilizada pelo servi o Uma outra informa o que a estrat gia deve conhecer s o os endere os considerados sempre leg timos na rede nos quais fazem parte do que chamamos de lista branca Nela s o informados endere os que n o geram regras de firewall pois s o considerados confi veis mesmo que interajam com um honeypot e gerem log no componente sensor Ao final deste ciclo obtemos as seguintes propriedades auton micas autoconfigura o pois este ciclo do AutonomicSec reconfigura dinamicamente as regras de controle de tr fego da aplica o de firewall autoaprendizagem para o pr prio firewall porque as regras s o implementadas nele a fim de que possa adquirir conhecimento sobre novos usu rios mal intencionados e assim bloque los de acordo com sua inten o de ataque auto otimiza o para as pr prias regras visto que no caso da inser o de um endere o na lista negra h
108. ntinha uma conex o com protocolo IGMP foi descartada assim como campos ou caracteres n o teis para a estrat gia auton mica Ao chegar na fase de an lise e planejamento as informa es ser o usadas para uma tomada de decis o na qual utiliza os arquivos fileWhiteList e fileServices vistos nas Figuras 6 10 e 6 11 respectivamente 1 2 ol N 10 11 192 168 0 1 192 168 0 10 192 168 0 50 192 168 0 201 192 168 0 202 192 168 0 211 192 168 0 212 192 168 0 213 192 168 0 120 192 168 0 121 192 168 0 130 Figura 6 10 Arquivo de configura o da lista branca 6 2 Avalia o dos Ciclos Auton micos 94 Na lista branca adicionamos os endere os dos hosts da rede que consideramos confi veis por n o representarem uma amea a Ent o inicialmente colocamos os endere os do firewall AutonomicSec e da m quina no qual tem o hipervisor das m quinas virtuais linhas 1 a 3 Em seguida os endere os das m quinas virtuais que est o os honeypots de baixa interatividade 4 e 5 e tamb m os endere os dos pr prios honeypots 6 a 8 e servidores de produ o 9 a 11 1 192 168 0 120 tcp 80 web 2 192 168 0 120 icmp 0 icmp web 3 192 168 0 121 udp 53 dns 4 192 168 0 121 icmp 0 icmp dns 5 192 168 0 130 tcp 22 ssh Figura 6 11 Arquivo de configura o dos servi os No arquivo de configura o que cont m as informa es dos servidores de produ o com seus respectivos servi os
109. odelo MAPE K 2 Um ciclo auton mico que tem a funcionalidade de gerar regras de firewall baseadas em logs de honeypots 3 Um ciclo auton mico respons vel por manipular dinamicamente honeypots virtuais que s o considerados comprometidos Inicialmente a proposta do framework inspirada em outros trabalhos desenvolvidos em 49 80 29 que visam tamb m fornecer comportamento auton mico para sistemas computacionais Diferentemente dos demais a nossa proposta foca na simplicidade e baseia se no modelo MAPE K tentando representar fielmente todos seus componentes com suas funcionalidades espec ficas 4 3 Caracteriza o da Proposta 60 e responsabilidades Por m nosso framework criado com o objetivo de ser aplicado em ambientes de redes para coopera o entre sistemas de seguran a Com a utiliza o do framework o primeiro ciclo auton mico implementado a fim de melhor utilizar os logs gerados por honeypots inspirado nos trabalhos desenvolvidos em 85 90 16 e principalmente em 20 Ambos trabalhos visam automatizar o processo de defesa seja atrav s da gera o de assinaturas de IDS gera o de alertas pela detec o de anomalias como tamb m identifica o de ataques de ltimo dia atrav s de logs de honeypots O trabalho de Castiglione et al 20 ainda realiza a configura o de firewall mas baseado em alertas de IDS e no tr fego de dados sniffer Diferente deste ltimo o nosso ciclo i
110. olvemos um prot tipo do mecanismo auton mico atrav s da implementa o do framework e sua extens o para os dois ciclos auton micos Posteriormente realizamos testes nos ciclos em cen rio comum de uso e em seguida detalhamos os resultados obtidos em cada componente correspondente a uma fase do ciclo MAPE K Ao explicar os resultados alcan ados mostramos o que o mecanismo auton mico agrega para a seguran a de redes 6 1 Implementa o do Framework Auton mico A fim de tornar a ideia do framework auton mico utiliz vel para ser estendido em aplica es de seguran a o implementamos utilizando tecnologia Java 7 e o Ambiente Integrado de Desenvolvimento Integrated Development Environment IDE Eclipse 2 A Figura 6 1 mostra o diagrama de componentes na qual poss vel observar como os componentes s o distribu dos sistema descentralizado ServerAutonomicSec E Figura 6 1 Diagrama de componentes do Framework Os componentes de sensoriamento sensors devem ser implementados junto a sistemas de seguranca para serem utilizados na coleta de dados em uma extens o Da mesma maneira que os componentes atuadores effectors precisam ser implementados junto a outros sistemas de seguran a sendo que estes no entanto sofrer o reconfigura es Como explicado anteriormente na Se o 5 2 1 ressaltamos que ao implementar cada sensor necess rio passar para o AutonomicSec dois campo
111. orma es do resultado das decis es tomadas ser o passadas para o componente de equipamento que ent o ir executar alguma a o Por fim o componente sensor coleta informa es do ambiente e as envia para o componente de comando levando em considera o o custo do sensoriamento de dois modos emerg ncia e timing sendo o primeiro com maior prioridade em rela o ao segundo 4 1 Sistemas de Seguran a baseados em Computa o Auton mica 54 Autonomic Security and Self Protection based on Feature Recognition with Virtual Neurons No trabalho desenvolvido em 27 foi apresentado um mecanismo de seguran a auton mico baseado em neur nios virtuais e no reconhecimento de caracter sticas Sua abordagem trabalha para detectar automaticamente v rios problemas de seguran a que atualmente s o dif ceis de realizar defesa Atrav s de simula o e diferentes estudos de caso resultados mostram que esta solu o vi vel Os neur nios virtuais s o desenvolvidos de forma an loga aos neur nios dos animais como visto na Figura 4 2 A ideia que eles sejam distribu dos de maneira a perceber modifica es no ambiente e reagir a est mulos Esse neur nio virtual na realidade um simples software com capacidade de ci ncia de contexto a fim de analisar informa es do contexto e estar ciente de eventuais surgimentos de ataques Information Collector Virtual Neuron Neighbor Communicator Featu
112. os e pr ticas Prentice Hall 4 edition 2008 88 K Steding Jessen and C Hoepers Sessionlimit Dispon vel em http www honeynet org br tools sessionlimit sessionlimit 0 3 README Acessado em 03 jan 2012 89 A S Tanenbaum Sistemas Operacionais Modernos Prentice Hall Brasil 2006 90 X Tang The generation of attack signatures based on virtual honeypots In Parallel and Distributed Computing Applications and Technologies PDCAT 2010 International Conference on pages 435 439 dec 2010 91 A S Teles J P M Mendes and Z Abdelouahab Autonomic computing applied to network security A survey Cyber Journals Multidisciplinary Journals in Science and Technology Journal of Selected Areas in Telecommunications JSAT November Edition 7 14 2011 92 T Thomas Seguran a de Redes Primeiros Passos Ci ncia Moderna LCM 2007 REFER NCIAS BIBLIOGR FICAS 114 93 V Verendel D Nilsson U Larson and E Jonsson An approach to using honeypots in in vehicle networks In Vehicular Technology Conference 2008 VTC 2008 Fall IEEE 68th pages 1 5 sept 2008 94 B Wang P Zhu Q Wen and X Yu A honeynet based firewall scheme with initiative security strategies In Computer Network and Multimedia Technology 2009 CNMT 2009 International Symposium on pages 1 4 jan 2009 95 L Xuanmin S Chang Moses and G Jingyuan Research on ip address replacement technology based on iptabl
113. osta de mecanismo auton mico para Seguran a de Redes 67 5 2 1 Framework Auton mico A nossa proposta de framework organizada seguindo o modelo MAPE K para fornecer a possibilidade de alcan ar integra o coopera o intelig ncia e principalmente autonomia aos sistemas de seguran a de redes Neste modelo gerentes auton micos realizam as atividades de sensoriamento do ambiente de execu o an lise de contexto planejamento e execu o de a es de reconfigura o din mica A arquitetura do framework pode ser vista na Figura 5 2 Executor Figura 5 2 Arquitetura do Framework Como visto na arquitetura do framework sensores s o componentes de software que podem coletar dados de qualquer natureza sendo o tipo desses dados que determina o pr prio tipo do sensor O n mero de sensores extens vel podendo haver crescimento na quantidade de dados sensoreados Cada sensor necessita passar para o AutonomicSec al m das suas informa es coletadas o tipo identificador do monitor no qual respons vel por tratar o dado coletado Portanto a comunica o 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 68 remota entre sensores e AutonomicSec transfere dois campos o pr prio dado coletado e o identificador do monitor que tem a capacidade de tratar esses dados Com isso poss vel ter v rios tipos de sensores ligados a v rios tipos de monitores Por m cada sensor necessari
114. ou autoria de uma opera o que criou modificou ou destruiu uma informa o 3 2 Fases para Prote o de Redes 35 e Auditoria Implica no registro das a es realizadas no sistema identificando os sujeitos e recursos envolvidos as opera es realizadas seus hor rios locais e outros dados relevantes e Legalidade Prote o da informa o no sentido de garantir a sua preserva o em conformidade com preceitos legais e tamb m pol ticas de seguran a da organiza o Garante a legalidade jur dica da informa o Caracter stica das informa es que possuem valor legal dentro de um processo de comunica o onde todos os ativos est o de acordo com as cl usulas contratuais pactuadas ou a legisla o pol tica institucional nacional ou internacional vigentes Essas propriedades guiam para a determina o de um foco no qual uma determinada aplica o deve ser desenvolvida a fim de atender os requisitos de seguran a especificados pela pr pria necessidade do ambiente em quest o No entanto n o apenas isto que dita o escopo de uma aplica o para seguran a de redes sendo importante delimitar a s fase s de prote o que ela ir atuar 3 2 Fases para Prote o de Redes poss vel destacar quatro fases para proteger a rede contra ataques 97 Preven o Detec o Defesa e Forense como pode ser visto na Figura 3 1 A preven o compreende todos os m todos aplicados para evitar ataques a fim d
115. previamente identificados cujas a es modificadas visam evadir a detec o Na tentativa de evoluir e conseguir defender se dessas variantes podem ocorrer falsos positivos Esses por sua vez s o uma outra dificuldade no processo de defesa pois podem identificar erroneamente uma aplica o inofensiva do usu rio como sendo maliciosa e consequentemente remov la coloc la em quarentena bloqueio ou restringir de algum modo e Muitos exemplares de malware possuem mecanismos pr prios de defesa cujas a es variam entre desabilitar as prote es existentes no sistema operacional 3 3 Problemas Enfrentados 46 alvo verificar se o exemplar est sob an lise o que pode causar uma modifica o em seu comportamento em raz o disto e disfar ar se de programas do sistema inclusive de falsos antiv rus e A comunidade de desenvolvedores de antiv rus ainda n o possui padroniza o para a classifica o dos malware identificados por suas ferramentas Isso faz com que o processo de resposta a incidentes de seguran a envolvendo c digo malicioso seja prejudicado tornando o ineficiente em determinados casos e Para permitir a remo o do c digo malicioso e as atividades derivadas da infec o do sistema comprometido necess rio em muitos casos uma interven o manual do usu rio 3 3 2 Robustez dos Ataques a Sistemas Computacionais Aliado aos problemas enfrentados pelos atuais sistemas de seguran a os at
116. putadores A aplica o dos conceitos de CA seguran a de redes introduz no sistema a capacidade de auto seguran a Para mostrar a viabilidade em conseguir auto seguran a desenvolvemos e apresentamos um mecanismo auton mico para seguran a de redes Este mecanismo representado inicialmente por um framework auton mico no qual organizado seguindo o modelo MAPE K Neste modelo gerentes auton micos realizam as atividades de sensoriamento do ambiente de execu o an lise de contexto planejamento e execu o de a es de reconfigura o din mica Em seguida implementamos dois ciclos auton micos O primeiro tem a funcionalidade de gerar regras de firewall baseadas em logs de honeypots O segundo ciclo respons vel por manipular dinamicamente honeypots virtuais que s o considerados comprometidos Os resultados mostram que poss vel obter integra o e coopera o entre os sistemas de seguran a intelig ncia atrav s da implanta o de estrat gias auton micas que dinamizam o processo de prote o e autonomia para alcan ar autosseguran a na rede Palavras chaves Seguran a de Redes Computa o Auton mica Metodologia de Decep o Abstract Security in computer networks is the area responsible for protecting the data passing through it The research for better security strategies has increased considerably since exists a vast number of attempted attacks These attacks have caused financial loss and reput
117. que los Ap s essa verifica o caso o IP n o esteja na lista branca executado o m todo que checa os servi os contidos na rede checkServices interaction fileServices retornando verdadeiro se houver pelo menos um servi o que funcione na mesma porta do honeypot que sofreu a intera o Dois par metros s o passados para esse m todo a pr pria intera o e a localiza o do arquivo que cont m informa es dos servi os Essas informa es s o na verdade configura es dos servi os que o administrador deseja proteger e segue um formato contendo os seguintes campos IP Endere amento IP do servidor Protocolo Protocolo utilizado pelo servi o tendo como op es TCP UDP ou ICMP Porta Porta utilizada pelo servi o sendo uma maneira de identific lo Coment rios Usado para o administrador do sistema reconhecer mais facilmente os dispositivos Em uma configura o que especifique a utiliza o do protocolo ICMP dever ser informado o campo porta por m ela ser descartada no momento da cria o da regra de firewall O protocolo ICMP pertence a camada de rede do modelo TCP IP 79 e n o se utiliza de portas 8 por isso o descarte deste campo pela estrat gia auton mica Portanto dever ser informada alguma porta neste campo apenas para fins de formata o do arquivo de configura o Depois de passar por essas condi es executado um m todo examineServices interaction
118. queno e Acaba com falsos positivos gerados por IDS e Exig ncia de recursos m nimos pois podem ser virtualizados e Captura de tr fego criptografado e Descoberta de novas tecnologias utilizadas por usu rios mal intencionados Como tamb m desvantagens e Vis o limitada de tr fego pois h a possibilidade do atacante reconhecer o honeypot e n o interagir com ele e Risco de ser invadido e utilizado para prejudicar outros sistemas se tornando comprometido e Aus ncia de tr fego quando a tecnologia n o bem aplicada implicando em gastos sem retorno j que nada foi monitorado Muitos trabalhos s o realizados no sentido de explorar os benef cios oferecidos pelos recursos dos honeypots em seguran a de redes Alguns trabalhos realizam aplica es em outras tecnologias como redes sem fio 15 redes de sensores 62 redes veiculares 93 e em dispositivos m veis 96 64 Tamb m os utilizam como recursos educacionais no ensino e pesquisa na gera o dados estat sticos sobre tr fego malicioso em redes e na Internet 57 e no combate a spams 37 3 2 Fases para Prote o de Redes 42 3 2 3 Defesa Se um tr fego malicioso detectado ent o iniciado o processo ou fase de defesa Para que isso ocorra necess rio que o sistema implemente essas duas fases detec o e defesa integrando mais de uma aplica o de seguran a IPS Um exemplo de aplica o utilizada nesta fase o Sistem
119. r as a es de reconfigura o descritas no plano As reconfigura es devem ser realizadas dinamicamente sem impor a necessidade de parar e ou reiniciar o sistema Segundo 60 duas abordagens gerais t m sido utilizadas para atingir adapta o adapta o param trica e adapta o composicional A adapta o param trica consiste na altera o de vari veis que determinam o comportamento do sistema J a adapta o composicional ou estrutural consiste na substitui o de algoritmos ou partes estruturais de um software permitindo que este adote novas estrat gias algoritmos para tratar situa es que n o foram inicialmente previstas na sua constru o 2 71 Quest es de Projeto de Mecanismos de Reconfigura o O desenvolvimento de um mecanismo de reconfigura o din mica n o algo simples Diversos requisitos devem ser considerados a fim de manter as caracter sticas e funcionalidades do sistema 66 entre as quais destaca se e Separa o de responsabilidades No desenvolvimento de sistemas auton micos a separa o de responsabilidades permite que o c digo funcional da aplica o respons vel pelas regras de neg cio seja separado do c digo respons vel pela adapta o Isto simplifica o desenvolvimento a manuten o e o reuso do c digo adaptativo e Confiabilidade Um problema quando se modifica um sistema em tempo de execu o a sincroniza o entre reconfigura es e execu o funcional
120. rar proveito de um problema n o conhecido pelos criadores do software e seus usu rios importante ressaltar que nem todos os ataques de ltimo dia realmente acontecem antes dos produtores de software estarem cientes da vulnerabilidade Em alguns casos eles conhecem a vulnerabilidade mas o desenvolvimento da corre o pode demandar um tempo elevado em frente a complexidade do problema enfrentado Neste sentido prote o de ltimo dia a capacidade de um sistema de seguran a fornecer prote o contra ataques de ltimo dia 3 4 Aplica es de Virtualiza o em Seguran a Com o objetivo de contornar problemas de compatibilidade de hardware foram desenvolvidas v rias tecnologias o que originou o termo virtualiza o Usando os servi os oferecidos por uma determinada interface de sistema poss vel construir uma camada de software que ofere a aos demais componentes uma outra interface a chamada camada de virtualiza o constru da em software 53 Essa camada de software permite o acoplamento entre interfaces distintas de forma que um programa desenvolvido para a plataforma A possa executar sobre uma plataforma distinta B Atrav s dos servi os oferecidos por uma determinada interface de sistema a camada de virtualiza o constr i outra interface de mesmo n vel de acordo com as necessidades dos componentes de sistema que far o uso dela A nova interface 3 4 Aplica es de Virtualiza o em Seguran a 49
121. re Recognizer Figura 4 2 Neur nio Virtual 27 No neur nio virtual o componente Information Collector captura v rias informa es de contexto tais como uso de mem ria e processador status dos processos e informa es de tr fego da rede Os neur nios que se conectam diretamente s o considerados vizinhos comunicando se atrav s do Neighbor Communicator Um outro componente utilizado chamado de Feature Recognizer sua fun o de identificar atividades maliciosas sendo baseado no conhecimento sobre informa es que caracterizam um ataque baseado em assinaturas Essas informa es s o passados para o Feature Recognizer pelo Information Collector do pr prio neur nio e dos seus vizinhos atrav s do Neighbor Communicator 4 1 Sistemas de Seguran a baseados em Computa o Auton mica 55 Os neur nios virtuais podem ser facilmente distribu dos pois o pacote de instala o compacto tamanho pequeno eles exigem poucos recursos computacionais e s o de f cil instala o nos hosts Eles s o distribu dos em uma arquitetura hier rquica e Par a par Peer to peer P2P como visto na Figura 4 3 A estrutura P2P opera baseada nas rela es com neur nios vizinhos tendo a comunica o entre eles atrav s de passagem de mensagens A arquitetura hier rquica utilizada para aumentar a efici ncia na propaga o das mensagens por grupo de neur nios chamados de c lulas Em cada c lula um neur nio eleito co
122. re m quinas virtuais s o apresentados mostrando as principais possibilidades de uso de virtualiza o na rea de seguran a O Cap tulo 4 apresenta os trabalhos relacionados relevantes e uma caracteriza o de nossa proposta os quais s o organizados de forma a mostrar claramente as contribui es dessa disserta o O Cap tulo 5 mostra a necessidade que a seguran a em redes de computadores tem por mecanismos auton micos argumentando sua aplicabilidade Uma proposta de mecanismo auton mico para seguran a de redes feita composta de um framework e dois ciclos auton micos utilizados para fornecer autonomia a esta rea As funcionalidades e modelagem da proposta s o apresentadas como tamb m o contexto em que ela se aplica 1 2 Organiza o do Trabalho 21 e No Cap tulo 6 dada continuidade com a explica o da contribui o descrevendo a sua implementa o tecnologias utilizadas e resultados alcan ados e O Cap tulo 7 apresenta as conclus es contribui es li es aprendidas limita es e possibilidades de trabalhos a serem desenvolvidos futuramente 22 2 Computa o Auton mica Este cap tulo apresenta uma introdu o a Computa o Auton mica mostrando sua origem e seus conceitos suas principais propriedades arquitetura o modelo MAPE K e todas suas fases que correspondem ao ciclo de gerenciamento auton mico Neste tamb m detalhado cada fase do ciclo com informa es per
123. s 6 1 Implementa o do Framework Auton mico 81 o pr prio dado coletado e o identificador do monitor que tem a capacidade de tratar esses dados O componente ServerAutonomicSec implementado em um servidor como o pr prio nome sugere de maneira a ficar respons vel pela execu o do restante do ciclo A nossa implementa o preza por simplicidade com o objetivo de facilitar a utiliza o de CA atrav s do uso do modelo MAPE K Com isso o framework imp e uma arquitetura a ser seguida de maneira que em todas extens es ou ciclos cada componente execute funcionalidades que sejam de sua responsabilidade Com isso o diagrama de classe pode ser visto na Figura 6 2 Executor Analyser Executor name String Analyser getInstance Executor run void run void addEvent event MonitoringEvent void waiting void waiting void addActionPlan planEvent PlanEvent void sendPlanEvent actionPlan ActionPlan void executePlan void analyse event MonitoringEvent void addExecutor executor Executor void MonitoringEvent PlanEvent Elo Cet PlanEvent analyser Analyser actionPlan ActionPlan MonitoringEvent src Object data Object getActionPlan ActionPlan getData Object setActionPlan actionPlan ActionPlan void setData data Object void RegisterManager start void startMapeK void
124. s o Quest es de seguran a outro desafio para o desenvolvimento de sistemas auton micos visto que o emprego de autoaprendizagem e auto evolu o poder ocasionar a perda do dom nio humano sob a ger ncia das decis es tomadas pelo pr prio sistema havendo a possibilidade de desvio dos objetivos iniciais inseridos Com isso no processo de desenvolvimento de software auton mico a fase de valida o deve ser aplicada de maneira rigorosa 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes O nosso trabalho inspirado na ideia de CA e sua utiliza o para resolver problemas em seguran a de redes Diante de todo conte do abordado anteriormente acreditamos na aplica o dos conceitos e princ pios da CA para se obter ambientes de redes seguros Ent o propomos primeiramente um framework auton mico com a finalidade de ser reutilizado em ambientes de redes por sistemas de seguran a Em seguida utilizamos o pr prio framework para propor dois ciclos auton micos que utilizam como base honeypots O conjunto composto pelo framework e pelos dois ciclos auton micos denominamos de Mecanismo Auton mico para Seguran a de Redes baseado em Decep o nome inspirado na ideia de Metodologias de Decep o Se o 3 2 2 e o chamamos de AutonomicSec Autonomic Security Seguran a Auton mica Nas pr ximas se es apresentamos detalhes da arquitetura topologia e funcionamento da proposta desse mecanismo 5 2 Uma prop
125. s o componente de an lise e planejamento executa a estrat gia auton mica baseada em inten es Essa por sua vez baseada em ECA Rules e a l gica da sua implementa o pode ser vista na Figura 6 4 1 para cada event fa a 2 interactions separatesInteractions event 3 para cada interaction fa a 4 se checkW hiteList interaction fileW hiteList ent o 5 se checkServices interaction fileServices ent o 6 services examineServices interaction fileServices 7 rules generates Rules interaction services 8 insertActionPlan rules 9 fim 10 fim 11 fim 12 se actionPlan null entao 13 sendPlanEvent actionPlan 14 fim 15 fim Figura 6 4 L gica da estrat gia auton mica do primeiro ciclo Para cada evento recebido do monitor as intera es s o separadas e armazenadas em um vetor a fim de que possam ser analisadas individualmente Para cada intera o executado um m todo checkWhiteList interaction fileWhiteList respons vel por verificar se o campo do endere o IP em sua vers o quatro Internet Protocol version 4 IPv4 de origem est contido na lista branca sendo esta armazenada em um arquivo e que tem sua localiza o passada como par metro O conte do desse arquivo composto por uma lista de endere os considerados usu rios leg timos da rede e por isso a estrat gia auton mica 6 2 Avalia o dos Ciclos Auton micos 87 nunca gera regras que possam blo
126. s duas fases s o geralmente implementadas em um nico componente O processo de an lise e planejamento essencial para autonomia do sistema pois nele que s o geradas as decis es sobre quais modifica es ser o realizadas no sistema que corresponde ao elemento gerenciado A fase de an lise e planejamento recebe como entrada os eventos e seus dados gerados pelo sistema de monitoramento e gera como sa da um conjunto de a es tamb m chamado de plano de a es Estas a es correspondem s opera es de reconfigura o que de acordo com o mecanismo de tomada de decis o devem ser executadas no sistema a fim de manter o equil brio do sistema considerando seus objetivos Muitas t cnicas podem ser empregadas na fase de an lise e planejamento entre as quais se destacam o uso de fun es de utilidade aprendizado por refor o e regras Evento Condi o A o ECA sendo esta ltima detalhada a seguir 2 6 1 An lise e Planejamento Baseados em Regras ECA Regras do tipo ECA determinam as a es a serem realizadas quando um evento ocorre desde que certas condi es sejam satisfeitas ECA rules s o especifica es declarativas de regras ou regulamenta es que determinam o comportamento de componentes de aplica es 23 ECA rules consistem de eventos condi es e a es Em analogia outros termos podem ser utilizados a trigger 13 em Sistemas de Gerenciamento de Banco de Dados SGBD e o signal handler 89 em Si
127. sa fila Ap s os filtros serem realizados as informa es teis ser o enviadas para todos analisadores registrados em um monitor O envio feito pelo m todo sendMonitoringEvent MonitoringEvent monitoringEvent e o registro pelo addAnalyser Analyser analyser Na classe Analyser instanciada tamb m como processo o m todo analyse MonitoringEvent event o respons vel por executar a estrat gia auton mica utilizada pelo ciclo o que normalmente necessita acessar dados em arquivos de configura o e ou uma base de conhecimento knowledge para tomada de decis es O executor conhecido por esta classe atrav s do m todo addExecutor Executor executor no qual determina o fluxo do ciclo A manipula o da fila contendo dados filtrados pelo monitor realizada por dois 6 1 Implementa o do Framework Auton mico 83 m todos addEvent MonitoringEvent event para a inser o e pelo pr prio analyse MonitoringEvent event para remo o quando for processar a estrat gia auton mica Caso a fila esteja vazia a thread ir esperar com a chamada do m todo waiting Ainda na classe Analyser o m todo sendPlanEvent ActionPlan actionPlan envia eventos para o executor Um evento composto por uma ou mais a es Action resultado do processamento realizado pela estrat gia auton mica e que formam um plano de a es Esse ltimo manipulado atrav s da classe ActionPlan na qualo analisador
128. scolha da estrat gia auton mica Essas a es devem ser tamb m as respons veis pela comunica o existente com o atuador pois seus c digos ser o processados pelo executor para a realiza o de alguma reconfigura o no elemento gerenciado Ap s as etapas descritas anteriormente o que deve ser feito o registro dos componentes na classe RegisterManager passo 6 Como j explicado anteriormente essa classe inicializa o framework juntamente com todos os processos que a comp em A funcionalidade dela a cria o do registro entre componentes onde monitores s o registrados no servidor analisadores planejadores nos monitores que por sua vez s o associados ao executor de maneira que cada componente saiba para onde enviar o resultado de seu processamento criando assim a ideia de ciclo 6 2 Avalia o dos Ciclos Auton micos Nesta se o descrevemos primeiramente como foram realizados os testes nas duas extens es e em seguida detalhamos os resultados obtidos Os testes mostram como representamos a ideia dos ciclos auton micos baseados em decep o 6 2 Avalia o dos Ciclos Auton micos 85 Se es 5 2 2 e 5 2 3 ea descri o da implementa o de cada componente do framework para alcan ar os resultados os quais significam a obten o de auto seguran a para a rede 6 2 1 Testes Primeiro Ciclo Auton mico Nesse ciclo o monitoramento baseado em tempo visto que o componente sensor faz uma
129. sse conte do Assim o monitor deve ser criado de forma a conhecer todos os poss veis dados que ter como entrada Esse componente tamb m dever ser desenvolvido com conhecimento dos seus resultados 6 2 Avalia o dos Ciclos Auton micos 84 para que n o seja enviado dados irrelevantes ao pr ximo componente do ciclo Analyser Em seguida deve ser implementado o componente de an lise e planejamento passo 4 que possuir a estrat gia auton mica O algoritmo dessa ltima pode utilizar se de t cnicas de intelig ncia para a tomada de decis o ent o esse componente estendido de maneira livre bastando que conhe a os dados vindos do monitor e tenha como sa da par metros para a cria o do plano de a es a ser passado para processamento pelo executor No entanto poss vel que n o tenha nada como sa da e nesse caso n o ser constru do nenhum plano de a es A pr xima etapa montar o c digo do plano de a es passo 5 nos quais o Analyser componente de an lise e planejamento ir passar os par metros que equivalem a tomada de decis o De acordo com esses par metros recebidos ser realizada uma a o diferente ou com configura es diferentes Dessa maneira todas as poss veis a es que poder o compor um plano de a es devem ser implementadas de forma que a a o a ser executada seja escolhida em tempo de execu o e os par metros passados para ela sejam din micos ambas decis es a e
130. stemas Operacionais Em SGBDs uma vez que o conjunto de regras definido o sistema monitora os eventos relevantes Sempre que se detecta a ocorr ncia de um evento o componente respons vel pela execu o da regra notificado Essa notifica o chamada de sinaliza o do evento Posteriormente todas as regras que s o definidas para responder a esse evento s o executadas A execu o de uma regra cont m a avalia o de um estado e execu o de uma a o Primeiro a condi o avaliada e caso for satisfeita a a o executada 2 7 Execu o de A es de Reconfigura o 30 De maneira similar em Sistemas Operacionais um sinal uma forma de comunica o entre processos sendo uma notifica o enviada para um processo com o objetivo de avis lo de ocorr ncias de eventos Com isso um processo pode registrar uma opera o de tratamento de eventos oriundos de um sinal o chamado Signal Handler se n o for desejado que a opera o padr o para este sinal seja executada Para cada evento definido um conjunto de regras que podem gerar uma ou mais a es Esses eventos tamb m podem satisfazer as condi es de diferentes regras e algumas dessas regras podem gerar a es que conflitam entre si Nem sempre esses conflitos podem ser detectados durante a escrita das regras sendo muitas vezes descobertos em tempo de execu o Em ECA rules o evento especifica quando as regras dever o ser acionadas A
131. ta o Auton mica 56 Eavesdropping Replay Masquerading Spoofing e Nega o de Servi o Denial of Service DoS Self Configuration of Network Security Este trabalho 22 apresenta uma abordagem de autoconfigura o para controlar e gerenciar os mecanismos de seguran a em redes de grande porte Nela o sistema automaticamente configura os mecanismos de seguran a e modifica as configura es dos recursos e suas pol ticas em tempo de execu o Para mostrar sua viabilidade foi implementado o Autonomic Network Defense System AND AND um sistema que pode detectar ataques de rede conhecidos ou desconhecidos ataques de ltimo dia e proativamente prevenir ou minimizar impactos causados em servi os da rede O AND foi desenvolvido sobre o framework AUTONOMIA 29 sendo uma extens o focada em estrat gias e mecanismos para detectar e proteger se de ataques de rede O AUTONOMIA possui dois m dulos de software s o eles Component Management Interface CMI e Component Runtime Manager CRM O CMI utilizado para especificar as configura es e pol ticas associadas com cada componente de hardware ou software e o CRM gerencia as opera es dos componentes usando as pol ticas definidas no CMI As principais extens es do AND s o os m dulos de Monitoramento Online Online Monitoring Sele o de Caracter stica Feature Selection An lise de Anomalia Anomaly Analysis e o de A o Action Module como visto na F
132. tera o com um honeypot com o uso do protocolo ICMP utilizado pelo ping o intruso tem acesso bloqueado nesse protocolo a todos servidores de produ o da rede n o levando se em considera o a porta N s chamamos o conjunto de endere os bloqueados dessa forma de lista cinza Uma outra tomada de decis o feita por nossa estrat gia auton mica baseada em inten es a verifica o da ocorr ncia de endere os a fim de inspecionar a exist ncia de uma quantidade elevada de regras geradas por uma determinada origem Se houver ocorr ncias acima de um valor especificado na configura o deste ciclo o 5 2 Uma proposta de mecanismo auton mico para Seguran a de Redes 73 Servidores de Produ o ae Acesso Negado r E eu Firewall Internet Rede Externa Intruso AutonomicSec Sensores Honeypots Figura 5 6 Lista Cinza endere o n o ter permiss o negada apenas para determinados servi os contidos em regras geradas por ele mas a toda rede Nesse caso consideramos que sua inten o n o apenas atacar um servi o espec fico mas sim qualquer vulnerabilidade que haja na rede Como visto na Figura 5 7 por exemplo o intruso tem acesso negado a toda a rede se interagir com tr s servi os distintos de honeypots passando a integrar o que chamamos de lista negra Dessa forma feita uma otimiza o nas regras do firewall excluindo todas regras de bloqueio a servi os espec ficos geradas a
133. terno do sistema convidado permite extrair informa es deste para o sistema hospedeiro permitindo implementar externamente mecanismos de verifica o de integridade do ambiente convidado como antiv rus e detectores de intrus o al m disso a capacidade de inspe o do sistema convidado aliada ao isolamento provido pelo hipervisor torna as m quinas virtuais excelentes para o estudo de aplica es maliciosas 3 5 Conclus o 51 e Encapsulamento A possibilidade de salvar restaurar o estado do sistema convidado torna vi vel a implementa o de mecanismos de rollback teis no caso de quebra da integridade do sistema convidado da mesma forma a migra o de m quinas virtuais uma solu o vi vel para o problema da disponibilidade 3 5 Conclus o Este cap tulo apresentou uma introdu o a seguran a de redes mostrando as fases em que uma rede de computadores pode ser protegida Discorreu sobre as ferramentas e t cnicas mais utilizadas em seguran a de redes classificando as de acordo com sua fase de atua o Foram descritos tamb m os atuais problemas que a seguran a de redes possuem Para um melhor entendimento eles foram apresentados em duas classifica es primeiramente os problemas enfrentados pelos atuais sistemas de seguran a e em seguida o alto n vel de robustez em que se encontram os ataques a sistemas computacionais Ao final deste cap tulo foram vistos os conceitos fundamentais sobre virtualiza
134. tinentes ao contexto da seguran a de redes 2 1 Considera es Iniciais O termo Computa o Auton mica surgiu em 2001 com um manifesto publicado por Paul Horn pesquisador da IBM que lan ou um desafio sobre o problema da crescente complexidade de gerenciamento do software 46 O termo auton mico vem da biologia e est relacionado s rea es fisiol gicas involunt rias do sistema nervoso 63 No corpo humano o sistema nervoso auton mico cuida de reflexos inconscientes isto de fun es corporais que n o requerem nossa aten o como a contra o e expans o da pupila fun es digestivas do est mago e intestino a frequ ncia e profundidade da respira o a dilata o e constri o de vasos sangu neos etc Esse sistema reage s mudan as ou perturba es causadas pelo ambiente atrav s de uma s rie de modifica es a fim de conter as perturba es causadas ao seu equil brio interno Em analogia ao comportamento humano diz se que um sistema computacional est em equil brio quando o seu ambiente interno formado pelos seus subsistemas e pelo pr prio sistema est em propor o devida com o ambiente externo Conforme observaram Parashar e Hariri em 68 e detalhado em 69 se o ambiente interno ou externo perturba a estabilidade do sistema ele sempre atuar de modo a recuperar o equil brio original Dessa forma os sistemas de CA s o sistemas capazes de se auto gerenciarem e se adaptarem dinamicamente
135. tros sensores e atuadores um timo trabalho a ser desenvolvido dentro dessa rea de pesquisa inserindo novos sistemas de seguran a para coopera o e com isso obter um aumento no n vel de seguran a da rede e Uma amplia o dos testes nos dois ciclos auton micos podendo serem realizados em redes de alta velocidade para mensurar desempenho ou testes de viabilidade com o uso de Internet Protocol version 6 IPv6 e com outras ferramentas diferentes das usadas neste trabalho e O nossa proposta pode ser estendida ou adaptada para uso junto a outras tecnologias e reas de pesquisa tais como Redes de Sensores Sem Fio Computa o nas Nuvens Computa o em Grades Computa o M vel Computa o Ub qua Computa o Pervasiva ou Redes em Malha 105 Refer ncias Bibliogr ficas 1 Bash gnu project free software foundation Dispon vel em http www gnu org software bash Acessado em 24 jan 2012 2 Eclipse the eclipse foundation open source community website Dispon vel em http www eclipse org Acessado em 23 jan 2012 3 Estat sticas do cert br incidentes Dispon vel em http www cert br stats incidentes Acessado em 03 jan 2012 4 Multicast dns Disponivel em http www multicastdns org Acessado em 24 jan 2012 5 netfilter iptables project homepage the netfilter org project Dispon vel em http www netfilter org Acessado em 24 jan 2012 6 Offical
136. v tima software maliciosos como trojans keylogger e spywares para roubar dados sigilosos 28 Botnets De acordo com Rajab et al em 12 botnet uma rede de computadores comprometidos controlados remotamente por um operador humano chamado de botmaster Um bot uma aplica o residente em um n integrante de uma botnet com capacidade de se autopropagar infectando outros hosts vulner veis 24 Botnets s o plataformas de computa o distribu da predominantemente usadas para atividades ilegais com o objetivo de lan amentos de ataques de nega o 3 4 Aplica es de Virtualiza o em Seguran a 48 de servi o distribu do Distributed Denial of Service DDoS envio de spam trojan e e mails phishing distribui o ilegal de m dias e softwares piratas roubo de informa es e de recursos computacionais realiza o de fraudes e falsidade de identidade 30 Ataques de ltimo Dia Um ataque de ltimo dia do ingl s Zero day Attack ou 0 Day Attack tamb m conhecido como ataque de dia zero ou zero hora aproveita vulnerabilidades que atualmente n o tem uma solu o ou ainda n o s o conhecidas 73 85 Normalmente descoberto um bug ou um problema em um software depois que ele foi liberado sendo ent o em seguida oferecida uma corre o destinada ao problema original Um ataque de ltimo dia vai aproveitar esse problema antes da corre o ser criada Na maioria dos casos esse tipo de ataque vai ti
137. verifica o por novos registros no log do honeypot a cada per odo de tempo estabelecido por par metro Em nossa implementa o estabelecemos a periodicidade em cinco segundos Os dados sensoreados s o logs de honeypots de baixa interatividade emulados com a ferramenta Honeyd nos quais cont m intera es a n vel de rede com qualquer usu rio que acesse ou requisite servi os A l gica do algoritmo do Sensor pode ser vista na Figura 6 3 Os dados contendo o log e o identificador do monitor s o serializados para serem enviados 1 enquanto true fa a 2 se newLogGenerated ent o 3 sendLog 4 senao 5 sleep 5sec 6 fim 7 fim Figura 6 3 L gica do sensor no primeiro ciclo auton mico O componente Monitor ao receber os logs executa tr s m todos sobre o conte do O primeiro respons vel por descartar todos os campos desnecess rios para a estrat gia auton mica O segundo exclui as linhas que cont m os protocolos n o utilizados tamb m pela estrat gia dentre eles o IGMP deixando apenas as que cont m TCP UDP e ICMP O ltimo m todo envia as informa es finais para a pr xima fase do ciclo como um evento sendMonitoringEvent filteredLog de acordo 6 2 Avalia o dos Ciclos Auton micos 86 com os analisadores planejadores registrados para receb los ap s o processamento filtragem realizado pelos m todos anteriores Ao receber o evento contendo informa es a serem processada
Download Pdf Manuals
Related Search