An Intrusion Tolerant Architecture for Dynamic Content Internet Servers

Transcrição

1 An Intrusion Tolerant Architecture for Dynamic Content Internet Servers Ayda Saïdane, Yves Deswarte e Vincent Nicomette Rapport LAAS no ACM Workshop on Survivable and Self-Regenerative Systems 2003 An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.1/19

2 Visão Geral do Artigo Projeto DIT: arquitetura TI para servidores Internet de conteúdo estático Web Propõe uma arquitetura TI para servidores Internet de conteúdo dinâmico Web+SQL Ilustra uso de diversidade e adaptação em TI An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.2/19

3 Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) 2. Arquitetura para Conteúdo Dinâmico 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.3/19

4 Modelo de Sistema Sistema distribuído composto por servidores Servidores de aplicação: COTS com diversidade Todos os servidores corretos produzem a mesma resposta para uma dada requisição Semântica de falhas bizantinas An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.4/19

5 Componentes da Arquitetura Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.5/19

6 Regimes de Acordo Resposta adaptativa do sistema Um regime de acordo especifica: quais servidores recebem uma requisição o que é considerado um acordo suficiente entre as respostas quais servidores devem ser reportados como suspeitos An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.6/19

7 de Tolerância Um líder, vários auxiliares Funções principais: mediar requisições para os servidores (líder) monitorar o estado dos servidores monitorar comunicação entre o proxy líder e os servidores (auxiliares) ajustar o regime de acordo corrente Diversidade de implementação An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.7/19

8 Subsistema de Monitoramento Informações usadas na adaptação da configuração Mecanismos utilizados: s baseados em rede e em host resultado do acordo de conteúdo protocolo desafio-resposta para verificar integridade de arquivos nos servidores e proxies verificadores formais automáticos do funcionamento dos proxies An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.8/19

9 Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.9/19

10 Conteúdo Dinâmico Arquitetura original exige atualização off-line do conteúdo Conteúdo dinâmico: servidores de aplicação acessam um SGBD tolerante a faltas Uma requisição de serviço à aplicação pode corresponder a uma série de requisições ao SGBD An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.10/19

11 Nova Arquitetura Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19

12 Nova Arquitetura BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19

13 Nova Arquitetura Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19

14 Nova Arquitetura Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19

15 Nova Arquitetura M M M M Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19

16 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

17 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

18 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

19 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

20 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

21 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

22 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

23 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

24 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

25 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

26 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

27 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

28 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

29 Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19

30 Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico ( ) 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.13/19

31 Mecanismos Utilizados Prevenção: filtragem de requisições, monitoramento on-line dos proxies Detecção:, checagem de integridade dos proxies e servidores (desafio-resposta) Tolerância: redundância com diversidade An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.14/19

32 Eficácia da Arquitetura Uma requisição não é processada por todos os servidores Os servidores possuem diversidade de implementação Um atacante não pode prever quais servidores serão atingidos por um ataque Diversos mecanismos para checar a integridade de componentes críticos An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.15/19

33 Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico ( ) 3. Conclusões ( ) 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.16/19

34 Pontos Positivos Domínio de problema ao mesmo tempo restrito (ameaças) e amplo (aplicabilidade) Uso de técnicas de verificação on-line dos proxies (herança do DIT) pouco discutido no artigo Bom exemplo de diversidade (servidores) e adaptação (regimes de acordo) em TI An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.17/19

35 Pontos Negativos Algumas premissas questionáveis qualidade da detecção de intrusões Mediador pode ser um modo de falha comum não discutido no artigo Arquitetura não implementada complicações de natureza prática à espreita An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.18/19

36 That s all, folks! An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.19/19