Post on 09-Jun-2015
description
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de
Segurança em Redes de Computadores
Autores:
Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada.
Luiz Arthur F. Santosluizsantos@utfpr.edu.br
Rodrigo Campiolorcampiolo@utfpr.edu.br
Daniel Macêdo Batistabatista@ime.usp.br
WoSiDA
09/Maio/2014
Introdução:
Problemas de pesquisa:
Crescimento do número de ataques contra redes locais;
Surgimento de novos desafios, tal como, BYOD;
Aumento na complexidade dos ataques à segurança;
Ineficácia das ferramentas/administradores em deter ataques.
Possíveis soluções:
Combinar ferramentas/métodos:
Computação Autonômica;
Uso de fontes de informações distribuídas e heterogêneas a respeito de problemas de segurança;
Redes Definidas por Software (SDN).
2
Redes Definidas por Softwares:
Tenta resolver a ossificação da Internet;
Separa o plano de dados do plano de controle;
Permite programar as redes deixando-as mais dinâmicas.
3
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados Plano de Dados
Plano de Dados
Plano de Controle
Rede Comum Rede SDN
Computação Autonômica:
Sistemas complexos são difíceis de serem gerenciados por humanos;
Computação Autonômica é baseada no conceito de equilíbrio homeostático;
Um sistema autonômico deve possuir as propriedades de: auto-gerenciamento, auto-configuração, auto-optimização, auto-regeneração e auto-proteção.
4
Percepção
Ação
Atuadores
Sensores
Objetivo:
Desenvolver arquitetura autonômica que une Sistemas de Detecção de Intrusão (IDS) e Redes Definidas por Software, na figura do OpenFlow, para mitigar ações maliciosas em redes de computadores locais.
5
Contribuições:
União de IDS, OpenFlow e Computação Autonômica no combate a problemas de segurança em redes de computadores locais;
Análise crítica do impacto, limitações e efetividade de uma arquitetura autonômica que combina informações de fontes heterogêneas para detecção e reação a incidentes de segurança;
Implementação de um protótipo da arquitetura proposta e disponibilização do código fonte :
https://github.com/luizsantos/Of-IDPS.
6
Arquitetura proposta:
7
Implementação da arquitetura e experimentos:
8
Controlador OpenFlow:Of-IDPS – OpenFlow Intrusion Detection and Prevention System (Nossa Proposta);OpenFlow Beacon 1.0.4.
Outros elementos da rede (simulados):Mininet 2.1.0;Open vSwitch 1.9.0
Experimento 1:
Execução e resposta do Of-IDPS a alertas do IDS:
9
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Servidor Iperf:Porta TCP/80Porta TCP/90
Cliente Iperf:Porta TCP/80Fluxo Normal
Cliente Iperf:Porta TCP/90Fluxo Malicioso
Experimento 1:
10
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.
Experimento 1:
11
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.
Of-IDPS reage aos alertas.
Experimento 1:
12
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.
Fluxo Normal:Aumento indiretoTaxa de transferênciade dados.
Fluxo Malicioso:30s - restrição taxa de transferência de dados leve;60s - restrição taxa de transferência de dados severa;90s - bloqueio total.
Of-IDPS reage aos alertas.
Experimento 1:
Resultados do experimento para o WoSiDA
13
Fluxo NormalFluxo MaliciosoMensagem de alerta
0
500
1000
1500
2000
2500
Fluxo Normal
Fluxo MaliciosoMensagem de alerta
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
14
0 20 40 60 80 100 120 1400
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0 20 40 60 80 100 120 1400
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
15
0 20 40 60 80 100 120 1400
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0 20 40 60 80 100 120 1400
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
16
0 20 40 60 80 100 120 1400
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0 20 40 60 80 100 120 1400
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
17
0 20 40 60 80 100 120 1400
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0 20 40 60 80 100 120 1400
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
18
0 20 40 60 80 100 120 1400
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0 20 40 60 80 100 120 1400
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
sExperimento 1:
Resultados do experimento após o WoSiDA
19
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
20
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
VítimaServidor Apache:
Porta TCP/80
Atacante com aferramenta
Hyenae
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
21
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
VítimaServidor Apache:
Porta TCP/80
Atacante com aferramenta
Hyenae
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
22
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
VítimaServidor Apache:
Porta TCP/80
Atacante com aferramenta
Hyenae
Experimento 2:
Resultados do experimento para o WoSiDA:
23
Resultados do experimento após o WoSiDA:
24
0
50
100
150
200
250
300
(a) Ataque da Rede Externa para a Rede Interna
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0
50
100
150
200
250
300
(b) Ataque da Rede Interna para a Rede Externa
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0
50
100
150
200
250
300
(c) Ataque da Rede Interna para a Rede Interna
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
Vítima sem Of-IDPSAtacante sem Of-IDPSVítima com Of-IDPSAtacante com Of-IDPS
0
5000
10000
15000
20000
25000
20.014
1.279
20.040
1.348
20.030
1.121
(b) Quantidade de pacotes tratados pela vítima
Qu
anti
dad
e d
e P
aco
tes
0
5000
10000
15000
20000
25000
20.014
10.646
20.034
10.520
20.032
10.556
(a) Quantidade de pacotes tratados pelo atacante
Qu
anti
dad
e d
e P
aco
tes
Externa - Interna Interna - Externa Interna - Interna
SemOf-IDPS
ComOf-IDPS
SemOf-IDPS
ComOf-IDPS
SemOf-IDPS
ComOf-IDPS
Externa - Interna Interna - Externa Interna - Interna
SemOf-IDPS
ComOf-IDPS
SemOf-IDPS
ComOf-IDPS
SemOf-IDPS
ComOf-IDPS
Resultados do experimento após o WoSiDA:
25
Experimento 3:
Reação a ataques de varreduras de porta e rede
26
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Vítima 1ExecutandoServidores
Telnet e HTTP
Vítima 2ExecutandoServidores
Telnet e HTTP
Atacante com aferramenta
Nmap
Experimento 3:
Reação a ataques de varreduras de porta e rede
27
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Vítima 1ExecutandoServidores
Telnet e HTTP
Atacante com aferramenta
Nmap
Vítima 2ExecutandoServidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.
Experimento 3:
Reação a ataques de varreduras de porta e rede
28
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Vítima 1ExecutandoServidores
Telnet e HTTP
Vítima 2ExecutandoServidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.
2º varredura – Vítima 2
Telnet;
HTTP;
Sistema Operacional.
Atacante com aferramenta
Nmap
Experimento 4:
Reação a fluxos de diversos tipos de ataques
29
RedeExterna
RedeExterna
ControladorOpenFlow
Roteador
IDS
SwitchOpenFlow
Host 1
Host 2
Host 3
Host 4Rede Interna
SwitchComum
Vítima
Atacante com aferramentaIDSWakeUp
Experimento 4:
30
0
20
40
60
80
100
120
140(a) Sem Of-IDPS
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
0
20
40
60
80
100
120
140(b) Com Of-IDPS
Tempo em Segundos
Nú
me
ro d
e P
ac
ote
s
Fluxo da Vítima
Fluxo do Atacante
Fim do 1°/Inicio do 2° Ataque
Avaliação dos Experimentos:
Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10 segundos para reagir contra ameaças à segurança.
Experimento 2 - constata-se redução de ~47% dos pacotes gerados pelo atacante e principalmente ~93% dos pacotes tratados pela vítima.
Experimento 3 - são necessários ajustes para melhorar o tempo de resposta do Of-IDPS para bloquear totalmente varreduras de portas.
Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes enviados para a vítima durante o ataque e atrasou o ataque em 94% no melhor caso e 156% no pior caso.
31
32
Conclusões:
A arquitetura proposta consegue identificar desequilíbrios causados por problemas de segurança e reagir evitando a degradação massiva nos recursos da rede.
A criação de um sistema de segurança autonômico que integra IDS e OpenFlow mostra-se uma solução efetiva e prática para detectar ameaças de segurança em redes locais.
33
Trabalhos Futuros:
Explorar mais a integração das estatísticas de redes obtidas com o OpenFlow.
Correlacionar informações obtidas a partir de outras fontes localizadas em segmentos comuns e distintos da rede.
Utilizar métodos de aprendizado de máquina para a geração de políticas de segurança baseadas nos ataques anteriores.
Obrigado!
Perguntas?
Luiz Arthur F. Santosluizsantos@utfpr.edu.br
Rodrigo Campiolorcampiolo@utfpr.edu.br
Daniel Macêdo Batistabatista@ime.usp.br