Nesta seção traçamos algumas considerações sobre o modelo proposto para a composição de IDSs. O uso de composições de IDSs dinâmicas, suportadas pela infra-estrutura de serviços proposta nesse texto, torna possível a construção de soluções mais adequadas para o monitoramento de se- gurança em redes de larga escala. O uso de Web Services permite que elementos de composições para detecção de intrusão possam ser acessados atravessando domínios de redes distintas ou, ainda, segmentadas. Usando esta infra-estrutura proposta, elementos para composição de IDSs podem ser implementados em ambientes de larga escala, registrados e ativados sob demanda. O uso da UDDI com uma classificação específica destes elementos torna a busca de serviços especializados mais fácil e precisa.
Aparentemente, as composições de IDSs poderiam ser implementadas segundo um modelo tra- dicional de gerenciamento, no qual agentes de software interagem com os elementos de IDSs para configurá-los e transmitir suas informações aos demais elementos. Porém, tal abordagem acabaria gerando restrições para a interoperabilidade entre os elementos e não resolveria o problema de co- municação entre redes distintas, sobretudo se os elementos estiverem disponibilizados em redes com endereços administrativos que não podem ser atingidos por uma rede externa.
O uso de Web Services e das especificações que padronizam as comunicações entre IDSs resolvem parte do problema. Para as composições é necessário descrever o fluxo dos dados, bem como o próprio processo de composição. A orquestração de serviços surge como a alternativa ideal para gerenciar as composições, pois permite descrever tanto o processo de composição, quanto a troca de mensagens entre seus elementos. A forma com que os registros são descritos na UDDI foi modificada para simplificar o processo e foi reduzida a quantidade de descrições de configuração, criando uma visão unificada, padronizada e portável da composição.
Assim, nesse novo modelo, o suporte necessário às composições são simplificados. Eles não interferem na configuração do elemento, mas no comportamento da composição.
A configuração dos elementos, por outro lado, pode passar a ser realizada por ferramentas gené-
ricas de gerenciamento, como o Tivoli da IBM7, CA Unicenter8e o HP Openview9, que já começam
a oferecer suporte à especificação WSDM.
4.10.1 Novas Possibilidades de Aplicações
A cooperação entre empresas e organizações é outro ponto importante que pode ser viabilizado com a presente proposta. Os elementos de detecção de intrusão podem ser disponibilizados entre parceiros para permitir a investigação de atividades suspeitas provenientes de suas diversas redes de computadores. Isto, porém, requer a especificação e o monitoramento de políticas de segurança precisas entre as partes envolvidas.
Esta proposta favorece também a terceirização da tarefa de análise de alertas de segurança. Servi- ços analisadores mantidos por centros de resposta a incidentes de segurança ou empresas prestadoras de serviço podem ser ativados para receberem alertas e correlacioná-los com alertas recebidos de outros clientes. Como retorno, cada cliente pode obter alertas globais, estatísticas precisas sobre incidentes e parâmetros para configuração de suas redes.
Redes de sensores do tipo “Honey Nets10” também podem facilmente ser formadas usando o
modelo de composição de IDSs e a infra-estrutura de serviços proposta.
4.11
Conclusões do Capítulo
Neste capítulo foi apresentado um modelo de uma nova abordagem para a composição dinâmica de sistemas de detecção de intrusão. O modelo permite a integração de elementos de IDSs ou mesmo de sistemas monolíticos para criar sistemas de detecção de intrusão distribuídos, em ambientes de larga escala. Para conseguir flexibilidade e interoperabilidade nestas composições dinâmicas, é pro- posta uma infra-estrutura baseada em serviços que deve servir de suporte a essas composições. Essa infra-estrutura está fortemente fundamentada na tecnologia de Web Services e em padrões para comu- nicação de alertas de segurança.
A infra-estrutura é apresentada neste texto como uma estratificação de serviços. Esses serviços contribuem nos vários níveis para viabilizar as composições de IDSs e tornar as comunicações en- tre seus elementos interoperáveis e seguras. Também é proposta a criação e o gerenciamento das composições utilizando o conceito de orquestração de Web Services.
Apesar da proposta enfatizar a integração dos diversos padrões adotados neste trabalho, isso na prática não é tão trivial. As várias organizações que definem os padrões nem sempre estão de acordo
7http://www-306.ibm.com/software/tivoli/
8http://www3.ca.com/solutions/Solution.aspx?ID=315 9http://www.managementsoftware.hp.com/
10Honey Nets são redes de sensores de detecção de intrusão (honeypots), que tem por objetivo serem atacadas para
prover aos administradores informações que levem a um maior conhecimento sobre vulnerabilidades e mecanismos de ataques (http://www.honeynet.org)
e especificações que seriam, aparentemente, complementares acabam sendo incompatíveis. Outra dificuldade está relacionada a trabalhos de padronização incipientes. Apesar de tudo, foi possível encontrar um meio termo que permitiu integrar especificações incipientes com modelos e padrões reconhecidos.
Portanto, em vista do que foi abordado, acreditamos que a proposta de modelo e a infra-estrutura de serviços apresentadas neste capítulo representem uma contribuição significativa para a detecção de incidentes em sistemas de larga escala.
Protótipos e Experimentos
5.1
Introdução
A infra-estrutura de serviços proposta para a criação de composições de IDSs é materializada na forma de protótipos. O ambiente de desenvolvimento, as ferramentas utilizadas e os protótipos implementados são apresentados neste capítulo.
Os protótipos têm por objetivo estabelecer evidências da exigüidade do modelo para detecção de intrusão em sistemas de larga escala proposto nesta Tese. Após sua implementação, os protótipos são avaliados na prática, através de alguns experimentos que serão apresentados neste capítulo. Uma avaliação mais detalhada, focada na segurança dos modelos implementados e seguindo a metodologia de gestão de riscos, é apresentada no anexo A.