Objetivos

O objetivo geral deste trabalho é propor soluções que permitam viabilizar a detecção de in-

trusão em ambientes de larga escala. A partir deste objetivo principal e considerando os requisitos

apresentados anteriormente, são identificados os seguintes objetivos específicos:

1. Definir e desenvolver uma infra-estrutura de integração que permita a composição de sistemas de detecção de intrusão distintos e dispersos geograficamente.

2. Propor na infra-estrutura mecanismos de comunicação padronizados que permitam a interope- rabilidade entre IDSs distintos.

3. Agilizar a composição dinâmica de novos sistemas de detecção de intrusão, a partir do suporte da infra-estrutura proposta.

4. Adotar especificações baseadas nos esforços de padronização da IETF, W3C e OASIS a fim de atingir a interoperabilidade necessária.

5. Fazer uso extensivo da linguagem XML e da tecnologia Web Services de programação distri- buída orientada a serviços.

1.2.3 Resultados Esperados

Como resultado deste estudo, pretendemos apresentar um framework mínimo para a composição de sistemas de detecção de intrusão, baseado na tecnologia de Web Services e levando em conta os requisitos citados anteriormente.

1.2.4 Validação da Proposta

Na primeira parte do trabalho, foi necessário identificar e avaliar os diversos caminhos e tecnolo- gias passíveis de apliação para o desenvolvimento de um novo modelo de detecção de intrusão. Para isso, foi adotada a metodologia de gestão de riscos, que será apresentada no próximo capítulo.

A validação do framework proposto é feita usando métodos quantitativos e qualitativos. Foram desenvolvidos alguns protótipos e realizados testes de funcionamento com avaliações qualitativas dos mesmos. Também foram calculadas algumas medidas de desempenho destes protótipos a fim de verificar sua viabilidade.

1.3

Organização do Texto

Neste capítulo foi mostrado o contexto no qual são ambientadas as propostas apresentadas nessa Tese. Também foram descritos os objetivos dessa Tese e apresentadas as motivações que levaram à sua elaboração. O restante desse documento está organizado conforme a descrição a seguir.

No capítulo seguinte serão introduzidos os principais conceitos usados ao longo desse documento. Entre os conceitos apresentados, destacam-se aqueles relacionados à segurança em ambientes de tec- nologia da informação (TI) e seus desdobramentos. Também são apresentados conceitos e tecnolo- gias relacionadas ao uso de Web Services. Neste capítulo também serão apresentados os conceitos relacionados à metodologia de gestão de riscos.

No terceiro capítulo são discutidos os conceitos, as arquiteturas, os padrões e os principais traba- lhos relacionados à detecção de intrusão distribuída, foco desta Tese. Os trabalhos relacionados são contextualizados e comparados à proposta aqui apresentada. Também é apresentada uma taxonomia para classificação de elementos de detecção de intrusão, a qual será adotada na proposta.

No quarto capítulo é apresentada uma proposta para a composição de sistemas de detecção de intrusão em ambientes de larga escala. Para descrever a proposta é definido um modelo geral para composição de IDSs, suportado por uma infra-estrutura de serviços e pelo uso de Web Services. As características dos serviços que compõem essa infra-estrutura também são detalhadas.

No quinto capítulo é apresentada a materialização da proposta de composição de IDSs. Nele são detalhados os protótipos e experimentos desenvolvidos e são analisados os resultados dos testes realizados.

Finalmente, o sexto capítulo traz as considerações finais desse documento, com os principais resultados e conclusões da Tese.

Principais Conceitos

2.1

Introdução

Diversos conceitos tratados neste estudo são descritos neste capítulo. Entre esses conceitos pode- mos destacar aqueles relacionados à segurança em tecnologia da informação (TI), ao monitoramento de segurança e à tecnologia de Web Services. Dois desses assuntos são abordados em maior profun- didade neste capítulo: a segurança em TI e a tecnologia de Web Services. Os conceitos relacionados à detecção de intrusão serão aprofundados no capítulo seguinte.

Na seção 2.2 são apresentados os principais conceitos relacionados à segurança. Nesta seção serão apresentadas as propriedades de segurança e definidos os conceitos de políticas de segurança, modelos de segurança, vulnerabilidades, ameaças, ataques, intrusão, risco, mecanismos de segurança, auditoria e detecção de intrusão. Na seção 2.3 é mostrado um resumo dos conceitos sobre a tecnologia de Web Services, com destaque à arquitetura orientada a serviços, às principais tecnologias relacionadas e à própria segurança para as interações entre Web Services. Outros detalhes e padrões associados a Web Services adotados nesta Tese serão apresentados nos próximos capítulos.

2.2

Conceitos de Segurança

2.2.1 Propriedades de Segurança

Segurança em sistemas informáticos é identificada como a capacidade de assegurar a prevenção ao acesso e à manipulação ilegítima da informação, ou ainda, de evitar a interferência indevida na sua operação normal [ISO/IEC, 2005a].

A segurança é fundamentada em três propriedades básicas [Bishop, 2003] [ISO/IEC, 2005a]:

• Integridade: garante que a informação não será alterada ou destruída sem a autorização ade-

• Confidencialidade: garante que a informação não será revelada sem a autorização adequada. • Disponibilidade: garante que a informação estará acessível aos usuários legítimos quando

solicitada.

A propriedade de integridade inclui também, mas não exclusivamente, a autenticidade e a não

repudiação [US Department of Homeland Security, 2002] [Barker e Lee, 2004]. A propriedade de

autenticidade garante que a identidade de um sujeito ou recurso é aquela alegada, sendo aplicada a entidades como usuários, processos, sistemas e informações [ISO, 1989]. A não repudiação garante que uma parte neutra possa ser convencida de que uma transação particular ou um evento tenha ou não ocorrido.

Para o Governo Norte Americano, os objetivos da segurança são preservar a integridade, a dis- ponibilidade e a confidencialidade dos recursos dos sistemas de informações, incluindo: hardware, software, firmware, informação/dados e telecomunicações [Ross et al., 2005].

Quando há a quebra de uma ou mais propriedades de segurança, há uma violação de segurança. Portanto, como as violações estão relacionadas com as três propriedades básicas, as mesmas podem ser classificadas também em três categorias:

• Revelação não autorizada da informação (violação de confidencialidade); • Modificação não autorizada da informação (violação de integridade); • Negação de serviço (violação de disponibilidade).

2.2.2 Política de Segurança

Uma política de segurança forma a base para o estabelecimento do que é ou não permitido [Bishop, 2003] . Formalmente, uma política de segurança é uma afirmação que divide os estados do sistema em um conjunto de estados autorizados, ou seguros, e em um conjunto de estados não autorizados, ou não seguros. Dessa forma, um sistema seguro é um sistema que se inicia em um estado autorizado e evolui entre estados seguros.

Infelizmente, na prática, tal definição dificilmente pode ser garantida ou mantida. Os sistemas tornaram-se complexos nos dias de hoje e também evoluem em configuração e funcionalidade, tor- nando árdua a garantia de um sistema seguro. Mas, em síntese, podemos afirmar que as políticas de segurança normalmente descrevem em linguagem natural, o que usuários e equipes técnicas podem fazer.

2.2.3 Modelo de Segurança

Um modelo que represente uma política particular ou conjunto de políticas é conhecido como

modelo de segurança [Bishop, 2003]. Quando usados para descrever o comportamento de um sis-

certa maneira, verificações de que a política é coerente, e servem de guia para implementações de esquemas de autorização correspondentes às especificações contidas no modelo.

2.2.4 Vulnerabilidade

Uma vulnerabilidade é um defeito ou fraqueza no design ou na implementação de um sistema de informações (incluindo procedimentos de segurança e controles de segurança associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade [Ross et al., 2005].

2.2.5 Ameaças, Ataques e Intrusão

A vulnerabilidade, por si só, não representaria perigo se não houvesse a possibilidade da mesma ser explorada. Portanto, uma ameaça é qualquer circunstância ou evento com o potencial intencional ou acidental de explorar uma vulnerabilidade específica em qualquer sistema computacional, resul- tando na perda de confidencialidade, integridade ou disponibilidade [Barker e Lee, 2004]. Atos inten- cionais que podem produzir violações de segurança são chamados de ataques. Finalmente, quando um ataque é bem sucedido, afirmamos que houve uma intrusão.

Os ataques podem ser divididos entre passivos e ativos [Stallings, 2000]. Os ataques passivos possibilitam a obtenção de informações que estão sendo transmitidas ou processadas, sem afetá-las. Nos ataques ativos, os dados são inseridos, adulterados ou ficam indisponíveis.

Um exemplo dessa classificação, que serve de base para entender os ataques mais comuns em sis- temas distribuídos, está na Figura 2.1 [Stallings, 2000]. Neste exemplo, os ataques passivos, divididos em revelação do conteúdo de mensagens e análise de tráfego, representam algum tipo de espionagem (eavesdroping) e podem acarretar a quebra da propriedade de confidencialidade. Já as ameaças ativas podem ser representadas pelo mascaramento, replay, modificação e negação de serviço. A revelação de conteúdo, a análise de tráfego, a modificação de mensagens e a negação de serviço são ameaças bastante conhecidas. O mascaramento corresponde à personificação ou disfarce de uma entidade a fim de obter privilégios atribuídos a uma outra entidade, enquanto o replay envolve a captura passiva de uma unidade de dados e sua subseqüente retransmissão para produzir algum tipo de violação.