DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

Transcrição

1 DSVIO D TRÁFGO MALICIOSO DSTINADO A RDS D PRODUÇÃO PARA UMA HONYNT Lucio Henrique Franco e Antonio Montes Laboratório Associado de Computação e Matemática Aplicada Instituto Nacional de Pesquisas spaciais Av. dos Astronautas, São José dos Campos, SP {lucio,montes}@lac.inpe.br RSUMO Com uma arquitetura de segurança em camadas, fazendo uso de firewalls, sistemas de detecção de intrusão, etc, pode-se identificar ou deter ataques as redes de computadores e sistemas de informação. stas medidas, porém, não possibilitam o acompanhamento de uma intrusão, o que, atualmente, pode ser realizado por meio de honeynets. O presente trabalho consiste na integração de um sistema de detecção de intrusão baseado em redes, de um firewall, de um sistema de reconstrução de sessões TCP/IP, de uma honeynet e de um módulo de controle, para identificar tráfego hostil destinado a uma rede protegida e desviá-lo para uma honeynet de forma transparente para o atacante e sem interrupção da sessão maliciosa. le também permite que o atacante retorne ao sistema comprometido ou que seja feito o desvio de tráfego para a honeynet de conexões destinadas a portas que não estão disponíveis na rede monitorada, visando monitorar novos ataques ou tentativas de acesso a backdoors deixadas pelo atacante no sistema invadido. Palavras-chave: honeypots, honeynets, sistemas de detecção de intrusão, firewalls Introdução Organizações mais bem informadas têm mostrado uma grande preocupação com a segurança de suas redes e sistemas conectados à Internet. Porém, muitas acreditam que a utilização de um firewall é suficiente para proteger uma rede contra qualquer tipo de ameaça, sem se dar conta que a segurança de um sistema de informação e das redes que o compõem não pode ser garantida por um único mecanismo de defesa [Cha02]. Dentre as metodologias adotadas para se garantir um bom nível de segurança, primeiramente está a criação de políticas de segurança, de senhas, a coleta e monitoração de logs, a utilização de firewall e de sistemas de detecção de intrusão. Dentro desta abordagem, o firewall é uma das ferramentas mais utilizadas atualmente para se proteger determinada rede, sendo que o tipo mais empregado é conhecido como filtro de pacotes. O qual realiza ações sobre os pacotes da rede, por exemplo, bloqueá-los, com base em regras definidas em sua configuração. ntretanto, firewalls, do tipo filtro de pacotes, não fornecem uma solução completa de segurança de sistemas. Uma de suas limitações consiste no fato de que estes não podem bloquear uma tentativa de intrusão ou abuso, que se aproveite de vulnerabilidades de serviços habilitados, para os quais o tráfego é permitido. Daí surge a necessidade de utilização de mecanismos que permitam detectar intrusões ou tentativas de intrusões. stes mecanismos são conhecidos como SDIs - Sistemas de Detecção de Intrusão - e desempenham a função de mais uma camada de defesa em um sistema de informação [Cha02]. Sistemas de detecção de intrusão são baseados na premissa de que o comportamento do atacante será diferente do comportamento de um usuário legítimo. A detecção de intrusão baseada em rede tenta deduzir o comportamento anômalo do atacante a partir de padrões dos pacotes enviados por ele para a rede [FV01]. sses sistemas são comumente usados para identificar ataques, gerando alertas e até mesmo, em alguns casos, interrompendo a sessão destes ataques e descartando os pacotes. Porém,

2 há situaões em que surge a necessidade de se monitorar determinados ataques com propósito de descobrir a sua origem, ferramentas utilizadas, entre outras questões [The01]. ntretanto, os SDIs atuais não oferecem tais funcionalidades para acompanhamento dos passos de um atacante, para isso são empregadas as honeynets. Honeynets são ferramentas de pesquisas que consistem de redes projetadas especificamente para serem comprometidas [The01, Spi00]. ssas redes são compostas de vários hosts chamados de honeypots [SR02], que são recursos de segurança preparados com a finalidade de serem sondados, atacados ou comprometidos e para registrar essas atividades [SR02]. Honeypots podem ser classificados como sendo de baixa e alta interatividade, quanto mais interativo, mais funcionalidades o honeypot terá [Spi02]. m [FAM + 02] foi descrito um histórico sobre as primeiras referências à implementação de mecanismos de acompanhamento das atividades de invasores e em [Spi02] foi apresentado algumas vantagens da utilização de honeypots e honeynets no auxílio à detecção de intrusão. Visando garantir segurança diversas camadas para as redes de computadores; monitorar e acompanhar ataques a elas com a finalidade de descobrir sua origem, as táticas dos invasores e as ferramentas utilizadas por eles, entre outras questões, o trabalho que está sendo desenvolvido, tem como função, redirecionar o tráfego malicioso destinado a uma rede de produção para uma honeynet. le consiste na integração de um sistema de detecção de intrusão baseado em redes, de um firewall, de um sistema de reconstrução de sessões TCP/IP, de uma honeynet e de um módulo de controle, para identificar tráfego hostil destinado a uma rede protegida e desviá-lo para uma honeynet de forma transparente para o atacante e sem interrupção da sessão maliciosa. le também permite que o atacante retorne ao sistema comprometido ou que seja feito o desvio de tráfego para a honeynet de conexões destinadas a portas que não estão disponíveis na rede monitorada, visando monitorar novos ataques ou tentativas de acesso a backdoors deixadas pelo atacante no sistema invadido. Descrição do Sistema Os pacotes do tráfego de rede destinados à rede monitorada são copiados para um módulo de reconstrução de sessões e examinados pelo módulo de detecção de intrusão. Caso o detector de intrusão constate a existência de conteúdo malicioso num pacote, o tráfego associado à sessão, da qual faz parte este pacote, é redirecionado desde o seu início até o término, pelo módulo de controle, para um honeypot que possui as mesmas características do host ao qual estava destinado este tráfego. Na Figura 1 é apresentado um diagrama de blocos do sistema. INTRNT INTRFAC 1 - INTRNT Honeypot 1 HONYNT Honeypot 2 I N T R F A C 3 - Snort-Inline Iptables H O N Y N T Honeypot 3 Honeypot N Módulo de Integração e Controle Módulo de Reconstrução de Sessões INTRFAC 2 - RD MONITORADA Figura 1: Diagrama de blocos do sistema. 2

3 Basicamente, quatro sub-conjuntos formam o sistema, são eles: o módulo constituído pelo sistema de detecção de intrusão (snort-inline) e pelo (iptables, o módulo de recontrução de sessões e por último um módulo de integração e controle, a honeynet para a qual o tráfego hostil será direcionado. stes sub-conjuntos são detalhados abaixo: Firewall Stateful - (iptables): No sistema o iptables é utilizado junto com o módulo ip queue do Linux, responsável por passar os pacotes do espaço de kernel para o espaço de usuário do sistema, como forma de interação com o sistema de detecção de intrusão baseado em redes (snort-inline). Sistema de Detecção de Intrusão - (snort-inline): O snort-inline compõe o sistema de detecção de intrusão utilizado no projeto. Sua funcionalidade é a análise de todo o tráfego da rede monitorada comparando-o com padrões (assinaturas) de ataques já conhecidos e que fazem parte de uma base de dados. As regras utilizadas pelo snort-inline, no projeto proposto, são configuradas de acordo com os serviços disponibilizados na rede a ser monitorada. sse sistema interage com o iptables indicando a ele a ação a ser realizada sobre cada pacote de rede analisado, podendo cancelar uma sessão identificada como hostil através do envio de um pacote TCP reset se o protocolo for TCP ou UDP ou um pacote ICMP port unreachable se o protocolo for UDP, para a origem do pacote. Sistema de Reconstrução de Sessões: Tem como base o RCON [Cha02]. Foram desenvolvidos mecanismos que permitiram o RCON trabalhar com pacotes de diversos tamanhos, envolvendo cabeçalho e conteúdo e foram previstos meios de controle como timeouts e tamanho das sessões armazenadas para tentar evitar situações de exaustão de recursos do sistema devido ao armazenamento do tráfego em memória, de forma conjunta às alterações, foi criada uma metodologia para o descarte das sessões finalizadas diminuindo-se a quantidade de memória utilizada para o armazenamento dos dados. Honeynet Utilizada: Para compor a arquitetura a qual o sistema foi projetado será utilizada uma honeynet baseada na arquitetura GenII [Spi00]. la estará isolada da rede que está sendo monitorada. la conterá diversos honeypots espelhos dos sistemas que estão sendo monitorados. O honeypots utilizados são de alta interatividade e permitem acesso dos atacantes ao sistema comprometido. stes honeypots poderão diferenciar-se das máquinas monitoradas, somente, quanto a arquitetura do hardware por motivos de custos, porém, conterão o mesmo sistema operacional, os mesmos processos e os mesmos serviços da rede protegida. Tentando, desta forma, iludir o atacante, fazendo-o imaginar que está invadindo a rede alvo e não uma honeynet [Spi03]. Módulo de Integração e Controle: É responsável pela interação do sistema de detecção de intrusão, com o módulo de reconstrução de sessões, e por realizar o controle do desvio das sessões hostis para um honeypot sem a interrupção desta. Nesta parte do sistema é feito o controle dos estados das sessões que foram desviadas para a honeynet. Podendo desta forma requisitar pacote a pacote da sessão maliciosa ao módulo de reconstrução de sessões e repassá-los através de um socket para o honeypot. Há implementados mecanismos de controles para verificação da quantidade de pacotes trocados e o descarte deles, entre o host do invasor, o sistema alvo, o módulo de integração e controle e o honeypot. Há neste módulo também uma funcionalidade para geração de alertas e logs de modo a avisar o administrador sobre as sessões hostis e seus comportamentos, registrar as informações para análise posterior e correlação com as informações capturadas na honeynet. Até o momento do desvio do tráfego malicioso, o sistema sob ataque poderá ter recebido alguns pacotes desta sessão, mas, constatado o ataque ao sistema monitorado, a sessão é interrompida 3

4 e a troca subseqüente de pacotes se dá através do honeypot, sob gerenciamento do módulo de integração e controle. O sistema é projetado para realizar a transferência da sessão hostil para o honeypot de forma transparente para o invasor. Para isto, o sistema armazena uma cópia dos pacotes destinados aos sistemas que estão sendo monitorados. Para o controle do desvio de tráfego hostil foi necessária a criação de uma tabela de estados das sessões armazenadas em memória e o mapeamento de todos os hosts da rede monitorada para o respectivo honeypot, espelho do sistema de produção, via arquivo de configuração do sistema. ste mapeamento envolve a definição do filtro a ser utilizado na captura de pacotes e informações para cada sessão, como: endereços IPs, máscara de rede, porta destino 1 e protocolo, todas opções do host que serão mapeadas para o honeypot espelho dele. Para controle do tempo e tamanho de cada sessão foram criadas regras, para cada mapeamento de serviço, definindo o número máximo de sessões ativas a serem armazenadas para o conjunto correspondente de porta/protocolo, tempo máximo, total e entre dois pacotes consecutivos, da sessão em segundos, tamanho máximo da sessão em bytes e em número de pacotes. ssas regras auxiliam no controle do número de requisições tratadas e tenta evitar que o sistema seja interrompido caso sofra algum ataque de negação de serviço. Outra funcionalidade do sistema é a possibilidade do desvio do tráfego para o honeypot de sessões, cuja, a conexão seja destinada à porta de um serviço de rede que não é disponível na rede monitorada. sta característica visa detectar novos ataques ou tentativas de acesso do atacante a outras aplicações servidoras instaladas no sistema comprometido durante o ataque inicial. Na próxima seção é apresentada a arquitetura do sistema e são analisados os itens que estão sendo empregados no desenvolvimento dele. Arquitetura e Componentes do Sistema O sistema foi projetado em módulos funcionais, que executam uma série de procedimentos visando a detecção de tráfego hostil e o seu desvio para um honeypot. A Figura 2 representa a arquitetura de rede para a qual o sistema foi projetado inicialmente e está sendo executado e testado. HONYNT Internet Honeypot 1 Honeypot 2 Rede Monitorada Host 1 Honeypot 3 Honeypot N Firewall Switch Host 2 Rede Interna Host NNN Figura 2: Arquitetura do sistema. 1 Por convenção será utilizado porta igual a 0 caso o protocolo seja ICMP 4

5 A rede a ser monitorada tem seus sistema instalados em hosts que ficam isolados da rede interna. Tipicamente, esta rede isolada é constituída pela DMZ (Desmilitarized Zone), uma subrede fortificada. O sistema é executado no Firewall e é um ponto único de entrada e saída dos dados entre a rede interna, rede observada e a Internet. O Firewall tem um endereço IP na interface de rede ligada à honeynet para permitir a comunicação entre o honeypot e o módulo de integração e controle. A Figura 3 apresenta o diagrama de blocos do módulo de integração e controle. Identificador de Sessões Receptor de Pacotes Hostis Detectados pelo Snort-Inline Controle de Desvio de Sessões Módulo de Alertas e Logs Figura 3: Diagrama de blocos do módulo de integração e controle. O módulo de integração e controle é composto de outros quatro sub-móduloes independentes que se comunicam para o gerenciamento de desvio de tráfego e geração de alertas e logs. Os módulos serão: Identificador de Sessões: Responsável pela comunicação com o módulo de reconstrução de sessões, localização e recebimento de pacotes/sessões; Receptor de Pacotes Hostis Detectados pelo Snort-Inline : Recebe os pacotes hostis detectados pelo snort-inline e os repassa para o identificador de sessões; Controle de Desvio de Sessões: Gerencia a transferência da sessão desde o seu início até o presente momento, coordenando-a até o seu término, responsável também pela transmissão dos pacotes ao honeypot e o controle de cabeçalho dos protocolos, caso seja necessário; Alertas/Logs: Geração de alertas e logs para os administradores com informações sobre os estados das sessões hostis e sua transferência para o honeypot, podendo realizar sumários e estatísticas do tráfego hostil. Trabalhos Futuros Será necessário efetuar testes exaustivos no sistema para que antes ele possa ser disponibilizado em ambientes reais de produção. stes testes buscam refinar o conjunto de regras do sistema de detecção de intrusão com relação a rede a ser monitorada, buscando por melhor desempenho. Sistema semelhante como o baitnswitch 2 que trabalham com o snort apresenta como desvantagem o baixo desempenho, visto que realiza uma ação por vez e acarreta a interrupção da sessão que foi estabelecida entre o atacante e o sistema alvo, podendo levar o atacante a deduzir que seu tráfego foi desviado para outro destino. Será criado um software complementar ao sistema que auxiliará a criação do arquivo de configuração relacionado ao mapeamento da rede. Neste software será possível especificar a quantidade de pacotes que serão capturados e/ou o tempo de captura, ao término da coleta ele analisará o tráfego coletado e terá como resultado uma sugestão das regras a serem utilizadas quanto a quantidade de sessões, tamanho dessas, protocolos, etc

6 Pretende-se também disponibilizar outros meios de monitoração de ambientes de produção com o auxílio de honeynets para casos em que o ataque envolve transmissões criptografadas, impossibilitando a análise do tráfego de rede. Nestes casos, devem ser empregados sistemas de detecção de intrusão híbridos, que avaliam o tráfego de rede e realizam o monitoramento no host buscando por anomalias para identificar ataques e diminuir os falsos positivos. Conclusão O trabalho em desenvolvimento cria metodologias para o redirecionamento de ataques utilizando aplicações de sistemas de detecção de intrusão, honeypots, honeynets, firewalls e a integração de tais. O desenvolvimento deste sistema exigirá poucos recursos, pois, utilizará softwares de código aberto já existentes, sendo necessária modificações, elaboração de outros módulos e a integração entre esses sistemas utilizando diversas técnicas de programação de redes segura.outros sistemas semelhantes estão sendo desenvolvidos, porém, até o presente momento não apresentaram as funcionalidades necessárias e resultados de testes em ambientes de produção. ste projeto baseia-se no conceito de arquiteturas de segurança em camadas, sendo possível empregá-lo de modo funcional em qualquer rede de produção. le é capaz de identificar uma sessão hostil e desviá-la para um honeypot sem ser interrompida, para que possa, assim, pesquisar e acompanhar o comportamento e ações dos invasores. Bibliografia [Cha02] Marcelo H. P. Caetano Chaves. Análise de stado de Tráfego de Redes TCP/IP para Aplicação em Detecção de Intrusão. Dissertação de mestrado, Instituto Nacional de Pesquisas spacias, Laboratório Associado de Computação e Matemática Aplicada LAC, Setembro [FAM + 02] Amândio Balcão Filho, Ana Sílvia M. S. Amaral, Antonio Montes, Cristine Hoepers, Klaus Steding-Jessen, Lucio Henrique Franco, and Marcelo H. P. Caetano Chaves. Honeynet.BR: Desenvolvimento e Implantação de um Sistema para Avaliação de Atividades Hostis na Internet Brasileira. In Anais do IV Simpósio sobre Segurança em Informática (SSI 2002), pages 19 25, São José dos Campos, SP, Novembro honeynet/papers/hnbr-ssi2002.pdf. [FV01] Mike Fisk and George Varghese. Fast content-based packet handling for intrusion detection. Technical report, University of California San Diego, May [Spi00] Lance Spitzner. Learning the Tools and the Tactics of the nemy with Honeynets. In Proceedings of the 12th Annual Computer Security Incident Handling Conference, Chicago, IL, USA, June [Spi02] Lance Spitzner. HOSUS (Honeypot Surveillance System). In ;login: - The Magazine of the USNIX Association, volume 27, December [Spi03] Lance Spitzner. Honeypot Farms. August securityfocus.com/infocus/1720. [SR02] Lance Spitzner and Marcus Ranum. Honeypots: Tracking Hackers. In SANS 2002 Annual Conference, Orlando, Florida, USA, April [The01] The Honeynet Project. Know Your nemy: Revealing the Security Tools, Tactics, and Motives of the Blackhat Community. Addison-Wesley, 1st edition, August ISBN