WIMU: Proposta e Implementação de uma Interface para Gerência de Informações de um WAF

Transcrição

1 WIMU: Proposta e Implementação de uma Interface para Gerência de Informações de um WAF Bruno G. Lucena 1, Rogério C. Turchetti 1 1 Colégio Técnico Industrial de Santa Maria (CTISM) Universidade Federal de Santa Maria (UFSM) Santa Maria RS Brasil {brunoo,turchetti}@redes.ufsm.br Abstract. This paper presents a proposal for implementing an interface for the management and proper handling of information generated by a Web Application Firewall (WAF). This tool was named Web Interface Management UniscanWAF (WIMU). With such an application aims to deploy an efficient monitoring system to help network managers at the information security and management network traffic at web apps. Resumo. Este artigo apresenta uma proposta para implementação de uma interface para o gerenciamento e tratamento adequado das informações geradas por um Firewall de Aplicação Web (WAF). Tal ferramenta foi batizada de WIMU, do inglês, Web Interface Management UniscanWAF. Com tal aplicação objetiva-se implantar um sistema de monitoramento eficiente para auxiliar administradores de redes, no quesito segurança de informação e gerenciamento de tráfego de rede em aplicações Web. 1. Introdução A segurança da informação sempre foi um tópico que necessitou cuidados exclusivos nas grandes empresas (KUROSE; ROSS, 2010). Com a expansão do fluxo de informações trocadas em uma rede, a preocupação em manter todo este volume de dados seguro é um bom motivo para alertar a comunidade dos administradores de rede (NAKAMURA; GEUS, 2007). Para introduzir este artigo é importante ressaltar um bom conceito sobre gerenciamento de redes de computadores. Desta forma, conforme (CLEMM, 2006), a gerência de redes pode ser entendida como todas as atividades, métodos, procedimentos, e ferramentas que permitem a operação (para manter a rede ativa e funcionando sem problemas), manutenção (capacidade de efetuar reparos, melhorias, prevenir e agir de forma proativa), administração (forma de manter o controle dos recursos na rede e como eles são atribuídos) e disponibilidade (configuração de recursos para determinados tipos de serviços) de sistemas de redes. Segundo (LUCENA, 2012), não é uma tarefa simples definir o número de informações que um servidor web pode tratar diariamente, a escalabilidade é um fator importante para oferecer um serviço adequado em aplicações web, mesmo nos horários de maior número de acessos. Conforme cresce o número de acessos aumentam-se as informações recebidas pela aplicação web, tendo a necessidade de haver um tratamento adequado destes dados para possíveis ações ativas ou, melhor ainda, pró-ativas. As organizações demonstram grande interesse em utilizar a Internet para diversos tipos de serviços (STALLINGS, 2008). Entretanto, é sabido que ambientes web são extremamente vulneráveis a riscos de vários tipos, dentre eles, os ataques à vulnerabilidades web. Como nos mostram os scanners de vulnerabilidades web, dentre 168 XV Encoinfo Encontro de Computação e Informática do Tocantins

2 eles, o Uniscan (ROCHA, 2010) por ser um projeto open source, possibilitou a criação do UniscanWAF. A ferramenta UniscanWAF tem por objetivo fazer o tratamento destes problemas de segurança em aplicações web, como ataques XSS (Cross-site Scripting), SQL Injection, RFI (Remote File Include), RCE (Remote Command Execution) e LFI (Locate File Include). À medida que as organizações percebem essa realidade, a procura pela segurança dos serviços web aumenta. Com a evolução das tecnologias exige-se mais atenção à implementações de maiores níveis de segurança para acompanhar tais avanços tecnológicos. Fazendo surgirem assim, ferramentas para detecção de vulnerabilidades web na camada de aplicação, como o utilizado neste estudo, o UniscanWAF. Este é uma extensão ao Uniscan (ROCHA, 2012), o qual é um scanner convencional de vulnerabilidades em sistemas Web. O Uniscan fornece um diagnóstico do sistema testado, identificando todas as páginas ou URLs problemáticas do sistema. Ele está disponível no SourceForge (ROCHA, 2012) e na distribuição Linux BackTrack. No entanto, do ponto de vista de um administrador de rede, o UniscanWAF é uma ferramenta que carece de um sistema que possibilite fácil gerenciamento (LUCENA, 2012). O UniscanWAF surgiu do UniscanEntre os requisitos estão, a visualização e interpretação de logs de segurança e auditoria de grandes volumes de dados. Por este motivo surgiu à ideia deste trabalho, a criação de uma ferramenta para gerenciar toda esta amplitude de informações, tal aplicação foi nomeada WIMU. Daqui para frente, este artigo está estruturado da seguinte maneira: primeiro, na seção 2 são apresentadas ferramentas relacionadas à idealização da proposta de implementação. Na seção 3, é apresentada a proposta da ferramenta, contendo descrição e arquitetura da mesma. E por último, a seção 4, contém as considerações finais. 2. Ferramentas Relacionadas Com a finalidade de elaborar um levantamento de ferramentas que auxiliam no tratamento de grandes volumes de informações (fazendo auditoria e gerenciamento de determinadas bases de dados em logs, por exemplo), efetuou-se uma pesquisa, onde foram analisadas descrições e funcionalidades de softwares, com características similares. Puderam ser selecionados os principais programas relacionados ao gênero deste estudo, isto é, aplicações voltadas à gerência e tratamento de bases de dados em logs. Dentre tais ferramentas destacam-se: a AuditConsole (apresentado no subitem 2.1), a Loggly (mostrado no subitem 2.2) e a Logstash (descrito no subitem 2.3) AuditConsole AuditConsole (AUDITCONSOLE, 2012) é uma ferramenta para o tratamento dos registros de logs de um firewall de aplicação open source denominado ModSecurity (STEIN, 2012). O acesso ao AuditConsole é via interface web. Sendo assim, pela demanda de ferramentas já consolidada no mercado para se trabalhar com gerenciamento de informações, foi definido que a aplicação seguirá este mesmo padrão, com acesso via browser. Aspecto bastante interessante, por se tratar de uma aplicação que deverá futuramente funcionar sobre uma distribuição server, além do mais, tendo um grande número de possibilidades de se trabalhar com o gerenciamento web, como na maioria das ferramentas de gerenciamento atuais. Com esta ferramenta, cria-se a possibilidade de carregar os arquivos de logs do firewall de aplicação ModSecurity, ideia esta que será adaptada à interface de gerenciamento do UniscanWAF, a WIMU. XV Encoinfo Encontro de Computação e Informática do Tocantins 169

3 2.2. Loggly Loggly (LOGGLY, 2012) é uma aplicação para gerenciamento de grandes volumes de informações de logs. É um serviço baseado em nuvem, sendo classificado como SaaS (Software as a Service). Tem como principal característica atrativa a simplicidade para tal tarefa (gerenciamento de registros de logs), sem a necessidade de instalação de nenhum software, sendo toda a aplicação executada na nuvem. Um aspecto importante é que a aplicação é acessada com a utilização do protocolo https, pois o acesso é via interface web tornando a aplicação mais segura e confiável. O Loggly é uma ferramenta bastante robusta. Sem a preocupação com hardware, software, instaladores, downloads e armazenamento de dados. Desta maneira, gerenciar imensos registros de logs torna-se uma tarefa simples. Para se fazer gestão e auditoria destes dados, oriundos de uma determinada aplicação do usuário, o Loggly mostra-se uma boa ferramenta. O mesmo tem como característica possuir escalabilidade, permitindo que o usuário tome medidas pró-ativas para melhorar o desempenho na sua aplicação, a partir dos seus registros de logs. Para a gerência dos logs, o Loggly conta com um conjunto de características, possibilitando a análise destas informações em painéis com gráficos embutidos, permitindo comparação de valores, análises numéricas, mecanismos de buscas e, mensagens de alertas, para auxílio do usuário administrador da sua base de dados de logs (LOGGLY, 2012) Logstash Ferramentas open sources são sempre benéficas, principalmente para fins acadêmicos, Logstash é uma destas ferramentas. Segundo seus desenvolvedores (LOGSTASH, 2012), o objetivo do Logstash é disponibilizar o gerenciamento de registros de logs, bem como, proporcionar a gerência de eventos. Esta ferramenta possibilita trabalhar com registros de logs coletados, bem como, fazer análise dos mesmos, com uma auditoria destes dados e, armazená-los para, no caso, um uso posterior (como por exemplo, um agrupamento de registros de um determinado acontecimento que demanda bastante tempo para seu término). A análise dos dados é um dos seus pontos chaves, pois possui uma interface web que permite tal fator, com mecanismos eficientes para se obter um bom desempenho na auditoria destes registros. O Logstash é uma ferramenta para auxiliar o gerente de um sistema, na implantação de registros de logs e, outros eventos de dados oriundos de aplicações distintas, permitindo coletar tudo e centralizá-los em um único lugar (LOGSTASH, 2012) Comparativo e Diferencial da Proposta Por fim, das ferramentas analisadas, pôde-se ressaltar que a primeira, a AuditConsole possui características que permitem auditar e verificar ocorrências em um WAF, no caso o ModSecurity. Como propósito base deste trabalho, pretende-se implementar uma ferramenta para finalidade semelhante porém focando-se na simplicidade para o tratamento de informações. A segunda ferramenta, a Loggly, é eficiente, atrativa e simples quando tratando-se de gerenciamento de logs. Característica esta, a simplicidade, que pretende-se herdar para a proposta. Já a Logstash, é uma ferramenta com bom desempenho e leve, com interface web. A proposta WIMU, tem por objetivo, juntar o básico da AuditConsole, a simplicidade da Loggly e o desempenho da Logstash. Tendo como diferencial a facilidade na geração de gráficos e como semelhança em comum às três ferramentas a plataforma de interface web. 170 XV Encoinfo Encontro de Computação e Informática do Tocantins

4 3. Proposta de Implementação Este artigo implementa uma ferramenta com características similares às ferramentas estudadas e apresentadas anteriormente, no entanto com o foco de simplificar o trabalho de gerentes de rede, ajudando-os à resolução de problemas de segurança. Utilizando para isto facilidade em análises gráficas, como exemplo. A proposta é desenvolver um serviço para que se possa fazer a análise, o monitoramento, o tratamento adequado, a auditoria e, a gerência dos dados coletados em registros de logs do firewall de aplicação UniscanWAF. Auxiliando assim, no complexo trabalho, que a comunidade de gerentes e administradores de redes desempenham diariamente. A seguir, na seção 3.1 é realizada uma breve descrição do UniscanWAF. Na seção 3.2 contém a descrição da ferramenta proposta e, por fim, na seção 3.3 é apresentada a arquitetura da ferramenta em questão Firewall de Aplicação UniscanWAF Esta ferramenta atua de forma similar a um proxy web com filtro de pacotes, pois, é capaz de detectar e descartar requisições maliciosas em tempo real. O UniscanWAF trabalha com duas maneiras para decidir se libera acesso a um determinado recurso web (DEL FABRO NETO, 2012). A primeira estratégia para proteção contra novos ataques, é dada a partir da utilização de uma Whitelist, permitindo que o usuário acesse apenas os recursos cadastrados na mesma. Já a segunda estratégia é um conjunto de plug-ins responsáveis pela detecção de vulnerabilidades, os quais atuam na verificação de ataques através de regras pré-definidas. Pode-se chamar este conjunto de plug-ins (contabilizando cinco no total, sendo um para cada tipo de vulnerabilidade, as quais serão descritas mais adiante) de Blacklist. Quanto ao funcionamento do UniscanWAF, este trabalha impedindo que uma requisição maliciosa alcance o servidor web. Portanto, o mesmo fica esperando por requisições que tenham como destino a porta 80 e trata a requisição de maneira adequada. Quando o UniscanWAF recebe uma requisição, encaminha a mesma para verificação, onde é detectado o tipo de vulnerabilidade, se esta existir, o pacote é descartado. Caso contrário, é encaminhado para o servidor web, encarregado de responder as requisições não maliciosas do usuário que requisitou o recurso. Ressalta-se que o UniscanWAF trabalha com um sistema de regras ou assinatura de ataques. Isso significa que ele detecta vulnerabilidades cadastradas no seu banco de vulnerabilidades. Essa característica reflete uma necessidade de sistemas baseados em assinaturas de ataque: a atualização constante das assinaturas, proporcionando longevidade ao WAF e maior proteção aos usuários que fazem uso do mesmo (DEL FABRO NETO, 2012) Web Interface Management UniscanWAF (WIMU) Sabe-se que a ampla área de gerenciamento envolve um valor de complexidade progressivo, pois este conceito, dependendo do ambiente em que se têm e o nível de negligência do administrador, pode-se tornar um sistema massivamente vulnerável. No entanto, prevenir-se com o uso adequado de ferramentas é fundamental. Porém, quando envolve a Internet, todos os usuários, de uma forma ou de outra, estão vulneráveis. Por esta questão, ferramentas que protegem-nos destas ameaças são bem-vindas. Os dados gerados por estas aplicações, geralmente carecem de métodos de facilitação de análise, como foi mostrado com as ferramentas selecionadas para análise destes requisitos. Porém, com este estudo pretende-se contribuir à solucionar estes tipos de problemas, ajudando, desta forma, os responsáveis por gerenciar estas aplicações e, contribuindo para se ter boas práticas de gerenciamento (LUCENA, 2012). XV Encoinfo Encontro de Computação e Informática do Tocantins 171

5 Este estudo objetiva fazer o tratamento da saída do Firewall de Aplicação Web denominado UniscanWAF. Para isto, este trabalho propõe implementar a WIMU (Web Interface Management UniscanWAF). Esta é uma ferramenta que para tornar possível se fazer auditoria, gerenciamento, contabilidade, manipulação, monitoria, tratamento e análise de dados brutos (retirados de um servidor web protegido pelo firewall de aplicação UniscanWAF). Sucintamente, para que se possa ter gestão de todas as informações coletadas com as requisições feitas ao servidor web protegido pelo UniscanWAF. Objetivando, desta forma, gerir maiores níveis de segurança à aplicações no meio hostil e vulnerável que é a Internet. Contribuindo também, para a descoberta de novas vulnerabilidades web Arquitetura da WIMU Tratando-se de aspectos de arquitetura, o UniscanWAF tem a característica de possuir uma arquitetura modular. Este fator é um ponto positivo por facilitar a adição de novas funcionalidades, fazendo com que a ferramenta possa evoluir rapidamente. Partindo deste princípio, para suprir necessidades básicas de gerenciamento, primeiramente, foram aplicadas, ao tratamento da saída do UniscanWAF, as funcionalidades de implementação de registros de logs e geração de gráficos. A seguir, na Figura 1 a arquitetura de funcionamento da ferramenta é apresentada. Figura 42: Arquitetura da WIMU O funcionamento da aplicação de gerenciamento é bastante simples. Ocorrendo da seguinte forma: Os usuários (sendo eles maliciosos ou não) fazem requisições ao servidor web. Ao enviar uma requisição contendo uma vulnerabilidade, o usuário malicioso, não recebe tal requisição, pois a mesma será descartada pelo Firewall. No modelo, todas as requisições com destino ao servidor web são processadas pelo firewall de aplicação, gerando uma saída (dados brutos) do UniscanWAF, são todas estas informações que a WIMU recebe, sendo estas, contendo vulnerabilidades ou não. De posse destas informações é feito o tratamento destes eventos na aplicação de gerenciamento (WIMU). Resultando na implementação de registros em logs e geração de gráficos, com a utilização da biblioteca RRDtool (OETIKER, 2012). Por fim, a ideia é que, tanto a análise e auditoria dos arquivos de logs, quanto a visualização e interpretação dos gráficos, possam ser gerenciados e monitorados, pelo administrador da rede, via interface web. A figura 2 ilustra o layout da interface da WIMU. 172 XV Encoinfo Encontro de Computação e Informática do Tocantins

6 Figura 43: Interface da WIMU Com esta interface será possível gerar estatísticas, relatórios, auditorias, controles, monitorias e análises das detecções encontradas. Dentre outras diversas funcionalidades que uma ferramenta de gerenciamento pode proporcionar. Em vista disto, com a gerência destes dados, poderão ser descobertos novos tipos de vulnerabilidades a partir de uma análise comportamental anômala das requisições recebidas no servidor web. Um exemplo, de um tipo de funcionalidade para a aplicação, poderia ser configurar um parâmetro na ferramenta que ao receber, um número x de requisições por segundo, ou o processador atingir uma porcentagem alta de utilização, a ferramenta registre o evento em log, podendo o administrador agir de maneira pró-ativa à resolução de um futuro problema. Sendo possível integrar através de scripts uma determinada ação no firewall Apresentação dos experimentos registrados em Log Nos arquivos de logs pôde-se implementar os registros de todas as ocorrências de eventos, mostrados na saída do UniscanWAF, bem como, a contabilização de XV Encoinfo Encontro de Computação e Informática do Tocantins 173

7 acontecimentos das detecções. A Figura 3 mostra um registro de log, sendo seu respectivo gráfico ilustrado na Figura 4. Figura 44: Registro em Log de vulnerabilidades Web detectadas pelo UniscanWAF 3.4. Gráficos dos registros em Log Para geração dos gráficos foi utilizada a ferramenta RDDtool (OETIKER, 2012), a qual gera gráficos, a partir de parâmetros e configurações. Com isto, tem-se uma melhor análise e visualização dos acontecimentos da aplicação, facilitando o trabalho do gerente de rede. 4. Conclusão Figura 45: Gráfico de vulnerabilidades Web detectadas pelo UniscanWAF Determinar o número de informações diárias que uma aplicação web pode tratar é uma tarefa complexa, pois deve-se, para isto, tomar nota de todos os eventos que acontecem. Visto que, normalmente, um servidor web gera um grande volume de dados, esta tarefa torna-se uma função com um grau de dificuldade bastante elevado. Conforme cresce o número de acessos aumenta-se o número de informações recebidas pela aplicação web, 174 XV Encoinfo Encontro de Computação e Informática do Tocantins

8 tendo a necessidade de haver um tratamento adequado destes dados para possíveis ações ativas ou, melhor ainda, pró-ativas. A visão deste artigo compreendeu uma porção sobre o estudo desta área de gerenciamento de informações, aliado à segurança, utilizando para isto, um fluxo de informações geradas pela saída de um firewall de aplicação, o UniscanWAF. Quanto aos resultados obtidos, com os experimentos elaborados para o presente estudo, possibilitou-se mostrar que com a geração dos gráficos, a partir de registros de logs, indicando as vulnerabilidades, é possível de maneira mais fácil observar os instantes de vulnerabilidades, facilitando no diagnóstico dos ataques em um servidor web. Como proposto neste artigo, está em desenvolvimento a Interface de Gerenciamento do UniscanWAF, a qual possibilitará uma gama enorme de recursos úteis e eficazes, disponíveis à gerentes de rede. Como pôde-se observar a partir deste estudo, são muitas as possibilidades de implementação de funcionalidades e recursos para uma aplicação voltada para o gerenciamento, como a WIMU. Um aspecto interessante para aprimoramento seria, aplicando-se a metodologia de detecção por comportamento, isto é, a partir de instruções detectadas por meio do comportamento do sistema (estatístico, por exemplo) auxiliando na descoberta de novas vulnerabilidades. Tendo isto em mente, o processo evolutivo da ferramenta demanda bastante tempo e trabalho, pois a mesma encontra-se em período inicial de implementação. Sem dúvidas, a conclusão de uma primeira versão da WIMU, será de grande valia para auxiliar a difícil missão de se trabalhar no ramo de segurança em redes de computadores. Referências AUDITCONSOLE. A Web-Console for Managing ModSecurity Events. Disponível em: < Acessado em: 16/07/2012. CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D. Firewalls e Segurança na Internet. 2. ed. Porto Alegre: Bookman, CLEMM, A. Network Management Fundamentals A Guide to Understanding How Network Management Tecnology Really Works. CISCO Press, DEL FABRO NETO, Alfredo. Utilizando Firewall de Aplicação no processo de desenvolvimento de Sistemas Web. Trabalho de Conclusão de Curso. Tecnologia em Redes de Computadores da UFSM. Santa Maria, KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma abordagem Top-down. 5. ed. São Paulo: Pearson Prentice Hall, LOGGLY. Log Management Service in the Cloud - Loggly. Disponível em: < Acessado em: 16/05/2012. LOGSTASH. Open Source Log Management - Logstash. Disponível em: < Acessado em: 13/05/2012. LUCENA, Bruno Gonçalves. Implementação de logs e geração de gráficos para gestão do firewall de aplicação UniscanWAF. Trabalho de Conclusão de Curso. Tecnologia em Redes de Computadores da UFSM. Santa Maria, NAKAMURA, E.; GEUS, P. Segurança de Redes em ambientes cooperativos. 1. ed. São Paulo: Novatec Editora, OETIKER, T. Round Robin Database Tool. RRDtool Logging & Graphing. Disponível em: < Acessado em: 07/08/2012. ROCHA, Douglas Poerschke. Uniscan: Um scanner de vulnerabilidades para sistemas Web. Trabalho de Conclusão de Curso. Ciência da Computação da UNIPAMPA. Alegrete, XV Encoinfo Encontro de Computação e Informática do Tocantins 175

9 STALLINGS, William. Criptografia e segurança de redes Princípios e práticas. 4. ed. São Paulo: Pearson Prentice Hall, STEIN, Jonas Eduardo. Estudo e Implementação de Regras de Vulnerabilidades para o ModSecurity. Trabalho de Conclusão de Curso. Tecnologia em Redes de Computadores da UFSM. Santa Maria, XV Encoinfo Encontro de Computação e Informática do Tocantins