SlideShare uma empresa Scribd logo
Uma Arquitetura Autonômica para
Detecção e Reação a Ameaças de
Segurança em Redes de Computadores
Autores:
Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi
licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não
Adaptada.
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br
WoSiDA
09/Maio/2014
Introdução:
Problemas de pesquisa:
Crescimento do número de ataques contra redes locais;
Surgimento de novos desafios, tal como, BYOD;
Aumento na complexidade dos ataques à segurança;
Ineficácia das ferramentas/administradores em deter ataques.
Possíveis soluções:
Combinar ferramentas/métodos:
Computação Autonômica;
Uso de fontes de informações distribuídas e heterogêneas
a respeito de problemas de segurança;
Redes Definidas por Software (SDN).
2
Redes Definidas por Softwares:
Tenta resolver a ossificação da Internet;
Separa o plano de dados do plano de controle;
Permite programar as redes deixando-as mais dinâmicas.
3
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados Plano de Dados
Plano de Dados
Plano de Controle
Rede Comum Rede SDN
Computação Autonômica:
Sistemas complexos são difíceis de serem gerenciados por
humanos;
Computação Autonômica é baseada no conceito de equilíbrio
homeostático;
Um sistema autonômico deve possuir as propriedades de:
auto-gerenciamento, auto-configuração, auto-optimização,
auto-regeneração e auto-proteção.
4
Percepção
Ação
Atuadores
Sensores
Objetivo:
Desenvolver arquitetura autonômica que une Sistemas de
Detecção de Intrusão (IDS) e Redes Definidas por Software, na
figura do OpenFlow, para mitigar ações maliciosas em redes de
computadores locais.
5
Contribuições:
União de IDS, OpenFlow e Computação Autonômica no
combate a problemas de segurança em redes de
computadores locais;
Análise crítica do impacto, limitações e efetividade de uma
arquitetura autonômica que combina informações de fontes
heterogêneas para detecção e reação a incidentes de
segurança;
Implementação de um protótipo da arquitetura proposta e
disponibilização do código fonte :
https://github.com/luizsantos/Of-IDPS.
6
Arquitetura proposta:
7
Implementação da arquitetura e experimentos:
8
Controlador OpenFlow:
Of-IDPS – OpenFlow Intrusion Detection and Prevention System
(Nossa Proposta);
OpenFlow Beacon 1.0.4.
Outros elementos da rede (simulados):
Mininet 2.1.0;
Open vSwitch 1.9.0
Experimento 1:
Execução e resposta do Of-IDPS a alertas do IDS:
9
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Servidor Iperf:
Porta TCP/80
Porta TCP/90
Cliente Iperf:
Porta TCP/80
Fluxo Normal
Cliente Iperf:
Porta TCP/90
Fluxo Malicioso
Experimento 1:
10
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.
Experimento 1:
11
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.
Of-IDPS
reage aos alertas.
Experimento 1:
12
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.
Fluxo Normal:
Aumento indireto
Taxa de transferência
de dados.
Fluxo Malicioso:
30s - restrição taxa de transferência de dados leve;
60s - restrição taxa de transferência de dados severa;
90s - bloqueio total.
Of-IDPS
reage aos alertas.
Experimento 1:
Resultados do experimento para o WoSiDA
13
Fluxo Normal
Fluxo Malicioso
Mensagem de alerta
0
500
1000
1500
2000
2500
Fluxo Normal
Fluxo Malicioso
Mensagem de
alerta
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
14
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
15
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
16
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
17
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
18
0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
19
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
20
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
21
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae
Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
22
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae
Experimento 2:
Resultados do experimento para o WoSiDA:
23
Resultados do experimento após o WoSiDA:
24
0
50
100
150
200
250
300
(a) Ataque da Rede Externa para a Rede Interna
Tempo em Segundos
NúmerodePacotes
0
50
100
150
200
250
300
(b) Ataque da Rede Interna para a Rede Externa
Tempo em Segundos
NúmerodePacotes
0
50
100
150
200
250
300
(c) Ataque da Rede Interna para a Rede Interna
Tempo em Segundos
NúmerodePacotes
Vítima sem Of-IDPS
Atacante sem Of-IDPS
Vítima com Of-IDPS
Atacante com Of-IDPS
0
5000
10000
15000
20000
25000
20.014
1.279
20.040
1.348
20.030
1.121
(b) Quantidade de pacotes tratados pela vítima
QuantidadedePacotes
0
5000
10000
15000
20000
25000
20.014
10.646
20.034
10.520
20.032
10.556
(a) Quantidade de pacotes tratados pelo atacante
QuantidadedePacotes
Externa - Interna Interna - Externa Interna - Interna
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Externa - Interna Interna - Externa Interna - Interna
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Resultados do experimento após o WoSiDA:
25
Experimento 3:
Reação a ataques de varreduras de porta e rede
26
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Vítima 2
Executando
Servidores
Telnet e HTTP
Atacante com a
ferramenta
Nmap
Experimento 3:
Reação a ataques de varreduras de porta e rede
27
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Atacante com a
ferramenta
Nmap
Vítima 2
Executando
Servidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.
Experimento 3:
Reação a ataques de varreduras de porta e rede
28
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Vítima 2
Executando
Servidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.
2º varredura – Vítima 2
Telnet;
HTTP;
Sistema Operacional.
Atacante com a
ferramenta
Nmap
Experimento 4:
Reação a fluxos de diversos tipos de ataques
29
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Atacante com a
ferramenta
IDSWakeUp
Experimento 4:
30
0
20
40
60
80
100
120
140
(a) Sem Of-IDPS
Tempo em Segundos
NúmerodePacotes
0
20
40
60
80
100
120
140
(b) Com Of-IDPS
Tempo em Segundos
NúmerodePacotes
Fluxo da Vítima
Fluxo do Atacante
Fim do 1°/Inicio do
2° Ataque
Avaliação dos Experimentos:
Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10
segundos para reagir contra ameaças à segurança.
Experimento 2 - constata-se redução de ~47% dos pacotes
gerados pelo atacante e principalmente ~93% dos pacotes
tratados pela vítima.
Experimento 3 - são necessários ajustes para melhorar o
tempo de resposta do Of-IDPS para bloquear totalmente
varreduras de portas.
Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes
enviados para a vítima durante o ataque e atrasou o ataque em
94% no melhor caso e 156% no pior caso.
31
32
Conclusões:
A arquitetura proposta consegue identificar desequilíbrios
causados por problemas de segurança e reagir evitando a
degradação massiva nos recursos da rede.
A criação de um sistema de segurança autonômico que integra
IDS e OpenFlow mostra-se uma solução efetiva e prática para
detectar ameaças de segurança em redes locais.
33
Trabalhos Futuros:
Explorar mais a integração das estatísticas de redes obtidas
com o OpenFlow.
Correlacionar informações obtidas a partir de outras fontes
localizadas em segmentos comuns e distintos da rede.
Utilizar métodos de aprendizado de máquina para a geração de
políticas de segurança baseadas nos ataques anteriores.
Obrigado!
Perguntas?
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br

Mais conteúdo relacionado

Mais procurados

Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semana
Jorge Ávila Miranda
 
Aula 7 semana
Aula 7 semanaAula 7 semana
Aula 7 semana
Jorge Ávila Miranda
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
Mauro Risonho de Paula Assumpcao
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
Luiz Arthur
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
Jose Ferreira
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
Cleber Ramos
 
Firewall
FirewallFirewall
Firewall
danielrcom
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
Jorge Ávila Miranda
 
Snort
SnortSnort
Backup Artigo Equipe Final
Backup Artigo Equipe FinalBackup Artigo Equipe Final
Backup Artigo Equipe Final
Luma Seixas
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
Marcelo Piuma
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Luiz Arthur
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
Luiz Arthur
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
Leonardo Damasceno
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
Eduardo Santana
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
Amanda Luz
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
Jorge Ávila Miranda
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2
Designer Info
 
Pentest Invasão e Defesa - AnonFeh
Pentest   Invasão e Defesa - AnonFehPentest   Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
Phillipe Martins
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
LilianeR
 

Mais procurados (20)

Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semana
 
Aula 7 semana
Aula 7 semanaAula 7 semana
Aula 7 semana
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Firewall
FirewallFirewall
Firewall
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Snort
SnortSnort
Snort
 
Backup Artigo Equipe Final
Backup Artigo Equipe FinalBackup Artigo Equipe Final
Backup Artigo Equipe Final
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2
 
Pentest Invasão e Defesa - AnonFeh
Pentest   Invasão e Defesa - AnonFehPentest   Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 

Destaque

Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-seguranca
Luiz Arthur
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.org
Luiz Arthur
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no Twitter
Luiz Arthur
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Luiz Arthur
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na web
Luiz Arthur
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-python
Luiz Arthur
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redes
Luiz Arthur
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologia
Luiz Arthur
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105
Luiz Arthur
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação C
Luiz Arthur
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)
Luiz Arthur
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e Facebook
Luiz Arthur
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computação
Luiz Arthur
 

Destaque (13)

Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-seguranca
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.org
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no Twitter
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na web
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-python
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redes
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologia
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação C
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e Facebook
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computação
 

Semelhante a Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores

Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
Rodrigo Piovesana
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
guest4e5ab
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
TI Safe
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Tchelinux
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
felipetsi
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
evandrovv
 
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais ProgramáveisProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
Wanderson Paim
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOS
Wardner Maia
 
Unidade 2.2.1 nmap
Unidade 2.2.1 nmapUnidade 2.2.1 nmap
Unidade 2.2.1 nmap
Juan Carlos Lamarão
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
Roberto Castro
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
marcusburghardt
 
Confraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan DaviConfraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan Davi
Jhonathan Davi
 
redes
redesredes
Tecnologias Atuais de Redes - Aula 3 - VPN
Tecnologias Atuais de Redes - Aula 3 - VPNTecnologias Atuais de Redes - Aula 3 - VPN
Tecnologias Atuais de Redes - Aula 3 - VPN
Ministério Público da Paraíba
 
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de RedesDisciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Rogério Almeida
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
RSA5
RSA5RSA5
RSA5
minicz
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
TI Safe
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
HelenaReis48
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Alexandre Freire
 

Semelhante a Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores (20)

Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais ProgramáveisProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
ProViNet : Uma Plataforma para Gerenciamento de Redes Virtuais Programáveis
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOS
 
Unidade 2.2.1 nmap
Unidade 2.2.1 nmapUnidade 2.2.1 nmap
Unidade 2.2.1 nmap
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
 
Confraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan DaviConfraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan Davi
 
redes
redesredes
redes
 
Tecnologias Atuais de Redes - Aula 3 - VPN
Tecnologias Atuais de Redes - Aula 3 - VPNTecnologias Atuais de Redes - Aula 3 - VPN
Tecnologias Atuais de Redes - Aula 3 - VPN
 
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de RedesDisciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
 
RSA5
RSA5RSA5
RSA5
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
 

Mais de Luiz Arthur

Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelasDissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
Luiz Arthur
 
Dissertacao - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Algoritmos para simulador de arquiteturas paralelasDissertacao - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Algoritmos para simulador de arquiteturas paralelas
Luiz Arthur
 
Palestra - Segurança da Informação - Softwarein Legal
Palestra - Segurança da Informação - Softwarein LegalPalestra - Segurança da Informação - Softwarein Legal
Palestra - Segurança da Informação - Softwarein Legal
Luiz Arthur
 
Redes - Wireless Teoria
Redes - Wireless TeoriaRedes - Wireless Teoria
Redes - Wireless Teoria
Luiz Arthur
 
Redes - VoIP Teoria
Redes - VoIP TeoriaRedes - VoIP Teoria
Redes - VoIP Teoria
Luiz Arthur
 
Redes - VoIP H.323
Redes - VoIP H.323Redes - VoIP H.323
Redes - VoIP H.323
Luiz Arthur
 
Redes - VoIP SIP
Redes - VoIP SIPRedes - VoIP SIP
Redes - VoIP SIP
Luiz Arthur
 
Redes - VoIP Asterisk Dial Plan
Redes - VoIP Asterisk Dial PlanRedes - VoIP Asterisk Dial Plan
Redes - VoIP Asterisk Dial Plan
Luiz Arthur
 
Tópicos - LVS Instalacao Slack11
Tópicos - LVS Instalacao Slack11Tópicos - LVS Instalacao Slack11
Tópicos - LVS Instalacao Slack11
Luiz Arthur
 

Mais de Luiz Arthur (9)

Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelasDissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Palestra - Algoritmos para simulador de arquiteturas paralelas
 
Dissertacao - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Algoritmos para simulador de arquiteturas paralelasDissertacao - Algoritmos para simulador de arquiteturas paralelas
Dissertacao - Algoritmos para simulador de arquiteturas paralelas
 
Palestra - Segurança da Informação - Softwarein Legal
Palestra - Segurança da Informação - Softwarein LegalPalestra - Segurança da Informação - Softwarein Legal
Palestra - Segurança da Informação - Softwarein Legal
 
Redes - Wireless Teoria
Redes - Wireless TeoriaRedes - Wireless Teoria
Redes - Wireless Teoria
 
Redes - VoIP Teoria
Redes - VoIP TeoriaRedes - VoIP Teoria
Redes - VoIP Teoria
 
Redes - VoIP H.323
Redes - VoIP H.323Redes - VoIP H.323
Redes - VoIP H.323
 
Redes - VoIP SIP
Redes - VoIP SIPRedes - VoIP SIP
Redes - VoIP SIP
 
Redes - VoIP Asterisk Dial Plan
Redes - VoIP Asterisk Dial PlanRedes - VoIP Asterisk Dial Plan
Redes - VoIP Asterisk Dial Plan
 
Tópicos - LVS Instalacao Slack11
Tópicos - LVS Instalacao Slack11Tópicos - LVS Instalacao Slack11
Tópicos - LVS Instalacao Slack11
 

Último

Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
Ismael Ash
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
ronaldos10
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
Faga1939
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ismael Ash
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
barbosajucy47
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
Divina Vitorino
 

Último (7)

Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
 

Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores

  • 1. Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em Redes de Computadores Autores: Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada. Luiz Arthur F. Santos luizsantos@utfpr.edu.br Rodrigo Campiolo rcampiolo@utfpr.edu.br Daniel Macêdo Batista batista@ime.usp.br WoSiDA 09/Maio/2014
  • 2. Introdução: Problemas de pesquisa: Crescimento do número de ataques contra redes locais; Surgimento de novos desafios, tal como, BYOD; Aumento na complexidade dos ataques à segurança; Ineficácia das ferramentas/administradores em deter ataques. Possíveis soluções: Combinar ferramentas/métodos: Computação Autonômica; Uso de fontes de informações distribuídas e heterogêneas a respeito de problemas de segurança; Redes Definidas por Software (SDN). 2
  • 3. Redes Definidas por Softwares: Tenta resolver a ossificação da Internet; Separa o plano de dados do plano de controle; Permite programar as redes deixando-as mais dinâmicas. 3 Plano de Dados Plano de Controle Plano de Dados Plano de Controle Plano de Dados Plano de Controle Plano de Dados Plano de Dados Plano de Dados Plano de Controle Rede Comum Rede SDN
  • 4. Computação Autonômica: Sistemas complexos são difíceis de serem gerenciados por humanos; Computação Autonômica é baseada no conceito de equilíbrio homeostático; Um sistema autonômico deve possuir as propriedades de: auto-gerenciamento, auto-configuração, auto-optimização, auto-regeneração e auto-proteção. 4 Percepção Ação Atuadores Sensores
  • 5. Objetivo: Desenvolver arquitetura autonômica que une Sistemas de Detecção de Intrusão (IDS) e Redes Definidas por Software, na figura do OpenFlow, para mitigar ações maliciosas em redes de computadores locais. 5
  • 6. Contribuições: União de IDS, OpenFlow e Computação Autonômica no combate a problemas de segurança em redes de computadores locais; Análise crítica do impacto, limitações e efetividade de uma arquitetura autonômica que combina informações de fontes heterogêneas para detecção e reação a incidentes de segurança; Implementação de um protótipo da arquitetura proposta e disponibilização do código fonte : https://github.com/luizsantos/Of-IDPS. 6
  • 8. Implementação da arquitetura e experimentos: 8 Controlador OpenFlow: Of-IDPS – OpenFlow Intrusion Detection and Prevention System (Nossa Proposta); OpenFlow Beacon 1.0.4. Outros elementos da rede (simulados): Mininet 2.1.0; Open vSwitch 1.9.0
  • 9. Experimento 1: Execução e resposta do Of-IDPS a alertas do IDS: 9 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Servidor Iperf: Porta TCP/80 Porta TCP/90 Cliente Iperf: Porta TCP/80 Fluxo Normal Cliente Iperf: Porta TCP/90 Fluxo Malicioso
  • 10. Experimento 1: 10 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto.
  • 11. Experimento 1: 11 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto. Of-IDPS reage aos alertas.
  • 12. Experimento 1: 12 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Alertas: 30s – Risco baixo; 60s – Risco médio; 90s – Risco alto. Fluxo Normal: Aumento indireto Taxa de transferência de dados. Fluxo Malicioso: 30s - restrição taxa de transferência de dados leve; 60s - restrição taxa de transferência de dados severa; 90s - bloqueio total. Of-IDPS reage aos alertas.
  • 13. Experimento 1: Resultados do experimento para o WoSiDA 13 Fluxo Normal Fluxo Malicioso Mensagem de alerta
  • 14. 0 500 1000 1500 2000 2500 Fluxo Normal Fluxo Malicioso Mensagem de alerta Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 14
  • 15. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 15
  • 16. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 16
  • 17. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 17
  • 18. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 18
  • 19. 0 20 40 60 80 100 120 140 0 200 400 600 800 1000 1200 1400 1600 (b) Desvio Padrão do Fluxo Malicioso Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 0 500 1000 1500 2000 2500 3000 (a) Desvio Padrão do Fluxo Normal Tempo em Segundos NúmerodePacotes Experimento 1: Resultados do experimento após o WoSiDA 19
  • 20. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 20 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  • 21. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 21 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  • 22. Experimento 2: Reação a ataques de negação de serviço TCP-SYN 22 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Servidor Apache: Porta TCP/80 Atacante com a ferramenta Hyenae
  • 23. Experimento 2: Resultados do experimento para o WoSiDA: 23
  • 24. Resultados do experimento após o WoSiDA: 24 0 50 100 150 200 250 300 (a) Ataque da Rede Externa para a Rede Interna Tempo em Segundos NúmerodePacotes 0 50 100 150 200 250 300 (b) Ataque da Rede Interna para a Rede Externa Tempo em Segundos NúmerodePacotes 0 50 100 150 200 250 300 (c) Ataque da Rede Interna para a Rede Interna Tempo em Segundos NúmerodePacotes Vítima sem Of-IDPS Atacante sem Of-IDPS Vítima com Of-IDPS Atacante com Of-IDPS
  • 25. 0 5000 10000 15000 20000 25000 20.014 1.279 20.040 1.348 20.030 1.121 (b) Quantidade de pacotes tratados pela vítima QuantidadedePacotes 0 5000 10000 15000 20000 25000 20.014 10.646 20.034 10.520 20.032 10.556 (a) Quantidade de pacotes tratados pelo atacante QuantidadedePacotes Externa - Interna Interna - Externa Interna - Interna Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Externa - Interna Interna - Externa Interna - Interna Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Sem Of-IDPS Com Of-IDPS Resultados do experimento após o WoSiDA: 25
  • 26. Experimento 3: Reação a ataques de varreduras de porta e rede 26 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Vítima 2 Executando Servidores Telnet e HTTP Atacante com a ferramenta Nmap
  • 27. Experimento 3: Reação a ataques de varreduras de porta e rede 27 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Atacante com a ferramenta Nmap Vítima 2 Executando Servidores Telnet e HTTP 1º varredura – Vítima 1 Telnet; HTTP; Sistema Operacional.
  • 28. Experimento 3: Reação a ataques de varreduras de porta e rede 28 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima 1 Executando Servidores Telnet e HTTP Vítima 2 Executando Servidores Telnet e HTTP 1º varredura – Vítima 1 Telnet; HTTP; Sistema Operacional. 2º varredura – Vítima 2 Telnet; HTTP; Sistema Operacional. Atacante com a ferramenta Nmap
  • 29. Experimento 4: Reação a fluxos de diversos tipos de ataques 29 Rede Externa Rede Externa Controlador OpenFlow Roteador IDS Switch OpenFlow Host 1 Host 2 Host 3 Host 4 Rede Interna Switch Comum Vítima Atacante com a ferramenta IDSWakeUp
  • 30. Experimento 4: 30 0 20 40 60 80 100 120 140 (a) Sem Of-IDPS Tempo em Segundos NúmerodePacotes 0 20 40 60 80 100 120 140 (b) Com Of-IDPS Tempo em Segundos NúmerodePacotes Fluxo da Vítima Fluxo do Atacante Fim do 1°/Inicio do 2° Ataque
  • 31. Avaliação dos Experimentos: Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10 segundos para reagir contra ameaças à segurança. Experimento 2 - constata-se redução de ~47% dos pacotes gerados pelo atacante e principalmente ~93% dos pacotes tratados pela vítima. Experimento 3 - são necessários ajustes para melhorar o tempo de resposta do Of-IDPS para bloquear totalmente varreduras de portas. Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes enviados para a vítima durante o ataque e atrasou o ataque em 94% no melhor caso e 156% no pior caso. 31
  • 32. 32 Conclusões: A arquitetura proposta consegue identificar desequilíbrios causados por problemas de segurança e reagir evitando a degradação massiva nos recursos da rede. A criação de um sistema de segurança autonômico que integra IDS e OpenFlow mostra-se uma solução efetiva e prática para detectar ameaças de segurança em redes locais.
  • 33. 33 Trabalhos Futuros: Explorar mais a integração das estatísticas de redes obtidas com o OpenFlow. Correlacionar informações obtidas a partir de outras fontes localizadas em segmentos comuns e distintos da rede. Utilizar métodos de aprendizado de máquina para a geração de políticas de segurança baseadas nos ataques anteriores.
  • 34. Obrigado! Perguntas? Luiz Arthur F. Santos luizsantos@utfpr.edu.br Rodrigo Campiolo rcampiolo@utfpr.edu.br Daniel Macêdo Batista batista@ime.usp.br