Roteiro da Apresentação. Problema. Motivação. Proposta

Transcrição

1 Roteiro da Apresentação UMA ABORDAGEM PARA A PROTEÇÃO DE DETECTORES DE INTRUSÃO BASEADA EM MÁQUINAS VIRTUAIS Marcos Aurelio Pchek Laureano PósGraduação em Informática Aplicada da Pontifícia Universidade Católica do Paraná Orientador: Carlos Maziero Introdução Máquinas Virtuais Detecção de Intrusão Chamadas de Sistema e Segurança Detecção de Intrusão em Máquinas Virtuais Implementação e Resultados Conclusão 1/47 2/47 Motivação A Internet mudou as formas como se usam sistemas de informação; Os riscos à privacidade e integridade da informação aumentaram; Existem vários mecanismos para aprimorar a segurança da informação. Problema Sistemas de Detecção de Intrusão: Baseados em host; Baseados em rede; Híbridos. Sistemas baseados em host são vulneráveis a ataques. 3/47 4/47 Proposta Definir e implementar uma arquitetura confiável para a aplicação de sistemas de detecção de intrusão baseados em host; Utilização de máquinas virtuais para isolar o sistema a ser monitorado. Definição; Tipos; Propriedades Utilização Máquinas Virtuais Exemplos 5/47 6/47

2 Definição de Máquina Virtual Tipos de Máquinas Virtuais Uma duplicata eficiente e isolada de uma máquina real; Uma cópia lógica protegida e isolada de um sistema físico (IBM); O monitor de máquinas virtuais também é chamado de Sistema operacional para sistemas operacionais. Sistema convidado Tipo I Monitor Hardware Sistema convidado Tipo II Sistema convidado Monitor Sistema anfitrião Hardware 7/47 8/47 Propriedades de Máquinas Virtuais Isolamento Processos de um VM não afeta processos em outra VM. Inspeção Monitor tem acesso e controle sobre a VM. Interposição Monitor pode acrescentar instruções Eficiência Instruções inofensivas podem acessar o hardware Gerenciabilidade Independência das outras VMs Administração centralizada Uso de Máquinas Virtuais Benefícios Diminuição de custos com hardware,, através da consolidação de servidores ; Testes de sistemas na fase de desenvolvimento; Dificuldades Custo de virtualização (processadores de mercado); Diversidade de Equipamentos; Incompatibilidade de certos softwares. 9/47 10/47 Exemplos de Máquinas Virtuais UserMode Linux Linux como um processo do Linux VMware Produto comercial com bom desempenho Denali Custo de virtualização muito baixo Sistemas convidado deve ser customizado; Xen Idem (outra abordagem) Definição; Detecção de Intrusão Classificação: Origem dos Dados; Forma de Detecção. Limitações. 11/47 12/47

3 Definição de IDS Intrusion Detection System IDS; O que tais sistemas fazem é tentar reconhecer um comportamento ou uma ação intrusiva; Um IDS automatiza a tarefa de analisar dados da auditoria; As tecnologias utilizadas incluem análise estatística, inferência, data mining,, redes neurais, entre outras. Classificação de IDS Origem dos Dados: Host Based IDS (HIDS); Network Based IDS (NIDS); Abordagem híbridas. Forma de Detecção: Por assinatura; Por anomalia; Híbrida. 13/47 14/47 Limitações de um IDS Falsos Positivos Ação legítima classificada como ilegítima. Falsos Negativos Ação ilegítima não detectada. Subversão Modificação do IDS por um intruso. Chamadas de Sistema e Segurança Chamadas de Sistema; Ataques a chamadas de Sistema; Detecção de Intrusão por Análise de Chamadas de Sistema; Classificação de Chamadas de Sistema. 15/47 16/47 Chamadas de Sistema Constituem a interface entre os processos e o sistema operacional; São a porta de entrada para se ter acesso aos recursos do sistema operacional; Cinco categorias principais: controle de processos; manipulação de arquivos; manipulação de dispositivos; manutenção de informações; comunicações Ataques a Chamadas de Sistema Denial of Service; Indisponibilidade dos serviços. Buffer Overflow; Erro da system call ao verificar tamanhos dos parâmetros recebidos. Instalação de Rootkits. Comandos falsos, ocultação de processos. 17/47 18/47

4 Detecção de Intrusão por Análise de Chamadas de Sistema Vários algoritmos disponíveis na literatura; O algoritmo proposto em [FOR96[ FOR96, HOF98]: Baseado em análise por anomalia; Observação das chamadas de sistema emitidas por cada processo; Construção do comportamento normal dos processos é extremamente simples; Conjunto de seqüências de chamadas de sistema de tamanho k para cada processo. 19/47 Um exemplo do algoritmo Considerando seqüência de chamadas de sistema (sem seus parâmetros): open, read, mmap, mmap,, open, read, mmap Derivase seqüências de chamadas para k = 3: S 1 = { open, read, mmap } S 2 = { read, mmap, mmap } S = 3 { mmap, mmap,, open } S 4 = { mmap,, open, read } S 5 = { open, read, mmap } Uma sequência S d = { open, read, read } é considerada suspeita. 20/47 Classificação de Chamadas de Sistema Classificação por Utilização: Gerência de processos, Gerência de Memória, etc. Classificação por Periculosidade: 1 Obter acesso pleno ao SO; 2 Para ataques de Denial of Service; 3 Subversão de processos; 4 Inofensivas. Observação de ataques ao sistema Detecção de Intrusão em Máquinas Virtuais Problema; Proposta; Funcionamento; Benefícios, Restrições e Limitações; Trabalhos Correlatos. 21/47 22/47 Problema O sistema HIDS reside na própria máquina a monitorar, ou seja, o sistema também deve monitorar (e proteger) a si próprio; Um sistema HIDS tornase inútil no caso de um ataque bem sucedido; As informações oriundas deste sistema não podem mais ser consideradas confiáveis. Proposta Uma arquitetura para proteger sistemas de detecção de intrusão baseados em host; Obtido através de: Execução dos processos a monitorar em máquinas virtuais; Implantação dos sistemas de detecção e resposta à intrusão fora da máquina virtual. 23/47 24/47

5 Interação Entre o sistema convidado e o IDS externo é feita através do monitor de máquina virtual; Tipos de Interação: Coleta dados do sistema convidado são fornecidos pelo monitor de máquina virtual para análise externa; Ação o sistema de detecção externo pode comandar ações sobre o sistema convidado, em resposta a ataques detectados. Funcionamento O IDS utiliza a análise de chamadas de sistema para detectar uma intrusão; É utilizado uma ACL para o controle de processos e usuários no sistema virtual; O IDS opera em dois modos: aprendizado e monitoração. 25/47 26/47 sistema hospedeiro porta bloquear portas ou conexões resposta Modelo Genérico firewall alarmes porta ações sobre o sistema convidado dados do sistema convidado detector de intrusão sistema convidado processo syscalls kernel convidado monitor de tipo II base IDS Aprendizado Os processos em execução na máquina virtual e seus usuários são registrados; Registro do fluxo das chamadas de sistema de processos. controle de acesso ACL host kernel hardware 27/47 28/47 Exemplos das Informações Geradas Monitoração... root:/sbin sbin/init root:/sbin sbin/shutdown root:/usr usr/bin/find marcos:/bin/cp marcos:/ :/usr/bin/find marcos:/ :/usr/bin/top {access,open,open}, {alarm,fcntl64,read}, {alarm,rt_sigaction,alarm}, {alarm,rt_sigaction,close}, {brk,brk,brk}, {brk{ brk,brk,open}, {brk,old_mmap,open}, {brk,open,fstat64}, {close,access,open}, {close,munmap munmap,exit_group}... Responsável por detectar desvios de comportamento dos processos na máquina virtual e tomar decisões em relação ao desvio encontrado; Processos suspeitos são restritos em seu acesso ao sistema operacional convidado, para evitar ações danosas; As chamadas de sistema de nível 1 tem sua execução negada. 29/47 30/47

6 Monitoração Chamadas de Sistemas com Execução Negada (Linux( Linux) Uso de ACL Tipo de Utilização Chamadas de Sistema ps find ssh ftp su * Acesso ao sistema de arquivos e dispositivos Gerência de processos open link unlink chmod lchown rename fchown chown mknod mount symlink fchmod execve setgid setreuid setregid setgroups setfsuid setfsgid setresuid setresgid setuid root alice bob * Gerência de módulos init_module 31/47 32/47 Benefícios A arquitetura proposta é simples, de fácil compreensão e implementação; Pode ser implementado em outras VMs do tipo II; Não existe a necessidade de alterações no sistema anfitrião, pois serão criados processos distintos que irão executar sobre o sistema anfitrião; Independência do sistema anfitrião. Restrições As interações com o sistema convidado sempre devem ser feitas através do monitor de máquina virtual; O monitor de máquina virtual deve ser inacessível aos processos de usuário do sistema convidado (propriedade de isolamento); Todos os serviços de rede devem ser providos pelos processos do sistema convidado. O acesso via rede ao sistema real subjacente deve ser evitado; O sistema real (anfitrião) deve ser considerado confiável. 33/47 34/47 Deficiências Custo elevado: Virtualização (UML); Sistema de aprendizado e monitoração; Alterações significativas no código do monitor; Criação da base de comportamento pode ser trabalhosa; Torna mais rígido o uso do sistema. Trabalhos Correlatos Projeto Revirt; Comunicação do processo do sistema convidado com processos no sistema real; Projeto VMI IDS; IDS que analisa o estado de uma VM, mas não o seus processos LIDS Linux Intrusion Detection System; Controle através de ACLs Projeto Systrace. IDS baseando em análise de chamadas de sistema (não utiliza VMs) 35/47 36/47

7 Implementação e Resultados Alterações na Máquina Virtual; Avaliação do protótipo; Análise dos Resultados Obtidos; Considerações Finais. Alterações na Máquina Virtual Utilização do UserMode Linux como monitor de máquinas virtuais; A virtualização das chamadas de sistema é implementada através de uma thread de rastreamento; O módulo execute_syscall alterado a execução de outro responsável pelo registro das informações; VMIDS (Virtual( Machine Intrusion Detection System). 37/47 38/47 Avaliação do protótipo Protótipo Athlon XP 1600, com 512 MB de memória, 30 GB de disco rígido IDE; Suse Linux Professional 9.0 com o kernel ; Imagem do sistema de arquivos do Linux Debian 2.2 executando kernel do UML; O UML foi escolhido por ter o seu código fonte disponível e por ser suportado pelo kernel oficial do Linux a partir da versão /47 Other process System Call User ID Process ID Process Name Execute System Call FIFO P1 Guest Kernel VMM User Mode Linux VMIDS Result System Call Process of Analysis or Monitoring FIFO HARDWARE Other process Execution Permitted or Denied Host Kernel 40/47 Custo Rootkits (a) sistema hospedeiro (b) sistema convidado (c) modo aprendizado (d) modo monitoração Comando chamadas de sistema tempo tempo custo relativo a (a) tempo custo relativo a (b) tempo custo relativo a (b) ps ef % 67 67% 70 75% find / >/dev/null % % % ls lar / >/dev/null % % % who B % % 16 23% Nome Adore ARK 1.0 Knark v hhptrosniff login.tgz Descrição Oculta arquivos, diretórios, processos, fluxo de rede. Instala um backdoor e um programa de usuário para controlar tudo. Ambient's Rootkit for Linux. Composto somente de binários. Inclui versões com backdoor dos comandos syslogd, login, sshd, ls, du, ps, pstree, killall, e netstat. Oculta arquivos, fluxo de rede, processos e redireciona a execução de programas. Conjunto completo de modificações do ssh, ssh2, sshd2 e openssh, para extrair e registrar a origem, destino, nome do host, nome do usuário e senha. Pacote do login para Linux, mas com um backdoor. Disponíveis em 41/47 42/47

8 Análise de Chamadas de Sistemas Base montada na fase de aprendizado; O VMIDS detectou todas as modificações causadas por rootkits (modo monitoração); Somente ocorre para os comandos definidos pelo administrador do sistema. ACLs Base montada na fase de aprendizado; Nos testes realizados, todos os processos ou usuários não listados/autorizados tiveram as chamadas de sistema negadas; Exemplo do comando su. 43/47 44/47 Análise dos Resultados Obtidos ACL impede a execução de binários/usuários desconhecidos; O IDS detecta e impede a execução de binários conhecidos, mas adulterados. O objetivo: Impedir a continuidade de processos suspeitos; Impedir a corrupção do sistema. Considerações Finais O protótipo provou a viabilidade da proposta, embora ainda com desempenho fraco; Um melhor desempenho pode ser obtido com máquinas virtuais comerciais; Outras formas de detecção e resposta podem ser implementados. 45/47 46/47 Artigos Publicados ou Submetidos Artigo publicado: Marcos Laureano,, Carlos Maziero e Edgard Jamhour. Detecção de Intrusão em Máquinas Virtuais.. 5º Simpósio de Segurança em Informática SSI. São José dos Campos, Artigos submetidos: Marcos Laureano,, Carlos Maziero e Edgard Jamhour. Protecting Intrusion Detectors using Virtual Machines. IEEE Globecom 2004 Security and Network Management; Marcos Laureano,, Carlos Maziero e Edgard Jamhour. Proteção de Detectores de Intrusão Através de Máquinas Virtuais.. IV Workshop em Segurança de Sistemas Computacionais 47/47