FTP Tolerante a Intrusões

Navigators
SINO ‘2005
FCUL
FTP Tolerante a Intrusões
José Pascoal Tiago Jorge
Miguel Correia Nuno F. Neves Paulo Veríssimo
Faculdade de Ciências da Universidade de Lisboa
LASIGE, grupo Navigators
Navigators
SINO ‘2005
FCUL
Sumário
• Tolerância a intrusões e Wormholes
• Concretização do WOO
• O serviço de FTP tolerante a intrusões
• Conclusões
2
1
SINO ‘2005
Navigators
FCUL
1. Tolerância a intrusões
e Wormholes
SINO ‘2005
Navigators
FCUL
Tolerância a Intrusões
• aplicar o paradigma da tolerância a
faltas no domínio da segurança
Fassumir e aceitar que o sistema permanece
sempre vulnerável
Fassumir e aceitar que os componentes do sistema
podem ser atacados e que alguns desses ataques
terão sucesso
Fgarantir que o sistema como um todo permanece
seguro e operacional, ou seja, que não falha
4
2
Navigators
SINO ‘2005
FCUL
Serviços Distribuídos TI
SERVIÇO DISTRIBUÍDO TI
SERVIDORES (N)
TI
P
FT
Objectivos:
• integridade
• disponibilidade
PEDIDO
RESPOSTA
CLIENTES
5
SINO ‘2005
Navigators
FCUL
Replicação de Máq.de Estados
• solução genérica para a concretização de serviços
tolerantes a faltas... e intrusões
• cada servidor é uma máquina de estados definida por
variáveis de estado; comandos atómicos
SERVIÇO DISTRIBUÍDO TI
• mínimo N=3f+1 réplicas para
SERVIDORES (N)
tolerar f réplicas maliciosas
• qq nº de clientes maliciosos
PEDIDO
RESPOSTA
CLIENTES
6
3
Navigators
SINO ‘2005
FCUL
Sistema com Wormhole
• componente privilegiada distribuída que pretende
lidar com algum tipo de incerteza – aqui insegurança
SERVIDORES (N)
WOO
local
TTCB
WOO
local
WOO
local
Wormhole WOO: subsistema
seguro e com funcionalidade
limitada
Canal de controle da WOO
WAN / LAN
O serviço é executado nos servidores
mas chama o WOO para ajudar a
ordenar os pedidos
CLIENTES
7
Navigators
SINO ‘2005
FCUL
Wormholes e TI
• Contribuições:
Fprotocolos simples e eficientes
Fdispensar hipóteses temporais sobre o sistema
“normal”
Fdiminuir número mínimo de máquinas de estados
replicadas de 3f+1 para 2f+1
Fcontornar impossibilidade de fazer recuperação
proactiva em sistemas assíncronos
3 em vez de 4 para tolerar 1 réplica maliciosa
5 em vez de 7 para 2...
poupa-se de 25% a 33% do nº de réplicas!
8
4
Navigators
SINO ‘2005
FCUL
2. Concretização do WOO
Wormhole Ordering Oracle
Navigators
SINO ‘2005
FCUL
Arquitectura local
Micro-kernel:
L4Linux
WOO
local
• concretiza monitor de
referência
• permite isolar o WOO
local do espaço
utilizador e do SO
micro-kernel Fiasco
(interface L4)
10
5
Navigators
SINO ‘2005
FCUL
Segurança do WOO
• isolamento dentro do
Fiasco
• análise estática do
código
F Flawfinder, RATS
F 128 potenciais vulnerabil.
(analisadas manualm/)
• canal de controle (LAN)
SERVIDORES (N)
WOO
local
TTCB
WOO
local
WOO
local
Canal de controle da WOO
WAN / LAN
F segurança física assumida
F acesso nas máquinas
reservadas ao Fiasco/WOO
• controle de admissão
para evitar ataques DoS
11
SINO ‘2005
Navigators
FCUL
Arquitectura numa máquina
• L4Env – ambiente
básico (I/O, locks,
servidor de nomes,…)
• l4vfs – suporte de
ficheiros
• FLIPS – suporte de
rede
12
6
SINO ‘2005
Navigators
FCUL
Trusted Multicast Ordering
• único serviço disponibilizado pelo WOO
13
SINO ‘2005
Navigators
FCUL
3. O serviço de FTP tolerante
a intrusões
7
Navigators
SINO ‘2005
FCUL
protocolo de
difusão atômica
Replicação de Máq.de Estados
• todos os servidores seguem a
mesma sequência de estados sse:
• Estado inicial. Todos os servidores
começam no mesmo estado.
• Acordo. Todos os servidores
executam os mesmos comandos.
• Ordem total. Todos os servidores
executam os comandos pela
mesma ordem.
• Determinismo. O mesmo comando
executado no mesmo estado inicial
gera o mesmo estado final.
SERVIÇO DISTRIBUÍDO TI
SERVIDORES (N)
PEDIDO
RESPOSTA
CLIENTES
Navigators
SINO ‘2005
15
FCUL
Protocolo básico
• Cliente:
Fenvia pedido para um servidor protegido com
vector de MACs
Fespera por f+1 respostas idênticas
Fse após Tresend isso não suceder, reenvia pedido
para outros f servidores
• Servidor:
Fse receber um pedido com o seu MAC correcto,
faz difusão atómica para todos os servidores
Fquando difusão atómica entrega um pedido (por
ordem), processa-o e responde
eficiente e 2f+1 pois suportada pelo WOO
16
8
Navigators
SINO ‘2005
FCUL
Serviço de FTP TI
Apenas três tipos de pedidos:
• stor – guardar ficheiro no serviço
• retr – ler ficheiro do serviço
• list – listar ficheiros no serviço
• Ficheiros são fragmentados em pedaços de
16K
18
SINO ‘2005
Navigators
FCUL
Ambiente das experiências
• 4 PCs Pentium III
F450Mhz com 256 MB SDRAM PC133
• Duas placas de rede Ethernet 10/100
por PC
FUma para rede normal
FOutra para canal de controlo do WOO
• 2 switchs
F3COM SuperStack II 10/100
19
9
Navigators
SINO ‘2005
FCUL
Desempenho (carregamento)
580
Latência (ms)
550
520
490
460
430
400
Débito (mensagens/s)
2,3
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
Tamanho (bytes)
2,15
2
1,85
1,7
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
Tamanho (bytes)
20
SINO ‘2005
Navigators
FCUL
Desempenho e L4Linux
• versão do sistema com chamadas ao
WOO substituídas por dummies
• carregamento de ficheiro pequeno
• latência sobre Linux: 45 ms
• sobre L4Linux e Fiasco: 450 ms !
21
10
SINO ‘2005
Navigators
FCUL
Navigators
FCUL
4. Conclusão
SINO ‘2005
Conclusões
• Wormholes (como o WOO) permitem
concretizar serviços distribuídos tolerantes a
intrusões com características interessantes:
F protocolos simples e eficientes
F dispensar hipóteses temporais sobre o sistema “normal”
F diminuir número mínimo de réplicas de 3f+1 para 2f+1
• Concretização de wormhole com micro-kernel
é viável mas prejudica o desempenho face a
SO convencional. Solução: hardware.
23
11
Navigators
SINO ‘2005
FCUL
Perguntas?
• Grupo Navigators:
http://www.navigators.di.fc.ul.pt/
• Tolerância a intrusões:
http://www.navigators.di.fc.ul.pt/it/
24
12