SDNIPS: Enabling Software-Defined Networking Based Intrusion Prevention System in Clouds
Tamanho: px
Começar a partir da página:

Download "SDNIPS: Enabling Software-Defined Networking Based Intrusion Prevention System in Clouds"

Transcrição

1 SDNIPS: Enabling Software-Defined Networking Based Intrusion Prevention System in Clouds Universidade Federal Fluminense - UFF Instituto de Computação - IC Disciplina: Engenharia de Redes Prof. Igor Monteiro Moraes, D.Sc. Aluno: André Ricardo C. Saraiva

2 Bibliografia "SDNIPS: Enabling Software-Defined Networking based intrusion prevention system in clouds, Xing, T.; Xiong, Z.; Huang, D.; Medhi, D., in Network and Service Management (CNSM), 10th International Conference, pp , Novembro de 2014.

3 Introdução A segurança nas plataformas de computação em nuvem, tem sido considerada uma questão crítica, uma vez que os ataques podem ser: Ataques de Spam; Disseminação de códigos maliciosos; Quebra de senhas e chaves de segurança; Ataque a vulnerabilidades de VM s; Ataques de DDoS.

4 IDPS Estabelecer um Sistema de Detecção e Prevenção de Intrusões é uma boa prática de segurança. O Snort pode ser configurado para trabalhar com um sistema firewall, como o Iptables.

5 Problemas no IDPS Porém, existem problemas conhecidos no IPS, como: Latência; Consumo de recursos; Reconfiguração inflexível da rede.

6 Abordagem de Segurança em SDN OpenSafe (OpenFlow e snort) Foca na rota do Tráfego e não na detecção e prevenção de intrusões. OpenFlow Random Host Mutation (OFRHM) Atribui ao host um IP virtual aleatório que é traduzido para o IP real do host. SnortFlow Permite IPS no ambiente em nuvem.

7 Abordagem de Segurança em SDN Mais nenhum destas abordagens resolveram problemas como: Estabelecer uma solução IPS em nuvens SDN; Como comparar os mecanismos IDS/IPS baseados em SDN com redes tradicionais; Como projetar IDS/IPS baseados em SDN de forma dinâmica.

8 SDNIPS - Arquitetura

9 SDNIPS - Arquitetura Open vswitch do gerenciamento do sistema em nuvem

10 SDNIPS - Arquitetura O espaço do usuário é dividido em dois módulos

11 SDNIPS - Arquitetura O espaço do usuário é dividido em dois módulos O módulo ovsdb-server que é o banco de dados com as configurações ao nível do comutador O módulo ovs-switch com múltiplos caminhos, se comunica com ovsdb-server e com kernel

12 SDNIPS - Arquitetura O espaço do usuário é dividido em dois módulos Snort é a ferramenta de análise de pacotes e pode ser implantado com privilégios (Dom 0) ou sem privilégios (Dom U)

13 SDNIPS Fluxo de Processamento O Snort em domínio com privilégio tem a vantagem de detectar diretamente, qual sniff é mais eficiente. Quando um Tráfego correspondente com a regra do agente Snort é detectado, o daemon SDNIPS armazena alertas JSON e envia ao controlador.

14 SDNIPS Fluxo de Processamento Um interpretador irá analisa o alerta para extrair dados como: tipo de ataque, IP de origem, IP de destino, porta e etc. O gerador de regras irá gerar as regras de entrada e atualizar as tabelas de fluxo do Open vswitch, uma vez atualizadas as medidas defensivas serão rapidamente implementadas.

15 SDNIPS Fluxo de Processamento

16 Reconfiguração de Rede - NR Abordagem para reconfigurar as características da rede, como topologia, cabeçalho de pacotes, parâmetros QoS, etc. Com o conceito de SND, incluindo as nuvens, a reconfiguração pode ser associada a uma contramedida do sistema IPS.

17 Reconfiguração de Rede - NR As principais contramedida do sistema IPS, são: 1. Redirecionamento de Tráfego; 2. Ajustamento do QoS; 3. Isolar o Tráfego; 4. Filtros; 5. Bloqueio de Portas.

18 SDNIPS x Tradicional IPS Como o IPS é concebido para ambientes de redes tradicionais, o cenário utilizado para comparação foi o Iptables x SDNIPS. Quando o Snort detecta qualquer Tráfego suspeito, em IPS tradicionais, ele precisa informar o NFQueue para que o Iptables consulte a aplicação para decidir qual medida tomar e enviar os comandos para que o kernel.

19 SDNIPS x Tradicional IPS O SDNIPS destaca-se por ser implementado de forma nativa e assim, quando um pacote chega o Snort é capaz de monitorar nativamente, trocando poucas mensagens entre o Open vswitch e o controlador, para atualizar a tabela de fluxo, sendo rápida o tratamento dado para tráfego suspeito.

20 SDNIPS x Tradicional IPS

21 SDNIPS x Tradicional IPS O SDNIPS destaca-se por ser implementado de forma nativa e assim, quando um pacote chega o Snort é capaz de monitorar nativamente, trocando poucas mensagens entre o Open vswitch e o controlador, para atualizar a tabela de fluxo, sendo rápida o tratamento dado para tráfego suspeito.

22 SDNIPS x Tradicional IPS

23 Conclusão A viabilidade e eficiência do SDNIPS, que herda do Snort, em relação ao mecanismos tradicionais, foi comprovada. As ações de reconfiguração da rede foram eficazes em Open vswitch e controladores POX.

24 OBRIGADO!!!

Documentos relacionados
2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback