Anomalias de Rede e Recursos de Proteção contra Ataques

Transcrição

1 Anomalias de Rede e Recursos de Proteção contra Ataques Guilherme Linck 1, Diego Kreutz 1,2 1 Núcleo de Ciência da Computação NCC Universidade Federal de Santa Maria UFSM Campus UFSM Santa Maria RS Brasil 2 Universidade Luterana do Brasil, campus Santa Maria ULBRA SM Caixa Postal Santa Maria RS Brasil Resumo. Os ataques contra sistemas conectados em rede são constantes e crescentes. Diversos sistemas e técnicas de proteção têm surgido ao passar do tempo. No entanto, nenhuma delas por si só é capaz de proteger todos os recursos dos mais diferentes domínios administrativos. Este artigo apresenta uma proposta de um infraestrutura federativa que tem por objetivo, com apoio de novas e existentes ferramentas e técnicas de identificação e proteção contra ataques, auxiliar na proteção de redes de computadores. Em especial, contribuir na defesa interna da rede, pois é sabido que os ataques mais perigosos costumam ser os ataques internos à rede. Abstract. Attacks against network connected systems are a constant and growing worry among security managers. Several systems and protection techniques have appeared during the last years. However, none of them are able to protect by theirselves all kinds of resources from many different administrative domains that we have nowadays. This article presents a proposal of a federative infrastructure whose goal is, with support of new and existent tools of identification and protection techniques against attacks, to increase protection options and strategies for computer networks. Especially, to contribute in the network internal defense, using colaborative federated units, because it is known that the most dangerous attacks usually comes from network internals. 1. Introdução Inicialmente surgiram sistemas que permitiam a identificação da ocorrência de ataques, pertencentes à classe de sistemas de detecção de intrusão(ids 1 ). No entanto, o cenário atual exige uma ferramenta pró-ativa que além de identificar uma intrusão e gerar um alerta, seja capaz de interromper o seu avanço, principal deficiência de sistemas IDS. Para suprir esta carência, foram criados novos sistemas que originaram uma segunda classe de sistemas de segurança, compreendida pelos sistemas de prevenção de intrusão(ips 2 ). Nesse contexto, a principal motivação deste trabalho é apresentar uma síntese sobre as principais formas de identificação de anomalias em redes de computadores e também suprir algumas deficiências de infraestruturas distribuídas capazes de prover um maior apoio à prevenção de intrusões. As ferramentas existentes operam, no geral, apenas em um ponto especifico da rede. O objetivo deste trabalho é propor a troca de informações 1 Derivado da expressão inglesa Intrusion Detection Systems. 2 Derivado da expressão inglesa Intrusion Prevention Systems.

2 entre diferentes unidades, como forma de aprimorar e integrar os sistemas de prevenção de intrusões. Endereços de infratores identificados por uma unidade podem ser utilizados por outras unidades para preparar-se contra possíveis futuros ataques. O artigo está estruturado da seguinte forma: a seção seguinte contextualiza alguns trabalhos relacionados. Técnicas de identificação de intrusão são apresentadas na seção 3. Dando seqüência, a proposta do sistema é desenvolvida na seção 4 e o estado atual de desenvolvimento é apresentado na seção 5. Na seção 6 é discriminada a metodologia empregada nos primeiros testes e os resultados atingidos são detalhados e discutidos. Por fim, são inferidos a conclusão e alguns trabalhos futuros. 2. Sistemas de Detecção e Prevenção de Intrusões Sistemas IDS são largamente utilizados para prover segurança a ambientes interconectados. Seu objetivo consiste em monitorar sistemas ou recursos da rede [Xiaoping and Yu 2004] em busca indícios que identifiquem uma invasão, e quando isto ocorrer, notificar o administrador do sistema sobre o incidente. No entanto, sistemas IDS funcionam de forma passiva e reativa, não tomando providências para interromper o progresso de um eventual ataque, apenas o identifica [Zhang et al. 2004]. Dentre as estratégias empregadas por sistemas IDS para identificação de atividades hostis à rede estão: técnicas baseadas em busca por anomalias e técnicas baseadas em assinaturas. A primeira técnica consiste em definir perfis de comportamento para usuários e máquinas. Concluído este processo, atividades que venham a caracterizar comportamentos fora do padrão estabelecido, tanto por sistemas quanto por usuários, são reconhecidas como suspeitas ou como intrusões [Zhang et al. 2004]. A estratégia baseada em assinaturas consiste em procurar características e padrões de ataques conhecidos armazenados em uma base de dados. Sistemas IDS que fazem uso desta metodologia assemelhamse a um anti-vírus, onde a busca por atividades maliciosas é realizada através da análise do tráfego da rede a procura de padrões previamente conhecidos como sendo de ataques [Zhang et al. 2004]. Por definição, sistemas IDS concentram esforços na identificação de intrusões e na geração de alarmes. Conseqüentemente, enquanto uma investigação não for realizada sobre um determinado alerta, o atacante não terá nenhuma barreira para consolidar o seu ataque [Paulson 2002]. Além disso, novos ataques para o qual não há uma assinatura disponível não são identificados por sistemas IDS que façam uso desta metodologia [Paulson 2002]. Embora possuam uma série de deficiências [Wickham 2003], sistemas de detecção de intrusão são utilizados para que se possa ter pelo menos a chance de identificar uma invasão. Sistemas de prevenção de intrusão são considerados versões avançadas de IDSs [Ierace et al. 2005]. Ao contrário de sistemas IDS que atuam de forma passiva na rede, sistemas IPS possuem mecanismos (baseados em software ou hardware) que o permitem agir de forma pró-ativa [Sequeira 2003], possibilitando que ataques, conhecidos ou não, sejam identificados com antecedência e medidas de prevenção, para inibir o seu sucesso, sejam tomadas de forma automática [Desai 2003, Holland 2004]. Sistemas IPS fazem uso de assinaturas ou de um conjunto de regras como metodologias para prevenir ataques. O esquema de assinaturas é semelhante ao de sistemas IDS, diferindo na ação a ser tomada que é o bloqueio do tráfego. A segunda

3 estratégia consiste em definir regras sobre atividades benéficas ou prejudiciais à rede [Paulson 2002]. Basicamente, uma análise em tempo real sobre o tráfego da rede é realizada, comparando-o com um conjunto de regras pré-estabelecidas, permitindo filtrar o tráfego malicioso[ierace et al. 2005]. Esta análise é realizada em modo stateful 3, possibilitando que novos ataques para os quais ainda não há uma assinatura disponível sejam identificados e bloqueados, além de oferecer proteção extra a ataques do tipo DDoS 4 [Ierace et al. 2005]. 3. Identificação de Ataques A tarefa de identificar ataques pode ser realizada de várias maneiras. Uma das possibilidades consiste na análise minuciosa dos registros armazenas em arquivos de logs. Estes arquivos possuem informações sobre as atividades relacionadas a conexões a serviços ou máquinas da rede, e uma auditoria sobre estas informações pode fornecer dados que venham a caracterizar tentativas ou até mesmo ataques consolidados. Geralmente, a primeira etapa para realização de um ataque consiste em efetuar um levantamento de informações através de uma varredura na rede a ser atacada. Entre essas informações estão os programas executados em uma determinada máquina e o seu sistema operacional, para depois efetuar uma busca por vulnerabilidades relacionadas a estes softwares [Leckie and Kotagiri 2002] e então disparar o ataque principal. Entretanto, varreduras consistem basicamente de acessos a um intervalo de endereços IP ou portas, tornando-os relativamente fáceis de identificar [Leckie and Kotagiri 2002]. Contudo, novas técnicas de varreduras surgiram, mascarando tentativas de conexões verdadeiras, como a TCP SYN Stealth Scan e a UDP Port Scan[Millican 2003]. Estas técnicas de varreduras requerem ferramentas de monitoramento avançadas para serem localizadas. Nesta categoria encontra-se o Snort [Caswell and Roesch 2004], uma das mais avançadas ferramentas de detecção de intrusões em redes de computadores. A proteção oferecida pelo Snort pode ser conferida através de regras ou pela inserção de plugins que adicionam novas funcionalidades. A customização de proteções através da inserção de regras permite controlar, por exemplo, quais máquinas podem ter acesso a determinados serviços, descartar o tráfego direcionado a serviços ou máquinas inexistentes, busca por strings dentro de pacotes, além de regras que permitam identificar ataques com características(assinaturas) conhecidas [Mahoney and Chan 2002]. A inserção de plugins permite ao Snort aumentar sua capacidade de detecção de intrusões, entre elas a identificação de anomalias relacionadas ao tráfego da rede e a capacidade de localizar indícios de ataques dentro da camada de aplicação [Mahoney and Chan 2002]. 4. Infra-estrutura Federativa de Segurança Uma visão geral da infra-estrutura federativa de segurança é exibida na figura 1. Basicamente ela é composta por: (1) um monitor de atividades que gerencia as políticas de acesso e roteamento do filtro de pacotes; (2) fonte de dados onde são armazenadas as configurações de operação do sistema; (3) um filtro de pacotes; (4) analisador dos registros gerados por filtros de pacotes, servidores DNS, DHCP, SMTP, entre outros e 3 Mantém informações sobre o progresso da conexão. 4 Derivado da expressão inglesa Distributed Denial of Service.

4 Honeypots; (5) troca de informações entre as diferentes instâncias do sistema distribuídas local ou geograficamente; (6) Uma fonte de dados externa, como ferramentas IDS. 5 Troca de Dados Entre Monitores Elementro principal da arquitetura 1 MONITOR bloqueio e liberação de IPs Filtro de Pacotes 3 Fonte de Dados de Configuração 2 Firewalls Servidores Honeypots Filtro de Pacotes DNS, DHCP, SMTP Fontes de Dados Externas IPs 5 monitorados 1 2 IPs 3 bloqueados 4 Analisadores de Log Logs de Serviços Figura 1. Arquitetura geral As funções do monitor incluem: a) controle das regras do filtro de pacotes local, que bloqueiem ou desviem o tráfego de endereços IP considerados suspeitos; b) receber e processar os dados coletados pelos analisadores de log, cuja atividade é baseada na busca de informações, em diferentes tipos de arquivos de log de diferentes serviços, que possam caracterizar alguma ação maliciosa vinda de alguma origem em específico; c) compartilhar informações sobre os infratores detectados localmente com as demais unidades da federação, podendo estas estarem localizadas em uma mesma rede ou em diferentes redes; d) receber dados relativos a monitoramento e detecção de intrusões coletados por outros sistemas existentes e/ou utilizados no domínio administrativo. Os componentes analisadores de log filtram dados sobre as ações de endereços IP, presentes nos arquivos de log dos serviços executados em diferentes máquinas (firewall, servidores ou honeypots), e os encaminham ao componente monitor. Os analisadores investigam e classificam os endereços com grande probabilidade de serem fontes de futuros ataques ou problemas na rede. O monitor dispara contra-medidas, que podem ser bloqueio no filtro de pacotes ou redirecionamento de tráfego para um honeypot, em relação aos endereços de origem processados pelos analisadores. Essas contra-medidas são tomadas baseadas nas configurações armazenadas no componente 2 (base de configuração dos componentes da infra-estrutura). O uso de fontes de dados externas permite ampliar a capacidade de prevenção de ataques. Informações encaminhadas ao componente monitor por outras ferramentas de segurança, como o Snort, executando em diferentes máquinas da rede permitem às unidades da federação obter uma visão geral do funcionamento e utilização de recursos distribuídos pela rede. Diferentes sistemas, localizados em diferentes pontos da rede, podem auxiliar na proteção de toda a federação (conjunto de máquinas executando o componente monitor). Esse esquema pode ser especialmente interessante para auxiliar na prevenção de ataques internos. Os dados coletados por analisadores de log, ferramentas de detecção e prevenção de intrusões, em pontos específicos da rede, são rapidamente distribuídos pelos componentes monitores da federação. O quinto componente consiste na troca de informações entre as diferentes instâncias do monitor. Esta funcionalidade tem por objetivo permitir que endereços IP de atacantes identificados em uma rede específica sejam compartilhados com as demais unidades, possibilitando que estas se protejam no caso de tornarem-se futuros alvos.

5 5. Componentes Implementados Considerando a infra-estrutura básica de uma federação (apresentada na seção 4), existe uma implementação do monitor e quatro analisadores de log. Os monitores trocam dados entre si através do protocolo LDAP. Há um protocolo específico para o controle dos processos de troca de informações entre as diferentes unidades da federação. A troca de dados é feita através de uma mensagem especial, indicando a incidência de novos IPs suspeitos. Os analisadores de log são de quatro tipos: (1) análise de logs do IPTables; (2) análise de requisição de IPs ao servidor DHCP; (3) análise de resultados do ArpWatch; e (4) análise de ataques por força bruta em servidores SSH. O analisador de logs do IPTables objetiva identificar IPs com probabilidade de serem fontes de ataques através da observação simples de variação de endereços e portas de conexão. Um dos objetivos é aprimorar estes analisadores para que sejam capazes de identificar, por exemplo, tráfego de dados que contenham assinaturas de worms conhecidos. O analisador de logs do DHCP verifica se os endereços MAC solicitantes estão devidamente registrados na rede. Caso um MAC não esteja registrado na rede é acionado um alerta ao administrador do domínio e enviado um pacote de dados a um dos monitores da rede, indicando a necessidade de bloqueio do MAC e/ou IP atribuído. Esse analisador auxilia no controle de uso de faixas dinâmicas de IPs que podem ser utilizados por alunos e professores de uma universidade ou funcionários de uma empresa. O analisador de logs do ArpWatch tem por objetivo identificar conflitos de IP, trocas de endereços IP por parte de um determinado MAC, uso dos mesmos IPs por endereços MAC distintos em tempos distintos. A partir dos resultados coletados e analisados, são gerados alertas de segurança e/ou encaminhadas notificações de bloqueio, desvio ou monitoramento a um dos monitores da federação. O monitor pode estabelecer regras de desvio ou cópia de tráfego (para um honeypot, por exemplo) ou bloqueio do endereço. Por fim, o analisador de ataques por força bruta em servidores SSH tem por objetivo analisar as tentativas de login mal-sucedidas em servidores SSH e identificar fontes de possíveis ataques. Uma fonte de possível ataque pode ser facilmente caracterizada como tentativas consecutivas de logins falhos utilizando diferentes usuários. Neste caso uma notificação de bloqueio/controle é encaminhada a um dos monitores da federação. O endereço do provável atacante é então desviado para um honeypot, para maiores análises de comportamento, ou bloqueado, inibindo qualquer tipo de acesso a rede. 6. Alguns Resultados O principal objetivo dos testes realizados foi avaliar o tempo médio necessário para que as demais unidades da federação, após receberem a notificação de que um novo endereço está disponível na base de dados central, necessitam para acessá-la, obter os endereços e bloqueá-los localmente. Para isso, foi registrada a hora em que uma notificação chegou e a hora em que os referidos endereços IPs foram bloqueados localmente, fazendo-se então uma média aritmética do somatório das diferenças destes tempos. Os registros de logs utilizados para análise continham dados de um dia de funcionamento do filtro de pacotes do NCC da UFSM. As máquinas utilizadas durante os testes possuem a seguinte

6 Monitor Varreduras IPs Rec. Notificações Rec. T. de Resposta ssh http Força Bruta s s Tabela 1. Resultados do teste Caso 1. Monitor: T. de Resposta 3.38s 3.34s 3.31s 3.32s 3.23s 3.25s 3.40s 3.23s Tabela 2. Resultados do teste Caso 2. configuração: Pentium IV 2Ghz, 512 de ram e sistema operacional Gentoo Linux com kernel Caso 1: 3 Máquinas Nesta configuração foram utilizadas três máquinas para a realização do teste. As duas primeiras efetuaram a análise dos arquivos de logs enquanto a terceira exercia o papel de servidor da base de dados central. Os resultados podem ser visualizados na tabela 1. O monitor 1 fez a análise de um arquivo de logs contendo 312MB de registros, enquanto que o monitor 2 analisou um arquivo contendo 293MB. A segunda coluna contém o número de varreduras identificadas durante a verificação dos arquivos em cada monitor. Neste caso, um endereço IP é caracterizado como a origem de um processo de varredura quando ele possuir pelo menos cinco conexões negadas a máquinas ou portas diferentes num intervalo de vinte segundos, sendo que estes parâmetros podem ser alterados pelo administrador. As colunas ssh e http contém o número e endereços bloqueados por terem excedido o limite permitido de tentativas de acesso, em um intervalo de tempo, a máquinas que não oferecem estes serviços. Enquadraram-se nesta categoria IPs que tiveram 5 ou mais tentativas de acesso negadas num intervalo de 2 minutos. A última coluna contém o número de endereços IPs que realizaram ataques de força bruta a servidores ssh. Neste caso, usou-se o critério de 5 ou mais tentativas de login frustradas no intervalo de 1 minuto Caso 2: 9 Máquinas Nesta configuração foram utilizadas nove máquinas durante o teste. Somente uma delas efetuou a análise dos arquivos de logs, no entanto, agora oito recebiam as notificações. O objetivo do teste foi analisar o tempo de resposta em função da sobrecarga do servidor da base de dados central, correspondente ao monitor 8 na tabela. No primeiro caso o servidor da base de dados não executava nenhum monitor. Todos os monitores receberam 689 notificações, resultando no bloqueio de 1754 endereços IPs. Os dados coletados provém do monitor 1(tabela 1) e os resultados podem ser visualizados na tabela Conclusão Este artigo apresentou uma proposta de uma infra-estrutura federativa que tem por objetivo permitir a troca de informações entre diferentes unidades visando a cooperação para prevenção de intrusões. Os resultados demonstram a viabilidade da aplicação da solução proposta em algumas de suas configurações possíveis, considerando-se a velocidade com

7 que endereços considerados hostis à rede, por um determinado monitor, são colocados a disposição para as outras unidades da federação. Estas utilizam as informações disponívies para protegerem-se de possíveis futuros ataques. Referências Caswell, B. and Roesch, M. (2004). Snort - The Open Source Network Intrusion Detection System. Desai, N. (2003). Intrusion Prevention Systems: The Next Step in the Evolution of IDS. Último acesso: julho de Holland, T. (2004). Understanding IPS and IDS: Using IPS and IDS together for Defense in Depth. php. Último acesso: maio de Ierace, N., Urrutia, C., and Bassett, R. (2005). Intrusion Prevention Systems. Último acesso: julho de Leckie, C. and Kotagiri, R. (2002). A probabilistic approach to detecting network scans. In Network Operations and Management Symposium, NOMS IEEE/IFIP, pages IEEE. Mahoney, M. and Chan, P. (2002). Learning nonstationary models of normal network traffic for detecting novel attacks. In Proceedings of SIGKDD02, pages Millican, A. (2003). Network Reconnaissance - Detection and Prevention. gsec/2473.php. Último acesso: setembro de Paulson, L. D. (2002). Stopping intruders outside the gates. 35(11): /. Último acesso: julho de Sequeira, D. (2003). Intrusion Prevention Systems - Securitys Silver Bullet? http: //whitepapers.zdnet.co.uk/0, , p q, 00.htm. Último acesso: julho de Wickham, T. D. (2003). Intrusion Detection is Dead. Long Live Intrusion Prevention! p q,00.htm. Último acesso: julho de Xiaoping, Y. and Yu, D. (2004). An Auto-configuration Cooperative Distributed Intrusion Detection System. In V World Congress on Intelligent Control and Automation. IEEE. tp=\&arnumber= \&i%snumber= Zhang, X., Li, C., and Zheng, W. (2004). Intrusion Prevention System Design. In Proceedings of the The Fourth International Conference on Computer and Information Technology, pages IEEE. cfm?id= /. Último acesso: julho de 2006.