Depois do desenho do prot´otipo descrito, ´e necess´ario integrar este com a arquitectura CRUTIAL, mais precisamente com o CIS (descrito na Secc¸˜ao 2.5.2). O CIS ´e uma ante- para sofisticada que aplica as pol´ıticas de controlo de acesso na rede de uma IC que est´a espalhada em v´arios dom´ınios. Este pode ser replicado em 2f + 1 m´aquinas tolerando f faltas maliciosas ou acidentais [2].
O prot´otipo desenvolvido pode ser integrado no CIS, no m´odulo CIS-PS (ao n´ıvel do servic¸o de protecc¸˜ao), como se pode observar na Figura 4.7.
CISCore verify PolicyEngine apply Enforcer
CIS-PS
pacotes da rede
Figura 4.7:Integrac¸˜ao do enforcer na Arquitectura CIS-PS.
Todos os pacotes da rede s˜ao filtrados pelo componente CISCore, que verifica se o pacote recebido respeita a pol´ıtica de seguranc¸a actual, atrav´es do m´etodo verify da classe PolicyEngine[5]. Esta pol´ıtica ´e aplicada por meio do enforcer que executa a operac¸˜ao applyda classe PolicyEngine. A operac¸˜ao apply est´a presente nos algoritmos descritos no cap´ıtulo anterior como sendo a func¸˜ao applyPolicy() (algoritmo 2 nas linhas 7 e 19, e algoritmo 4 nas linhas 7 e 12).
O trabalho desenvolvido, complementa alguns outros trabalhos no contexto do pro- jecto CRUTIAL, preenchendo uma lacuna importante nesta arquitectura, ao n´ıvel do servi- c¸o de protecc¸˜ao.
Cap´ıtulo 4. Concretizac¸˜ao 46
4.5
Considerac¸˜oes Finais
Este cap´ıtulo descreveu que ferramentas foram utilizadas, nomeadamente a n´ıvel do de- senho, programac¸˜ao, documentac¸˜ao e experimentac¸˜ao. Mostrou-se como o manager e o enforcerest˜ao implementados no prot´otipo, descrevendo o seu diagrama de classes. Fi- nalmente, tamb´em se mostrou como este pode ser integrado no CIS-PS, no servic¸o de protecc¸˜ao do componente CIS, da arquitectura CRUTIAL.
As considerac¸˜oes finais e trabalho futuro em relac¸˜ao ao projecto desenvolvido ´e apre- sentado no cap´ıtulo seguinte.
Cap´ıtulo 5
Sum´ario e Conclus˜oes
A protecc¸˜ao de ICs ´e um tema muito em voga hoje em dia. As ICs controlam servic¸os b´asicos como a ´agua, energia, g´as, entre outros. Nos ´ultimos anos, os sistemas in- form´aticos que controlam estas ICs, tˆem vindo a migrar de sistemas propriet´arios para tecnologias comuns, como as redes TCP/IP e sistemas operativos windows e linux. Es- tas mudanc¸as, al´em de diminuir custos e melhorar a qualidade do servic¸o prestado, veio afectar de maneira significativa a protecc¸˜ao deste tipo de infra-estruturas.
As ICs est˜ao espalhadas por v´arios dom´ınios administrativos e possuem v´arios pontos de entrada, como VPNs e ligac¸˜oes sem fios, havendo uma grande dificuldade em pro- tegˆe-las usando mecanismos de seguranc¸a fornecidos por uma antepara tradicional. A descentralizac¸˜ao da antepara e a existˆencia de um sistema que coordene a configurac¸˜ao de fluxos de informac¸˜ao, torna-se essencial na protecc¸˜ao destas ICs que possuem muitos dispositivos e redes que precisam de ser protegidos.
Nesta dissertac¸˜ao, ap´os um longo estudo bibliogr´afico sobre a protecc¸˜ao de ICs e sobre o seu funcionamento, foi criado o SACP (Sistema de Actualizac¸˜ao Coordenada de Pol´ıticas). Este sistema est´a dividido em trˆes componentes: o manager, o enforcer e o servic¸o de coordenac¸˜ao [3], e tem como objectivo a distribuic¸˜ao de pol´ıticas de seguranc¸a de uma forma coordenada por toda a rede de uma IC. As pol´ıticas podem ser distribu´ıdas em um ou mais dom´ınios contendo v´arios espac¸os de tuplos.
Foi tamb´em concretizado o prot´otipo que implementa os algoritmos descritos nesta dissertac¸˜ao. Este prot´otipo implementa o SACP e pode ser integrado no componente principal do projecto CRUTIAL (ver Secc¸˜ao 4.4).
A utilizac¸˜ao de um servic¸o de coordenac¸˜ao, para implementar um sistema de distri- buic¸˜ao de pol´ıticas, permite, atrav´es de primitivas simples e f´aceis de implementar, criar um sistema seguro e fi´avel tolerante a intrus˜oes capaz de ser integrado com qualquer outro componente em funcionamento, neste caso, com a arquitectura CRUTIAL.
Cap´ıtulo 5. Sum´ario e Conclus˜oes 48
5.1
Trabalhos Relacionados
O trabalho apresentado complementa alguns outros trabalhos no contexto do projecto CRUTIAL, preenchendo uma lacuna importante nesta arquitectura. Em particular, a ar- quitectura definida em [26] previa a existˆencia de componentes especiais respons´aveis pela interligac¸˜ao das v´arias redes que comp˜oem a infra-estrutura cr´ıtica. Este compo- nente especial ´e o CIS [2]. O trabalho apresentado em [17], tem alguns aspectos similares a este projecto, nomeadamente a utilizac¸˜ao de anteparas distribu´ıdas em cada n´o da rede protegida. A diferenc¸a fundamental entre este trabalho e o nosso sistema se encontra no facto de usarmos um servic¸o de coordenac¸˜ao confi´avel para realizar todas as interacc¸˜oes na garantia de atomicidade na instalac¸˜ao de novas pol´ıticas. Estas diferenc¸as se traduzem em um ganho significativo em termos da seguranc¸a e simplificac¸˜ao do sistema.
O trabalho descrito em [19] apresenta um controlo de acesso para sistemas colabora- tivos que tem por base a tecnologia de web services. O foco deste trabalho se encontra sobretudo na definic¸˜ao de pol´ıticas de seguranc¸a entre duas organizac¸˜oes, o que justifica- ria a utilizac¸˜ao de web services para facilitar a interoperabilidade entre as mesmas. Por outro lado, os web services tornam o processo de actualizac¸˜ao de pol´ıticas custoso e n˜ao muito seguro.
A ferramenta desenvolvida, ao contr´ario das anteriores, utiliza um servic¸o de coorde- nac¸˜ao confi´avel [3] que actua como meio de comunicac¸˜ao entre quem envia as pol´ıticas (o manager) e quem as aplica (os enforcers) de uma forma coordenada e segura.
5.2
Impress˜oes Pessoais
O trabalho realizado no ˆambito do Projecto de Engenharia Inform´atica (PEI) permitiu- -me conhecer o ambiente de investigac¸˜ao e a forma como os projectos de investigac¸˜ao funcionam.
No meu ponto de vista, a realizac¸˜ao deste projecto foi muito desafiante, porque abran- geu ´areas pelas quais me interesso bastante: a engenharia de software e a seguranc¸a. A possibilidade de resolver um problema actual, como a seguranc¸a de ICs, motivou-me na realizac¸˜ao deste projecto.
Foi sob a orientac¸˜ao do Professor Alysson Neves Bessani, que tive a oportunidade de fazer investigac¸˜ao no grupo Navigators e de dar o meu contributo `a comunidade cient´ıfica. O trabalho realizado teve alguns atrasos, comparado com o planeamento definido ini- cialmente, devido `a definic¸˜ao de alguns pontos relativos ao funcionamento do SACP. Ao fim de algumas reuni˜oes com o orientador, todas as quest˜oes foram resolvidas.
Cap´ıtulo 5. Sum´ario e Conclus˜oes 49
5.3
Trabalho futuro
A soluc¸˜ao apresentada neste projecto n˜ao tem pretens˜oes de ser a resposta definitiva para este problema, mas parece indicar um caminho com grandes potencialidades.
Existem v´arios aspectos que podiam ser melhorados na ferramenta de gest˜ao de pol´ı- ticas, mas que n˜ao o foram por limitac¸˜oes de tempo:
• melhorar o interface gr´afico na criac¸˜ao de novos grupos e n´os, al´em de possibilitar a selecc¸˜ao de n´os de diferentes espac¸os para receber uma determinada pol´ıtica; • realizar experimentos para avaliar o desempenho do sistema desenvolvido em uma
topologia similar `a rede de uma infra-estrutura cr´ıtica;
O primeiro ponto refere-se ao melhoramento da interface gr´afica, nomeadamente na criac¸˜ao de novas interfaces que possibilitassem a definic¸˜ao de novos grupos e a selecc¸˜ao de n´os de diferentes espac¸os para receber uma determinada pol´ıtica. Por ´ultimo, a realizac¸˜ao de experimentos permitiria testar a performance dos algoritmos e a resposta do prot´otipo ao n´ıvel de uma topologia de rede similar a uma IC.
Abreviaturas
ACP Actualizac¸˜ao Coordenada de Pol´ıticas CDI Constrained Data Item
CIS Crutial Information Switch
CRUTIAL CRitical UTility InfrastructurAL resilience DACC Controlo de Acesso Discricion´ario
IC Infra-estruturas cr´ıticas
IVP Integrity Verification Procedure LAN Local Area Network
MACC Controlo de Acesso Mandat´orio PKI Public Key Infrastructure PLC Programmable Logic Controller
RBAC Controlo de Acesso Baseado em Pap´eis
SACP Sistema de Actualizac¸˜ao Coordenada de Pol´ıticas
SCADA Supervisory Control And Data Aquisition TP Transformation Procedures
UDI Unconstrained Data Item UTC Coordinated Universal Time VPN Virtual Private Network WAN Wide Area Network
Bibliografia
[1] S. M. Bellovin. ”distributed firewalls”. USENIX;login:, November 1999.
[2] Alysson Bessani, Paulo Sousa, Miguel Correia, Nuno Ferreira Neves, and Paulo Verissimo. The CRUTIAL way of critical infrastructure protection. IEEE Security & Privacy, 6(6):44–51, Nov-Dec 2008.
[3] Alysson Neves Bessani, Eduardo Pelison Alchieri, Miguel Correia, and Joni Silva Fraga. Depspace: a byzantine fault-tolerant coordination service. In Eurosys ’08: Proceedings of the 3rd ACM SIGOPS/EuroSys European Conference on Computer Systems 2008, pages 163–176, New York, NY, USA, 2008. ACM.
[4] Alysson Neves Bessani, Miguel Correia, Joni da Silva Fraga, and Lau Cheuk Lung. Sharing memory between byzantine processes using policy-enforced tuple spaces. IEEE Transactions on Parallel & Distributed Systems, 20(3):419–432, 2009. [5] Alysson Neves Bessani, Paulo Sousa, Miguel Correia, Nuno Ferreira Neves, and
Paulo Verissimo. Cost-effective intrusion-tolerant protection for crutial things. DI- FCUL TR 09–14, Dep. of Informatics, Univ. of Lisbon, 2009.
[6] Matt Bishop. Computer Security: Art and Science. Addison-Wesley, 2003.
[7] Markus Br¨andle and Martin Naedele. Security for process control systems: An overview. IEEE Security & Privacy, 6(6):24–29, 2008.
[8] E. Byres and J. Lowe. The myths and facts behind cyber security risks for indus- trial control systems. VDE Congress, VDE Association For Electrical, Electronic & Information Technologies, 2004.
[9] Giacomo Cabri, Letizia Leonardi, and Franco Zambonelli. Mobile-agent coordina- tion models for internet applications. Computer, 33(2):82–89, 2000.
[10] Fr´ed´eric Cuppens and Alexandre Mi`ege. Modelling contexts in the or-bac model. In ACSAC ’03: Proceedings of the 19th Annual Computer Security Applications Conference, page 416, Washington, DC, USA, 2003. IEEE Computer Society.
Bibliografia 54
[11] Wagner Saback Dantas, Alysson Neves Bessani, and Miguel Correia. Not quic- kly, just in time: Improving the timeliness and reliability of control traffic in utility networks. In Proceedings of the DSN 2009 5th Workshop on Hot Topics in System Dependability (HotDep 2009), June 2009.
[12] L. H. Fink and K. Carlsen. Operating under stress and strain. IEEE Spectrum, Mar. 1978.
[13] David Gelernter. Generative communication in linda. ACM Transactions on Pro- gramming Languages and Systems, 7(1):80–112, 1985.
[14] J. N. Gray. Notes on data base operating systems, pages 393–481. Springer Berlin / Heidelberg, 1978.
[15] Vinay M. Igure, Sean A. Laughter, and Ronald D. Williams. Security issues in scada networks. Computers & Security, 25(7):498–506, 2006.
[16] Kenneth Ingham and Stephanie Forrest. A history and survey of network firewalls. Technical report 2002-37, University of New Mexico Computer Science Depart- ment, 2002. http://www.cs.unm.edu/colloq-bin/tech_reports. cgi?ID=TR-CS-2002-37.
[17] Sotiris Ioannidis, Angelos D. Keromytis, Steve M. Bellovin, and Jonathan M. Smith. Implementing a distributed firewall. In In Proceedings of ACM Computer and Com- munications Security (CCS’00), pages 190–199, 2000.
[18] Anas Abou El Kalam, Salem Benferhat, Alexandre Mi`ege, Rania El Baida, Fr´ed´eric Cuppens, Claire Saurel, Philippe Balbiani, Yves Deswarte, and Gilles Trouessin. Organization based access control. In POLICY ’03: Proceedings of the 4th IEEE International Workshop on Policies for Distributed Systems and Networks, page 120, Washington, DC, USA, 2003. IEEE Computer Society.
[19] Anas Abou El Kalam, Yves Deswarte, Amine Ba¨ına, and Mohamed Kaˆaniche. Ac- cess control for collaborative systems: A web services based approach. In ICWS, pages 1064–1071. IEEE Computer Society, 2007.
[20] Jean-Claude Laprie and Brian Randell. Basic concepts and taxonomy of dependable and secure computing. IEEE Transactions on Dependable and Secure Computing, 1(1):11–33, 2004. Fellow-Avizienis, Algirdas and Senior Member-Landwehr, Carl. [21] David M. Nicol, William H. Sanders, Sankalp Singh, and Mouna Seri. Usable glo- bal network access policy for process control systems. IEEE Security & Privacy, 6(6):30–36, 2008.
Bibliografia 55
[22] Fred B. Schneider. Implementing fault-tolerant services using the state machine approach: a tutorial. ACM Computing Surveys, 22(4):299–319, 1990.
[23] E. J. Segall. Resilient distributed objects: Basic results and application to shared tuple spaces. In SPDP ’95: Proceedings of the 7th IEEE Symposium on Parallel and Distributeed Processing, page 320, Washington, DC, USA, 1995. IEEE Computer Society.
[24] P. Srisuresh and M. Holdrege. IP Network Address Translator (NAT) Terminology and Considerations. RFC 2663 (Informational), August 1999.
[25] Robert Stepanek. Distributed firewalls. In T-110.501 Seminar on Network Security, 2001.
[26] Paulo Verissimo, Nuno F. Neves, and Miguel Correia. The crutial reference critical information infrastructure architecture: a blueprint. International Journal of System of Systems Engineering, 1(1/2):78–95, 2008.