caso UFBA - PoP-BA

UNIVERSIDADE FEDERAL DA BAHIA
INSTITUTO DE MATEMÁTICA
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
Thiago Lima Bomfim de Jesus
Detecção e contenção automatizada de atividade
maliciosa em redes de campus: caso UFBA
Salvador
2011.1
Thiago Lima Bomfim de Jesus
Detecção e contenção automatizada de
atividade maliciosa em redes de campus:
caso UFBA
Monografia apresentada ao Curso de
graduação em Ciência da Computação,
Departamento de Ciência da Computação,
Instituto de Matemática, Universidade Federal da Bahia, como requisito parcial para
obtenção do grau de Bacharel em Ciência da
Computação.
Orientador: Profo Dro Luciano Porto Barreto
Co-Orientador: Jerônimo Aguiar Bezerra
Salvador
2011.1
"Prepara-se o cavalo para o dia da batalha,
porém do SENHOR vem a vitória."
(Bíblia Sagrada - Provérbios 21;31)
DEDICATÓRIA
Nossa infância é marcada pela presença de muitos personagens e super-heróis, os quais
admiramos e fazemos de tudo para sermos como eles. O tempo passou e quase nos esquecemos que eles existiram algum dia, entretanto, há dois super-heróis que eu jamais conseguirei
esquecer.
Se não fosse através de seus super-poderes e habilidades incríveis, jamais teria conseguido
chegar até aqui: quando eu tive medo, eles sempre me inspiravam com sua coragem...quando eu
queria desistir, eles me incentivam a prosseguir...quando eu estava cansado, eles me ajudavam
a continuar...quando eu fazia algo de errado, eles me corrigiam e ensinavam...
Até hoje, eles me encantam, me protegem, me inspiram e ainda faço de tudo para ser igual
a eles. Sendo super-heróis, permanecem até hoje realizando seu trabalho de maneira totalmente
anônima, sem esperar reconhecimento ou recompensa, apenas com a plena convicção de estarem fazendo o que é correto.
Porém, eu sei a identidade deles e vejo tudo o que eles fazem, por isso, dedico esse trabalho
e toda minha gratidão aos meus eternos super-heróis, os quais atendem prontamente, apenas
quando eu chamo meu pai e minha mãe.
AGRADECIMENTOS
Antes de mais nada, agradeço ao Senhor Jesus, por tudo que Ele fez ao longo desses anos,
sem Ele nada do que foi feito, se faria. Aos meus pais, Luiz César França de Jesus e Rosana
Lima Bomfim de Jesus, jamais teria conseguido sem o auxílio de vocês, foram essenciais em
todo o tempo, nessa importante etapa de nossas vidas, essa conquista é nossa e se dependesse
somente de mim teria o nome de vocês em meu diploma; e claro, ao meu irmão Matheus
Bomfim, por sua preocupação, torcida e apoio nos momentos difíceis: você é meu orgulho. Ao
meus parentes por todo incentivo e motivação; a todos meus irmãos em Cristo, por suas orações
ao compartilhar minhas frustrações e sua alegria ao compartilhar minha alegria. Em particular,
agradeço a Rebeca Lorena, minha irmã muito querida por tudo, em especial pelo período que
estudamos juntos, a você minha gratidão. Aos meus pastores João Sobral e Carlos Sá, pessoas
sábias, que eu admiro e confio, onde sempre encontrei conselhos, muitas vezes, contrários ao
que eu esperava ou queria ouvir, mas escutando e com o passar do tempo sempre pude entender.
Mas, antes de continuar, foi uma longa jornada até aqui. Começou na escolinha Gente
Inocente, onde iniciei os primeiros passos para acadêmia. Ingressando ainda na alfabetização
no meu querido Colégio da Polícia Militar, estudei todo o primário, ginásio e ensino médio,
tendo dentre muitas coisas, o seu lema marcado em minha memória até hoje: “Cultivar a honra,
o dever e a retidão”. Nesta, tive excelente professores e um ensino de qualidade, não devendo
em nada à rede privada, proporcionando bases para sem ter cursado pré-vestibular e estudando
por conta própria, ser aprovado no concorrido vestibular de Ciência da Computação na UFBA
no ano de 2005: aos meus amigos professores, meu muito obrigado.
Já na UFBA, gostaria de agradecer a todos os professores que foram fundamentais para
essa formação, cada um de vocês fizeram parte dessa obra, hoje concluída. Agradeço especialmente, ao professor Adolfo Dúran (UFBA) por ter aberto as portas do CPD/UFBA, através
do grupo MEFES (Métodos Formais em Engenharia de Software) e por todo aprendizado e orientações, ao professor Leonardo Freitas (University of York) pelos conselhos e ensinamentos
nesse período, e a todo membros do grupo, aprendi muito com vocês.
Agradeço especialmente ao meu chefe Luiz Claúdio Mendonça (CPD/UFBA), por ter confiado em mim e me permitir compor a excelente equipe da Divisão de Suporte (DISUP) do
CPD/UFBA, onde o aprendizado obtido é impagável, minha gratidão. A Jerônimo Bezerra
(CPD/UFBA), por todo conhecimento transmitido, pela paciência, por diversas vezes repetindo
coisas, incansavelmente até que eu aprendesse, sua forma de ensino é excelente, além da coorientação desse trabalho, obrigado; e a claro, toda equipe da DISUP, cada um de vocês tiveram um papel fundamental em meu aprendizado e formação. A toda equipe do PoP-BA/RNP,
aprendi e aprendo muito com vocês, não tenho dúvidas que por melhor que seja o nosso curso
da UFBA, possibilite o conhecimento prático que temos aqui; e claro, não jamais deixando de
citar minha “chefa” Claudete Alves (CPD/UFBA), por essa excelente oportunidade de compôr
esse time ímpar e por sua amizade e toda dedicação em fazer o melhor pelo grupo. A equipe do
CERT.Bahia, ao GRACO, NetCafé, ReMeSSA: a todo vocês, obrigado.
Por fim, não menos importante, ao professor Luciano Porto Barreto (DCC/UFBA), por aceitar trabalharmos juntos, muito obrigado pelos conselhos e orientações, foi uma honra trabalhar
com o senhor. Ao professor Flávio Assis, que além da excelente formação proporcionada ao
longo do curso, aceitou gentilmente participar da banca avaliadora desse trabalho, fico muito
grato.
E a todos que direta ou indiretamente colaboram, não somente para execução desse trabalho,
mas para minha formação e desculpem se esqueci de alguém aqui, mas infelizmente não dá para
listar a todos, minha eterna gratidão a todos vocês.
RESUMO
Com o advento da Internet na era comercial e a diversificação dos serviços oferecidos, a
quantidade de dispositivos conectados à rede tem aumentado a cada ano. Simultaneamente,
um série de problemas vieram agregados dentre os quais, a elevação da ocorrência de atividade
maliciosa nas redes de computadores, conforme demonstram as estatísticas do CERT.br .
As redes de campus, em particular, a rede acadêmica da Universidade Federal da Bahia
(UFBA) é composta por um grande volume de computadores, tipos de equipamentos e perfis de
usuários, proporcionado um cenário crítico para a ação de usuários e softwares maliciosos sobre
a rede. Diversos grupos, tais como CAIS/RNP e o CERT.Bahia, realizam o monitoramento das
redes acadêmicas notificando eventos de incidentes de segurança.
Uma das tecnologias utilizadas para detecção destes eventos são os honeypots, recursos
projetados especificamente para serem atacados, tradicionalmente utilizando endereços IP públicos, detectam atividades oriundas da Internet, que podem ter sido iniciadas apenas em um
dispositivo com um IP público, ou em máquinas com endereços privados, através de NAT.
Neste contexto, propomos nesse trabalho uma abordagem diferente para detecção de atividade maliciosa, utilizando honeypots com endereços IP privados, dentro da rede interna, distribuídos por toda rede acadêmica da UFBA, detectando de forma automatizada atividades maliciosas que ocorrem dentro da rede de maneira mais veloz, devido a proximidade com as máquinas
e outros que possivelmente não seriam identificados pelos honeypots externos, como por exemplo, ataques do tipo port scan, dirigidos para rede interna, que afetam seu bom funcionamento.
Adicionalmente, propomos o desenvolvimento do módulo de contenção automática de incidentes de segurança, para ferramenta TRAIRA (desenvolvida pelo CERT.Bahia), a fim de tornar
todo o processo automatizado, desde o princípio com as notificações geradas pelos honeypots
deste trabalho e dos grupos de segurança até o final, com a identificação na rede da máquina
notificada e a realização da contenção. Atualmente, nossa solução encontra-se em produção
Palavras-chave: atividade maliciosa, Cert.Bahia, contenção, detecção, honeypot, incidentes de segurança, rede campus
ABSTRACT
With the advent of Internet in the age of trade and diversification services offered, the
number of devices connected to the network has increased each year. Simultaneously, a series
of problems came aggregates among which, the increase in occurrence of malicious activity on
networks computer, as shown by statistics CERT.br.
Networks of campus, in particular, the academic network of the Federal University of the
Bahia (UFBA) is composed of a large volume of computers, types equipment and user profiles,
providing a critical scenario for the action of users and malicious software over the network. Several groups, such as CAIS/RNP and CERT.Bahia, monitored the academic networks notifying
events of security incidents.
One of the technologies used for detection of these events are honeypots, features designed
specifically to be attacked, traditionally using public IP addresses, detect activity originating
from Internet, which may have been initiated only on a device with a public IP, or on machines
with private addresses through NAT.
In this context, we propose in this work a different approach to detect malicious activity,
using honeypots with private IP addresses, within the internal network, distributed throughout
the academic network of the university, detecting on an automated malicious activities that occur
within the network way faster, due to proximity to the machines and others possibly would not
be identified by external honeypots, for example, attacks of the type port scan, directed to the
internal network, which affect its functioning.
Additionally, we propose the development of automatic containment module security incidents to Trafra tool (developed by CERT.Bahia) to make the whole process automated, from
the beginning with the notifications generated by honeypots this work and security groups until
the end, identifying the machine on the network notified and the realization restraint. Currently,
our solution is in production
Keywords: campus network , Cert.Bahia, containment, detection, malicious activity, honeypot, incidents, safety.
LISTA DE FIGURAS
1.1
Incidentes Reportados ao CERT.br – Janeiro a Dezembro de 2010 (CERT.BR,
2010b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Estimativa de incidentes notificados relacionados a malwares em 2010 (CAIS/RNP,
2010) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1
12
13
Ciclo do tratamento de incidentes de segurança (SCARFONE; GRANCE; MASONE, 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2.2
Honeyd simulando diferentes sistemas operacionais (PROVOS; HOLZ, 2007) .
24
3.1
Visão geral da Rede UFBA - Imagem adaptada do sistema de monitoramento
da CPD/UFBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
3.2
Estrutura lógica do sistema de detecção de malwares na rede interna da UFBA .
32
3.3
Estrutura física, utilizando VLAN, para o sistema de detecção de malwares na
rede interna da UFBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4
33
Resultado do sofware de anti-vírus, detectando presença de malwares vírus e
spywares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
4.1
Mensagem de conectividade nula ou limitada no Microsoft Windows XP . . . .
45
4.2
Conexão dos switches da rede UFBA . . . . . . . . . . . . . . . . . . . . . . .
46
4.3
Resultado da piloto utilizando Identity Management com Kerberos Snooping .
49
4.4
Experimento na rede de estações do CPD/UFBA - Id entity Management com
Kerberos Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
4.5
ACL criada em um roteador da rede UFBA para a faculdade de Letras . . . . .
54
4.6
ACLs aplicadas sobre interfaces do roteador . . . . . . . . . . . . . . . . . . .
56
4.7
Fluxo da notificação do incidente de segurança até o momento da execução do
4.8
código de bloqueio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
Visão geral da arquitetura do TRAIRA . . . . . . . . . . . . . . . . . . . . . .
64
4.9
Tela do módulo de contenção do TRAIRA . . . . . . . . . . . . . . . . . . . .
65
LISTA DE ABREVIATURAS E SIGLAS
ACL
Access Control List,
p. 27
ADSL
Asymmetric Digital Subscriber Line,
p. 26
ATM
Asynchronous Transfer Mode,
p. 23
CAIS
Centro de Atendimento a Incidentes de Segurança,
p. 11
CAN
Campus Area Network,
p. 22
CERT.Bahia
Grupo de Resposta a Incidentes de Segurança - Bahia/Brasil,
p. 13
CERT.br
Centro de Estudo, Resposta e Tratamento de Incidentes de Segu- p. 11
rança do Brasil,
DDoS
Distributed Denial of Service,
p. 16
DHCP
Dynamic Host Configuration Protocol,
p. 33
FBI
Federal Bureau of Investigation,
p. 12
FDDI
Fiber Distributed Data Interface,
p. 23
FTP
File Transfer Protocol,
p. 22
IDS
Intrusion detection system,
p. 20
IETF
Internet Engineering Task Force,
p. 34
IP
Internet Protocol,
p. 22
IPS
Intrusion Prevention Systems,
p. 18
LAN
Local Area Network,
p. 22
MAC
Media Access Control,
p. 27
NAT
Network Address Translation,
p. 24
NTP
Network Time Protocol ,
p. 35
QoS
Quality of Service,
p. 43
RNP
Rede Nacional de Ensino e Pesquisa,
p. 11
SSH
Secure Shell,
p. 15
TI
Tecnologia da Informação,
p. 10
TRAIRA
Tratamento de Incidentes de Rede Automatizado,
p. 13
TTL
Time to Live,
p. 33
UFBA
Universidade Federal da Bahia,
p. 11
SUMÁRIO
1
2
3
Introdução
11
1.1
Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.2
Objetivo do trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
1.3
Estrutura da monografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
Fundamentos da detecção e contenção de atividade maliciosa
16
2.1
Incidentes de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
2.1.1
Ciclo do tratamento de incidentes de segurança . . . . . . . . . . . . .
18
2.2
Malware, Vírus e Worms . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
2.3
Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
2.3.1
Honeypots de alta-interatividade . . . . . . . . . . . . . . . . . . . . .
22
2.3.2
Honeypots de baixa-interatividade . . . . . . . . . . . . . . . . . . . .
22
2.4
Rede de Campus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
2.5
TRAIRA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
2.6
Trabalho correlatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
Detecção de atividade maliciosa em redes campus
27
3.1
Visão geral da Rede UFBA . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.2
Detecção automática de atividade maliciosa na rede UFBA . . . . . . . . . . .
29
3.3
Avaliação experimental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
3.3.1
Simulação de propagação de atividade malicosa . . . . . . . . . . . . .
37
3.3.2
Caso Real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
4
5
Contenção de atividade maliciosa em redes de campus
41
4.1
Preliminares da etapa de contenção . . . . . . . . . . . . . . . . . . . . . . . .
41
4.2
Escolhendo a estratégia de contenção . . . . . . . . . . . . . . . . . . . . . . .
43
4.3
Contenção no roteador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
4.4
Contenção no switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
4.4.1
Identity Management com Kerberos Snooping . . . . . . . . . . . . .
47
4.5
Contenção manual de atividade maliciosa na rede UFBA . . . . . . . . . . . .
52
4.6
Contenção automatizada de atividade maliciosa na rede UFBA . . . . . . . . .
55
4.6.1
Semi-automatizando a contenção da atividade maliciosa na rede UFBA
56
4.6.2
Automatizando a contenção da atividade maliciosa na rede UFBA . . .
62
Conclusão
67
Apêndice A -- Resultado do experimento: Identity Management com com Kerberos
Snooping no CPD/UFBA
Referências Bibliográficas
71
72
12
1
INTRODUÇÃO
Com o advento da era comercial na Internet e o desenvolvimento de protocolos que estenderam seu uso, a diversidade de serviços oferecidos e o número de equipamentos com acesso à
rede tem aumentado a cada ano. Simultaneamente, uma série de problemas vieram agregados,
dentre os quais, o crescimento das ocorrências dos incidentes de segurança (CERT.BR, 2011).
Os incidentes de segurança acarretam uma série de danos às instituições, sejam no caráter financeiro, em aspectos morais e éticos ou associados às atividades que contribuam para saturar
os recursos da rede, como ocorre quando grande quantidade de máquina infectadas acessam um
serviço em um mesmo instante de tempo, como nos ataques distribuído por serviços (DDoS).
Consequentemente, deve haver um esforço por parte das equipes de TI nas instituições em
definir políticas e ações para uso da rede, a fim de minimizar esse tipo de evento. Atualizações
automatizadas dos pacotes de segurança, atualizações e varreduras periódicas dos softwares
anti-vírus sobre os sistemas operacionais são alguns exemplos simples dessas ações. Contudo,
em redes extensas como as redes de campus, essas atividades ficam bastante prejudicadas devido
a quantidade de máquinas conectadas à rede que não seguem as políticas. Computadores fora
do controle de domínio que não receberão as atualizações automatizadas, e comumente não
são bem configuradas, sem possuir algum software de proteção contra ação dos malwares são
exemplos clássicos.
Em particular, esse fato é bastante comum em instituições de ensino e pesquisa, devido a
diversificação dos perfis de usuários, que por muitas vezes, adquirem equipamentos para montar
suas salas e laboratórios de maneira autonômica ou utilizam dispositivos móveis particulares,
como os notebooks, que são conectados indiscriminadamente à rede.
Desta forma, tornam-se, de maneira não consciente, potencias ameaças à instituição e
contra-medidas são necessárias em busca de detectar e conter os incidentes de segurança, possivelmente causados por esses dispositivos, a fim de manter a qualidade de operação da rede,
evitar a propagação dos software maliciosa (e.g. vírus) sobre os demais dispositivos da rede,
reduzir custos de mão de obra e contratação de largura de banda, além de evitar que o nome da
13
Figura 1.1: Incidentes Reportados ao CERT.br – Janeiro a Dezembro de 2010 (CERT.BR,
2010b)
instituição seja maculada, dentre outros problemas inerentes.
Este trabalho tem como alvo primário a rede acadêmica da Universidade Federal da Bahia(UFBA),
que possui o formato de rede de campus, na qual conduziremos o estudo de caso para detecção
e contenção de atividade maliciosa. Acreditamos que o cenário encontrado da rede UFBA é
semelhante ao das demais instituições acadêmicas, haja vista ao modelo de faculdades e campis universitários serem muito comuns, dentro e fora do Brasil, tornando a proposta de deste
trabalho facilmente adaptável a outros contextos.
1.1
MOTIVAÇÃO
Estatísticas mais recentes do CERT.br (CERT.BR, 2010b) mostram que atividades maliciosas relacionadas à ação dos malwares correspondem a aproximadamente 70% do total dos
incidentes de segurança da informação reportados no Brasil, conforme mostrado no gráfico
da Figura 1.1. Estas estatísticas refletem como clareza a necessidade do combate à atividade
maliciosa.
Infelizmente, nas instituições acadêmicas de ensino e pesquisa o cenário não é diferente.
Em 2010, o Centro de Atendimento a Incidentes de Segurança (CAIS) , responsável pela detecção, resolução e prevenção de incidentes de segurança da Rede Nacional de Ensino e Pesquisa
(RNP) notificou às instituições acadêmicas mais de 100 mil incidentes de segurança; desses
aproximadamente 80% estavam relacionados a ação de malwares, como pode ser visto no gráfico da Figura 1.2
A UFBA é uma das instituições de ensino e pesquisa conectada a RNP, e segundo relatórios
14
Figura 1.2: Estimativa de incidentes notificados relacionados a malwares em 2010 (CAIS/RNP,
2010)
internos do Divisão de Suporte do Centro de Processamento de Dados, ela tem participado
nestas estatísticas. Para se ter uma ideia, no ano de 2009, a UFBA recebeu um total de 478.111
notificações de incidentes de segurança (BEZERRA, 2009), através do CAIS/RNP e outros
grupos de segurança. Essa quantidade de notificações para UFBA, está diretamente associada
à propagação mundial do malware conhecido como Conficker. Este worm infectou milhões de
computadores ao redor do mundo, apresentando diversas formas de atuação, atingindo diversos
países, principalmente a China, Brasil, Rússia e Índia (PORRAS, 2009).
O atuação do Conficker na UFBA, ocasionou uma série de prejuízos à instituição difíceis
de serem estimados, como saturação da largura de banda disponível para campis localizados
interior do estado, levando em alguns momentos a indisponibilidade da rede, devido a incidência
de tráfego maliciosa. A fim de combater esses incidentes, foi necessário a alocação exclusiva de
mãos de obra dedicadas durante várias semanas de bolsistas, técnicos e analistas, para efetuar a
detecção, contenção e tratamento das máquinas infectadas.
Para se ter uma noção da gravidade da ação desse malware e as proporções alcançadas, a
Microsoft ofereceu recompensa de 250 mil dólares por informações que levassem ao criador do
Conficker. Essa operação envolveu o FBI, Serviço Secreto do EUA e a Interpol, e o montante
das recompensas oferecidas junto com outras empresas alcançou a marca de 5 bilhões de dólares
(MICROSOFT, 2009).
Problemas provocados pela incidência de software malicioso na rede, podem eclodir à qualquer instante e ações preventivas devem ser tomadas pelas instituições, de forma automatizada
a fim, dentre outros, reduzir os custos de mão de obra e outros prejuízos à instituição, detendo
com maior velocidade a propagação dos incidentes.
15
1.2
OBJETIVO DO TRABALHO
Tendo como motivação os problemas apresentados anteriormente, esse trabalho visa construir um sistema de detecção e contenção automatizada de atividade maliciosa, originada por
atividade maliciosa dentro das redes de campus, em particular um estudo de caso dentro da rede
UFBA.
A proposta desse trabalho surgiu com o objetivo de completar o ciclo do tratamento de
incidentes de segurança, proposto por (SCARFONE; GRANCE; MASONE, 2008), no contexto da Universidade Federal da Bahia, que tem buscado através de ações ativas, a redução
do número de incidentes de segurança. como no combate de atividade maliciosa. Dentre essas
ações, destacam-se a criação do Grupo de Resposta a Incidentes de Segurança - Bahia/Brasil(CERT.Bahia) e o desenvolvimento da ferramenta TRAIRA - Tratamento de Incidentes de
Rede Automatizado (CERT.BAHIA, 2010), que atua nas duas primeiras fases do ciclo do tratamento de incidentes.
Desta forma, a proposta de detecção automatizada desse trabalho utiliza honeypots de
baixa-interatividade na rede acadêmica da UFBA, atuando na fase de detecção e análise do
ciclo de vida da resposta a incidentes de segurança, que será descrito na Seção 2.1. Na etapa
posterior, realizamos desenvolvemos o módulo de contenção automatizada para o TRAIRA,
atuando na fase de Contenção, Erradicação e Recuperação deste ciclo. Assim, aliados o resultado desse trabalho com o TRAIRA (descrita na Seção 2.5) e a mão de obra da equipe de TI da
UFBA que atua na etapa quatro, Ações Pós-Incidentes, teremos o ciclo completo. Exceto onde
deve-se de fato ter intervenção direta e manual (etapa quatro), teremos um processo de tratamento totalmente automatizado, para ações de atividade maliciosas contribuindo para melhoria
das estatísticas supra citadas.
1.3
ESTRUTURA DA MONOGRAFIA
O trabalho continua seguindo a seguinte estrutura: O Capítulo 2 aborda os principais conceitos e dificuldades envolvidos relacionados a detecção e contenção de atividade maliciosa,
com alguns trabalhos correlatos. O Capítulo 3 apresenta uma visão geral da rede UFBA e suas
principais características, seguido da primeira proposta desse trabalho, detecção de automática
de atividade maliciosa, e avalia a eficácia da solução através de experimentos e um estudo de
caso na UFBA. Já o Capítulo 4, é apresentado a segunda parte da prosposto desse trabalho, a
solução de contenção automatizada de atividade maliciosa, através do desenvolvimento de um
16
módulo para o TRAIRA. Por fim, o Capítulo 5 é apresentada as conclusões obtidas a partir da
realização deste trabalho e propõe-se alguns possíveis trabalhos futuros.
17
2
FUNDAMENTOS DA DETECÇÃO
E CONTENÇÃO DE ATIVIDADE
MALICIOSA
Este capítulo apresenta os principais conceitos envolvidos na detecção e contenção de incidentes de segurança em redes de campus, os quais são objetos de estudo deste trabalho. Será exibido o conceito de incidente de segurança e seus impactos relacionados; apresentado o recurso
computacional para detecção de incidentes de segurança, o honeypot e suas principais características; exposto o modelo de campus e as dificuldades das instituições acadêmicas; demonstradas as principais técnicas de contenção dos incidentes de segurança; e, por fim relaciona-se
alguns trabalhos correlatos.
2.1
INCIDENTES DE SEGURANÇA
Antes de apresentarmos o conceito de incidente de segurança, faz-se necessário definir
o conceito de evento, devido à sensível relação existente entre eles. Segundo (SCARFONE;
GRANCE; MASONE, 2008) um evento é qualquer ocorrência em um sistema ou rede de computadores. Por exemplo, um usuário ao acessar um arquivo compartilhado, um envio de uma
mensagem eletrônica (email) ou um firewall bloqueando uma tentativa de conexão. Em contrapartida, eventos adversos são aqueles que trazem consequências negativas, como a quebra
de um sistema (crash), inundação de pacotes em uma rede de computadores (flooding), acesso
não autorizado a dados ou privilégios no sistema, ou ainda, a execução de código malicioso
que corrompe ou destroem dados. É importante ressaltar que esses eventos estão relacionados
a área de segurança dos sistemas computacionais, desconsiderando-se, desastres naturais ou
falhas relacionadas à perda de energia.
Um incidente de segurança é a violação ou iminente ameaça de violação1 de políticas ou
1 Refere-se
a situação onde uma organização tem argumentos suficientes para crer que um incidente está para
ocorrer, como por exemplo, receber dos sistemas de monitoramento informações de aumento de uso de CPU de
18
regras de segurança, políticas de uso aceitável ou padrão de práticas de segurança (SCARFONE;
GRANCE; MASONE, 2008). A seguir são caracterizados alguns exemplos de incidentes de
segurança:
• Ataques de negação de serviço. Um atacante utiliza apenas um computador (DoS) ou
um conjunto de computadores distríbuidos (DDoS) para tirar de operação um serviço ou
computador conectado à rede. Pode-se citar, um ataque destinado a provocar um aumento
na carga do processamento dos dados de um computador, de tal forma que impossibilite
seu uso ou o direcionamento de centenas de pacotes originadas em milhares de máquinas
comprometidas2 , contra um serviço de uma organização;
• Acesso não autorizado. um atacante utiliza alguma ferramenta de exploit3 para obter
acesso a um servidor ou aumentar o nível de acesso ao sistema (como super-usuário ou
administrador) obtendo assim, acesso a dados confidenciais; eventualmente, ameaçando
vazar informações das vítimas se não receber certa quantia em dinheiro.
• Código Malicioso Uma vez que o sistema possua vulnerabilidades e essas sejam exploradas, o atacante executa código malicioso nesse sistema, obtendo acesso e controle
desse computador, podendo usá-lo para, propagar vírus/worm pela rede e infectar outros
máquinas.
• Uso inapropriado Um usuário utiliza a rede de uma organização para acessar ou prover
conteúdo ilegal para outros usuários . Por exemplo, utilizar artifícios para acessar redes
sociais ou material pornográfico em empresas onde esse tipo de acesso é proibido. Outro
exemplo comum, é utilizar redes do tipo torrent para compartilhar ou obter filmes, jogos,
músicas ou qualquer material protegido por copyright.
Ainda, segundo o CERT.br (CERT.BR, 2006) incidente de segurança pode ser definido
como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas
computacionais. Portanto, a fim minimizar as ocorrências e os impactos associados aos incidentes de segurança, cabe à organização definir e disponibilizar orientações claras aos usuários
quanto ao uso dos sistemas e da própria rede, bem como investir em recursos que os protejam.
um determinado processo, como o serviço SSH em um roteador, indicando um possível ataque de força bruta ou
bug.
2 Conhecidas por botnets ou zombie, são máquinas infectadas por um ou mais bot; que são scripts ou conjunto
de programas que podem ser controlados remotamente por um ou mais grupos de hackers.
3 Um programa de computador ou sequência de comandos, que se aproveitam da vulnerabilidade de um sistema
computacionais
19
Entretanto, por maiores que sejam os esforços para impedir os acontecimentos dos incidentes de segurança, é improvável eliminá-los completamente. Assim um conjunto de medidas é
aplicado para recuperação e estabelecimento dos sistemas afetados. Esse conjunto de medidas
constitui o chamado de tratamento de incidentes de segurança,que são compostos por fases que
compõe esse processo.
2.1.1
CICLO DO TRATAMENTO DE INCIDENTES DE SEGURANÇA
O tratamento dos incidentes dos segurança pode ser divido em fases, conforme ilustra a
Figura 2.1.
Figura 2.1: Ciclo do tratamento de incidentes de segurança (SCARFONE; GRANCE; MASONE, 2008)
As etapas desse ciclo são descritas como:
• Preparação: nesta fase temos o processo de criação e formação de uma equipe de resposta a incidentes, e a aquisição de ferramentas e recursos necessários. Durante a preparação, a instituição também tenta limitar o número de incidentes que ocorrerão, através
da seleção e implementação de um conjunto de controles com base nos resultados da
análise de risco. Entretanto, inevitávelmente alguns riscos persistirão mesmo após esses
controles terem sido implementados, dado ao fato que nenhum controle é infalível.
Ainda nessa etapa, algumas práticas de segurança para as redes, sistemas e aplicações são
recomendadas, tais como:
– Gerenciamento de patches: grande parte dos incidentes envolvem exploração de um
número relativamente pequeno de vulnerabilidades em sistemas e aplicações. Assim, instituições devem implementar um programa de gerenciamento de patches4 de
segurança a fim de auxiliar os administradores de sistemas na identificação, aquisição, análise e implantação dos patches.Ainda, os sistemas operacionais devem estar
configurados de forma que possam receber as devidas correções de segurança, comumente disponibilizadas pelos fabricantes.
4 Nesse
contexto, são pequenos programas para correções de bugs de outros programas
20
– Configuração dos hosts: Os hosts devem ser configurados de maneira correta, comumente por um profissional devidamente qualificado e indicado pela instituição.
Além de configurar corretamente, devem dar ao usuário final o número mínimo de
permissões sobre o sistema e as configurações padrões devem ser revistas. Senhas
fracas e simples, por exemplo, devem ser alteradas. Quando possível, deve-se manter máquinas dentro do controle de domínio da instituição.
– Sistema de prevenção de código malicioso: deve haver nos sistemas operacionais
algum software para detectar e parar a ação de códigos maliciosos, tais como os vírus
e outros malwares. Eles são importantes a fim de reduzir a quantidade de atividade
maliciosa na rede, levando em conta o principio de que boa parte das ameaças são
conhecidas e podem ser detectadas (SCARFONE; GRANCE; MASONE, 2008), se
esses softwares estiverem atualizados, como os anti-vírus.
• Detecção e Análise: nesta etapa deve-se detectar ou identificar a existência de um incidente. Estes incidentes podem ser detectados de diversas maneiras, em diferentes níveis
de detalhes e precisão. O processo de detecção automatizada pode conter IDS, IPS, honeypots, softwares de anti-vírus e spywares,analisadores de logs, flows dentre outros. A
detecção manual normalmente consiste do recebimento de notificações de outros usuários
ou grupos, tais como o CERT.br, CERT.Bahia e CAIS/RNP. Assim, os responsáveis pelo
tratamento e resposta devem focar em identificar o formato e características dos eventos,
analisando o nível de criticidade e os ordenando. Ordenados, o tratamento dos incidentes devem ser executados, tradicionalmente, pelos que oferecem maior risco e impacto à
instituição para os menores.
• Contenção, erradicação e recuperação: uma vez que o incidente foi previamente detectado e analisado, devem-se realizar procedimentos de contenção do incidentes, para
minimizar ou impedir sua propagação sobre demais sistemas computacionais. Diversas
técnicas de contenção podem ser aplicadas, como por exemplo, retirar o equipamento fisicamente da rede, colocar o dispositivo em uma rede de quarentena (rede com extrema
escassez de recursos, como limitação de banda e restrição de acesso aos demais dispositivos da rede) e realizar o bloqueio no equipamento mais próximo ao qual ele está
conectado (por exemplo, switch no qual está conectado). Em seguida, deve-se realizar o
processo de recuperação e restabelecimento dos sistemas envolvidos, por exemplo máquinas infectadas com vírus/worm deve-se realizar o processo de varredura de anti-vírus
e spywares. A depender do grau de infecção, será necessário reinstalar todo sistema,
cuidando que o backup seja livre de infecção. No caso de um site que tenha suas informações comprometidas realizar a remoção do conteúdo ou tirar a página do ar, até sua
21
restauração.
• Atividades pós-incidente: a equipe de resposta a incidentes deve refletir sobre possíveis
novas ameaças, o que melhorar na estrutura utilizada e procedimentos adotados, fazendo
o levantamento das “lições aprendidas”. Discutir com a equipe de TI , logo após um
incidente mais grave, e periodicamente depois de incidentes menores, é bastante útil para
melhoria das técnicas de segurança e do próprio tratamento de segurança em si. Aprender
com eventos passados é importante para evitar a reincidência ou até mesmo, orientar
adequadamente os usuários.
2.2
MALWARE, VÍRUS E WORMS
Apesar de alguns conceitos como vírus, worms e malwares serem comumente utilizados,
incluindo o contexto dos profissionais da computação, algumas vezes são empregados de forma
diversas. A fim de tornar claro as diferenças entre esses termo, a seguir são definidos cada um
deles:
• Malware: É um termo amplo e genérico que abrange todos os tipos de programas desenvolvidos para executar ações maliciosas em um computador, também podendo ser
chamado de código ou sofware malicioso (malware = malicious software) (CERT.BR,
2010a). Em outras palavras, código malicioso se refere a um programa que é inserido
em outro programa com a intenção de corromper ou destruir dados, comprometendo a
segurança, a confidencialidade, integridade ou disponibilidade dos dados da vítima.
• Vírus: É um programa de computador desenvolvido para causar algum tipo de dano
aos sistemas computacionais. São comumente projetados para se auto-replicar (fazerem
cópias de si mesmo) e distribuir suas cópias em arquivos, programas ou computadores,
não sendo auto-suficientes, dessa maneira, dependem de um programa hospedeiro (ao
contrário dos worms, definido logo abaixo) (SCARFONE; GRANCE; MASONE, 2008).
Geralmente, os vírus só são ativados quando há algum tipo de interação com o usuário.
Por exemplo, ao abrir um anexo infectado em uma mensagem de email ou ao conectar
um pendrive com o autorun5 ativado e infectado.
• Worm: Também conhecidos como vermes, são programas auto-replicantes e auto-suficientes,
o que significa que não requerem um programa hospedeiro para infectar sua vítima. Possuem a peculiaridade de auto-propagação, ao contrário dos vírus, podendo criar cópias
5É
uma característica de alguns sistemas operacionais que executam automaticamente certos arquivos. No
Microsoft Windows, um arquivo autorun comum é o autorun.inf
22
plenamente funcionais e auto-executar sem intervenção de um usuário (REYNOLDS,
1989). Frequentemente, se aproveitam, de vulnerabilidades e erros de configuração, como
no caso de sistemas operacionais desatualizados e sem patches.
• Spyware / Adware. Termo usado para descrever um software que executa determinados comportamentos, como publicidade, coleta de informações pessoais ou alteração da
configuração do computador, normalmente sem consentimento prévio do usuário (MICROSOFT, 2006). Spyware quando associado a publicidade pode comumente é chamado
adware (KASPERSKY, 2011). Um adware não necessariamente pode estar associado a
intenções maliciosas, como por exemplo, as propagandas existentes em software gratuitos
que proveêm propagandas nativas como parte do sofware, distribuídas oficialmente com
eles. Portanto, é recomendado ler todos termos de acordos, como contrato de licença e
declaração de privacidade do software, a fim de o usuário possa concordar ou não com as
políticas adota por esses.
2.3
HONEYPOTS
Com o crescimento dos números e formas de ataques dos sistemas computacionais, membros da equipe segurança adotado diversas estratégias a fim de manter os serviços e a própria
rede protegida e operacional. Uma dessas estratégias é o uso de honeypots. Os honeypots
são recursos de segurança, cujo valor reside em serem sondados, atacados ou comprometidos (SPITZNER, 2003). Em uma primeira impressão, parece ser o oposto do objetivo inicialmente proposto. Contudo, pela própria definição, os honeypots apresentam um comportamento
diferente das demais ferramentas de segurança que não são projetadas para serem atacadas,
sondadas ou comprometidas, e sim, voltadas a resolver problemas bastante específicos, como
controlar acesso de entrada e saída da rede (firewall) ou detectar tráfego anômalo (uso deflows).
Por exemplo, os IDS tem a propósito de detectar atividades maliciosas previamente conhecidas,
monitorando a rede ou algum sistema e reportando para seu administrador. Firewalls devem
controlar acesso (autorizado ou não), bloqueando ou liberando alguns serviços. Em outras palavras, são ferramentas de escopo bastante limitado, apesar de possuirem grande importância
no cenário de segurança. Porém, os honeypots são amplamente flexíveis em termos de sua usabilidade, ou seja, em sua concepção ele foi projetado para não resolver apenas um problema em
específico. Através de falhas de seguranças reais ou simuladas, colocadas de maneira proposital,
os honeypots cumprem seu papel, dentre outros, os descritos abaixo:
1. Podem desviar a atenção dos atacantes das máquinas ou sistemas de maior valor na rede;
23
2. Proveêm um sistema de alertas antecipados sobre novos ataques e ameaças;
3. Permite o aprendizado com os atacantes, durante e após o ataque aos honeypots;
4. Coletar dados de ataques, worms e ferramentas com a finalidade de um estudo futuro;
Entretanto, uma característica fundamental dos honeypots está no fato de que todo contato
ou tentativa de acesso a estes devem ser classificados com suspeito(SPITZNER, 2003), uma
vez que esses não fazem parte dos serviços em produção e suas existências não são conhecidas
(SPITZNER, 2003). Eles podem ser classificados baseados em seu nível de interatividade,
como sendo de alta ou baixa interatividade, como veremos à seguir.
2.3.1
HONEYPOTS DE ALTA-INTERATIVIDADE
Os honeypots de alta-interatividade fornecem aos atacantes aplicações, serviços e sistemas
operacionais reais, dispensando emulação ou restrições (MOKUBE; ADAMS, 2007). Embora
sejam mais complexos de construir e manter, possibilitam obter grande quantidade de informações sobre os atacantes. Como é disponibilizado ao atacante um sistema real, se não for
bem planejado e configurando pode ser utilizado com um vetor de ataque dentro da própria
rede, uma vez que o atacante tem a possibilidade de controlar por completo o sistema. Todavia,
oportunidades de aprendizado são enormes, pois pode-se descobrir quais foram as ferramentas
utilizadas (artefatos), identificar novas vulnerabilidades, anteriormente desconhecidas, tanto nos
sistemas operacionais quanto nas aplicações e serviços expostos no honeypot, além de fornecer
grande possibilidade de observar a interação do atacante com outros atacantes, como discutido
exaustivamente em (PROJECT, 2001).
Na prática, esse tipo de honeypot não se diferem das máquinas da rede de produção, mas
apenas no propósito de uso. Como comentando anteriormente, deve-se ter bastante cuidado ao
planejar tais sistemas, levando-se em considerações os riscos para rede, sendo recomendado
construir uma rede dedicada e específica para os honeypot, tradicionalmente conhecida como
honeynet. Nesse sentido, é dito que “aqui está o segredo entre sucesso e o fracasso” pois devese construir um modelo robusto o suficiente para que possa surtir o efeito desejado para o
aprendizado, impedir que essa rede possa oferecer riscos para rede de produção e ao mesmo
tempo, não permitir que o atacante perceba que está sendo monitorado, pois assim acontecendo,
todo trabalho do preparo pode ser arruinado, levando o atacante a enganar o administrador ou à
exposição da honeynet.
24
2.3.2
HONEYPOTS DE BAIXA-INTERATIVIDADE
Os honeypots de baixa interatividade são caracterizados por serem típicamente fáceis de
instalar, manter e configurar, devido sua simplicidade (PROVOS; HOLZ, 2007).
Esse tipo de honeypot, ao contrário dos de alta-interatividade, não fornecem ao atacante
sistemas ou serviços reais: tudo é emulado. Para deixar claro o contexto de emulação, suponhamos um servidor Unix com alguns serviços em execução, tais como o Telnet, SSH e FTP.
Em sua implantação, entretanto, esse servidor nada mais é do que o honeypot simulando as
caracteríscas inerentes a esses. Assim, ao tentar conectar-se via SSH no servidor, o atacante
terá a impressão de estar acessando um servidor real, uma vez que um prompt6 de login lhe
é fornecido. Assim, todas tentativas de acesso login/senha são capturadas e armazenados em
arquivos de log. Um exemplo prático que pode ser utilizado para esse fim é o Kippo (KIPPO,
2010).
A facilidade dos honeypots de baixa-interatividade está no fato de que após uma simples
instalação, e algumas configurações de serviços desejados o honeypot está pronto. Isso torna a
manutenção muito fácil dado ao risco de comprometimento do honeypot e do sistema operacional ser muito baixo.
HONEYD
O honeyd (PROVOS; HOLZ, 2007) é um pequeno daemon7 que permite a criação de diversos hosts virtuais em uma rede. Esses hosts podem ser configurados para rodar diferentes tipos
serviços, de tal forma que possam assumir caracteríscas de sistemas operacionais reais. Como
o honeyd suporta assumir até milhares de endereços IP em uma rede, estes podem responder
as requisições na rede de acordo com os serviços que lhe foi configurado em cada honeypot,
conforme na Figura 2.2. Neste exemplo, um host físico (10.0.0.2) contendo o honeyd, pode
conter diversos hosts virtuais, que possuem caracteríscas de diferentes sistemas operacionais, e
respondem cada um por IP’s diferentes, como se fosse máquinas reais independentes.
Dessa forma, o uso do honeyd pode ser aplicado para diversas finalidades, como por exemplo, detecção de atividade maliciosa, através de simulação de vulnerabilidades e as tentativas de
exploits ou simplesmente possuir diversos host desse tipo, a fim de enganar o atacante e faze-lo
perder tempo tentando comprometer um sistema que realmente não existe.
6É
um pequeno programa de computador que tem por objetivo realizar ações de acordo com a orientação do
usuário, através de comunicação textual.
7 é um software que roda em background, ao invés de ser controlado diretamente por um usuário. Comumente,
os daemons tem em sua nomenclatura terminada em "d"; por exemplo, o próprio honeyd.
25
Figura 2.2: Honeyd simulando diferentes sistemas operacionais (PROVOS; HOLZ, 2007)
2.4
REDE DE CAMPUS
Rede de campus ou CAN (Campus Area Network) pode ser definida como um agrupamento
de redes LAN (Local Area Network) dentro de um edifício ou agrupamento de edifícios que se
conectam a fim de formar uma única rede (EDWARDS et al., 2005). Normalmente, a instituição
tem a propriedade de toda a rede, incluindo toda a parte de interconexão entre as construções;
que podem ser compostas de diferentes tecnologias, dentre as quais destaca-se Ethernet, Token
Ring, FDDI (Fiber Distributed Data Interface) e ATM (Asynchronous Transfer Mode).
Diferente de como ocorre com outros tipos de rede, que possuem tamanho definido, (como
a LAN que possui extensão máxima aproximada em 200 metros (KUROSE; ROSS, 2006), as
redes de campus não possuem tamanho definido, podendo estar em um único edíficio extendida
por dezenas de andares, ou conectando diversas faculdades em diferentes campus universitários.
2.5
TRAIRA
Observando o aumento do número de incidentes de segurança nas instituições acadêmicas
de ensino e pesquisa, o CERT.Bahia8 desenvolveu uma ferramenta e confeccionou documentos
de boas práticas que utilizados em conjunto, possibilitam o tratamento dos incidentes de segu8 http://www.pop-ba.rnp.br/Cert
26
rança automatizado. Esse agrupamento de documentos de boas práticas, programas e interfaces
que compõe a solução de tratamento das notificações de incidentes de segurança ficou conhecido por TRAIRA (Tratamento de Incidentes de Rede Automatizado) (CERT.BAHIA, 2010).
Essa ferramenta é uma consolidação de um conjunto de scripts previamente desenvolvidos e
utilizados pela Universidade Federal da Bahia (UFBA) para localizar nos logs dos equipamentos
por fatos que levassem a computadores da rede interna que gerou o incidente, dado ao uso de
NAT , o endereço mencionado na notificação quase em sua totalidade não é o mesmo da rede
interna (tradicionalmente, a notificação vem com o chamado “IP de saída” ou “IP roteável na
Internet”.
Entretanto, os scripts anteriormente desenvolvidos eram orientados a resolver o problema
específico da UFBA. Com a consolidação do CERT.Bahia, esses scripts foram refatorados e
transformados em uma ferramenta modular e de fácil adaptação à outros cenários de rede.
Na atual versão, o TRAIRA atua nas fases de preparação e detecção e análise conforme
descrito na Seção 2.1.Ela é distribuída sob a licença GPLv2 ou superior, e pode ser adquirida
em (CERT.BAHIA, 2010).
2.6
TRABALHO CORRELATOS
A incidência de atividade maliciosa sobre as redes de computadores acarretam uma série
prejuízos, que vão além de números em estatísticas. O simples fato de ter uma máquina comprometida e ignora-la, possibilita o comprometimento de muitos outros dispositivos na rede,
que em dado momento podem ocasionar a indisponibilidade parcial ou total da rede, através da
saturação dos recursos computacionais. No aspecto financeiro, os danos podem ocorrer de diversas formas, como na necessidade da aumento da capacidade de banda9 devido ao volume de
tráfego malicioso ou de forma mais grave, através de sanções nas administrativas aplicadas por
outros provedores, através do bloqueio parcial ou total do tráfego oriundos destas instituições,
por vezes, danos incalculáveis.
Desta forma, medidas preventivas são fundamentais nas instituições, a fim de minimizar
a ocorrência dos incidentes de segurança, mesmo sabendo que, nem todos podem ser evitados. Assim, devem haver esforços por parte das instituição na implantação de recursos computacionais que possibilitem a detecção, e tratamento das notificações e a depender do tipo de
ocorrência, realizar a contenção do dispositivo causador do incidente, de forma eficaz. Na lite9 Em
particular, no interior dos estados esse valor pode vir a ser muito alto e inviável, ou apenas o provedor
local não possuir capacidade de oferecer aumento de banda para aquela região.
27
ratura, encontramos diversos trabalhos que demonstram a aplicabilidade, usabilidade e eficácia
dos honeypot, para detecção de atividade maliciosa, tais como (KARTHIK; SAMUDRALA;
YANG, 2005; PROJECT, 2001; PROVOS; HOLZ, 2007; SPITZNER, 2003; BäCHER; HOLZ;
WICHERSKI, 2005; MOKUBE; ADAMS, 2007; FILHO et al., 2002; MARCELO; PITANGA,
2003; CERT.BR, 2007; KARTHIK; SAMUDRALA; YANG, 2005), todavia, em nenhum deles
encontramos uma proposta ou estudo utilizando honeypots na rede interna; sendo por vezes teóricos, demostrando situações de uso na rede externa ou na maioria das vezes, omitindo a forma
utilizada.
Em (PROJECT, 2001), fornece um conjunto completo no que diz respeito aos honeypots.
Ele apresenta sua principal motivação, apresentando de maneira bastante didática, uma analógica entre a guerra, o campo de batalha, os inimigos e soldados associando-os as atividades
maliciosas, as redes de computadores, atacantes e os responsáveis das equipes de TI, demonstrando que uma das principais estratégias para se vencer um inimigo é conhecê-lo. Apresenta
os conceitos referentes aos honeypots, com seus tipos e suas características, apresentando a
arquitetura geral e como projetar os honeypot, como ferramentas da "guerra”. Prossegue apresentando os "inimigos”, de forma didática e técnica, os risco que eles oferecem aos recursos
computacionais, as suas "táticas”, mostrando suas formas de atuação, e apresenta alguns motivos e razões para que os atacantes, desfira ataques e tentando ou comprometendo diversas redes
e dispositivos. Por fim, apresenta um estudo de caso, com as experiências do projeto ao qual estava envolvido, apresentando resultados, por vezes, detalhados; demonstrando a aplicabilidade
e flexibilidade do uso de honeypots. Todavia, em nenhum momento foi apresentado de maneira
objetiva a estrutura de como os honeypots foram implantados, deixando apenas o leitor entender
que foi uma rede projetada especificamente para o projeto, e não aplicado a uma rede real ou
em produção.
No que diz respeito a soluções de gerenciamento de redes, que permitem possibilitam o
gerenciamento centralizado dos equipamentos distribuídos pela rede, encontramos no mercado
algumas soluções proprietárias que oferecem recursos disponíveis, permitindo algum nível de
contenção, em particular, efetuando direto nos switchs que um determinado dispositivo esteja
conectado, tais como (CISCO, 2011; EXTREMENETWORKS, 2011; D-LINK, 2011); todavia
apresentam uma série de restrições, não desejáveis, dentre as quais destacamos: a quantidade
de equipamentos que podem ser gerenciados e a restrição dos modelos de equipamentos, como
soluções proprietárias, só funcionam com determinados modelos de equipamentos, e não gerenciam equipamentos de outros fabricantes, tornando esse tipo de solução inviável para redes
acadêmicas, que possuem grande quantidade de equipamentos e grande diversidade de modelos
e fabricantes. Contudo, em nosso estudo, não foi encontrada uma solução, mesmo que pro-
28
prietária, que realize a contenção de maneira automatizada, sendo necessário realizar alguma
intervenção manual para o isolamento do dispositivo notificado.
29
3
DETECÇÃO DE ATIVIDADE
MALICIOSA EM REDES CAMPUS
Neste capítulo, serão apresentados os detalhes que envolvem a implementação de um sistema de detecção automatizado de malwares em rede de campus, em particular uma estudo de
caso na rede UFBA, parte da proposta desse trabalho. Inicialmente será apresentada uma visão geral da rede UFBA e suas principais características, bem como o porque da escolha desta
para este estudo de caso. Em seguida, serão abordados os detalhes do sistema de detecção de
atividade maliciosa, e sua importância no cenário desta e das demais instituições acadêmicas.
3.1
VISÃO GERAL DA REDE UFBA
Como explanado na Seção 2.4, uma rede do tipo campus é uma rede que pode ser definida
como um agrupamento de redes LAN dentro de um edifício ou agrupamento de edifícios que
se conectam a fim de formar uma única rede.
A rede UFBA é uma rede de campus de grande extensão, composta por mais de cinquenta
edifícios, distribuídos em três campi pela cidade do Salvador; sendo utilizados com diferentes
propósitos para universidade, abrigando pavilhões de aulas, institutos, faculdades, prédios administrativos, residências universitárias, creche e hospitais. Todos estes edifícios estão ligados
ao prédio do Centro de Processamento de Dados, por meio de fibras óticas, sendo as únicas
exceções algumas residências universitárias que estão conectadas via ADSL . Nesses casos, em
particular, optou-se por essa tecnologia, devido ao custo-benefício em manter os links com essas
unidades1 , sendo que esses foram contratados pela própria universidade à provedores privados.
No interior do estado, a UFBA ainda possui mais três campi que são distibuídos pelos municípios de Barreiras, Vitória da Conquista e Oliveira do Campinhos e estão conectados com o
CPD/UFBA via frame-relay 2 .
1 Nesse
trabalho, unidade é um sinônimo para edifício ou prédio, pois é um termo bastante comum empregado
pela universidade ao se referir a uma faculdade ou pavilhão de aula, por exemplo.
2 É um protocolo para WAN de alto desempenho que opera nas camadas física e enlace do modelo OSI.
30
Em termos de equipamentos, segundo relatórios internos da Divisão de Suporte do CPD/UFBA,
a rede possui mais de 200 switches gerenciáveis, com ampla variedade de modelos e fabricantes,
dentre eles: D-Link, Cisco, 3Com e Alcatel. Os switches gerenciáveis são aqueles que permitem algum tipo de acesso, de tal forma que seja possível efetuar configurações, dentre outras, a
configuração de endereços IP para monitoramento e gerência, criação e configuração de VLAN
e algumas regras básicas de segurança, como a criação de ACL A diversidade de modelos e fabricantes estão diretamente associados, dentre outros possíveis motivos, as diferentes épocas em
que foram adquiridos e ao fabricante vencedor do referido processo licitatório, forma comum
de aquisição de certos tipos de bens em orgãos públicos. O número total de switches e hubs é
difícil de ser estimado com precisão, mas sabesse que são muitos, haja vista a quantidade de
endereços MAC distintos registrados nas tabelas dos roteadores da rede3 que hoje representam
a ordem aproximadamente 15 mil, difundidos sobre mais de 150 VLANs ativas.
A rede UFBA ilustrada pela Figura 3.1 é estruturada na topologia do formato estrela, sendo
composta por três estrelas interligadas, com pontos centrais no Centro de Processamento de
Dados no bairro de Ondina, na Reitoria da universidade no bairro Canela e na Faculdade de
Economia no bairro da Piedade. O roteamento da rede UFBA em Salvador é feito por três
equipamentos principais (chamados pelo CPD/UFBA de Core) que possuem as seguintes responsabilidades:
1. Core 1: responsável pelo roteamento de VLANs acadêmicas do campus Ondina;
2. Core 2: responsável pelo roteamento de todas as VLANs administrativas;
3. Core 3: responsável pelo roteamento de VLANs acadêmicas do campus Canela/Piedade;
As VLANs acadêmicas são dedicadas as redes vinculadas ao domínio de usuários acadêmicos da universidade, entre eles, professores, alunos e departamentos diretamente ligados ao
acadêmico, como os colegiados. Estas, concentram a maior parte das rede, onde será aplicado
nosso estudo de caso, explanado mais à frente. As VLANs administrativas (cerca de 15% do
total de VLANs) são destinadas aos usuários de orgãos e setores com vinculo administrativos
da faculdade, que não possuem ligação direta como o acadêmico, como por exemplo, rede de
câmeras de segurança da universidade, rede de estações de uso público ou a própria rede de
estações da Divisão de Suporte do CPD/UFBA.
Essa características de separação do roteamento das VLANs acadêmicas das VLANs administrativas tem algumas importâncias, dentre as quais, não sobrecarregar determinados equipa3 Considerando
à média de portas por equipamentos versus a quantidade de equipamentos conhecidos, subentendesse que excede em muito os 200 switches
31
mentos, ter e manter estrutura bem definida e organizada, além de não ter um ponto central de
falhas para rede.
No que tange aos usuários da rede estes podem ser dividos em 4 grandes grupos: alunos,
servidores, professores e visitantes. Alunos são aqueles que ingressaram na universidade via
algum processo seletivo um dos cursos da instituição. Servidores são pessoas que prestam serviço a universidade sem exercer a docência e ingressaram comumente por concurso público.
Professores são funcionários públicos ou contratados temporariamente que lidam com atividade de ensino e pesquisa na instituição. Por fim, visitantes são pessoas que não pertencem a
nenhum dos grupos anteriores, e tem tempo de estadia não definida na instituição. O número
estimado desses usuários hoje, segundo a informações da Divisão de Suporte do CPD/UFBA,
está na ordem de mais de 12 mil usuários. Isso pode ser facilmente associado com a estatística
apresentada anteriormente sobre a quantidade de endereços MAC registrados nos roteadores.
Esses números tendem a crescer, graças ao aumento do número de cursos e vagas oferecidas
nos vestibulares e concursos pelo governo federal, e associado a esses, o aumento de visitantes
na instituição, sejam por meio de intercâmbios ou simplesmente pessoas de passagem durante
eventos promovidos na universidade. Esse crescimento é importante em diversos aspectos,
como no desenvolvimento nos níveis da educação brasileira, entretanto para os responsáveis
pela área de TI da instituição, o crescimento pode ser enxergado pelo crescimento dos dispositivos que terão a necessidade de acesso à rede de computadores, estes cada vez mais populares
e economicamente acessíveis, como desktops, notebooks, netbooks, tablets, smartphones, dentre outros, que são de fundamental importância para condução de seus respectivos estudos e
trabalhos.
Todavia, como explicado na Seção 1.1, o aumento do número de dispositivos conectados à
rede podem trazer consigo uma série de problemas, como o crescimento do número de incidentes de segurança, em particular, das ocorrências de atividade maliciosa gerada por malwares,
conforme demostram as estatísticas do CAIS/RNP na Figura 1.2.
3.2
DETECÇÃO AUTOMÁTICA DE ATIVIDADE MALICIOSA NA REDE UFBA
Haja vista a situação das instituições acadêmicas e da própria UFBA diante do problema
do crescimento das ocorrências das atividades maliciosas, propomos nesse trabalho um sistema
de detecção automatizado de malwares utilizando honeypots de baixa-interatividade dentro da
rede interna da UFBA, em particular, na rede acadêmica desta instituição.
32
Figura 3.1: Visão geral da Rede UFBA - Imagem adaptada do sistema de monitoramento da
CPD/UFBA
Os honeypots são algumas das tecnologias empregadas por grupos relacionados ao tratamento e notificação de incidentes de segurança, como o CAIS/RNP, CERT.Br e o CERT.Bahia.
Tradicionalmente esses honeypots ficam localizados na rede externa, utilizando um ou mais endereços IP reais e expostos para Internet coletando atividades maliciosas oriundas de qualquer
lugar do mundo. Assim, para detectar os ataques originados nas redes acadêmicas, alguns filtros devem ser utilizados por esses grupos e, após formalizada a notificação esta é encaminhada
a instituição responsável pelas gerações dos incidentes. Todavia, esse processo pode vir a ser
bastante demorado, conforme descrito à seguir:
• Um host infectado por algum tipo malware, estando comumente atrás de um equipamento que efetua NAT, quando começa a gerar incidentes de segurança para rede externa
(para própria Internet), possívelmente esteve ou estará em algum momento propagando
atividade maliciosa para rede interna;
• Uma vez que este se propagou para rede externa é possível que essa propagação seja detectada em um dado instante por algum honeypot de um determinado grupo, por exemplo
do CAIS/RNP, que identificará o ataque como proveniente de um IP válido na Internet,
comumente chamado de IP roteável4 ;
• Este grupo, em uma dada periodicidade, executará seus filtros e enviará as notificações às
instituições responsáveis pela geração dos incidentes de segurança;
• A instituição geradora do incidente ao receber a notificação buscará utilizar algum método
para encontrar a máquina que dentro da instituição gerou o incidente de segurança, seja
4 Lembrando
que diversos hosts atrás de um NAT sai apenas com um IP real na Internet.
33
através de análise de logs do firewall ou através de ferramentas como o TRAIRA, no caso
da UFBA;
• Após ser detectada, alguma medida de contenção é tomada pela equipe de TI desta instituição e o host é submetido a algum tipo tratamento. No caso da UFBA, o host tem seu
endereço mac-address bloqueado manualmente no roteador mais próximo por membros
da equipe, a fim de evitar que ele gere novos incidentes e um processo localização física
e desinfecção é executados nessas máquinas.
Observa-se que esse período pode vir há ser demasiadamente longo, permitindo que a atividade maliciosa se prolongue por um extenso período de tempo na rede até que o host seja
finalmente isolado. Ainda, essa forma de detecção utilizando honeypots na rede externa identificará apenas ataques que chegaram a sair para rede externa, em outras palavras, se o ataque só
foi propagado somente em rede local, esses honeypots nunca identificarão a existência de uma
ameaça.
Para auxiliar no combate das atividades maliciosas ocasionadas por malwares, minimizar
os tempos de detecção e notificação, e ainda, identificar ataques dentro da rede interna (não
detectado por honeypots externos à rede), como na redes de campus da UFBA, propomos a
utilização de cerca de 70 honeypots de baixa-interatividade distribuídos por toda a rede acadêmica da UFBA, um em cada VLAN, correspondendo a cada uma das unidades acadêmicas da
instituição, conforme ilustrado na Figura 3.2.
Essa proposta de utilizar honeypots dentro da rede interna permite detectar de forma mais
rápida os hosts que estejam propagando atividade maliciosa, pois estando no mesmo segmento
de rede estarão mais próximos das máquinas infectadas por malwares. Consequentemente, poderão estar notificando em intervalos de tempos mais curtos, reduzindo o tempo de atividade
do malware na rede, haja vista que menos etapas são necessárias com base no processo anteriormente citado. A escolha de honeypots de baixa-interatividade dá-se ao fato que estes estarão
dentro da rede de produção e não queríamos expor a rede a mais riscos, como os oferecidos nos
honeypots de alta-interatividade, conforme discutido na Seção 2.3.1.
Entretanto, manter 70 máquinas físicas distintas, localizadas em cada segmento de rede
hospedando honeypots seria algo bastante complexo e custoso. Isto por diversos motivos, dentre
os quais destacamos:
• Geração alto custo para aquisição de todas essas máquinas;
• Elevação razoável do aumento do consumo de energia da instituição, por ter a necessidade
34
Figura 3.2: Estrutura lógica do sistema de detecção de malwares na rede interna da UFBA
de estarem 24 horas por dia ligadas;
• Necessidade e dificuldade de obter espaço físico seguro para abrigar cada uma das máquinas nos prédios da rede acadêmica;
• Cenário amplo com diversos pontos sucetíveis a falhas, tais como, problemas físicos nas
máquinas ou problemas de falta de energia;
• Custo de manutenção e administração destes hosts na rede, sejam por meio de ações
corretivas ou preventivas;
• Comprometimento da escalabilidade desse sistema, pois com o surgimento de novos prédios no campus, como é o atual cenário da UFBA, novas máquinas teriam que ser adquiridas, configuradas, dentre outros supracitados;
• Explosição e conhecimento da existência de honeypots na rede;
Desta maneira, decimos criar um ambiemte que resolvesse essas problemas. Para isso,
utilizamos um único servidor físico, utilizando o sistema operacional Debian GNU/Linux, configurando sua interface de rede para ter suporte VLAN. Assim, configuramos e utilizamos uma
35
Figura 3.3: Estrutura física, utilizando VLAN, para o sistema de detecção de malwares na rede
interna da UFBA
porta no Core da rede, contento todas as VLAN e conectamos nosso servidor nela. Dessa
forma, temos físicamente uma única máquina, localizada no datacenter da UFBA, mas lógicamente temos 70 máquinas espalhadas pela rede. Em verdade, em um ambiente proporcionado
pela UFBA, não tivemos nem a necessidade de ter um servidor físico. Utilizando o conceito
de virtualização, nosso servidor foi criado virtualmente, e apenas uma interface física de rede,
desse servidor que abriga outros servidores virtuais, foi utilizada. A estrutura de nossa proposta
é exemplificada na Figura 3.3.
Dando continuidade ao nossa proposta, através de informações obtidas com a Divisão de
Suporte do CPD/UFBA, descobrimos que a maior parte dos sistemas operacionais instalados
nos computadores da instituição são pertencentes a alguma versão do Microsoft Windows. Aliado aos tradicionais problemas de segurança enfrentados por esses sistema operacional, e aos
vírus, worms e toda sorte de malwares comumente desenvolvidos para este, decidimos projetar
os honeypots simulando o comportamento de um host rodando o sistema operacional Windows
36
XP. Desta forma, configuramos os nossos scripts do honeyd, o nosso honeypot, que utiliza a
base de dados do NMAP (BERRUETA, 2003) para emular o comportamento desse sistema operacional na rede. O NMAP5 se baseia no princípio de que todo sistema operacional tem seu
OS FingerPrint, ou seja, uma impressão digital semelhante as dos seres humanos que possuem
características únicas. Dessa forma, os sistemas operacionais podem ser identificados por características, como por exemplo, partes do cabeçalho TCP/IP, como TTL , TCP Options, IP Packet
Length, entre outros que podem ser vistos em detalhes em (TANENBAUM; WOODHULL,
2004).
Todavia, após a configuração do honeyd para emular o comportamento do sistema operacional, ainda é necessário abrir algumas portas, dado ao fato que, por padrão, todas as portas
do sistema estão fechadas. Esse comportamento padrão de portas fechadas é o que permite
projetar o honeypot para simular vulnerabilidades específicas. Baseado em estatísticas de grupos de segurança, como do CERT.Bahia em (CERT.BAHIA, 2011a), abrimos as portas onde há
as maiores incidências da ação de malwares, tais como as portas 445, 139, 135 e 9988. Isso
pode ser observado também a partir da ação de malwares, como o Conficker que explora algumas vulnerabilidades em sistemas operacionais Windows, explorando as portas 445, 139 e 135,
conforme alerta em (CAIS/RNP, 2009). Ou ainda, o caso recente do worm W32.Qakbot que
se propaga por portas de compartilhamento de dados padrão do Windows, e gerou mais de 20
mil casos por dia ao redor do mundo, sendo o Brasil o terceiro país em número de máquinas
infectadas, permitindo o envio de informações de transações bancárias em tempo real para o
atacante, conforme relatório do grupo de resposta à incidentes de segurança da Symantec do
primeiro semestre desse ano, em (RESPONSE, 2011).
Para colocarmos os honeypots em produção, foi necessário configurar IP estáticos, um por
VLAN, a fim de que o honeypot fosse inserido como um host na rede. Dessa forma, uma vez
configurado ele está pronto para ser sondado por atividades maliciosas. A necessidade de ter
um IP estático, dá-se ao fato de que eles precisam ter um IP na rede, e ao mesmo tempo seja
desconhecido pelos demais host, a fim de que mantenha-se a propriedade básica do honeypot,
que diz que todo tráfego ou tentativa de conexão com ele é potencialmente suspeito. Para isso,
efetuamos a reserva dos endereços IP no servidor DHCP da UFBA, a fim de evitar IP duplicado
na rede.
Para enviar as notifições dos incidentes identificados, alguns scripts foram escritos na linguagem Shell Script, para notificar a equipe de segurança da UFBA das ocorrências registradas.
Poderia ser escolhida qualquer linguagem, mas essa foi utilizada dada a natividade desta nos
5 http://
nmap.org/book/osdetect-fingerprint-format.html
37
sistemas Unix e a relativa facilidade em escrever scripts que interagam com o sistema e seus
aplicativos, como por exemplo, o servidor de email, necessário para envio das notificações.
Como supracitado, todo tráfego ou tentativa de conexão é classificado como suspeito, contudo,
como é possível que algum usuário erre na tentativa de acessar alguma máquina, decidimos
por registrar e notificar a partir de 3 tentativas, em um intervalo de cada 6 horas. Dessa forma,
quatro vezes por dia, o servidor que contém o honeypot trata os arquivos de log, e notifica por
email os responsáveis, seguindo o modelo abaixo:
Prezado(a) responsavel pela rede UFBA,
O endereco IP xxx.xxx.xxx.xxx foi detectado como possivelmente
infectado e propagando virus/worm. Abaixo seguem algumas evidencias coletadas:
| xxx.xxx.xxx.xxx | srcport 1293 | 2011-06-08 14:17:49 (GMT-3) |
| xxx.xxx.xxx.xxx | srcport 2199 | 2011-06-08 14:18:38 (GMT-3) |
| xxx.xxx.xxx.xxx | srcport 4399 | 2011-06-08 14:18:51 (GMT-3) |
| xxx.xxx.xxx.xxx | srcport 2159 | 2011-06-08 14:19:21 (GMT-3) |
| xxx.xxx.xxx.xxx | srcport 1199 | 2011-06-08 14:20:48 (GMT-3) |
| xxx.xxx.xxx.xxx | srcport 3199 | 2011-06-08 14:21:22 (GMT-3) |
Pedimos a gentileza de verificar. Caso tenha alguma duvida, favor entrar em contat
Grupo de Seguranca da Rede UFBA
Apesar de haver tentativas na padronização internacional para todas notificações de incidentes de segurança para permitir uma melhor colaboração entre os grupos de segurança ao redor
do mundo, conforme propõe o IETF com as propostas de padronizações IDMEF (Intrusion
Detection Message Exchange Format) (DEBAR; CURRY; FEINSTEIN, 2007) e IODEF (Incident Object Description Exchange Format) (DANYLIW; MEIJER; DEMCHENKO, 2007), os
grupos de segurança brasileiros ainda não adotaram tais modelos.
Contudo, enquanto essa padronização ainda não é adotada, o CERT.Bahia, segue o modelo
anteriormente demostrado, que se baseia nas recomendações do CERT.br (CERT.BR, 2006)
para notificar incidentes do tipo, propagação de vírus/worm, que também foi adotado por esse
trabalho. O primeiro campo exibe o IP do host que foi detectado com gerador do incidente de
segurança, seguido pela porta de origem e o horário que foi detectado o incidente, junto com a
indicação de fuso horário.
Essa informações são fundamentais para os honeypots localizados na rede externa, pois
com o uso de NAT nas instituições, as notificações serão enviadas com o IP real da rede da
38
instituição, conhecido popularmente como IP de saída. Logo, cada uma dessas informações
utilizadas em conjunto facilitarão localizar nos registro dos logs dos equipamentos a máquina
da rede interna que gerou o incidente. Para a notificação que geramos com os honeypots da rede
interna, a informação de fuso poderia ser omitido, pois todos os servidores da rede comumente
utilizam a mesma fonte de sincronização de relógios, seguindo o protocolo NTP , todavia a fim
de seguir o padrão decidimos mantê-lo. Porém, as demais informações não podem ser omitidas,
mesmo na rede interna, independente do fato que o IP notificado já conhecido (o padrão adotado
na rede acadêmica da UFBA é 192.168.xxx.0/24, onde xxx corresponde a VLAN da rede) .
Isso porque, como os endereços IP são distribuídos por DHCP, um IP pode ter pertencido a
várias máquinas, em um dado intervalo de tempo. Assim, a única informação que garante a
identificação única da máquina é o seu endereço mac address. Por isso, nas etapas discutidas
no início dessa são foi dito que o bloqueio é baseado no mac address, e não no endereço IP.
Nesse ponto, na rede UFBA, a notificação é encaminhada ao TRAIRA através de um email
previamente cadastrado a equipe de operação, e através um pequeno parser escrito em Perl
(linguagem de programação utilizada pelo TRAIRA) os dados informados de endereço IP, porta
de origem e horário da notificação são processados e é retornado o mac address do host gerador
do incidente, conforme modelo abaixo:
Prezados,
Segue abaixo uma relacao <IP | MAC | UNIDADE | STATUS> das máquinas detectadas como
possívelmente comprometidas com vírus/worm. O campo STATUS informa se a maquina já
foi bloqueada ('host-bloqueado') ou se esta pendente de bloqueio por algum dos
seguintes motivos: host que não pode ser bloqueado ('não-bloqueável') -- e.g. um
servidor; falha no bloqueio ('falha-ao-bloquear'); ou que o bloqueio deve ser feito
manualmente ('bloqueio-pendente'). Favor verificar as informaçõees e realizar o
tratamento dos hosts listados abaixo (e.g. anti-vírus, etc.).
xxx.xxx.xxx.xxx | aa-bb-cc-dd-ee-ff | Rede_VLAN1 | bloqueio-pendente
Atenciosamente,
-TRAIRA :: Tratamento de Incidentes de Rede Automatizado.
UFBA CSIRT
De posse do mac address, o host gerador de incidentes pode vir a ser isolado (detalhes
39
sobre este assunto serão tratados no capítulo seguinte) e então dado início ao tratamento de
desinfecção pela equipe de apoio (helpdesk), seja por execução de anti-vírus e softwares de
detecção de malwares ou em alguns casos a reinstação do sistema operacional.
3.3
AVALIAÇÃO EXPERIMENTAL
A fim de realizar a verificação da eficácia desta proposta, colocamos os honeypots em produção na rede acadêmica da UFBA, e realizamos algumas simulações e estudo de caso real.
Estas tiveram por objetivo verificar se o sistema de detecção automatizada utilizando os honeypots na rede interna estavam correspondendo em detectar a ação de malwares nos segmentos de
redes. Dessa maneira, saberíamos que, quando ocorressem ataques reais aos honeypots, esses
identificariam corretamente e seríamos notificados da existência de atividade maliciosa em cada
segmento de rede da UFBA.
3.3.1
SIMULAÇÃO DE PROPAGAÇÃO DE ATIVIDADE MALICOSA
Para realizarmos os testes, foram escolhidos aleatoriamente algumas das VLAN onde tínhamos colocados os honeypots. Como não é trivial capturar malwares reais e colocá-los em
execução e executá-los forma controlada e segura, decidimos utilizar algum software que pudesse simular o comportamento de máquinas infectados por vírus/worm, sem oferecer risco real
à rede.
Contando com a colaboração da Divisão de Suporte do CPD/UFBA, utilizamos um ponto
da rede deles, já que esta rede é roteada para todas as demais redes da instituição o que facilitaria a execução dos testes. Utilizando um notebook com o sofware nmap6 realizamos scans
nas redes simulando ataques de malwares nas portas 445 (Compartilhamento do Windows),
139 (NetBIOS), 135 (Location service), 22 (SSH) e 9988 (Software Essentials Secure HTTP
server), através da execução do comando nmap -p 445, 139, 135, 22, 9988 xxx.xxx.xxx.xxx/xx,
onde xxx.xxx.xxx.xxx./xx representa os segmentos de rede testados, não exibidos por razões de
segurança. A escolha dessas portas já foi justificada na Seção 3.2
Após essas simulações de propagação de malwares, aguardamos o próximo ciclo de notificações, já que o servidor com os honeypots enviam as mensagens a cada 6 horas. No tempo
oportuno, foram emitidas e enviadas as notificações, uma por honeypot que sofreu o “ataque”,
para o email da equipe de segurança da UFBA contendo o IP da máquina da simulação, porta
6 Nmap
ou Network Mapper é um sofware livre de código aberto projetado para executar exploração de redes
ou realizar auditoria de segurança. Mais informações em http://nmap.org/
40
de origem e horário da ocorrência, o qual foi recebido e tratado pelo TRAIRA, retornando
a informação do mac address da máquina, com esta sendo possívelmente comprometida por
algum malware. Todavia, para evitar que a máquina fosse bloqueada, as notificações foram
posteriormente excluídas, além de evitar agregação de falsas estatísticas para instituição.
Portanto, os honeypots já em um ambiente de produção, mostraram-se bastante eficazes
no processo de detecção automática de atividade maliciosa, sendo que esses permanecem em
execução auxiliando no combate de ações de atividade maliciosa na rede UFBA, e contribuindo
com o CERT.Bahia, sendo que, somente nos dois primeiros meses que os honeypots foram postos em produção, aproximadamente 300 notificações de incidentes de segurança foram emitidas,
contribuindo ativamente no cenário de segurança da instituição.
3.3.2
CASO REAL
Dentre essas notificações o incidentes reais, destacamos a ocorrência de um caso que julgamos interessante, dado ao fato de onde originou-se o ataque. Pouco tempo depois dos honeypots
estarem em produção, a equipe de segurança recebeu uma notificação indicando um atividade
maliciosa proveniente de um endereço IP de um dos servidores da rede UFBA. A rede de servidores da UFBA é considerada por sua equipe de TI com sendo uma das redes mais seguras
da instituição, pois possui acesso administrativo restrito por uma equipe qualificada, servidores
seguindo diversas políticas de segurança, tais como atualizações rotineiras de segurança dos
sistemas operacionais e softwares de anti-vírus, dentre outros.
Entretanto, como nenhum sistema é perfeito e falhas humanas acontecem, um analista recém chegado à instituição, a fim de realizar testes em um solução de anti-virus, instalou um
servidor com o sistema operacional Windows Server 2008 R2 e por algum motivo não deu continuidade a configuração das políticas de segurança da UFBA, deixando o servidor com uma
instalação padrão, sem executar nenhuma atualização do sistema ou algum software de antivírus. Como o endereço atribuído a esse servidor permitia acesso à Internet e a todas as redes
da instituição, tornou-se um ponto crítico e potencialmente perigoso à rede.
Recebida a notificação, com este servidor era voltado apenas para testes e detectado ausência de sofwares de anti-vírus, este foi retirado preventivamente da rede e foi submetido a análise.
Instalou-se então um software de anti-vírus e anti-malwares, homologado pela instituição, e foi
executado um varredura completa sobre o sistema.
Concluída a varredura sobre o sistema, foram detectados a existência de 4 malwares, um
classificado pelo software com um vírus e três como spywares, conforme ilustrado na Figura
41
3.4. Realizado o procedimento de desinfecção do servidor, o responsável por este foi notificado
e solicitado que fosse efetuado todos procedimentos de segurança antes que esse servidor fosse
re-inserido na rede. Buscando entender e aprender sobre o funcionamento e a severidade dos
malwares detectados, constatamos que os spywares identificados não ofereciam risco potencial
para a rede, pois estes não possuem a características de deflagar sobre a rede (F-SECURE,
2011a). Como acessar à Internet via browser em um servidor não é algo tradicional, também
não ofereceria risco a este servidor, porém esses spywares em máquinas de usuários oferecem
risco de exposição de privacidade, pois apesar dos tracking cookies (cookies de rastreamento)
serem utilizados por alguns sites para apresentar ao visitante um conteúdo customizado, mas
em outros sites maliciosos podem ser potencialmente utilizados para monitorar a navegação do
usuário na Internet, assim representando um risco à privacidade.
Entretanto, o vírus/worm que foi detectado representava um sério nível de ameaça para o
sistema e a rede UFBA, sendo caracterizado como um programa ou conjunto de programas
que se escondem para subverter ou enganar mecanismos de segurança do computador, e em
seguida, permitir acesso a usuários remotos, de forma oculta, controle total do sistema do computador (F-SECURE, 2011b). Esse malware explora vulnerabilidades para se propagar através
da rede e poderia ter sido prevenido se correções de segurança do sistema operacional ouvessem
sido efetuadas (US-CERT/NIST, 2011), e poderiam já ter sido previamente detectado se algum
software de anti-vírus estivesse em execução.
Desta forma, neste caso real e prático, nossa solução mostrou-se bastante útil em uma etapa
do combate de atividade maliciosa dentro da rede UFBA, sendo que esse caso destacou-se dos
demais, pois conseguimos além de ter acesso detalhes do incidente, retiramos da rede um host
que poderia causar possíveis dados a rede da instituição.
42
Figura 3.4: Resultado do sofware de anti-vírus, detectando presença de malwares vírus e spywares
43
4
CONTENÇÃO DE ATIVIDADE
MALICIOSA EM REDES DE
CAMPUS
No capítulo 3 foi exibida a estrutura e principais características da rede UFBA, bem como
uma solução para detecção automática de atividade maliciosa na rede interna da instituição utilizando honeypots de baixa-interatividade. Neste capítulo, serão apresentados os detalhes que
norteiam a implementação de um sistema de contenção automatizada dos dispositivos identificados como possivelmente infectadas por malwares em rede de campus: em particular, um
estudo de caso realizado na rede UFBA, parte da proposta deste trabalho. Será mostrado que
esta solução de contenção automatizada será útil não somente para notificações originadas pela
solução proposta neste trabalho, mas para quaisquer outras que sejam direcionadas à instituição.
4.1
PRELIMINARES DA ETAPA DE CONTENÇÃO
Conforme demonstrado na Seção 3.2, após o processo de detecção de possível propagação de atividade maliciosa na rede, seja esta detecção por intermédio da solução proposta
nesse trabalho exibida no Capítulo 3 ou via algum grupo de segurança, como o CERT.Bahia
ou CAIS/RNP, uma ou mais notificações de incidentes de segurança são geradas e enviadas à
instituição.
Haja vista que o endereço IP não permite identificar unicamente a máquina geradora da
notificação, devida a comum distribuição de IP via DHCP, permitindo que múltiplas máquinas
em horários distintos, em um mesmo dia, possam assumir o mesmo endereço IP, o endereço
físico de uma máquina (mac addresss) é o único dado que permite identificar univocamente a
máquina na rede (SOCIETY, 2001).
Na UFBA, quando uma notificação de incidente de segurança é reportado, esta é encaminhada ao software TRAIRA que, como visto na Seção 2.5, é uma ferramenta desenvolvida pelo
44
CERT.Bahia, para o auxílio ao tratamento de incidentes de segurança. Esta ferramenta recebendo um conjunto de dados (demonstrados no Capítulo 3), após o processamento, retorna para
equipe de TI da UFBA o endereço MAC da máquina geradora do incidente de segurança. De
posse do endereço MAC o procedimento de contenção pode ser inicializado.
A partir desse momento, de posse do endereço MAC, como será demonstrado no decorrer desse
capítulo, propomos uma solução de contenção automatiza como um módulo do TRAIRA, tendo
o objetivo de alcançar os seguintes resultados:
• Minimização do tempo de exposição das máquinas possivelmente infectadas na rede:
com o objetivo de impedir a continuidade da propagação de atividade maliciosa sobre os
demais dispositivos e recursos da rede. Na contenção manual (detalhada mais à frente
nesse mesmo capítulo), existe um intervalo de tempo, por menor que seja, até que os
responsáveis realizem os procedimentos de contenção de todas as máquinas notificadas;
• Redução de custos da instituição: o procedimento manual de contenção requer mãode-obra de pessoas da instituição que são naturalmente remuneradas para isso, sendo
eventualmente contratadas para este ofício ou desviadas de outras atividades para tal. Se
em um dado período, o número de ocorrências de incidentes for alta, o número de pessoas alocadas para se dedicar as atividades de contenção aumenta, elevando diretamente
esses custos. Como exemplo, citamos o que ocorreu em 2009, na propagação da ação do
Conficker na UFBA, onde eram alocados pelo menos, um analista de segurança e dois
técnicos para conter a propagação desse malware; por vezes, ao longo de diversas horas
por dia, segundo informações internas do CPD/UFBA;
• Redução das ocorrências de erros: nas etapas do procedimento de contenção manual
podem ocorrer falhas humunas. Dentre outras possíveis, destacamos o bloqueio de dispositivos incorretos. Como por exemplo, a simples troca de um caractere por outro do
endereço MAC pode causar transtorno, retirando da rede um dispositivo “saudável” e
mantendo na rede uma máquina infectada; sendo este não apenas um, mas dois erros.
• Colaborar com o desenvolvimento do CERT.Bahia: através do desenvolvimento de
um módulo para o TRAIRA, o módulo de contenção, permitimos que essa ferramenta
complete o ciclo do tratamento de incidentes de segurança representado pela Figura 2.1,
auxiliando no combate automatizado dos incidentes de segurança;
45
4.2
ESCOLHENDO A ESTRATÉGIA DE CONTENÇÃO
Alguns tipos de incidentes de segurança, quando detectados, antes que a propagação deste
incidente leve ao esgotamento dos recursos computacionais disponíveis ou aumentem os níveis
de danos (como ocorre na propagação de vírus/worm) é importante que seja realizado alguma
estratégia de contenção.
A escolha da estratégia de contenção adotada pode variar de acordo com o tipo de incidente: a estratégia usada para contenção de propagação de vírus é bem diferente da adotada
para ataques de negação de serviço (DoS) ou envio de spam.
Em (SCARFONE; GRANCE; MASONE, 2008), diversas estratégias específicas são fornecidas de acordo com os variados tipos de incidentes, porém de forma bastante genérica. Todavia, este recomenda que instituições criem suas próprias estratégias de contenção, de acordo
com suas próprias particularidades. Essas estratégias devem ser documentados de forma bastante clara, a fim de tornar rápida e eficaz a tomada de decisão. Alguns critérios sugeridos por
(SCARFONE; GRANCE; MASONE, 2008) para definir as estrátégias são:
• Analisar o risco potencial de danos ou roubo das informações;
• Avaliar a necessidade de preservação de evidências;
• Disponibilidade do serviço (conectividade de rede, serviços prestados a comunidade externa);
• Tempo e recursos necessários para implementar a estratégia
• Eficácia da estratégia (abordar parcialmente ou totalmente o tratamento do incidente);
• Duração da solução adotada (solução de emergência para ser removido em algumas horas,
semanas ou permanente);
Em alguns casos, as instituições decidem propositalmente demorar em executar a etapa de
contenção de um incidente para que seja possível monitorar a atividade atacante, geralmente
para recolher evidencias adicionais. Esse tipo de situação deve ser executada com bastante cautela e acordo entre os membros da equipe de TI, pois uma vez ciente do incidente, a instituição
se compromete com os riscos que podem ser ocasionados. Suponha um sistema comprometido
que está sendo utilizado para atacar a rede de um outra instituição. A estratégia em atrasar a
contenção pode ser perigosa, pois a depender do nível de comprometimento, o atacante pode
46
levar a rede a outra (ou a sua própria) indisponível em fração de minutos. Portanto, é necessário
avaliar minuciosamente a relação de aprendizado versus risco oferecido.
Todavia, alguns tipos de ataque podem causar danos colaterais por terem sido contidos.
Uma máquina comprometida pode executar um processo malicioso que efetua pings para outra
máquina periodicamente (um controlador de botnet, por exemplo). Uma vez que essa máquina
comprometida seja detectada e seja isolada (contida), os pings seguintes falharão. O resultado
dessa falha pode levar ao processo malicioso a destruir todas evidências do disco rígido do hospedeiro e em seguida se auto-destruir. Assim, em casos que evidências precisem ser preservadas
deve-se ter um cuidado adicional nesse sentido.
A seguir, serão demonstradas algumas estratégias de contenção de máquinas compremetidas por malwares, avaliadas na rede de campus da UFBA, mas que pode ser adaptável ao
contexto de outras instituições acadêmicas.
4.3
CONTENÇÃO NO ROTEADOR
A abordagem de efetuar contenção da máquina comprometida no roteador da rede da instituição consiste em criar e adicionar em alguma regra, conhecidas como Listas de Controle de
Acesso (ACL), o endereço MAC desta máquina a fim de que este dispositivo perca total acesso
à rede, consequentemente realizando à contenção da atividade maliciosa.
As ACLs realizam decisões de filtragem de pacotes e encaminhamento de tráfego que passam
no equipamento. Cada pacote que chega em uma porta ou VLAN é inspecionado com as regras
da ACL, liberando ou não o tráfego (NETWORKS, 2011). A depender do equipamento, as
ACLs podem efetuar mais que encaminhar ou descartar pacotes. Podem também realizar outras operações, tais como, incremento de contadores, registrar cabeçalhos dos pacotes, espelhar
tráfego de uma porta em outra, aplicar QoS, dentre outros.
Todavia, essa abordagem apesar de resolver de certa forma o problema, não impede que
essa máquina continue propagando o incidente para seu segmento de rede, enquanto ela tiver
um IP atribuído. Tipicamente, enquanto essa máquina estiver com lease DHCP não expirado,
ela pode continuar causando problemas ao continuar propagando atividade maliciosa para seu
segmento de rede durante um período indefinido de tempo. Porém com essa concessão é temporária em algum momento ela irá expirar. Antes da concessão expirar, o servidor DHCP deve
renovar a concessão para o cliente ou o cliente deve obter uma nova concessão, entretanto como
máquina estará bloqueada, não conseguirá se comunicar com o servidor DHCP, garantindo seu
isolamento. Similarmente, quando essa máquina for desligada, e posteriormente ligada, ao ten-
47
Figura 4.1: Mensagem de conectividade nula ou limitada no Microsoft Windows XP
tar obter um IP do servidor DHCP, ela não irá conseguir.
Um outro caso que pode ocorrer é um usuário com um pouco de conhecimento, poderá
configurar um endereço IP manualmente, e continuar acessando o segmento de rede, por consequência propagando atividade maliciosa naquele segmento. Contudo, nesse casso, como os
usuários estão cada vez mais dependentes de trabalhar conectados na Internet, é possível que
esses casos sejam cada vez mais raros, porém possíveis.
Um fator que não pode ser desprezado nessa estratégia, é o nível de informação do usuário
quanto ao estado de sua máquina. Uma vez que o endereço MAC está bloqueado no roteador, em
algum momento, o usuário perceberá que não está acessando a rede mas não saberá o motivo
pelo qual ele não consegue acesso, recebendo apenas alertas do sistema, como no Microsoft
Windows, de conexão nula ou limitada, conforme Figura 4.1. Esse tipo de mensagem não
permite ao usuário saber que ele foi bloqueado, podendo ser um cabo de rede danificado ou
defeito na interface de rede. Idealmente, uma vez bloqueado, o usuário deveria ser notificado
de alguma forma, de quando e porque foi bloqueado, bem como o que fazer a partir desse
momento para resolver o problema de sua máquina; porém isso não é possível nesta solução.
Um outro ponto a ser considerado, é que a única informação que se tem da máquina infectada é o endereço MAC e a rede da unidade, correspondente a uma faculdade ou instituto, por
exemplo. Assim, para a equipe de TI possa realizar o processo de reparo do sistema comprometido ou infectado, há uma certa dificuldade de localizar a máquina no prédio, pois além de
haver uma grande quantidade de setores e máquinas distribuídas por diversos andares, o endereço MAC não é algo trivial em ser detectado, dependendo disposição do técnico em encontrar a
máquina ou então, esperar o usuário reclamar da dificuldade de acesso à rede e assim, informar
sua localização física.
Portanto, como vimos, essa abordagem é de certa maneira funcional, porém não completamente eficiente e alguns aspectos. Todavia, devido a limitações dos recursos da rede da instituição, como é o caso da rede UFBA, essa é por vezes, a única solução disponível, até que novos
48
Figura 4.2: Conexão dos switches da rede UFBA
equipamentos sejam adquiridos, e possuam um melhor suporte recursos de segurança.
4.4
CONTENÇÃO NO SWITCH
Uma outra estratégia analisada para contenção de máquinas que estejam realizando propagação de atividade maliciosa, no contexto da rede de campus da UFBA, foi realizaros bloqueios
no nível dos switches.
Como vimos na seção 3.1, a rede UFBA tem uma topologia em anel, tendo como pontos centrais três roteadores. Conectado diretamente a eles têm-se diversos switches, sendo um switch
principal (chamado também de switch de borda) por unidade da instituição, predominantemente
conectados ao roteador por fibra ótica. Os demais switches de cada unidade são conectados ao
switch principal, alguns diretamente, outros inter-conectados, formando uma estrutura tradicionalmente conhecida por cascateamento. Essa estrutura é ilustrada pela Figura 4.2.
Na rede UFBA, as máquinas podem estar conectadas em qualquer um desses switches, in-
49
clusive no principal, desde que este tenha uma porta livre e disponível1 .
Idealmente, seria desejável que a contenção fosse realizada no switch na qual a máquina
está conectada, pois a contenção seria o mais próximo possível do dispositivo infectado, e o que
ocorre no bloqueio no roteador (propagação temporária de atividade maliciosa no segmento de
rede) não correria nessa solução, porque ele seria bloqueado na porta ao qual está conectado,
sendo retirado instantaneamente da rede.
Entretanto, a rede UFBA, assim como muitas outras rede acadêmicas, se expandiu ao longo
de diversos anos, e os equipamentos foram adquiridos em épocas diferentes e consequentemente
com diferentes características e funcionalidades, em particular, no que diz respeito a requisitos
voltados a área de segurança. Na rede da instituição é possível encontrar switches gerenciáveis,
switches não gerenciáveis (muitas das vezes adquiridos e conectados a rede por usuários finais,
sem o conhecimento prévio e autorização do CPD/UFBA), hubs, roteadores sem-fio, dentre
outros. Além de uma diversidade de fabricantes, como visto na seção 3.1, cada desde equipamentos mesmo sendo de um única fabricante, apresentam uma ampla diversidade de modelos;
e ainda, mesmo fabricante e modelos idênticos, contudo com versões de software e licenças
diferentes, ocasionando o suporte de diversas funcionalidades.
Dentro deste contexto de grande diversidade de fabricantes, modelos e versões, buscamos
por funcionalidades nos equipamentos que fossem desejáveis encontrar em todos os switches
da rede, objetivando aplicar uma solução uniforme, eficaz e eficiente das atividades maliciosas;
realizando não somente a contenção dos dispositivos infectados, mas também a notificação e
eventual identificação do possível usuário da máquina comprometida.
Contudo, como não foi possível, diante de tamanha diversidade encontrar o mínimo de uniformidade das funcionalidades, então buscamos examinar o que era relacionado à segurança
(que pudesse ser associado à contenção) nos equipamentos, a fim de que as futuras aquisições de equipamentos, essas possam fornecer auxílio na escritas das especificações de compra.
Encontramos em alguns deles a funcionalidade de ACL, como funcionamento similar ao dos
roteadores, seguindo naturalmente a sintaxe do fabricante. Todavia, uma funcionalidade encontrada, bastante interessante, que permite identificar o usuário, associando-o ao endereço MAC
da notificação, descrita na sub-seção seguinte.
1 Alguns
tipos de equipamentos possuem portas livres, porém não estão disponíveis por serem utilizadas como
ligação lógica XOR. Por exemplo, o switch pode ter 2 portas 24, uma para cobre e outra para fibra ótica, sendo
essas XOR: ou se utiliza uma ou outra, cobre ou fibra.
50
4.4.1
IDENTITY MANAGEMENT COM KERBEROS SNOOPING
Identity Management ou Gerenciamento de Identidade é uma funcionalidade que permite
efetuar a identificação de usuários e dos dispositivos conectados a um switch (NETWORKS,
2011). Essas informações são armazenadas em um banco de dados local no switch, e pode
então ser visualizado por usuários pertencentes ao grupo dos administradores do equipamento
ou através de algum software de monitoramento, onde essas informações podem ser coletadas
via SNMP.
O gerenciamento de identidade coleta essas informações baseadas em atributos capturados
dos pacotes que passam pelo equipamento. A quantidade de atributos que podem ser capturados,
depende dos protocolos que trafegam na rede, conforme a Tabela 4.4.1 à seguir:
Atributo
NetLogin LLDP
Identidade do usuário
x
x
Porta do usuário
x
x
Endereço MAC do dispositivo
x
x
VLAN
x
Protocolo autenticação NetLogin
x
Falhas na autenticação
x
Associação entre MAC e IP
FDB IP-Security Kerberos Snooping
x
x
x
x
x
x
x
Tabela 4.1: Tabela de atributos que podem ser capturados versus protocolo - adaptado de
(NETWORKS, 2011)
A autenticação Kerberos é usado pelo Active Directory da Microsoft, e por vários sistemas
UNIX, como o Linux e Mac OSX (NETWORKS, 2011). Dada a quantidade de informações
que podem ser obtidas a partir desse protocolo, e devido a integração com o Active Directory
(base de autenticação de usuários utilizados pela UFBA) decidimos fazer um piloto com este
protocolo.
O Kerberos é um protocolo de autenticação de rede, projetado para fornecer autenticação segura para aplicações do modelo cliente / servidor usando criptografia de chave secreta,
sendo projetado sobre plataforma livre, porém muito utilizados por muitas aplicações comerciais (MIT, 1993).
O recurso Kerberos Snooping é uma solução proprietária, provido pela Extreme Networks2 e
coleta informações de identidade a partir de pacotes Kerberos que trafegam pelo switch, quando
essa funcionalidade está ativada.
2 http://www.extremenetworks.com/
51
Com apoio do CPD/UFBA, conseguimos um switch Extreme, modelo X150 com software
atualizado em sua última versão disponível; e nos foi dado emprestado pelo período de 15 dias,
para ser utilizado e realizado experimentos nas instalações do próprio CPD.
CONHECENDO E TESTANDO A FUNCIONALIDADE
De posse do equipamento e após realização um estudo de como testar a funcionalidade,
criamos inicialmente um pequeno piloto que consistiu em basicamente em:
• Colocar o switch em uma das VLANs da UFBA (escolhida aleatoriamente);
• Habilitar e configurar a funcionalidade de Identity Management;
• Utilizar uma máquina com Windows para se autenticar no domínio UFBA e colocamos
este em uma porta do switch;
• Usar uma outra máquina com GNU/Linux (fora do domínio) e colocamos este em uma
porta do switch;
Montado o laboratório, ligamos nossos computadores configurados para o teste que inicializaram normalmente. Logamos em ambas as máquinas uma no domínio e outra fora do domínio,
e todo ocorreu de forma transparente.
Acessando o switch para verificar as informações coletadas, observamos os dados exibidos
pela Figura 4.3. Esse resultado, apesar de ser proveniente de um experimento relativamente simples, demonstra uma grande possibilidade de uso. No mínimo, obtivemos duas funcionalidades
bastante desejáveis ao combate da atividade maliciosa nas redes de campus, à saber:
1. Associar o username ao endereço MAC e o endereço IP; para máquinas dentro do domínio
UFBA;
2. Identificar a porta física que um dispositivo está conectado, tanto para máquinas dentro e
fora do domínio;
Para ter acesso a rede UFBA e assim obter um username, o usuário teve que ter preenchido
um formulário, no qual consta algumas informações sobre o mesmo, como matrícula (de servidor ou aluno), telefone de contato e e-mail. Ou seja, pode-se facilmente correlacionar essas
52
Figura 4.3: Resultado da piloto utilizando Identity Management com Kerberos Snooping
informações do cadastro com os dados coletados pela funcionalidade assim como como o endereço IP e MAC da notificação, emitindo assim algum tipo de notificação ao usuário informando
que sua máquina gerou um incidente de segurança, e a mesma será bloqueada por questões de
segurança e pelo benefício comum. Ainda, como essa funcionalidade, sabendo a porta física
que o dispositivo está conectado, o bloqueio pode ser feito de maneira bastante preciso, exatamente na porta que o usuário está conectado. Para os casos de máquina fora do domínio, não
será possível identificar o usuário, mas mesmo assim, o bloqueio na porta pode ser feito da
mesma maneira.
Algo que pode representar um problema em efetuar o bloqueio exatamente na porta em que
o dispositivo está conectado, é que esse pode efetuar a troca de ponto de rede facilmente, seja
dentro de sua sala ou se ele tiver acesso ao switch em seu prédio. Portanto, essa abordagem,
apesar de ser possível, deve ser analisada cuidadosamente.
EXPERIMENTO NA REDE DE ESTAÇÕES DO CPD/UFBA
Para que nosso experimento pudesse ter resultados mais próximos de um ambiente de produção real, propomos ao CPD/UFBA realizar um experimento em toda rede de estações do
CPD; uma vez que essa unidade possui, de maneira aproximada, mais de 100 usuários.
53
O número de switches e portas físicas que conectam as estações do CPD é muito superior
ao número de portas disponíveis em nosso switch de teste (48 portas - 100M + 2 portas 1000M
Fibra Ótica ou 2 portas 1000M Par Trançado 3 )). Então propomos a solução ilustrada na Figura
4.4.
Figura 4.4: Experimento na rede de estações do CPD/UFBA - Id entity Management com Kerberos Snooping
Está solução prezou em não trazer prejuízo ao desempenho da rede dos usuários, e pudesse
ser inserida (e posteriormente removida) de maneira rápida na rede.
Desta forma, como existem mais de uma VLAN nos switches do CPD, configuramos as 2
portas Gigabit Ethernet em todas as VLANs existentes no CPD, e a ligação anteriormente
do switch principal (na Figura 4.4 o switch A) com o Core da UFBA foi desviada para nosso
switch. Assim, uma interface de nosso switch se conectava ao Core e a outra ao switch principal,
possibilitando todo tráfego passar por ele. Esse procedimento foi realizado seguindo todas as
recomendações e políticas do CPD/UFBA, e para não gerar indisponibilidade para os usuários,
foi realizada fora do horário de expediente.
Mantivemos o equipamento ativo na rede pelo período de uma semana, e os resultado são
apresentados no Apêndice A. Neste resultado, podemos observar que pouco mais de 50% das
3 Portas
XOR
54
máquinas estão no domínio UFBA. Nesse caso em particular, observamos que muitos dispositivos identificadas como fora do domínio,representam máquina rodando alguma distribuição
baseada em UNIX ou eram algum switch gerenciável. Observa-se nesse resultado que todos
foram identificados na porta 49, o que é facilmente justificado pelo formato do nosso experimento.
Apesar da solução ser proprietária e representar certa desvantagem, contudo, o protocolo
Kerberos é aberto e livre, podendo ser implementada de forma similar por outros fabricantes.
Através do CPD/UFBA, contactamos dois fabricantes (não citados nesse trabalho, porque não
tivemos autorização destes) por telefone, perguntando por funcionalidade igual ou equivalente
nos seus produtos. Em ambos os casos foi informado posteriormente, que eles não possuem
e justificam que seus clientes ainda não haviam sentido a necessidade de característica semelhante, mas que nosso questionamento foi registrado como sugestão.
Concluímos que essa funcionalidade pode ser bastante útil para auxiliar as instituições que
tenham interesse em combater de forma eficiente as atividades maliciosas em sua rede, possibilitando o correlacionamento das informações e a identificação dos usuários. Acreditamos
ainda, que cabe as instituições de ensino e pesquisa, como a UFBA e outras de grande porte, que
adquirem muitos equipamentos, sugerir ou exigir em seus editais licitatórios que os fabricantes
disponibilizem em seus produtos funcionalidade semelhante, haja visto o valor agregado para
instituição.
4.5
CONTENÇÃO MANUAL DE ATIVIDADE MALICIOSA
NA REDE UFBA
O processo de contenção manual de atividade maliciosa na UFBA dá-se início após o recebimento da notificação da ocorrência do incidente de segurança. Recebida a notificação, ela
é encaminhada ao TRAIRA, que efetua os devidos tratamentos e retorna um email destinado a
equipe TI contendo: o endereço IP, endereço MAC e a VLAN, conforme citado anteriormente
na Seção 3.2).
As atividades da equipe de TI da UFBA são bem definidas e divididas, e ficou a cargo da
equipe de operação (parte da equipe de TI) realizar o procedimento de contenção manual dos
incidentes. Essa equipe contém aproximadamente por 10 pessoas, dividida em dois turnos (manhã e tarde), sendo composta por funcionários da UFBA e terceirizados que realizam diversas
atividades no CPD/UFBA, dentre outras:
55
• Controle e manutenção da temperatura do sistema de ar-condicionado do datacenter e
das instalações do CPD;
• Gerenciamento dos níveis do tonner, cartuchos, e papel, bem como das próprias impressoras;
• Troca periódica das fitas de backup dos servidores, assim como o armazenamento e organização dessas em cofre seguro no datacenter;
• Monitoramento dos ativos da rede, como servidores e equipamentos, alertando os respectivos responsáveis por indisponibilidade, o problemas de espaço em disco ou link
saturado, etc;
Mais especificamente, 4 operadores realizam de segunda à sábado realizam a contenção
nos roteadores da instituição, podendo a depender do volume de notificações ter apoio de um
ou dois bolsistas, que realizam algumas atividades como parte da equipe de TI.
Como vimos anteriormente, a estratégia de realizar o bloqueio nos roteadores é em dado
momento eficaz, e detém a propagação da atividade maliciosa; contudo não permite o usuário
saber que sua máquina foi bloqueada. Na UFBA, o processo de contenção é feita nos roteadores,
como alternativa viável para instituição bloquear os endereços MAC notificados. Seria desejável
realizar o bloqueio mais próximo possível (nos switches) das máquinas infectadas, mas essa
decisão foi escolhida fundamentalmente por:
• Ausência de recursos de segurança que possibilitem o tratamento de incidentes de segurança de maneira eficiente e eficaz, devido a diversidade de fabricantes, modelos, versões
e funcionalidade, contando com relativa presença de equipamentos não-gerenciáveis espalhados pela rede;
• Contenção nos roteadores permite que procedimentos sejam executados de maneira uniforme e centraliza em regiões (conforme seção 3.1) realizada em equipamentos robustos
de mesmo fabricante, possibilitando o uso das mesma funcionalidades, em particular a
criação de ACLs sobre as interfaces do roteador, que na UFBA representam de maneira
geral, uma para cada unidade da instituição;
Desda forma, o operador ao receber a notificação observa a VLAN onde a máquina foi
identificada, e sabendo ele onde essa VLAN é roteada, a acessa o respectivo equipamento: Se a
ACL não existe para aquela unidade ele criará uma nova e aplicará a respectiva interface, senão
56
adicionará a ACL já existente uma nova entrada, contendo o endereço MAC notificado. A ACL
é composta basicamente por 4 partes:
1. Nome da ACL: normalmente criadas com as iniciais do nome da unidade, por exemplo,
LET para Letras, BIO para Biologia, ARQ para Arquitetura, entre outros;
2. Sequência de entradas: cada entrada representa um dispositivo onde foi aplicada a contenção. No início de cada entrada temos um número, que representa apenas a posição
na sequência, que deve ser menor que o delimitador (explicado à seguir). Em seguida,
têm-se a possibilidade de negar (deny) ou permir (allow) um dispositivo (host) colocando
seu endereço MAC logo após ou todos (any). E por fim, o tipo de protocolo de origem
seguido pelo de destino.
3. Delimitador da ACL: similar a sequência anterior, como a diferença que o número deste
representa a quantidade máxima de possíveis bloqueios ou permissões, e seguido pela
regra que será aplicada a qualquer outro endereço MAC na contido na sequência anterior;
4. Quantidade de pacotes filtrados: única entrada dinâmica da ACL, que indica a quantidade pacotes que passaram por alguma regra menor que a do delimitador da sequência;
Figura 4.5: ACL criada em um roteador da rede UFBA para a faculdade de Letras
Para ilustrar, vejamos a Figura 4.5 e 4.6, exemplos de ACL real para unidade de UFBA e
ACLs associadas a interfaces, respectivamente.
57
Assim, uma nova notificação para a faculdade de Letras, um operador acessaria o roteador
de Ondina, que efetua o roteamento dessa rede, acessaria a ACL e observaria um número disponível na sequência menor que 50 (número máximo nesta ACL), 4 por exemplo, e bloquearia
o tráfego do dispositivo de qualquer protocolo de origem, para qualquer protocolo de destino.
Esse procedimento de contenção apesar de ser relativamente simples, está sujeito a algumas
falhas, dentre as quais destacamos:
• Troca de caractere no endereço MAC : Como o modelo de notificação dos grupos de
segurança seguem o modelo do (CERT.BR, 2006), o formato do endereço MAC4 vem
em seis grupos de dois caracteres hexadecimais e deve ser convertido pelo operador para
o formato de três grupos de quatro dígitos hexadecimais separados por pontos (formato
adotado pelo fabricante do roteador da UFBA). Assim, eventuais trocas de caracteres
podem ocorrer, retirando a rede um dispositivo não notificado e mantendo na rede um
dispositivo infectado (ou seja, ocorrência de dois erros);
• Contenção em ACL inativa: uma ACL só tem validade, depois de criada, quando está
associada a alguma interface. Se ela apenas for criada, e um conjunto de endereços MAC
tiver sido inserido, todas esses bloqueios estarão inativos. Assim, um operador pode criar
uma ACL e por algum descuido, não associar a alguma interface; posteriormente ele
mesmo ou outro operador pode adicionar entradas nesta ACL e todas essas sendo inúteis,
do ponto de vista de contenção. A Figura 4.6 exemplifica ACLs associadas interfaces do
roteador.
• Contenção em ACL incorreta: efetuar a contenção utilizando ACL associada a uma interface (que representa uma unidade) permite bloquear um dispositivo naquele segmento
de rede da instituição. Desta forma, se um operador adicionar um endereço MAC em
uma ACL diferente da correspondente a informada na notificação, aquele dispositivo estará bloqueado em um segmento de rede diferente do qual ele pertence, assim sendo, a
contenção não foi eficaz. Como exemplo, uma notificação chega para uma máquina do
PAF3, e o operador efetua o bloqueia na ACL correspondente ao PAF;
Posteriormente, quando o incidente for tratado (execução de anti-vírus e anti-spyware,
reinstação do sistema operacional, etc) o operador será notificado e então o endereço
4O
endereço MAC tem seu formato padrão definido por (IEEE, 1990) para os endereços físicos podendo ser
no formato de seis grupos de dois caracteres hexadecimais, separados por hífens “-” ou dois pontos “:”, como
exemplo, ab-cd-ef-01-02-06 ou ab:cd:ef:01:02:06. É possível usar outra convenção, utilizada por alguns equipamentos de rede que utiliza três grupos de quatro dígitos hexadecimais separados por pontos “.”, como por exemplo,
abcd.ef01.0206;
58
MAC será removido da ACL. Por isso, em nossa ilustração da Figura 4.5 há intervalos e
os números não são contínuos.
Figura 4.6: ACLs aplicadas sobre interfaces do roteador
4.6
CONTENÇÃO AUTOMATIZADA DE ATIVIDADE MALICIOSA NA REDE UFBA
Para equacionar o problema da propagação de atividade maliciosa na rede, estratégias de
contenção devem ser escolhidas e executadas de acordo com a as particularidades da instituição
(SCARFONE; GRANCE; MASONE, 2008). Como abordado na seção 4.6.1, a UFBA, através
de seus operadores e eventualmente bolsistas, efetua a contenção dos dispositivos no roteador
mais próximo da unidade onde a máquina foi notificada.
Propomos nessa seção nossa solução de contenção automatizada de atividade maliciosa na
rede de campus da UFBA. Para isso, inicialmente, desenvolvemos alguns scripts que possibilitavam a contenção semi-automatizada. Em seguida, tornamos o processo totalmente automatizado, através do desenvolvimento o módulo de contenção para o TRAIRA, concluindo com
este a proposta desse trabalho.
4.6.1
SEMI-AUTOMATIZANDO A CONTENÇÃO DA ATIVIDADE MALICIOSA NA REDE UFBA
Conhecida a estratégia de contenção da UFBA efetuada em seus roteadores, e os processos
envolvidos na contenção manual executados por parte de sua equipe, e as possíveis falhas associadas a esse processo, decidimos desenvolver um script que automatizasse o procedimento
59
contenção. A contenção é chamada nessa seção de semi-automatizada, pelo fato dele ainda
ser executado manualmente (na seção seguinte, isso foi resolvido com o desenvolvimento do
módulo do TRAIRA), recebendo alguns parâmetros para que ele possa realizar o bloqueio do
endereço MAC. Entretanto, posto em execução com as respectivas entradas, o script realiza todo
o procedimento de bloqueio automaticamente.
Antes de dar início ao desenvolvimento do script, nos foi concedido acesso a cada um dos
roteadores, onde foi verificado se a sintaxe de comandos era similar entre eles; mesmo sabendo
que o fabricante, modelo e software desses roteadores eram iguais, poderia existir versões do
software diferente, tradicionalmente oferecendo mudanças na sintaxe dos comandos. Foi constatado que as versões dos softwares eram iguais, todavia, apresentavam pequenas mudanças na
sintaxe. Com autorização do CPD/UFBA, ajustamos as configurações do software, de tal forma
que os equipamentos ficassem idênticos, permitindo que o código a ser desenvolvido fosse único
para todos os equipamentos, indicando apenas em alguma parte do script sobre qual roteador
ele seria executado.
Escolhemos a linguagem Shell Script, para escrever o código, pelo mesmo motivo apresentado na Seção 3.2: familiaridade com esta linguagem e a natividade desta nos sistemas Unix,
e ainda, a relativa facilidade do script interagir com os aplicativos do sistema. O Shell Script,
assim como outras linguagens mais tradicionais de programação (Perl, C, Java, por exemplo)
podem ser utilizados no núcleo do código, para compor sua lógica, todavia teriam a limitação de executar comandos nos equipamentos, obedecendo as sintaxes definidas pelo fabricante,
e principalmente fazer a interação com eles, dependendo possivelmente de alguma biblioteca
proprietária, se disponível.
Para resolver essa questão, quando era necessário realizar interação com os equipamentos,
utilizamos o Expect5 , que é uma ferramenta opensource utilizada para automatizar aplicações
interativas, tais como Telnet, FTP, passwd, fsck, rlogin, SSH, e outros (LIBES, 1991). Com essa
ferramenta, foi possível estabelecer e interagir em sessões Telnet ou SSH, comumente utilizadas
para acessar servidores e equipamentos gerenciáveis, como o caso dos roteadores. A Listagem
4.1, demonstra uma pequeno código escrito em Expect, que acessa um equipamento via Telnet,
executa um comando, e em seguida finaliza a sessão.
5 http://www.nist.gov/el/msid/expect.cfm
60
Listagem 4.1: Código escrito em Expect - inicia uma sessão Telnet, envia um comando e finaliza
a sessão
# Variaveis previamente valoradas :
# $ r e m o t e _ s e r v e r , $ m y _ u s e r _ i d , $my_password , e $my_command
# Abre uma s e s s a o T e l n e t com s e r v i d o r remoto , e e s p e r a
# o u s u a r i o no p r o m p t .
spawn t e l n e t $ r e m o t e _ s e r v e r
e x p e c t " username : "
# E n v i a o username , e a g u a r d a a s e n h a no p r o m p t .
send " $my_user_id \ r "
expect " password : "
# E n v i a a senha , e e s p e r a no p r o m p t de comandos
s e n d " $my_password \ r "
e x p e c t "%"
# E n v i a uma comando , p r e v i a m e n t e d e f i n i d o
# e e s p e r a no p r o m p t de comandos
s e n d " $my_command \ r "
e x p e c t "%"
# Finaliza sessao Telnet , e espera pelo caracter especial
# de f i m de a r q u i v o
send " e x i t \ r "
expect eof
Resolvidas as questões de equivalência de sintaxe, conhecendo os equipamentos e as etapas
de contenção manual, foi escrito o script, composto adicionalmente por cinco scripts: três em
Expect e dois em Shell Script. Os códigos adicionais poderiam ter sidos mantidos no código
principal, com funções por exemplo, entretanto como esses códigos podem ser executados e
trazer resultados de forma independente do código principal, decidimos mantê-los separados.
À seguir, descreveremos de maneira geral cada um deles, seguido da exibição do principal
na listagem 4.2
• posicao_bloqueio.sh : desenvolvido em Shell Script, recebe por parâmetro um bloco de
texto, contendo uma determinada ACL. Esse código percorrerá a ACL para tentar encontrar o primeiro primeira posição disponível na sequência, para retorná-lo como sendo a
posição em que deve ser realizado a contenção na ACL.
61
• cria_acl.sh : quando não houver uma ACL para se adicionar um dado endereço MAC
para efetuar a contenção, esse script cria uma ACL e em seguida já realiza o bloqueio.
Este, recebe por parâmetro o nome do equipamento, o nome da ACL, o endereço MAC
e uma interface do roteador. Com esses dados, ele acessa via Expect o roteador, cria a
ACL com o nome recebido, efetua a contenção na primeira posição, já que a não existia
e consequentemente está vazia. Por fim, associa a recém-criada ACL a uma interface do
roteador, para que essa tenha o efeito desejado de contenção e não torne a ACL inativa,
como visto na Seção ;
• bloqueia_mac.sh : esse script efetua o bloqueio automaticamente de um endereço MAC.
Para isso, ele recebe o nome do equipamento onde deve ser feito o bloqueio, a ACL
correspondente a contenção, o endereço MAC fornecido e a posição na sequência da ACL
a ser adicionada. Assim, quando executado, o código em Expect efetua a contenção;
• conversor_formato_macaddress.sh : após a execução do TRAIRA, é fornecido o endereço MAC no formato mais comum, seis grupos de dois dígitos em hexadecimal, separados por dois pontos “ :” ou hifens “-” (por exemplo, aa:bb:cc:dd:ee:ff ou aa-bb-ccdd-ee-ff). Esse script, escrito em Shell Script, converte o formato do endereço MAC de
entrada, passado por parâmetro, para o formato aceito por alguns equipamentos de rede,
que são três grupos de dígitos em hexadecimal separados por pontos “.” (por exempo
aabb.ccdd.eeff), como o caso do roteador da UFBA;
• show_access_list.sh : esse script, escrito em Expect, recebe por o nome do roteador
e unidade da UFBA que deve ser realizado o futuro bloqueio, e retorna a ACL e suas
respectivas entradas. Se a ACL ainda não existe, consequentemente retornará a ACL com
inexistente e vazia. Como há um processo de interação com o roteador até o momento
de exibir a ACL, e posteriormente, interagir até efetuar o logoff, o script retorna em texto
todas as etapas, similar a uma interação manual que tem os dados impressos em tela;
Listagem 4.2: Código principal de contenção
# ! / bin / bash
# V a r i a v e i s p a s s a d a s p o r p a r a m e t r o ao s c r i p t
m a c a d d r e s s =$1
a c l _ d e s t i n o =$2
62
e q u i p a m e n t o =$3
i n t e r f a c e =$4
# Executa o s c r i p t " conversor_formato_macaddress . sh " ( S h e l l )
# a f i m de c o n v e r t e r o f o r m a t o do e n d e r e c o MAC
# ( aa . bb . c c . dd . e e . f f ou aa−bb−cc−dd−ee− f f ) da
# n o t i f i c a c a o , no f o r m a t o a c e i t o p e l o r o t e a d o r da UFBA
# ( aabb . c c d d . e e f f )
macaddress = ‘ . / c o n v e r s o r _ f o r m a t o _ m a c a d d r e s s . sh $macaddress ‘
# Executa o s c r i p t " s h o w _ a c c e s s _ l i s t . sh " ( Expect ) para e x i b i r
# a ACL p a s s a d a como p a r a m e t r o e s u a s e n t r a d a s , e armazena a
# s a i d a da e x e c u c a o no a r q u i v o t e x t o " s a i d a _ c o m p l e t a . t x t "
. / s h o w _ a c c e s s _ l i s t . sh $equipamento $ a c l _ d e s t i n o
>
saida_completa . txt
# F i l t r a do a r q u i v o de t e x t o " s a i d a _ c o m p l e t a . t x t " s o m e n t e o
bloco
# de t e x t o que c o n t e m a ACL e t o d a s s u a s e n t r a d a s armazendo em
# " b l o c o _ a c l . t x t " d e s p r e z a n d o t o d o t e x t o g e r a d o do l o g i n a t e a
# e x i b i c a o da ACL e o t e x t o pos−ACL a t e o l o g o u t
i n i c i o _ b l o c o = ‘ g r e p −n e x t e n d e d s a i d a _ c o m p l e t a . t x t | c u t −d : −f1
‘
f i m _ b l o c o = ‘ g r e p −n " \ b p e r m i t any any \ b " s a i d a _ c o m p l e t a . t x t |
c u t −d : −f1 ‘
awk "NR >= $ i n i c i o _ b l o c o && NR <= $ f i m _ b l o c o " s a i d a _ c o m p l e t a .
txt > bloco_acl . txt
# Apaga o a r q u i v o " s a i d a _ c o m p l e t a . t x t " que nao eh m a i s u t i l
rm −f s a i d a _ c o m p l e t a . t x t
# V e r i f i c a o numero de l i n h a s que o b l o c o c o n t e m :
63
# ACL e x i s t e : d i f e r e n t e de z e r o
# ACL nao e x i s t e : i g u a l a z e r o
n u m e r o _ l i n h a s _ b l o c o = ‘wc − l b l o c o _ a c l . t x t | awk ’{ p r i n t $1 } ’ ‘
# E x e c u t a o s c r i p t " p o s i c a o _ b l o q u e i o . s h " p a s s a n d o como
parametro
# o b l o c o de t e x t o " b l o c o _ a c l . t x t " que c o n t e m a ACL , p a r a
identificar
# a p r i m e i r a p o s i c a o d i s p o n i v e l da s e q u e n c i a p a r a e f e t u a r o
bloqueio
p o s i c a o = ‘ . / p o s i c a o _ b l o q u e i o . sh b l o c o _ a c l . t x t ‘
# Se o " n u m e r o _ l i n h a s _ b l o c o " f o r i g u a l a z e r o a ACL nao e x i s t e
i f [ $ n u m e r o _ l i n h a s _ b l o c o −eq 0 ]
then
# C r i a a ACL a t e o momento i n e x i s t e n t e e b l o q u e i a o e n d e r e c o
MAC
. / c r i a _ a c l . sh $equipamento $ a c l _ d e s t i n o $macaddress
$interface
else
# A ACL j a e x i s t e , e n t a o b l o q u e i a o e n d e r e c o MAC
. / bloqueia_mac . sh $equipamento $ a c l _ d e s t i n o $macaddress
$posicao
O diagrama da Figura 4.7, demonstrasse de maneira resumida e visual, o caminho desde a
notificação do incidente de segurança, seja por intermédio dos honeypots da rede interna propostos nesse trabalho ou grupos de segurança com CAIS/RNP ou CERT.br, até o encaminhamento
na UFBA para o TRAIRA. Com a VLAN informada na notificação, obtêm-se a partir de um
banco de dados CPD/UFBA, algumas informações associadas a ela, a saber:
1. Unidade da UFBA: Nomenclatura utilizada para as VLANs na UFBA, a mesma informada no campo VLAN, da notificação enviada pelo TRAIRA, que é utilizada nessa busca;
2. Endereçamento IP: Faixa de endereçamento da rede associada a VLAN, e também, a
mesma contida na notificação do TRAIRA;
64
3. Número da VLAN: valor numérico associado a VLAN;
4. Nome da ACL: nome que deve ser utilizada para a ACL no roteador, onde serão adicionadas as entradas para o bloqueio. Inicialmente poderia ser o mesmo nome da VLAN,
contudo, algumas unidades, como exemplificado logo à seguir, possuem mais de uma
VLAN porém na mesma interface física. Consolidou-se uma coluna para indicar o nome
da ACL nesses casos. Logo, por exemplo, as VLANs Rede_LASID e Rede_CPD, serão
bloqueada na mesma interface física, no mesmo equipamento, contudo usando somente
uma ACL. Em particular, isso foi necessário, pois o equipamento não oferece suporte a
mais de uma ACL por interface.
5. Equipamento que roteia a VLAN: equipamento que roteia a VLAN, que não necessariamente será o mesmo equipamento no qual a unidade está fisicamente conectada (dois
roteadores pode estar interconectados, um efetuando o roteamento da VLAN e o outro
apenas conectando fisicamente );
6. Interface Física: porta física do roteador (interface) associada a VLAN, onde fisicamente
a unidade está conectada, e onde deve ser realizado o bloqueio;
7. Equipamento da contenção: roteador onde a unidade está fisicamente conectada e onde
o a ACL será aplicada, ou seja, realizada a contenção;
Uma porção da tabela do banco de dados, populado com dados ilustrativos, similares aos
reais que foram omitidos por questão de segurança e privacidade da rede UFBA, pode ser visto
abaixo à seguir:
+-----------+-------------+-----+--------+--------+---------------------+--------+
| unidade
|
ipaddr
|vlan |nome_acl| equip
|
interface
|eq_bloq |
+-----------+-------------+-----+--------+--------+---------------------+--------+
...
...
...
...
...
...
...
| Rede_BIBC | 192.168.108 | 108 | BIBC
| core01 | GigabitEthernet 1/20| core02 |
| Rede_LASID| 192.168.149 | 149 | CPD
| core01 | GigabitEthernet 1/19| core02 |
| Rede_CPD | 192.168.102 | 102 | CPD
| core01 | GigabitEthernet 1/19| core02 |
| Rede_MED | 192.168.118 | 118 | MED
| core03 | GigabitEthernet 4/15| core03 |
+-----------+-------------+-----+--------+--------+---------------------+--------+
Assim, o caminho originado na notificação do incidente a UFBA, que é encaminhada ao
TRAIRA, pode através desse código semi-automatizado, efetuar a contenção minimizando ou
65
eliminando os erros apresentados durante a contenção manual. Esse caminho pode ser ilustrado
pela Figura 4.7
Figura 4.7: Fluxo da notificação do incidente de segurança até o momento da execução do
código de bloqueio
4.6.2
AUTOMATIZANDO A CONTENÇÃO DA ATIVIDADE MALICIOSA NA REDE UFBA
Foi exibido anteriormente o processo de contenção manual as suas principais características, bem como as possíveis falhas ao longo desse processo. Em seguida, demonstramos nossa
proposta de contenção semi-automatizada, que permite a redução das falhas do processo e possibilita a aceleração do processo de bloqueio, por meio de um código que através do recebimento de alguns parâmetros, realiza a contenção do dispositivo notificado como propagador de
atividade maliciosa.
Entretanto, esse processo de contenção exigia alguma intervenção manual, que por consequência permitia ainda a ocorrência de algumas falhas, tal como, erro na passagem de endereço MAC, bloqueando um dispositivo incorreto.
Em sua concepção atual, o TRAIRA atua nas duas primeiras fases do tratamento de incidentes (SCARFONE; GRANCE; MASONE, 2008), preparação e detecção e análise, descritos
na Seção 2.1.1, possibilitando à detecção de uma máquina na rede interna que gerou o incidente
ao retornar seu endereço MAC, de maneira totalmente automatizada (VALCY, 2010).
Todavia, em sua arquitetura, a ferramenta trazia a possibilidade do desenvolvimento de um
módulo de contenção, esta a última fase automatizável do tratamento de incidentes, possibilitando o isolamento das máquinas comprometidas, e consequentemente fechando o ciclo de de
tratamento de incidentes de forma totalmente automatizada.
66
Desta forma, com os scripts de contenção de desenvolvidos anteriormente, implementamos o módulo de contenção do TRAIRA, chamado pelo criador da ferramenta Containment,
conforme ilustra a Figura 4.8
Figura 4.8: Visão geral da arquitetura do TRAIRA
A arquitetura do TRAIRA é composta por cinco módulos, sendo que apenas o último ainda
não havia sido desenvolvido. Esses são descritos à seguir:
• Parser: é o módulo responsável pelo recebimento da notificação e pela extração das informações essenciais ao tratamento do incidente: endereço IP e porta de origem, data e
horário.
• NAT Mapping: este módulo utiliza as informações extraídas pelo parser e realiza uma
busca nos logs do dispositivo de NAT para associar a tupla <data, hora, IP, porta> a um
endereço IP interno, responsável de fato pelo incidente.
• IP2MAC: aqui é feita a associação do IP interno ao endereço MAC da máquina. Esse
passo é importante em instituições que utilizam o DHCP, pois um IP pode ter sido usado
por mais de uma máquina ao longo do tempo.
• Post-Detection: Este módulo é responsável pela extração de dados da notificação e do
tratamento realizado a fim de gerar estatísticas sobre os incidentes, gerar relatórios à
67
equipe de helpdesk (para, por exemplo, efetuar o isolamento e desinfecção da máquina) e
responder à instituição que reportou o incidente.
• Containment: Neste módulo é feito o isolamento do dispositivo que causou o incidente
para evitar que ele continue com a atividade maliciosa na rede ou afete outros recursos.
Figura 4.9: Tela do módulo de contenção do TRAIRA
Desta maneira, foi escrito o código desse último módulo em Perl6 , linguagem de desenvolvimento do TRAIRA, para realizar a contenção automática dos dispositivos notificados, através
das notificações que integradas aos scritps anteriormente desenvolvidos, tornam o processo totalmente automatizado, eliminando todas as etapas manuais, e minimizados as falhas anteriormente apresentas. Ainda, serviu como contribuição para (CERT.BAHIA, 2010), que atualmente
está em produção na rede UFBA, auxiliando no combate automatizado de atividade maliciosa.
A tela deste módulo no TRAIRA pode ser visto em 4.9.
6 Perl
é uma linguagem de programação interpretada, multiplataforma e bastante usada no processamento de
cadeias de caracteres, manipulação de texto e casamento de padrões (através de expressões regulares) (PERL.ORG,
2010).
68
Entretanto, em dado momento por algum motivo, a equipe de TI da UFBA pode desejar
interromper a automatização. Assim, foi pensado durante a implementação deste módulo, a
opção de ativar ou não o bloqueio automático das máquinas notificadas, através do checkbox
“Bloquear Host”, conforme visto na Figura 4.9.
Adicionalmente, ao manter a contenção de maneira automatizada, pode haver a necessidade
de não realizar a contenção de algumas máquinas em detrimento a outras ou de algumas redes
(VLANs). Suponhamos que um servidor de DHCP da rede ou o servidor DNS de alguma forma
esteja comprometido e seja identificado e notificado (similar ao incidente que ocorreu com o
servidor, descrito em 3.3). Para isso, concebeu-se o conceito de “Writelists”, tanto por VLAN
ou por endereço MAC. Desta forma, de maneira simultânea, pode-se adicionar exceções na lista
de unidades, através do nome da VLAN ou por endereço MAC. A única restrição imposta, é
que o nome da VLAN siga o mesmo padrão adotado no procedimento manual, a fim da regra
funcionar corretamente e, o endereço MAC seja adotado no formato aa:aa:aa:aa:aa:aa ou aa-aaaa-aa-aa-aa; deixando a cargo do script realizar a conversão para o formato do equipamento.
69
5
CONCLUSÃO
O advento da era comercial na Internet e o desenvolvimento de protocolos que estenderam
seu uso, associado a diversidade de serviços oferecidos, tem alavancado o número de equipamentos com acesso à rede a cada ano. Simultaneamente, um série de problemas vieram
agregados, dentre os quais, a elevação da ocorrência de incidentes de segurança, em particular,
a ação de atividade maliciosa nas redes de computadores, conforme demonstram as estatísticas
do CERT.br (CERT.BR, 2011).
Esse fato é bastante comum em instituições de ensino e pesquisa, devido a extensão da
rede e diversificação dos perfis de usuários, que recorrentemente, adquirem equipamentos para
montar suas salas e laboratórios de maneira autonômica ou utilizam dispositivos móveis particulares, como os notebooks, que são conectados indiscriminadamente à rede, sem seguir políticas
de segurança da instituição, e muitas vezes, não possuem softwares de anti-vírus instalados ou
mantêm seus sistemas operacionais com as devidas atualizações de segurança.
A incidência de atividade maliciosa sobre as redes de computadores acarretam uma série
prejuízos, que vão além de números em estatísticas. O simples fato de ter uma máquina comprometida e ignorá-la, pode permitir o comprometimento de outros dispositivos na rede que, em
dado momento podem ocasionar a indisponibilidade parcial ou total da rede, através da saturação dos recursos computacionais. No aspecto financeiro, os danos podem ocorrer de diversas
formas, seja pela necessidade de contratação de mais pessoas, para realizar o tratamento dos
incidentes e restabelecimento dos sistemas comprometidos, ou na necessidade do aumento de
capacidade de banda, devido ao tráfego malicioso. Ainda, de maneira mais grave, sanções administrativas podem vir a ser aplicadas por outros provedores, através do bloqueio do tráfego
originada destas instituições, trazendo danos incalculáveis.
Por essa razão, medidas preventivas são fundamentais nas instituições, a fim de minimizar
a ocorrência dos incidentes de segurança, mesmo sabendo que, nem todos podem ser evitados
(SCARFONE; GRANCE; MASONE, 2008). Assim, devem haver esforços por parte das instituição na implantação de recursos computacionais que possibilitem a detecção, tratamento das
70
notificações e a depender do tipo de ocorrência, realizar a contenção do dispositivo causador do
incidente, de forma eficaz.
Este trabalho foi condizido no ambiente da rede acadêmica da Universidade Federal da
Bahia (UFBA), uma rede de campus, na qual conduzimos um estudo de caso de detecção e contenção automatizada de atividade maliciosa. Para detecção automatizada, utilizamos um recurso
computacional de segurança projetado e dedicado a ser sondado, atacado ou comprometido, conhecido como honeypots (SPITZNER, 2003). Tradicionalmente, grupos de segurança, como
o CERT.Bahia, utilizam essa recurso com um endereço IP público (popularmente chamado de
IP roteável), expostos para Internet, detectando incidentes de segurança originadas em outras
redes, ou ocasionalmente de sua própria rede, todavia identificando apenas atividade maliciosa direcionada de endereços IP da Internet para Internet, conforme estatísticas do CERT.Bahia
(CERT.BAHIA, 2011b). Nesse trabalho, propomos uma estratégia diferente da convencional,
utilizando os honeypots distribuídos por toda rede acadêmica da instituição utilizando, endereços IP privados, na chamada rede interna.
Como a rede acadêmica da UFBA é bastante extensa, composta por aproximadamente setenta unidades, contabilizando apenas as acadêmicas, utilizamos setenta honeypots de baixainteratividade, implantando um honeypot por unidade. Essa proposta permitiu detectar de forma
mais rápida dispositivos que estavam propagando atividade maliciosa, pois estando no mesmo
segmento de rede das máquinas estavam mais próximos também das máquinas infectadas por
algum tipo de malware. Consequentemente, notificamos em intervalos de tempos mais curtos,
minimizando a atividade do malware na rede. A escolha de honeypots de baixa-interatividade
deu-se pelo fato que estes estão dentro da rede de produção e não queríamos expor a rede a riscos, como pode oferecer os honeypots de alta-interatividade. Ainda, para evitar o uso de muitas
máquinas, que levaria a possível necessidade de hospedagem de máquinas na unidade, espaço
para armazenamento, dificuldade de manutenção, consumo de energia, dentre outros; utilizando
apenas uma máquina física, com a interface de rede em todas as redes acadêmicas, utilizamos o
conceito de VLAN, permitindo uma estrutura centralizada, de baixo custo e fácil manutenção.
Apesar de ser uma arquitetura centralizada, essa ofereceu maior vantagem sobre uma fisicamente distribuída, pelos pontos apresentados anteriormente; e no caso de falha, a realização da
restauração do backup da máquina, colocaria reativaria o sistema. Essa solução encontra-se em
produção atualmente na rede acadêmica da UFBA, e somente nos dois primeiros meses de sua
implantação, foram registradas mais de 250 notificações de incidentes de segurança, através de
atividade maliciosa gerada por malwares na rede.
Adicionalmente, a ferramenta TRAIRA (acrônimo para Tratamento de Incidentes de Rede
71
Automatizado), desenvolvida pelo CERT.Bahia (CERT.BAHIA, 2010) a fim de automatizar o
processo do tratamento de incidentes de segurança, permitia sua extensão, através do desenvolvimento de um módulo, para a realização da contenção automatizada; permitindo que todo
ciclo, originado na notificação até a contenção do dispositivo infectado, possa ser totalmente
automatizado. Na UFBA, essa ferramenta já é utilizada com sucesso a algum tempo, porém
toda contenção era realizada por técnicos manualmente, permitindo que falhas nesse processo
ocorressem, como a contenção de dispositivo incorreto e consequente permanência da máquina
infectada na rede. Nesse processo manual, pessoas eram desviados de suas atividades para
realizar o procedimento de contenção ou pessoas eram contratadas para tal atividade, o que
diretamente impacta em custo para instituição.
Dessa forma, foram desenvolvidos um conjunto de scripts, que juntos e executados manualmente, permitiam a realização da contenção automatizada dos dispositivos. Para eliminar
qualquer intervenção manual, minimizando as possibilidades da ocorrência de falhas, realizamos o desenvolvimento do módulo de contenção para o TRAIRA, tornando dessa forma o
processo totalmente automatizado.
Acreditamos, que os resultados alcançados nesse trabalho trouxeram uma colaboração significativa para o combate a atividade maliciosa na rede UFBA, permitindo que o modelo adotado
nessa instituição, possa ser implementado em qualquer outra instituição de ensino e pesquisa,
que tenham desejo de contribuir para redução da ocorrência de atividade maliciosa, tanto em
sua rede, quando na propagação de malwares para Internet.
Como possibilidades de extensão desse trabalho não foram esgotadas, sugere-se alguns
pontos com contribuições futuras:
• No primeiro momento, os honeypots foram implantados apenas da rede acadêmica da
UFBA, para realização do nosso estudo de caso. Todavia, pode-se expandir a implantação
dos honeypots por todas as redes da instituição, incluindo a rede administrativa, com
significativa quantidade de dispositivos e usuários; além da expansão para os campus do
interior, como Vitória da Conquista, Barreiras e Oliveira dos Campinho.
• Na implantação de honeypots da rede interna dos campi do interior do estado, uma avaliação do consumo médio de tráfego de rede, antes e após as detecções e contenções,
possibilitam um ótimo estudo de caso na identificação do volume de tráfego malicioso,
haja vista a reduzida velocidade de tráfego oferecidos pelas operadoras no interior do
estado;
• Analisar as possibilidades de aumentar o nível de interação dos honeypot, a fim de que não
72
apenas sejam detectados, mas possamos aprender com os atacantes, capturando artefatos
maliciosos e desenvolvendo técnicas de análise;
• Com o recente anúncio do fim dos endereços do protocolo IPv4, verifica-se a eminente
necessidade do uso do protocolo IPv6. Desta maneira, projetar a migração e implantação de honeypots com IPv6 é uma abordagem futura, além de estudar quais as possíveis
vulnerabilidades que podem ser estudadas do próprio protocolo;
• A padronização de notificação de incidentes de segurança desse trabalho seguiu a mesmo
modelo utilizada pelo CERT.Bahia, que segue as recomendações do CERT.br . Todavia,
não é um modelo universalmente adotado, o que impede a colaboração entre os grupos. Para isso, recomendasse com trabalhos futuros utilizar a padronização proposta pelo
IETF, a Intrusion Detection Message Exchange Format (IDMEF) para compartilhamento
de informações e definição de um formato universal de notificação;
• Na UFBA, como possivelmente em outras instituições, diversas ferramentas são utilizadas
como recursos computacionais de segurança. Assim, agrupar as notificações coletadas
a partir dos honeypots e correlacionar com os dados de outras ferramentas é bastante
interessante, para obter-se uma base integrada de dados, relacionadas a incidentes de
segurança;
73
APÊNDICE A -- RESULTADO DO
EXPERIMENTO: IDENTITY
MANAGEMENT COM COM
KERBEROS SNOOPING NO
CPD/UFBA
REMOVIDO TEMPORARIAMENTE (06/07/2011)
74
REFERÊNCIAS BIBLIOGRÁFICAS
BERRUETA, D. A practical approach for defeating nmap os- fingerprinting. Retrieved April,
v. 24, 2003.
BEZERRA, J. A. Relatório interno da divisão de suporte do cpd/ufba : Implantanção de
honeypots:experiência da ufba/pop-ba. 2009.
BäCHER, P.; HOLZ, M. K. T.; WICHERSKI, G. Know your Enemy:Tracking Botnets - Using
honeynets to learn more about Bots. [S.l.], 2005.
CAIS/RNP. Como identificar e remover o malware Conficker. 2009. Último acesso em 08 de
Junho de 2011. Disponível em: <http://www.rnp.br/cais/alertas/2009/cais-alr-2009-2a.html>.
CAIS/RNP. Relatório anual - Destaques do Tratamento de Incidentes em 2010. 2010.
Disponível em: <http://www.rnp.br/cais/relatorios>. Acesso em: 25 de maio 2011.
CERT.BAHIA. TRAIRA :: Tratamento de Incidentes de Rede Automatizado. 2010. Último
acesso em 27 de Maio de 2011. Disponível em: <http://www.pop-ba.rnp.br/Cert>.
CERT.BAHIA. Estatísticas do TOP 10 Mensal - Portas TCP. 2011. Último acesso em 06 de
Junho de 2011. Disponível em: <http://www.pop-ba.rnp.br/Cert/EstatisticasTCP>.
CERT.BAHIA. Estatísticas Honeypot - Total de acessos. 2011. Último acesso em 30 de Junho
de 2011. Disponível em: <http://www.pop-ba.rnp.br/Cert/EstatisticasTotal>.
CERT.BR. Cartilha de Segurança para Internet. Parte VII:Incidentes de Segurança e
Uso Abusivo da Rede. 2006. Último acesso em 21 de Maio de 2011. Disponível em:
<http://cartilha.cert.br/download/cartilha-01-conceitos.pdf>.
CERT.BR. Honeypots e Honeynets: Definições e Aplicações. 2007. Disponível em:
<http://www.cert.br/docs/whitepapers/honeypots-honeynets/>. Acesso em: 23 de maio 2011.
CERT.BR. Cartilha de Segurança para Internet. Parte I:Conceitos de Segurança. 2010. Último
acesso em 22 de Maio de 2011. Disponível em: <http://www.cartilha.cert.br/download/cartilha01-conceitos.pdf>.
CERT.BR. Incidentes Reportados ao CERT.br – Janeiro a Dezembro de 2010. 2010. Disponível
em: <http://www.cert.br/stats/incidentes/2010-jan-dec/tipos-ataque.html>. Acesso em: 26 de
maio 2011.
CERT.BR. Estatísticas dos Incidentes Reportados ao CERT.br. 2011. Disponível em:
<http://www.cert.br/stats/incidentes/>. Acesso em: 25 de maio 2011.
CISCO. CiscoWorks LAN Management Solution. 2011. Último acesso em 22 de Junho de 2011.
Disponível em: <http://www.cisco.com/en/US/products/sw/cscowork/ps2425/index.html>.
75
D-LINK. D-View 6.0 Network Management Software, Professional Version. 2011. Último
acesso em 22 de Junho de 2011. Disponível em: <http://www.dlink.com/products/?pid=677>.
DANYLIW, R.; MEIJER, J.; DEMCHENKO, Y. The incident object description exchange
format. Request for Comments, Internet Engineering Task Force, v. 5070, 2007.
DEBAR, H.; CURRY, D.; FEINSTEIN, B. The intrusion detection message exchange format
(idmef). 2007.
EDWARDS, W. et al. CCNP complete study guide. [S.l.]: Sybex Inc, 2005.
EXTREMENETWORKS. Ridgeline Network and Service Management. 2011. Último acesso em 22 de Junho de 2011. Disponível em:
<http://www.extremenetworks.com/products/Ridgeline.aspx>.
F-SECURE. Trackware:W32/Tracking_Cookie. 2011. Último acesso em 12 de Junho de 2011.
Disponível em: <http://www.f-secure.com/sw-desc/trackware_w32_tracking_cookie.shtml>.
F-SECURE. Trojan-Dropper:W32/Stuxnet. 2011. Último acesso em 12 de Junho de 2011.
Disponível em: <http://www.f-secure.com/v-descs/trojan-dropper_w32_stuxnet.shtml>.
FILHO, A. B. et al. Honeynet.br: Desenvolvimento e implantação de um sistema para
avaliação de atividades hostis na internet brasileira. In: Anais do IV Simpósio sobre Segurança
em Informática (SSI’2002). São José dos Campos, SP: [s.n.], 2002. p. 19–25.
IEEE. IEEE 802 LAN/MAN Standards Committee. 1990. Último acesso em 24 de Junho de
2011. Disponível em: <http://www.ieee802.org/>.
KARTHIK, S.; SAMUDRALA, B.; YANG, A. Design of network security projects using
honeypots. In: Journal of Computing Sciences in Colleges. Houston, Texas: [s.n.], 2005. p.
282–293.
KASPERSKY. What is Adware, riskware, pornware and how can I fight these
programs? 2011. Último acesso em 13 de Junho de 2011. Disponível em:
<http://support.kaspersky.com/viruses/common?qid=193238514>.
KIPPO. Kippo - SSH Honeypot. 2010. Último acesso em 24 de Maio de 2011. Disponível em:
<http://code.google.com/p/kippo/>.
KUROSE, J.; ROSS, K. W. Redes de Computadores e a Internet. [S.l.]: Pearson Addison
Wesley, 2006.
LIBES, D. Expect: Scripts for controlling interactive processes. Computing Systems, Citeseer,
v. 4, n. 2, p. 99–125, 1991.
MARCELO, A.; PITANGA, M. Honeypots: a Arte de Iludir Hackers. [S.l.]: Brasport, 2003.
MICROSOFT. Microsof - O que é o spyware? 2006. Último acesso em 13 de Junho de 2011. Disponível em:
<http://www.microsoft.com/portugal/athome/security/spyware/spywarewhat.mspx>.
MICROSOFT. Microsoft Offers $250,000 Reward for Information Leading to Conviction
of MyDoom.B Perpetrators. 2009. Último acesso em 23 de Maio de 2011. Disponível em:
<http://www.microsoft.com/presspass/press/2004/jan04/01-29mydoombrewardpr.mspx>.
76
MIT. Kerberos: The Network Authentication Protocol. 1993. Último acesso em 22 de Junho de
2011. Disponível em: <http://web.mit.edu/Kerberos/>.
MOKUBE, I.; ADAMS, M. Honeypots: concepts, approaches, and challenges. In: ACM-SE
45: Proceedings of the 45th annual southeast regional conference. New York, NY, USA:
ACM, 2007. p. 321–326. ISBN 978-1-59593-629-5.
NETWORKS, E. Extremexos concepts guide - software version 12.5.2. Extreme, 2011.
PERL.ORG. The Perl Programming Language. 2010. Último acesso em 14 de Novembro de
2010. Disponível em: <http://www.perl.org>.
PORRAS, P. Inside risks reflections on conficker. Communications of the ACM, ACM, v. 52,
n. 10, p. 23–24, 2009.
PROJECT, T. H. Know Your Enemy: Revealing the Security Tools, Tactics, and Motives of the
Blackhat Community. 1st. ed. [S.l.]: Addison-Wesley, 2001. ISBN 0-201-74613-1.
PROVOS, N.; HOLZ, T. Virtual honeypots: from botnet tracking to intrusion detection.
Addison-Wesley Professional, 2007.
RESPONSE, S. S. W32.Qakbot in Detail. 2011. Último acesso em 08 de Junho de 2011. Disponível em:
<http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_qakbot_in
REYNOLDS, J. Rfc1135: Helminthiasis of the internet. RFC Editor United States, RFC
Editor, United States, 1989.
SCARFONE, K.; GRANCE, T.; MASONE, K. Computer Security Incident Handling Guide.
NIST Special Publication, v. 800–61, 2008.
SOCIETY, I. C. Ieee standard for local and metropolitan area networks: Overview and
architecture. IEEE Standards, ACM, 2001.
SPITZNER, L. Honeypots: Tracking Hackers. 1st. ed. [S.l.]: Addison-Wesley, 2003. ISBN
0-321-10895-7.
TANENBAUM, A.; WOODHULL, A. Operating systems design and implementation. 2004.
US-CERT/NIST. National Vulnerability Database. 2011. Último acesso em 12 de Junho de
2011. Disponível em: <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2568>.
VALCY, I. Traira: uma ferramenta para o tratamento de incidentes de rede automatizado.
Monografia de Conclusão de Graduação, DCC/UFBA, 2010.