Uma Arquitetura Autonômica para
Detecção e Reação a Ameaças de
Segurança em Redes de Computadores
Autores:
Este trabalho d...
Introdução:
Problemas de pesquisa:
Crescimento do número de ataques contra redes locais;
Surgimento de novos desafios, tal...
Redes Definidas por Softwares:
Tenta resolver a ossificação da Internet;
Separa o plano de dados do plano de controle;
Per...
Computação Autonômica:
Sistemas complexos são difíceis de serem gerenciados por
humanos;
Computação Autonômica é baseada n...
Objetivo:
Desenvolver arquitetura autonômica que une Sistemas de
Detecção de Intrusão (IDS) e Redes Definidas por Software...
Contribuições:
União de IDS, OpenFlow e Computação Autonômica no
combate a problemas de segurança em redes de
computadores...
Arquitetura proposta:
7
Implementação da arquitetura e experimentos:
8
Controlador OpenFlow:
Of-IDPS – OpenFlow Intrusion Detection and Prevention...
Experimento 1:
Execução e resposta do Of-IDPS a alertas do IDS:
9
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
...
Experimento 1:
10
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
...
Experimento 1:
11
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
...
Experimento 1:
12
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
...
Experimento 1:
Resultados do experimento para o WoSiDA
13
Fluxo Normal
Fluxo Malicioso
Mensagem de alerta
0
500
1000
1500
2000
2500
Fluxo Normal
Fluxo Malicioso
Mensagem de
alerta
Tempo em Segundos
NúmerodePacotes
Experimento 1:...
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Núm...
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Núm...
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Núm...
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Núm...
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
Núm...
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
20
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
21
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
22
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 2:
Resultados do experimento para o WoSiDA:
23
Resultados do experimento após o WoSiDA:
24
0
50
100
150
200
250
300
(a) Ataque da Rede Externa para a Rede Interna
Tempo ...
0
5000
10000
15000
20000
25000
20.014
1.279
20.040
1.348
20.030
1.121
(b) Quantidade de pacotes tratados pela vítima
Quant...
Experimento 3:
Reação a ataques de varreduras de porta e rede
26
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 3:
Reação a ataques de varreduras de porta e rede
27
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 3:
Reação a ataques de varreduras de porta e rede
28
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
I...
Experimento 4:
Reação a fluxos de diversos tipos de ataques
29
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS...
Experimento 4:
30
0
20
40
60
80
100
120
140
(a) Sem Of-IDPS
Tempo em Segundos
NúmerodePacotes
0
20
40
60
80
100
120
140
(b...
Avaliação dos Experimentos:
Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10
segundos para reagir contra ameaças...
32
Conclusões:
A arquitetura proposta consegue identificar desequilíbrios
causados por problemas de segurança e reagir evi...
33
Trabalhos Futuros:
Explorar mais a integração das estatísticas de redes obtidas
com o OpenFlow.
Correlacionar informaçõ...
Obrigado!
Perguntas?
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo B...
Próximos SlideShares
Carregando em…5
×

Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores

1.044 visualizações

Publicada em

Proposta de arquitetura autonômica para fornecer segurança para redes de computadores locais.

Publicada em: Tecnologia
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.044
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
20
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores

  1. 1. Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores Autores: Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada. Luiz Arthur F. Santos luizsantos@utfpr.edu.br Rodrigo Campiolo rcampiolo@utfpr.edu.br Daniel Macêdo Batista batista@ime.usp.br WoSiDA 09/Maio/2014
  2. 2. Introdução: Problemas de pesquisa: Crescimento do número de ataques contra redes locais; Surgimento de novos desafios, tal como, BYOD; Aumento na complexidade dos ataques à segurança; Ineficácia das ferramentas/administradores em deter ataques. Possíveis soluções: Combinar ferramentas/métodos: Computação Autonômica; Uso de fontes de informações distribuídas e heterogêneas a respeito de problemas de segurança; Redes Definidas por Software (SDN). 2
  3. 3. Redes Definidas por Softwares: Tenta resolver a ossificação da Internet; Separa o plano de dados do plano de controle; Permite programar as redes deixando-as mais dinâmicas. 3 Plano de Dados Plano de Controle Plano de Dados Plano de Controle Plano de Dados Plano de Controle Plano de Dados Plano de Dados Plano de Dados Plano de Controle Rede Comum Rede SDN
  4. 4. Computação Autonômica: Sistemas complexos são difíceis de serem gerenciados por humanos; Computação Autonômica é baseada no conceito de equilíbrio homeostático; Um sistema autonômico deve possuir as propriedades de: auto-gerenciamento, auto-configuração, auto-optimização, auto-regeneração e auto-proteção. 4 Percepção Ação Atuadores Sensores
  5. 5. Objetivo: Desenvolver arquitetura autonômica que une Sistemas de Detecção de Intrusão (IDS) e Redes Definidas por Software, na figura do OpenFlow, para mitigar ações maliciosas em redes de computadores locais. 5
  6. 6. Contribuições: União de IDS, OpenFlow e Computação Autonômica no combate a problemas de segurança em redes de computadores locais; Análise crítica do impacto, limitações e efetividade de uma arquitetura autonômica que combina informações de fontes heterogêneas para detecção e reação a incidentes de segurança; Implementação de um protótipo da arquitetura proposta e disponibilização do código fonte : https://github.com/luizsantos/Of-IDPS. 6
  7. 7. Arquitetura proposta: 7
  8. 8. Implementação da arquitetura e experimentos: 8 Controlador OpenFlow: Of-IDPS – OpenFlow Intrusion Detection and Prevention System (Nossa Proposta); OpenFlow Beacon 1.0.4. Outros elementos da rede (simulados): Mininet 2.1.0; Open vSwitch 1.9.0
  9. 9. Experimento 1: Execução e resposta do Of-IDPS a alertas do IDS: 9 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Servidor Iperf: Porta TCP/80 Porta TCP/90 Cliente Iperf: Porta TCP/80 Fluxo Normal Cliente Iperf: Porta TCP/90 Fluxo Malicioso
  10. 10. Experimento 1: 10 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto.
  11. 11. Experimento 1: 11 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto. Of-IDPS reage aos alertas.
  12. 12. Experimento 1: 12 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto. Fluxo Normal: Aumento indireto Taxa de transferência de dados. Fluxo Malicioso: 30s - restrição taxa de transferência de dados leve; 60s - restrição taxa de transferência de dados severa; 90s - bloqueio total. Of-IDPS reage aos alertas.
  13. 13. Experimento 1: Resultados do experimento para o WoSiDA 13 Fluxo Normal Fluxo Malicioso Mensagem de alerta
  14. 14. 0 500 1000 1500 2000 2500 Fluxo Normal Fluxo Malicioso Mensagem de alerta Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 14
  15. 15. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 15
  16. 16. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 16
  17. 17. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 17
  18. 18. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 18
  19. 19. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 19
  20. 20. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 20 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  21. 21. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 21 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  22. 22. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 22 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  23. 23. Experimento 2: Resultados do experimento para o WoSiDA: 23
  24. 24. Resultados do experimento após o WoSiDA: 24 0 50 100 150 200 250 300 (a) Ataque da Rede Externa para a Rede Interna Tempo em Segundos NúmerodePacotes 0 50 100 150 200 250 300 (b) Ataque da Rede Interna para a Rede Externa Tempo em Segundos NúmerodePacotes 0 50 100 150 200 250 300 (c) Ataque da Rede Interna para a Rede Interna Tempo em Segundos NúmerodePacotes Vítima sem Of-IDPS Atacante sem Of-IDPS Vítima com Of-IDPS Atacante com Of-IDPS
  25. 25. 0 5000 10000 15000 20000 25000 20.014 1.279 20.040 1.348 20.030 1.121 (b) Quantidade de pacotes tratados pela vítima QuantidadedePacotes 0 5000 10000 15000 20000 25000 20.014 10.646 20.034 10.520 20.032 10.556 (a) Quantidade de pacotes tratados pelo atacante QuantidadedePacotes Externa - Interna Interna - Externa Interna - Interna Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Externa - Interna Interna - Externa Interna - Interna Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Resultados do experimento após o WoSiDA: 25
  26. 26. Experimento 3: Reação a ataques de varreduras de porta e rede 26 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Vítima 2 Executando Servidores Telnet e HTTP Atacante com a ferramenta Nmap
  27. 27. Experimento 3: Reação a ataques de varreduras de porta e rede 27 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Atacante com a ferramenta Nmap Vítima 2 Executando Servidores Telnet e HTTP 1º varredura – Vítima 1 Telnet; HTTP; Sistema Operacional.
  28. 28. Experimento 3: Reação a ataques de varreduras de porta e rede 28 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Vítima 2 Executando Servidores Telnet e HTTP 1º varredura – Vítima 1 Telnet; HTTP; Sistema Operacional. 2º varredura – Vítima 2 Telnet; HTTP; Sistema Operacional. Atacante com a ferramenta Nmap
  29. 29. Experimento 4: Reação a fluxos de diversos tipos de ataques 29 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Atacante com a ferramenta IDSWakeUp
  30. 30. Experimento 4: 30 0 20 40 60 80 100 120 140 (a) Sem Of-IDPS Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 (b) Com Of-IDPS Tempo em Segundos NúmerodePacotes Fluxo da Vítima Fluxo do Atacante Fim do 1°/Inicio do 2° Ataque
  31. 31. Avaliação dos Experimentos: Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10 segundos para reagir contra ameaças à segurança. Experimento 2 - constata-se redução de ~47% dos pacotes gerados pelo atacante e principalmente ~93% dos pacotes tratados pela vítima. Experimento 3 - são necessários ajustes para melhorar o tempo de resposta do Of-IDPS para bloquear totalmente varreduras de portas. Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes enviados para a vítima durante o ataque e atrasou o ataque em 94% no melhor caso e 156% no pior caso. 31
  32. 32. 32 Conclusões: A arquitetura proposta consegue identificar desequilíbrios causados por problemas de segurança e reagir evitando a degradação massiva nos recursos da rede. A criação de um sistema de segurança autonômico que integra IDS e OpenFlow mostra-se uma solução efetiva e prática para detectar ameaças de segurança em redes locais.
  33. 33. 33 Trabalhos Futuros: Explorar mais a integração das estatísticas de redes obtidas com o OpenFlow. Correlacionar informações obtidas a partir de outras fontes localizadas em segmentos comuns e distintos da rede. Utilizar métodos de aprendizado de máquina para a geração de políticas de segurança baseadas nos ataques anteriores.
  34. 34. Obrigado! Perguntas? Luiz Arthur F. Santos luizsantos@utfpr.edu.br Rodrigo Campiolo rcampiolo@utfpr.edu.br Daniel Macêdo Batista batista@ime.usp.br

×