Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de...

Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de

Segurança em Redes de Computadores

Autores:

Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada.

Luiz Arthur F. [email protected]

Rodrigo [email protected]

Daniel Macêdo [email protected]

WoSiDA

09/Maio/2014

Introdução:

Problemas de pesquisa:

Crescimento do número de ataques contra redes locais;

Surgimento de novos desafios, tal como, BYOD;

Aumento na complexidade dos ataques à segurança;

Ineficácia das ferramentas/administradores em deter ataques.

Possíveis soluções:

Combinar ferramentas/métodos:

Computação Autonômica;

Uso de fontes de informações distribuídas e heterogêneas a respeito de problemas de segurança;

Redes Definidas por Software (SDN).

2

Redes Definidas por Softwares:

Tenta resolver a ossificação da Internet;

Separa o plano de dados do plano de controle;

Permite programar as redes deixando-as mais dinâmicas.

3

Plano de Dados

Plano de Controle

Plano de Dados

Plano de Controle

Plano de Dados

Plano de Controle

Plano de Dados Plano de Dados

Plano de Dados

Plano de Controle

Rede Comum Rede SDN

Computação Autonômica:

Sistemas complexos são difíceis de serem gerenciados por humanos;

Computação Autonômica é baseada no conceito de equilíbrio homeostático;

Um sistema autonômico deve possuir as propriedades de: auto-gerenciamento, auto-configuração, auto-optimização, auto-regeneração e auto-proteção.

4

Percepção

Ação

Atuadores

Sensores

Objetivo:

Desenvolver arquitetura autonômica que une Sistemas de Detecção de Intrusão (IDS) e Redes Definidas por Software, na figura do OpenFlow, para mitigar ações maliciosas em redes de computadores locais.

5

Contribuições:

União de IDS, OpenFlow e Computação Autonômica no combate a problemas de segurança em redes de computadores locais;

Análise crítica do impacto, limitações e efetividade de uma arquitetura autonômica que combina informações de fontes heterogêneas para detecção e reação a incidentes de segurança;

Implementação de um protótipo da arquitetura proposta e disponibilização do código fonte :

https://github.com/luizsantos/Of-IDPS.

6

https://github.com/luizsantos/Of-IDPS

Arquitetura proposta:

7

Implementação da arquitetura e experimentos:

8

Controlador OpenFlow:Of-IDPS – OpenFlow Intrusion Detection and Prevention System (Nossa Proposta);OpenFlow Beacon 1.0.4.

Outros elementos da rede (simulados):Mininet 2.1.0;Open vSwitch 1.9.0

Experimento 1:

Execução e resposta do Of-IDPS a alertas do IDS:

9

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum

Servidor Iperf:Porta TCP/80Porta TCP/90

Cliente Iperf:Porta TCP/80Fluxo Normal

Cliente Iperf:Porta TCP/90Fluxo Malicioso

Experimento 1:

10

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum

Alertas:30s – Risco baixo;60s – Risco médio;90s – Risco alto.

Experimento 1:

11

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Of-IDPS reage aos alertas.

Experimento 1:

12

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Fluxo Normal:Aumento indiretoTaxa de transferênciade dados.

Fluxo Malicioso:30s - restrição taxa de transferência de dados leve;60s - restrição taxa de transferência de dados severa;90s - bloqueio total.

Of-IDPS reage aos alertas.

Experimento 1:

Resultados do experimento para o WoSiDA

13

Fluxo NormalFluxo MaliciosoMensagem de alerta

0

500

1000

1500

2000

2500

Fluxo Normal

Fluxo MaliciosoMensagem de alerta

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:

Resultados do experimento após o WoSiDA

14

0 20 40 60 80 100 120 1400

200

400

600

800

1000

1200

1400

1600

(b) Desvio Padrão do Fluxo Malicioso

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0 20 40 60 80 100 120 1400

500

1000

1500

2000

2500

3000

(a) Desvio Padrão do Fluxo Normal

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:


15

0 20 40 60 80 100 120 1400

200

400

600

800

1000

1200

1400

1600


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0 20 40 60 80 100 120 1400

500

1000

1500

2000

2500

3000


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:


16

0 20 40 60 80 100 120 1400

200

400

600

800

1000

1200

1400

1600


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0 20 40 60 80 100 120 1400

500

1000

1500

2000

2500

3000


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:


17

0 20 40 60 80 100 120 1400

200

400

600

800

1000

1200

1400

1600


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0 20 40 60 80 100 120 1400

500

1000

1500

2000

2500

3000


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:


18

0 20 40 60 80 100 120 1400

200

400

600

800

1000

1200

1400

1600


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0 20 40 60 80 100 120 1400

500

1000

1500

2000

2500

3000


Tempo em Segundos

Nú

me

ro d

e P

ac

ote

sExperimento 1:


19

Experimento 2:

Reação a ataques de negação de serviço TCP-SYN

20

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum

VítimaServidor Apache:

Porta TCP/80

Atacante com aferramenta

Hyenae

Experimento 2:


21

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Porta TCP/80


Hyenae

Experimento 2:


22

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Porta TCP/80


Hyenae

Experimento 2:

Resultados do experimento para o WoSiDA:

23

Resultados do experimento após o WoSiDA:

24

0

50

100

150

200

250

300

(a) Ataque da Rede Externa para a Rede Interna

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0

50

100

150

200

250

300

(b) Ataque da Rede Interna para a Rede Externa

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0

50

100

150

200

250

300

(c) Ataque da Rede Interna para a Rede Interna

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

Vítima sem Of-IDPSAtacante sem Of-IDPSVítima com Of-IDPSAtacante com Of-IDPS

0

5000

10000

15000

20000

25000

20.014

1.279

20.040

1.348

20.030

1.121

(b) Quantidade de pacotes tratados pela vítima

Qu

anti

dad

e d

e P

aco

tes

0

5000

10000

15000

20000

25000

20.014

10.646

20.034

10.520

20.032

10.556

(a) Quantidade de pacotes tratados pelo atacante

Qu

anti

dad

e d

e P

aco

tes

Externa - Interna Interna - Externa Interna - Interna

SemOf-IDPS

ComOf-IDPS

SemOf-IDPS

ComOf-IDPS

SemOf-IDPS

ComOf-IDPS

Externa - Interna Interna - Externa Interna - Interna

SemOf-IDPS

ComOf-IDPS

SemOf-IDPS

ComOf-IDPS

SemOf-IDPS

ComOf-IDPS

Resultados do experimento após o WoSiDA:

25

Experimento 3:

Reação a ataques de varreduras de porta e rede

26

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum

Vítima 1ExecutandoServidores

Telnet e HTTP


Telnet e HTTP


Nmap

Experimento 3:


27

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Telnet e HTTP


Nmap


Telnet e HTTP

1º varredura – Vítima 1

Telnet;

HTTP;

Sistema Operacional.

Experimento 3:


28

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum


Telnet e HTTP


Telnet e HTTP


Telnet;

HTTP;



Telnet;

HTTP;



Nmap

Experimento 4:

Reação a fluxos de diversos tipos de ataques

29

RedeExterna

RedeExterna

ControladorOpenFlow

Roteador

IDS

SwitchOpenFlow

Host 1

Host 2

Host 3

Host 4Rede Interna

SwitchComum

Vítima

Atacante com aferramentaIDSWakeUp

Experimento 4:

30

0

20

40

60

80

100

120

140(a) Sem Of-IDPS

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

0

20

40

60

80

100

120

140(b) Com Of-IDPS

Tempo em Segundos

Nú

me

ro d

e P

ac

ote

s

Fluxo da Vítima

Fluxo do Atacante

Fim do 1°/Inicio do 2° Ataque

Avaliação dos Experimentos:

Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10 segundos para reagir contra ameaças à segurança.

Experimento 2 - constata-se redução de ~47% dos pacotes gerados pelo atacante e principalmente ~93% dos pacotes tratados pela vítima.

Experimento 3 - são necessários ajustes para melhorar o tempo de resposta do Of-IDPS para bloquear totalmente varreduras de portas.

Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes enviados para a vítima durante o ataque e atrasou o ataque em 94% no melhor caso e 156% no pior caso.

31

32

Conclusões:

A arquitetura proposta consegue identificar desequilíbrios causados por problemas de segurança e reagir evitando a degradação massiva nos recursos da rede.

A criação de um sistema de segurança autonômico que integra IDS e OpenFlow mostra-se uma solução efetiva e prática para detectar ameaças de segurança em redes locais.

33

Trabalhos Futuros:

Explorar mais a integração das estatísticas de redes obtidas com o OpenFlow.

Correlacionar informações obtidas a partir de outras fontes localizadas em segmentos comuns e distintos da rede.

Utilizar métodos de aprendizado de máquina para a geração de políticas de segurança baseadas nos ataques anteriores.

Obrigado!

Perguntas?

Luiz Arthur F. [email protected]

Rodrigo [email protected]

Daniel Macêdo [email protected]

Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de...

Technology

Transcript of Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de...