An Intrusion Tolerant Architecture for Dynamic Content Internet Servers Ayda Saïdane, Yves Deswarte e Vincent Nicomette Rapport LAAS no. 03218 ACM Workshop on Survivable and Self-Regenerative Systems 2003 An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.1/19
Visão Geral do Artigo Projeto DIT: arquitetura TI para servidores Internet de conteúdo estático Web Propõe uma arquitetura TI para servidores Internet de conteúdo dinâmico Web+SQL Ilustra uso de diversidade e adaptação em TI An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.2/19
Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) 2. Arquitetura para Conteúdo Dinâmico 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.3/19
Modelo de Sistema Sistema distribuído composto por servidores Servidores de aplicação: COTS com diversidade Todos os servidores corretos produzem a mesma resposta para uma dada requisição Semântica de falhas bizantinas An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.4/19
Componentes da Arquitetura Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.5/19
Regimes de Acordo Resposta adaptativa do sistema Um regime de acordo especifica: quais servidores recebem uma requisição o que é considerado um acordo suficiente entre as respostas quais servidores devem ser reportados como suspeitos An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.6/19
de Tolerância Um líder, vários auxiliares Funções principais: mediar requisições para os servidores (líder) monitorar o estado dos servidores monitorar comunicação entre o proxy líder e os servidores (auxiliares) ajustar o regime de acordo corrente Diversidade de implementação An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.7/19
Subsistema de Monitoramento Informações usadas na adaptação da configuração Mecanismos utilizados: s baseados em rede e em host resultado do acordo de conteúdo protocolo desafio-resposta para verificar integridade de arquivos nos servidores e proxies verificadores formais automáticos do funcionamento dos proxies An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.8/19
Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.9/19
Conteúdo Dinâmico Arquitetura original exige atualização off-line do conteúdo Conteúdo dinâmico: servidores de aplicação acessam um SGBD tolerante a faltas Uma requisição de serviço à aplicação pode corresponder a uma série de requisições ao SGBD An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.10/19
Nova Arquitetura Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19
Nova Arquitetura BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19
Nova Arquitetura Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19
Nova Arquitetura Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19
Nova Arquitetura M M M M Adjudicador BD TF Clientes An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.11/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Funcionamento da Arquitetura M M M M Adjudicador BD TF Cliente An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.12/19
Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico ( ) 3. Conclusões 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.13/19
Mecanismos Utilizados Prevenção: filtragem de requisições, monitoramento on-line dos proxies Detecção:, checagem de integridade dos proxies e servidores (desafio-resposta) Tolerância: redundância com diversidade An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.14/19
Eficácia da Arquitetura Uma requisição não é processada por todos os servidores Os servidores possuem diversidade de implementação Um atacante não pode prever quais servidores serão atingidos por um ataque Diversos mecanismos para checar a integridade de componentes críticos An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.15/19
Conteúdo 1. Arquitetura para Conteúdo Estático (DIT) ( ) 2. Arquitetura para Conteúdo Dinâmico ( ) 3. Conclusões ( ) 4. Discussão An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.16/19
Pontos Positivos Domínio de problema ao mesmo tempo restrito (ameaças) e amplo (aplicabilidade) Uso de técnicas de verificação on-line dos proxies (herança do DIT) pouco discutido no artigo Bom exemplo de diversidade (servidores) e adaptação (regimes de acordo) em TI An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.17/19
Pontos Negativos Algumas premissas questionáveis qualidade da detecção de intrusões Mediador pode ser um modo de falha comum não discutido no artigo Arquitetura não implementada complicações de natureza prática à espreita An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.18/19
That s all, folks! An Intrusion Tolerant Architecturefor Dynamic ContentInternet Servers p.19/19