Gerenciamento de Segurança
Liane Tarouco UFRGS
O cenário
Os ataques atualmente ocorrendo na Internet não mais visam apenas sistemas fim, ou seja, servidores e estações de trabalhos dos usuários.
3
Situação atual
Ataques que afetam direta ou indiretamente a própria infra-estrutura da rede
– afetando os roteadores ou serviços básicos como servidores de nomes Como isto ocorre e como afeta o gerenciamento da rede?
A Internet não é intrinsecamente segura
Protocolos sem proteção contra monitoração Autenticação fraca
Problemas:
– IP spoofing
– Redirecionamento de tráfego – Obstrução de acesso
– DNS
– Email fraudulento – Monitoração
5
Evolução das ameaças
“Sasser”
Resposta Humana impossível Resposta automatizada requerido, i.e., conserto e atribuição automática Segundos
Minutos Horas Dias
Semanas ou meses
Resposta Humana impossível Resposta automatizada improvável Bloqueio proativo possível Resposta Humana: difícil/impossível
Resposta automatizada: possível Resposta Humana
possível Virus de arquivos executáveis
Macro Virus
Ameaças combinadas
“Warhol”
“Flash”, Sasser
Início 1990 Meados 1990 Final 1990 2000 2003 2004
Tempo
Network Trends
Diversas Topologias
de Redes Diversos
Dispositivos de Comunicação
Aplicaçõese Mobilidade
Wireless
Empresa WAN
Cenário complexo
7
Trends
Mobilidade é a aplicação mais importante!
Diversidade – Redes – Dispositivos – Aplicações
Securança fica fragmentada – Sistemas operacionais – Aplicações
– Redes locais “confiáveis”
– Empresa
– Backbone Internet
Criptografia apenas não é segura
– Todavia deve ser usada para proteger os dados da aplicação
COMPLEXIDADE ESTÁ AUMENTANDO
Situação atual
Os personagens
Fornecedores
– estão cientes dos erros e vulnerabilidades – tem condições de antecipar consequências
destes problemas Usuários
– sabem que erros de configuração e erros de software podem possibilitar intrusão – sabem que há correções, atualizações e
avisos sobre vulnerabilidades – não tem habilidade para corrigir
9
Alertas CERT/CC & US-CERT
Tendências e cenário
Taxa de descobertas de vulnerabilidades crescendo desde 2002
Tempo para explorar decrescendo
– 2002 - 14 dias – 2003 7-10 dias
– atualmente menos de uma semana
Estratégias e liberação de soluções anti-virus estão melhorando
Correções melhorando (vendedores e usuários)
11
CERT-CC estatísticas de incidentes
0 25000 50000 75000 100000 125000 150000
1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
Source: CMU Computer Emergency Response Team
Last updated January 22, 2004
NBSO - NIC BR Security Office
13
NBSO - Scans reportados
Incidentes Reportados ao NBSO -- Janeiro a Dezembro de 2004
As conseqüências
A maioria dos atacantes realizou intrusões bem sucedidas
Muitas intrusões dão ao atacante privilégios de administrador
A Internet provê grande quantidade de informação sobre como atacar sistemas Muitos atacantes utilizam scripts publicados na Internet
15
Custos
Custo para encontrar todos os problemas
Custo para encontrar e
explorar uma vulnerabilidade
Os servidores estão protegidos.
Culturalmente a visão de segurança dos
administradores das redes brasileiras têm utilizado filtros de acesso apenas para proteger seus
equipamentos, arcando o usuário ou consumidor final com o ônus de sua especialização para prevenção e proteção.
17
Ameaças de vírus descobertas por dia
Source: McAfee AVERT
0 10 20 30 40 50 60 70
1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 Est.
0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 90,000 100,000
Code Red Nimda Goner Slammer
Source: McAfee AVERT
Máquinas infectadas em hora de pico
19
Ferramentas usadas :
• (win)nuke, ping of death, land, teardrop
– TCP
• SYN flood
• Uso de várias flags
• Ataques com estabelecimento de sessão TCP
– ICMP
• echo & echo_reply
– UDP
Arquitetura de ataque
Ataque SYN flood
Como detectar uma máquina que esteja sendo alvo Como detectar uma máquina que esteja sendo alvo de um ataque do tipo SYN
de um ataque do tipo SYN floodflood??
21
O ciclo
Uma série de ataques, antes dirigidos aos computadores dos provedores de acesso (servidores), têm sido redirecionados para os computadores dos usuários finais e estes usados como ferramenta de ataque
Ataque distribuído
•
•Agentes Agentes DDoSDDoS::
•Trinoo •Trinoo e outrose outros
•
•Cavalos de Cavalos de TroiaTroia
23
Atacante
O zumbi pode estar ao seu lado – Mesma rede local
– conexão banda larga (ADSL)
Vetor de ataque
Filial Internet
Servidores
• Vermes autopropagantes continuam a interromper os negócios causando paradas e necessidade de consertos (patch)
Usuário remoto Usuário remoto Wireless LAN LAN
Ataques Ataques
25
Slammer SQL
Janeiro 2003
Pacote de 384 bytes encapsulado em UDP
Código hostil
Padrão 010101001 usado para criar
buffer overflow
Slammer
Firewalls e IDS abertos Propagação
– 10 minutos - todo o mundo – 31 minutos- 75.000 sistemas
– Alguns sistemas capazes de gerar 30.000 pacotes/segundo
27
Formas de contaminação
Arquivos anexo a email abertos manualmente ou de forma automatizada
Scripts recebidos via HTTP
Agentes DDoS usando vulnerabilidades
– Compartilhamento de arquivos – P2P, IRC
Endereços parecidos
Atualizações de aplicações bem conhecidas Engodos diversos enviados por SPAM
Quem é o intruso
29
Detecção
Quais os alvos em termos de serviços ? Portas necessárias
– 80 x Kazaa
Posicionamento de campos dinâmico na camada de aplicação
Custo de resposta a incidentes está aumentando
$0.00
$0.50
$1.00
$1.50
$2.00
$2.50
$3.00
Code Red Nimda Slammer Blaster[1]
Source: NetWorm.org
[1] Blaster cost includes the cost of the near
In billions
31
Aumentando a vulnerabilidade das aplicações
Source: CMU Computer Emergency Response Team
Last updated August 3, 2004 0
500 1000 1500 2000 2500 3000 3500 4000 4500
1989-1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 (Est.)
Engenharia social e o SPAM
– Hordas de spamers enviam diariamente dezenas de mensagens para os usuários da Internet e dentre as propagandas não solicitadas estão sempre presentes as mensagens armadilha.
33
Phishing - tendências
0 50 100 150 200 250 300 350 400
11/8/03 11/22/03
12/06/03 12/20/03
1/3/04 1/17/04
1/31/04 2/14/04
2/28/04 3/13/04
3/27/04 4/10/04
4/24/04 5/8/04
5/22/04 6/5/04
6/19/04 6/30/04 [1]
Source: Anti-Phishing Working Group[1] Represents data for four days
Phising
Motivação passou de vandalismo a crime organizado
Estimativas de que 5% tem sucesso Combinação com engenharia social
35
E-CrimeWatch Survery - 2003
Virus or other malicious attack Denial of service attack
Illegal generation of spam e-mail Unauthorized access by an insider Phishing
Unauthorized access by an outsider Fraud
Theft of intellectual property Theft of other proprietary info Sabotage by an insider Sabotage by an outsider Extortion by an outsider Extortion by an insider
77.2%
43.6%
38.3%
35.7%
31.0%
27.2%
21.9%
20.5%
16.4%
10.8%
10.8%
3.2%
2.6%
Source: CSO E-CrimeWatch Survey Report May 24, 2004
E-Crime Watch Survey 2004
Virus or other malicious code 82%
Spyware . 61%
Phishing . 57%
Illegal generation of spam email . 48%
Unauthorized access to information, systems or networks 43%
Denial of service attacks 32%
Rogue wireless access point 21%
Exposure of private or sensitive information. 19%
Fraud 19%
(2004: Employee) Identity theft . 17%
Password sniffing. 16%
Theft of intellectual property. 14%
Zombie machines on organization’s network 13%
Theft of other (proprietary) info . 12%
Sabotage 11%
Web site defacement . 9%
Extortion . 2%
Other 4%
37
E-crime survey - Source outsider
Phishing (Base: 316) 92%
Web site defacement (Base: 50). 92%
Spyware (Base: 338) . 89%
Illegal generation of spam email (Base: 266) . 89%
Denial of service attacks (Base: 179) . 88%
Virus or other malicious code (Base: 453) 85%
Identity theft (Base: 95) 81%
Fraud (Base: 105) 80%
Zombie machines on organization’s network (Base: 73) 77%
Password sniffing (Base: 86) 74%
Extortion (Base: 10) . 60%
Sabotage (Base: 61) 59%
Unauthorized access to information, systems or networks (Base: 237). 58%
Theft of other (proprietary) info (Base: 65) 54%
Exposure of private or sensitive info (Base: 106) . 47%
Theft of intellectual property (Base: 75) 33%
Rogue wireless access point (Base: 117). 29%
Hipótese
No gerenciamento de rede de alta velocidade fatores como performance, segurança e usabilidade usualmente são conflitantes
– Medidas complicadas de controle de acesso podem ser necessárias mas afetam
negativamente a usabilidade
– Aspectos de performance podem levar a usar menor nível de segurança
39
Degradação de performance
0 100 200 300 400 500 600 700 800 900 1000
0 50 100 200 400 800 1600 3200
# of Rules
10^6 bytes 512
1024 2048 4096
Detecção de intrusão e Firewalls
Segurança v performance Escalabilidade futura ?
Aspectos da rede sobre os quais não se tem controle.
41
Soluções existentes
Firewalls
Sistemas de Detecção de Intrusão (IDS) Sistemas de Proteção de Intrusão
VPN - Virtual Private Network Varreduras anti virus
Firewall
Intranet
A solução mágica ?
43
Metodologias usadas
Firewall
ACL (Access Control List) Filtragem sensível a estado Proxy de aplicação
– qual aplicação: HTTP, SMTP ?
45
IDS
Implementados em servidores – antiirus
– antispam
– filtragem de URL Novas arquiteturas
Análise da carga útil do pacote Maior segurança
Requisitos desejáveis
Adaptação autônoma – Controle de acesso
– Filtragem pré-programada de assinaturas – Detecção de anomalia
Identificação de novas ameaças mediante inspeção de comportamento
47
Integração
Múltiplas soluções de segurança
Cada elemento alimenta e interage com os demais
Tamanho dos Logs
0 200,000,000 400,000,000 600,000,000 800,000,000 1,000,000,000 1,200,000,000
Septe Novem Januar March May July Septe Novem Januar March May July Septe Novem Januar March May July
IDS Firewall
49
Detecção
Novas metodologias Estratégias de uso Sistemas
Arquiteturas
Perceber quando ocorre pela primeira vez Soluções em tempo real
Sem sobrecarga para a rede
Novas soluções defensivas
Assinatura Anomalia
Comportamento Capacidades
determinadas por políticas que administradores ou máquinas heurísticas podem passar a usar a partir do momento de
51
Detecção de intrusão
Tráfego total anormal
Tráfego em determinadas portas anormal
Detecção de ataques
Ataques do tipo Denial of Service
53
Detecção de infestações
Tráfego anormal (http, smtp)
Monitorar para detectar
Distribuição de tráfego não usual por protocolos
– TCP : ~90 % (HTTP, FTP, SMTP e P2P) – UDP : ~10 % (DNS, SNMP, streaming) – ICMP : <1 %
– IGMP : <1 %
RRDtool e Netflow podem ser usados para traçar gráficos e detectar tendências e anomalias
55
Gerenciamento integrado
Gerência de segurança Gerência de configuração
– regras de filtragem – status
Gerência de performance – normal x anormal
Heurística e Inteligência Artificial
Combinando varredura (SNMP) e eventos gerados por IDS e outros