Avaliação de Ataques nos Perímetros das Infra- Estruturas de Redes de Dados Wireless: Uma Aplicação de Wireless Honeynet

Transcrição

1 Avaliação de Ataques nos Perímetros das Infra- Estruturas de Redes de Dados Wireless: Uma Aplicação de Wireless Honeynet André Ricardo Abed Grégio, Adriano Mauro cansian UNESP Universidade Estadual Paulista. Rua Cristóvão Colombo, CEP São José do Rio Preto SP. Resumo A utilização segura de redes wireless é vital para a transmissão de dados em operações militares. Devido à susceptibilidade do meio não guiado à escuta e espionagem, há a necessidade da proteção deste tipo de comunicação para manter a confidencialidade das informações. Para isto, é preciso compreender os ataques às redes sem fio, e as características que permitem a detecção dos mesmos. Este trabalho apresenta a topologia de uma wireless honeynet, e os resultados iniciais para alcançar o objetivo proposto. Palavras-chaves Segurança de informação, redes de computadores, redes sem fio, honeypots, honeynets. I. INTRODUÇÃO A comunicação de dados via wireless é de extrema importância para as instituições militares, tanto pela forma de acesso, quanto pela necessidade da mobilidade em determinados tipos de operações. Contudo, a insegurança inerente das transmissões de rádio faz com que as redes sem fio não ofereçam um nível adequado de confidencialidade para certas operações táticas, sejam elas de campo ou em agências militares. Métodos inadequados de criptografia da informação, ou a má-configuração dos dispositivos [1] tornam as redes sem fio um alvo em potencial para ataques de escuta, espionagem e mesmo interceptação (e modificação) dos dados em tráfego. Esta insuficiência de segurança faz necessário o monitoramento constante das redes sem fio, com o objetivo de manter a integridade e confidencialidade da rede, defendendo o perímetro da mesma por observação da situação corrente, levando à detecção do atacante. Para a realização da defesa do perímetro da infra-estrutura de uma rede IP com tráfego wireless, é proposta a arquitetura de uma wireless honeynet [2]-[3], que une duas tecnologias: a de simulação de um concentrador de acesso sem fio e a de honeypots [4] (computadores cujo objetivo é o comprometimento, visando o aprendizado da metodologia de um atacante). A utilização da wireless honeynet torna possível a detecção das atividades ilícitas em tempo real, registrando todas as ocorrências do sistema na área de cobertura da referida rede. Assim, monitora-se de maneira oculta o invasor, além de se reconstruir o ataque posteriormente por meio dos logs coletados. Esta análise resulta na visão geral das vulnerabilidades presentes no sistema, possibilitando o desenvolvimento de novas tecnologias de defesa para redes sem fio e aumentando o nível de segurança da transmissão de informações sensíveis. A seguir, mostra-se a proposição e detalhamento de uma wireless honeynet, além de sua aplicação e os resultados iniciais que validam o modelo. II. ARQUITETURA DA WIRELESS HONEYNET A segurança das redes de computadores envolve a consideração do relacionamento entre três fatores chave: prevenção, detecção e reação [5]. É sabido que, na prática, isso não ocorre, pois a segurança digital resume-se à prevenção, com o uso de criptografia ou firewalls. A detecção raramente é implementada, e, quando o é, em geral a análise dos dados coletados não é realizada a contento. A resposta e auditoria do sistema também são pontos falhos. Isto posto, o presente trabalho almeja a integração dos fatores acima citados, suprindo uma lacuna na área. Essa integração se dá inicialmente pelo uso da tecnologia de detecção, para posteriormente haver o desenvolvimento de mecanismos de prevenção e de contra-medidas eficientes para a geração de respostas às atividades intrusivas. A maneira encontrada para efetuar o monitoramento de redes sem fio de forma a alcançar as metas propostas foi com a utilização de honeypots de alta interação, que constituem a chamada honeynet [6]. O modelo criado tem por princípio fundamental o de monitorar as atividades no concentrador de acesso, levando em conta o comprometimento dos dispositivos clientes e a indisponibilidade do serviço. A. Topologia A wireless honeynet é composta pelos seguintes dispositivos: O concentrador de acesso, implementado em um computador por meio do software HostAP [7]; O honeywall, que é o gateway da honeynet, concentrando os serviços do detector de intrusões, do firewall, do capturador de atividades e teclas, controle das conexões de saída (session limit) e armazenamento dos logs destes mecanismos descritos; O cliente, que pode ser tanto um honeypot de baixa interação, com o uso do honeyd [8] (que permite a simulação de uma rede inteira de computadores com diversos sistemas operacionais em uma única máquina), quanto um (ou mais) honeypot(s) de alta interação; A antena, que pode ser direcional ou omni-direcional, de acordo com as características desejadas para cada caso em específico; O roteador, situado entre a Internet, a honeynet, e uma possível rede de produção (separa o tráfego da honeynet e da rede de produção, para não comprometer os registros obtidos e proteger a rede real). Na Fig. 1, é possível ver tais dispositivos, cujas configurações são descritas na próxima seção.

2 do honeywall, promovendo monitoramento, configuração e intervenção remotos de maneira segura. O modo de controle de dados de um honeywall consiste da junção das funcionalidades providas pelo IPTables e pelo Snort-Inline, podendo ser implementado de três maneiras: B. Ambiente Fig. 1. Topologia e dispositivos da wireless honeynet. A Tabela I mostra os detalhes dos dispositivos utilizados na implantação da wireless honeynet. TABELA I CARACTERÍSTICAS DOS DISPOSITIVOS DO MODELO Componente Concentrador de acesso Honeywall Cliente Hardware GHz 352 MB GHz 352 MB GHz 256 MB Interface de rede SiS900 10/100 Ethernet Linksys Wireless PCI Card WMP b Intel Ethernet Pro 100 SiS900 10/100 Ethernet Realtek RTL Toshiba Wireless Mini PCI b Sistema Operacional Slackware Linux 9.1-kernel Debian Linux 3.0-kernel Slackware Linux 10.0-kernel Windows XP SP2 A antena instalada para aumentar a área de cobertura da wireless honeynet é uma antena setorial modelo Pluton PTX- 16 [9]. Sua polarização é horizontal, sendo a irradiação principal direcionada em um ângulo fechado de cinco graus. Esta antena é compatível com qualquer equipamento sem fio padrão , que opere na faixa de freqüência de 2,40 a 2,48 Ghz. Dependendo da antena utilizada pelo cliente, o alcance do sinal pode variar entre 2,5 Km até 20 Km. O roteador presente entre a rede externa e a honeynet é um Cisco 7000 [10], que faz a junção entre as duas por meio de sua interface de processamento Ethernet. A. Honeywall III. CONFIGURAÇÃO DOS DISPOSITIVOS O honeywall, ou honeynet gateway, é um dos componentes principais da arquitetura de uma honeynet, tendo por propósito capturar e controlar todo o tráfego de entrada e saída dela. Um honeywall possui três interfaces de rede, para conexão com a Internet, com a honeynet e para gerenciamento, respectivamente. A interface de gerenciamento é adicionada com a finalidade de separar o tráfego relacionado a honeynet do tráfego de gerenciamento Modo de Limitação por Taxa de Conexão (CRLM Connection Rate Limiting Mode), que opera utilizando métodos de firewall para limitar a quantidade de conexões de saída, a partir de cada honeypot; Modo de Descarte de Pacotes (PDM Packet Drop Mode), que utiliza as funcionalidades do Snort-Inline de forma a rejeitar pacotes que contenham assinaturas de ataque conhecidas; Modo de Substituição de Pacotes (PRM Packet Replace Mode), que detecta os ataques e os modifica, tornando-os ineficientes. O modelo implementado opera em Modo de Limitação por Taxa de Conexão, permitindo a um invasor realizar conexões externas, porém limitadas. O objetivo disto é poder estudar o comportamento do intruso, gerando conhecimento sobre este e suas técnicas, sem prejudicar redes alheias, no caso de um honeypot comprometido servir de fonte de ataques. Então, o modo escolhido para realização do controle de conexões é implementado utilizando IPTables, e é aplicado conforme o protocolo, separadamente. Portanto, a configuração deve obedecer a quatro definições de limites, para TCP, UDP, ICMP e OTHER, que diz respeito aos outros protocolos não citados. Para efetuar realmente o limite das conexões, dois conjuntos de dados são consultados pelo IPTables: as novas tentativas de conexões e a taxa de conexões de saída por honeypot. O primeiro conjunto é referente às tentativas de conexão de um determinado honeypot para um host externo, e o segundo é uma tabela que faz a contagem de tais tentativas, por protocolo. Os pacotes de saída do honeypot ficam aguardando serem encaminhados ao seu destino, enquanto é feita uma comparação entre o número máximo de conexões possíveis para o protocolo em questão e o número atual de conexões efetuadas. Dependendo do resultado desta consulta, uma decisão é tomada pelo IPTables sobre o pacote. Já a captura de dados é realizada em camadas, sendo as informações registradas nas camadas de firewall (IPTables), de detecção de intrusão (Snort) e do sistema de honeypot (Sebek, syslog). Na camada do firewall, o estado de todas as conexões de entrada e saída para o honeypot é registrado, bem como cada nova conexão gera uma mensagem de alerta. Desta forma, pode-se descobrir worms tentando acessar o honeypot, conexões de FTP, ssh ou telnet. A camada de detecção de intrusão tem por finalidade verificar cada pacote que entra ou sai da honeynet, comparando-os com uma base de dados contendo assinaturas de ataques, para então gerar um alerta correspondente. O componente detector de intrusão contido no honeywall consiste da função de escuta do tráfego da rede, que por meio do tcpdump registra todos os pacotes que entram e saem da honeynet, disponibilizando os dados em formato binário para posterior análise, e da função de detecção de intrusão em si, que realiza o alerta sobre pacotes registrados contendo padrões de ataques.

3 Finalmente, a camada do honeypot, cujo propósito é monitorar toda a atividade intrusiva sem gerar suspeitas ao invasor, por meio da captura de seus pressionamentos de tecla e registros do sistema. O registro das atividades do sistema é realizado pelo syslog. Este protocolo permite que os sistemas operacionais, os processos e os aplicativos enviem mensagens de sua situação ou da indicação de ocorrência de certos tipos de eventos. Os eventos recebidos pelo syslog podem ser mostrados na tela do computador, registrados em arquivos locais ou encaminhados através de uma rede para um processo syslog remoto o servidor syslog. Os registros do syslog ficam armazenados em /var/log, em arquivos de destino específicos, para facilitar a análise. No arquivo debug, registrou-se uma associação indevida de um cliente wireless, que utilizou recursos da rede ilicitamente, uma vez que todas as conexões ao concentrador de acesso são não autorizadas: Oct 26 14:00:05 loki kernel: wifi0: AA:AA:AA:AA:AA:AA assoc_cb - STA associated Oct 26 14:36:06 loki kernel: wifi0: AA:AA:AA:AA:AA:AA auth_cb - alg=0 trans#=2 status=0 - STA authenticated Quando Sebek intercepta a chamada de sistema read(), além de registrar o conteúdo da leitura, também obtém informações como PID, UID e timestamp. A ferramenta Sebek gera seus próprios pacotes, os quais são enviados diretamente para o driver do dispositivo de rede, evitando a pilha TCP/IP. Isso impossibilita um invasor de bloquear os pacotes com um firewall e monitorá-los com um analisador de tráfego, detectando a presença de Sebek. A recuperação dos dados do cliente, e posterior análise, é efetuada no servidor. Este é em geral instalado no honeywall gateway e pode recuperar os dados advindos do cliente de duas formas: extraindo-os de um arquivo de log em formato tcpdump ou capturar o tráfego diretamente da interface de rede. O servidor possui três componentes, sendo eles sbk_extract, a ferramenta que recupera os dados capturados pelo Sebek; sbk_ks_log.pl, um script em Perl que registra pressionamentos de teclas e os envia para a saída padrão; e sbk_upload.pl, que carrega os dados providos por Sebek para um banco de dados mysql. C.Concentrador de acesso Complementando a função da camada, utiliza-se a ferramenta Sebek. Para obter sucesso no monitoramento das atividades de um intruso em um honeypot, é fundamental que a captura dos dados da rede seja invisível ao atacante, fazendo-o crer que está em um sistema normal como outro qualquer. Entretanto, é comum que os atacantes utilizem alguma forma de criptografia, inviabilizando que ferramentas de captura de dados atuem sobre esses canais de comunicação protegidos. Devido à dificuldade em se quebrar a criptografia de uma sessão, algumas tentativas foram feitas com o objetivo de desviar-se dela, com o uso de rootkits [11] para capturar os dados de interesse diretamente do kernel do honeypot. Este fato levou ao desenvolvimento da ferramenta Sebek [12]. B.Sebek Sebek é um pedaço de código que reside por inteiro no espaço do kernel e registra os dados acessados pelos usuários do sistema. Algumas das funcionalidades de Sebek são: Registrar pressionamentos de teclas em uma sessão criptografada; Capturar senhas utilizadas para o login no sistema remoto; Recuperar arquivos copiados com SCP, entre outras tarefas de análise forense (forensics). A ferramenta possui dois componentes um cliente e um servidor e a comunicação é feita via UDP. Conseqüentemente a transmissão é não orientada à conexão e não confiável. A captura dos dados é realizada com a utilização de um módulo de kernel no honeypot (cliente Sebek), registrando todas as atividades e/ou dados da função read(). Para isso, muda-se um ponteiro de função na Tabela de Chamada do Sistema de modo a repor a função read() por uma nova, que efetua uma chamada à read() original, copia seu conteúdo em um buffer de pacote, adiciona um cabeçalho e envia o pacote ao servidor. Um concentrador de acesso wireless é um dispositivo cujas funções são: Intermediar a conexão entre um cliente (host) e a Internet; Permitir a associação de um cliente à uma rede de computadores (podendo operar como repetidor, switch ou roteador); Interconectar uma ou mais redes de computadores (com ou sem fios). Os concentradores de acesso em geral, possuem diversas características configuráveis, permitindo a habilitação de filtros de determinadas portas, registro de sessões, serviço de DHCP, entre outros. Isto o torna um ponto vital para o funcionamento correto de uma rede sem fio, haja vista que o comprometimento do mesmo pode levar à perda de confidencialidade e privacidade das informações dos clientes, ou ainda, o concentrador pode ficar indisponível (negativa de serviço). É possível emular um concentrador de acesso em um computador, utilizando uma interface de rede sem fio e um software, conhecido como HostAP. O HostAP é um driver de Linux para interfaces de rede sem fios baseados nos chipsets Prism 2/2,5/3 e tem por atividade encarregar-se das funções de gerenciamento do IEEE nos hosts, bem como atuar como um concentrador de acesso. Algumas das funções IEEE implementadas pelo driver são: autenticação e desautenticação, associação, desassociação e reassociação, e transmissão de dados entre duas estações wireless. D.HostAP Após descompactar o arquivo contendo o driver, é necessário modificar o caminho do kernel (KERNEL_PATH) do arquivo Makefile para que este aponte para o caminho correspondente. Compila-se então o código-fonte, através do comando make seguido de make install. Então, deve-se editar o arquivo /etc/modules.conf para adicionar a linha referente ao

4 driver necessário (no caso deste trabalho, a placa utilizada é uma interface PCI): alias wlan0 hostap_pci Assim, após o driver ser carregado no sistema, a interface de rede sem fio já pode ser configurada para funcionar como um concentrador de acesso. Primeiro, designa-se um endereço IP para a interface: #ifconfig wlan0 <endereço_ip> Em seqüência, o SSID (Service Set Identifier), o canal a ser utilizado e o modo de operação serão configurados, através do comando iwconfig. #iwconfig wlan0 essid <SSID> #iwconfig wlan0 channel <num_canal> #iwconfig wlan0 mode master Tal teste consistiu da descoberta do IP da rede sem fio, conexão de um cliente ao concentrador de acesso, e lançamento de um ping para um endereço IP externo. Este ato, desde a associação ao concentrador, configura-se em uso não autorizado dos recursos da rede, sendo, portanto uma atividade ilícita. Com a utilização da ferramenta kismet [13], foi possível a obtenção do IP da rede. Esse procedimento é ilustrado em Fig. 2. É o último comando que define que o host vai operar como um concentrador de acesso. O próximo passo é fazer com que a interface de rede sem fio (wlan0) se comunique com a interface cabeada (eth0), para prover o acesso à rede externa. Portanto, foi criada uma bridge, tal que os dispositivos de ambas as interfaces compartilhem a mesma subrede. Para alcançar esse objetivo, foram utilizadas as Linux Ethernet Bridging Utilities ( que encaminham os frames com base no endereço MAC, provendo assim independência de protocolos. E.Bridge Inicialmente, é preciso remover os endereços IP das interfaces que farão parte da bridge: #ifconfig wlan #ifconfig eth A configuração da bridge foi realizada com o utilitário brctl, criando primeiramente uma interface para representá-la. #brctl addbr br0 Associou-se à bridge as interfaces físicas sem fios e cabeada. #brctl addif br0 wlan0 #brctl addif br0 eth0 Foi habilitada a interface virtual criada (br0), com a designação um endereço IP à mesma. #ifconfig br0 <endereço_ip> up Agora, os clientes sem fio que se conectarem a este concentrador de acesso, têm acesso à Internet através da bridge, de forma transparente, com o tráfego sendo passado pela interface virtual configurada. IV. RESULTADOS INICIAIS Para efetivar a validação do modelo, foi feito um teste dos mecanismos de registro em ambiente controlado. Fig. 2. Ferramenta kismet coletando informações sobre redes sem fio. A informação do endereço IP da rede possibilita a um invasor wireless utilizar o concentrador para acessar a rede externa, configurando um IP válido para sua máquina. O registro do syslog adiante, do arquivo /var/log/debug, mostra o momento em que o intruso foi autenticado e associado pelo concentrador como um cliente da rede. Nov 5 08:13:41 loki kernel: wifi0: AA:AA:AA:AA:AA:AA auth_cb - alg=0 trans#=2 status=0 - STA authenticated Nov 5 08:13:41 loki kernel: wifi0: AA:AA:AA:AA:AA:AA assoc_cb - STA associated O IPTables registrou o tráfego de saída do concentrador, que mostra o intruso utilizando o ping (sublinhado) para um determinado host: Nov 5 08:15:54 ciclone OUTBOUND_CONN_ICMP: IN=br0 OUT=br0 MAC=AA:AA:AA:AA:AA:AA:VV:VV:VV:VV:VV:VV:00 SRC=aaa.aaa.aaa.aa DST=vvv.vvv.vvv.vv LEN=84 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6402 SEQ=0 A Fig. 3 foi extraída dos dados coletados por Sebek, proveniente da interface de gerenciamento de logs via web. Fig. 3. Registro da utilização de ping através do concentrador de acesso. Esses resultados iniciais mostram o potencial da wireless honeynet no monitoramento das atividades que ocorrem na área de abrangência de uma rede sem fio, permitindo a descoberta de intrusos.

5 REFERÊNCIAS [1] A. R. A. Grégio, A. M. Cansian, A. Z. T. Souza, A. Montes, C. T. Palhares. Falhas em políticas de configuração: uma análise do risco para as redes sem fio na cidade de São Paulo. Anais do SSI 2004 (6º Simpósio Segurança em Informática). ISBN Novembro, [2] L. Outdot. Wireless honeypot trickery. Disponível em: < Fevereiro, [3] K. Poulsen. Wi-Fi Honeypots: a New Hacker Trap. Disponível em: < Julho, [4] L. Spitzner. Honeypots: tracking hackers. Addison- Wesley, [5] B. Schneier. Segurança.com. Editora Campus, [6] The Honeynet Project. Know your enemy: learning about security threats (2 nd edition). Pearson Education, [7] < [8] N. Prouvos. Developments of the Honeyd Virtual Honeypot. Disponível em: < [9] < [10] < cis7000/> [11] N. Murilo, K. Steding-Jessen. Métodos para detecção local de rootkits e módulos de kernel maliciosos em sistemas UNIX. Anais do SSI 2001 (3º Simpósio Segurança em Informática). Outubro, [12] The Honeynet Project. Know your enemy: sebek a kernel based data capture tool. Disponível em: < Dezembro, 2003 [13] <