La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

PROYECTO FIN DE CARRERA

Presentaciones similares


Presentación del tema: "PROYECTO FIN DE CARRERA"— Transcripción de la presentación:

1 Fermín Galán Márquez galan@dit.upm.es
PROYECTO FIN DE CARRERA Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP Fermín Galán Márquez Lectura el 23 de Julio de 2002. Esta presentación es un breve resumen del PFC, encontrándose la exposición detallada en la memoria de proyecto. La presentación está pensada para realizarse en unos minutos aproximadamente. La presentación tiene la siguiente estructura: En primer lugar, se describirá la arquitectura (módulos) y el procesado de los datos en la plataforma MIRA para la captura y análisis de tráfico en redes IP, cuyo mejoramiento ha sido objeto del presente proyecto fin de carrera. En segundo lugar, se describen los desarrollos que han constituido el trabajo. Detección de tráfico lúdico. Funciones de seguridad Estadísticas convencionales Así como una mención al resto de mejoras de menor envergadura que también se han realizado. Por último, ha modo de conclusión, se indicarán las ventajas de la plataforma MIRA finalmente desarrollada con respecto a otras alternativas de plataformas de captura y análisis de tráfico.

2 Contenidos de la presentación
Plataforma MIRA Arquitectura funcional Arquitectura física Procesado de datos Desarrollos principales Detección de tráfico lúdico Funciones de seguridad Estadísticas convencionales Desarrollos adicionales Conclusiones Líneas de trabajo futuro Julio,

3 Plataforma MIRA: arquitectura funcional
configuración Preprocesado tráfico capturado flujos Análisis Captura de tráfico sondas Red monitorizada El objetivo de la plataforma es monitorizar el comportamiento del tráfico de la red monitorizada. El resultado final será un conjunto de informes (gráfico, tablas, estadísticas, etc.) que indican las características del dicho tráfico. La plataforma no esta desarrollada de forma monolítica, sino que consta de un conjunto de módulos (formados a su vez por procesos más elementales). En primer lugar, existe un módulo de captura de tráfico. Toma su entrada de un conjunto (en principio arbitrario) de sondas situadas sobre los enlaces de la red monitorizada. El objetivo de este módulo es extraer volcados de paquetes IP del tráfico capturado. Preprocesado. Procesa el tráfico capturado, realizando una inspección de contenidos del mismo. El resultado de este proceso son flujos, que constituyen la abstracción de un conjunto de paquetes de tráfico con características comunes (direcciones IP y puertos) y con una lista de síntomas ponderados asociados. El módulo de análisis es el que genera los informes, con multiples posibilidades (por Comunidad Autónoma, por periodo, por subred, etc.). Se basa en la clasificación de cada flujo en una categoría de tráfico. Los distintos módulos pueden ser configurados de forma flexible. La comunicación entre módulos (y procesos) se realiza usando como interfaz ficheros, cuyo formato está normalizado. El consultor puede acceder a los informes via web, mediante Internet. Internet Julio,

4 Plataforma MIRA: arquitectura física
preprocesado análisis captura consolidación Red monitorizada Internet El despliegue físico de los módulos se realiza en parejas de equipos PC. Equipo de captura: módulo de captura. Equipo de análisis: módulos de preprocesado y análisis. La modularidad de la que goza la plataforma permite su escalabilidad mediante una arquitectura distribuida. En la práctica, podemos tener varias parejas de máquinas trabajando el paralelo. Esto permite cubrir redes complejas o aumentar la eficiencia en redes de alta capacidad (ejemplo: enlaces troncales de RedIris). En el caso de tener varias parejas, es necesario acumular la información que generan todas ellas en un único punto (denominándose ese proceso consolidación) para que el consultor tenga una visión unificada de la red monitorizada. Julio,

5 Plataforma MIRA: procesado de datos
síntoma patrones 736FE9091AB7690CEF7810AB89828DC761E AAB D E F DDE1900A7876E PUBLICIDAD: anuncio advertisement HTTP: HTTP 1.0 <HTML> 215/ /0 6/0 HTTP=1/0;PUBLICI=5/2 215/ / /10 215/ /990 12/10 ... Preprocesado 215/ /0 6/0 HTTP=1/0;PUBLICI=5/2 COM 215/ / /10 LUD 215/ /990 12/10 LUD ... Análisis PUBLICIDAD es COM HTTP es ACA 6667 es puerto LUD es LUD Esta transparencia muestra el flujo de información a lo largo de los procesos de la plataforma. Partimos del volcado de los paquetes IP capturados. El preprocesado busca un conjunto de síntomas en estos paquetes. Cada síntoma consta de un conjunto de patrones, cuya presencia en el paquete es indicio de dicho síntoma. La configuración del preprocesador consiste precisamente en la indicación del conjunto de síntomas y de que patrones consta cada uno. La figura muestra ejemplos. El resultado del preprocesado es un fichero con un conjunto de flujos. Cada entrada consta de VPI/VCI, protocolo (RFC1700, 6 es TCP, 17 es UDP), direcciones IP y puertos origen y destino (local y remoto), bytes cursados (ambos sentidos), paquetes cursados (ambos sentidos) y lista de síntomas encontrados en el flujo (lo más importante para el análisis). El análisis tiene por objeto dar una clasificación a cada flujo, dentro de las siguientes categorías de tráfico: ACA (tráfico académico, en principio se asume “presunción de inocencia”: todo tráfico no sospechoso de otra cosa es considerado académico), LUD (tráfico de tipo lúdico), COM (tráfico de tipo comercial) e IND (tráfico indeterminado). Puede basarse en tres tipos de heurísticos (configuración): Comparación de síntomas ponderados (lo más importante), en función de una asociación entre síntomas y categorías de tráfico (pe, PUBLICIDAD es COM, HTTP es ACA). Puertos (pe, puerto 6667 es el típico de IRC, por tanto tráfico LUD). Direcciones IP (asociadas a servidores conocidos por el tipo de tráfico que cursan, pe: Medida de aumentar la eficiencia evitando la inspección de contenidos. Es importante señalar que el algoritmo de determinación de veredicto (así como de que categorías de tráfico se utilizan) no es configurable en la versión actual de la plataforma. Julio,

6 Detección de tráfico lúdico
formato audio MP3 protocolos P2P y streaming patrones (binarios) MP3: 0xFFFA90 0xFFFB90 direcciones puertos ¿sincronización de flujo? Objetivo: desarrollo de técnicas especializadas en la detección de tráfico lúdico. En concreto, se ha elegido el tráfico de audio MP3, debido a la gran popularidad de este formato en Internet en la actualidad. Se han estudiado dos tipos de técnicas: Basadas en el formato de la secuencia de audio MP3. Extraemos un conjunto de patrones (binarios) de 3 bytes que permiten reconocer la cabecera de las tramas de la secuencia de audio. Basadas en el protocolo que siguen las aplicaciones P2P y de streaming. Las aplicaciones P2P permiten el intercambio de contenidos entre usuarios (los servidores quedan relegados a un papel secundario, actuando como intermediarios, o incluso desaparencen). El streaming permite la reproducción en tiempo real de audio servido desde Internet, en la actualidad no cuenta con mucho éxito debido a la no garantía de QoS. Puertos y direcciones. Elección: nos basamos en búsqueda de patrones, debido a: El formato MP3 es más estable que las aplicaciones Las aplicaciones utilizan puertos aleatorios. La ventaja de MIRA es la inspección de contenidos. Acciones concretas: La sincronización de flujo evita que los patrones identifiquen erróneamente un flujo MP3. Sin embargo, obliga a inspección basada en estados. No se ha utilizado. Verificación de utilidad de los patrones. Mediante el estudio estadístico de un conjunto de ficheros MP3 de prueba, comprobándose la validez. Implementación. Modificación del analizados para el soporte de patrones binarios. Modificación de la configuración de la plataforma (incluir los patrones y el síntoma como LUD). verificación de utilidad de patrones estudio estadístico (17 Gb) implementación soporte de patrones binarios Julio,

7 Estudio estadístico Ficheros MP3 Ficheros no MP3 Codificación
Ratio teórico Ratio experimental 192 Kbps 0.319 0.33 160 Kbps 0.382 0.40 128 Kbps 0.478 0.50 112 Kbps 0.547 0.57 96 Kbps 0.638 0.68 El ratio es un porcentaje que indica el grado de ocurrencias de un determinado patrón en un fichero. Cuanto mayor es, más frecuente es el patrón en el fichero. La figura muestra una tabla con los resultados del estudio estadístico para ficheros MP3, destacando la gran proximidad entre los resultados experimentales y los resultados reales para los ficheros MP3 del conjunto de prueba. Para los ficheros no MP3 destacar que el grado de ocurrencia de los patrones binarios de detección es prácticamente nulo, con lo que las posibilidades de confundir un flujo no MP3 como uno que si lo es. Ficheros no MP3 ratio experimental: despreciable Julio,

8 Funciones de seguridad: arquitectura
configuración firmas de ataque tráfico capturado flujos Captura de tráfico Preprocesado Análisis NIDS respuesta activa sondas Red monitorizada Objetivo principal: monitorización pasiva de la seguridad. Detección de incidentes de seguridad mediante la inspección del tráfico. La transparencia muestra la arquitectura original vista en un principio, a la que se incorpora la funcionalidad de un NIDS (Network Instrusion Detection System, Sistema de Detección de Intrusiones de Red). El impacto sobre las funciones de análisis de tráfico convencional deben ser el mínimo posible. La monitorización de incidentes de seguridad precisa de un conjunto de firmas de ataque (palabras claves en el contenido de un paquete, puertos utilizados, etc.) como parte de la configuración de la funcionalidad de NIDS. Objetivo secundario: respuesta activa. Que la plataforma sea capaz de informar activamente al consultor de determinados incidentes de seguridad (los más peligrosos). Esto es útil en algunos escenarios de aplicación (como LAN). Internet Julio,

9 Funciones de seguridad: desarrollo
motor de análisis base de datos de firmas know-how, herramientas, etc Snort consolidación registro informe respuesta activa tráfico seguridad Problemas a afrontar: Motor de análisis. Las firmas de ataques representan patrones de tráfico complejos que precisan de algo que de la simple inspección de contenidos. Por ejemplo, poder incluir los puertos de transporte en el análisis o detección basada en el estados (por ejemplo, para detectar exploraciones de puertos). Base de datos de firmas. Existencia de infinidad de ataques de seguridad. Continua evolución de los mismos. Solución: usar Snort. NIDS de libre uso y código abierto. Motor de análisis especializado en seguridad muy eficiente. Incluye base de datos de firmas de ataque que se actualiza periódicamente con nuevas versiones. Ventaja adicional: poder utilizar todo el know-how y las herramientas asociadas al proyecto Snort. En concreto, se han utilizado herramientas para generación de informes (SnortSnarf) y para la incorporación de funciones de respuesta activa (Guardian). No se puede usar Snort tal cual. Hay que resolver los problemas de acoplamiento dentro de la cadena de procesos del tráfico convencional, mediante la adaptación de los interfaces de entrada y salida. El tratamiento del tráfico de seguridad se separa del tráfico convencional (objetivo de mínimo impacto). Sobre este tráfico se realizan procesos de consolidación, registro (grabar paquetes correspondientes a ataques para investigación o denuncia posterior), generación de informes y respuesta activa. procesos de captura de análisis convencional tráfico capturado flujos Snort adaptación Julio,

10 Estadísticas convencionales
flujos TCP UDP 53 109 110 143 220 POP IMAP DNS clasificador de tráfico MAIL DNS Objetivo: complementar las funcionalidades de clasificación basadas en inspección de contenidos (característica distintiva de MIRA) con funcionalidad de clasificación “convencionales” basadas en inspección de cabeceras (protocolo y puerto de aplicación). A alto nivel, un clasificador de tráfico analiza los flujos y genera informes. Este proceso trabaja a tres niveles de clasificación: Matriz de uso de puertos TCP y UDP. Aplicaciones. Cada aplicación consta de un conjunto de puertos. Grupos de aplicación. Cada grupo de aplicación consta de un conjunto de aplicaciones. Los informes generados son de dos tipos: A bajo nivel. Muestra el tráfico (bytes) cursado por cada puerto TCP y UDP. A alto nivel. Muestra el tráfico (bytes) cursado por los distintos grupos de aplicación (generalmente más útil para un consultor). Importante: no confundir estos grupos de aplicación con las categorías de tráfico (ACA, LUD, COM, IND). Ambas clasificaciones son independientes y complementarias. estadísticas de bajo nivel estadísticas de alto nivel Julio,

11 Desarrollos adicionales
Mejora del preprocesado Patrones binarios (necesarios para MP3) Algoritmo de búsqueda (Boyer-Moore):~40% caso insensitivo Medidas de uso Flexibilización de la clasificación de tráfico Definición de gramática flexible para especificar el algoritmo base de datos de patrones informes de uso depuración ~80% patrones MP3 realimentación Julio,

12 Conclusiones Beneficios de la plataforma desarrollada Conclusiones
Aumento significativo del tráfico lúdico clasificado ~20% Uso de Snort Resultados satisfactorios en estadísticas convencionales Líneas de trabajo futuro Arquitectura distribuida Aplicación de técnicas de Inteligencia Artificial Mejoras en las funciones de seguridad Implementación de la gramática del clasificador del tráfico Beneficios de la plataforma desarrollada: Inspección de contenidos vs. inspección de cabeceras. Bajo coste (PCs y sistemas operativos libres). Modularidad. Flexibilidad (adaptación a múltiples escenarios). Integración (funciones de seguridad, análisis de tráfico basado en inspección de contenidos y análisis de tráfico basado en inspección de cabeceras). Valor añadido y mayor eficiencia. Conclusiones: El aumento significativo en el tráfico LUD que ha mostrado el desarrollo de las técnicas de detección de tráfico lúdico (y que no hubiera sido posible sin ellas) indica la tendencia actual al uso de Internet con fines lúdicos. La utilización de desarrollos externos en el trabajo de seguridad (Snort y herramientas asociadas) ha reducido significativamente la complejidad del trabajo realizado. Las funciones de seguridad desarrolladas han sido satisfactorias, pero es necesario realizar una prueba intensiva de su impacto en la plataforma. La utilidad del módulo de estadísticas convencionales queda respaldada por los informes presentados a RedIris, donde se han incluido gráficas sobre puertos TCP y UDP y aplicaciones gracias a este módulo. Trabajo futuro (líneas más destacadas). La plataforma permite arquitectura distribuida. Una línea de investigación podría estar dirigida hacia el plateamiento de escenarios donde se aprovechara esta capacidad. Aplicación de técnicas de Inteligencia Artificial a los resultados obtenidos, para extraer patrones ocultos de utilización del tráfico y mejorar la base de datos de configuración de la plataforma. Las funciones de seguridad pueden hacerse más eficientes, mejorando el acoplo del motor de análisis (de Snort) a los procesos de la plataforma. Implementar la mejora de flexibilización de clasificación de flujos cuyo análisis y diseño se ha realizado como desarrollo adicional. Julio,


Descargar ppt "PROYECTO FIN DE CARRERA"

Presentaciones similares


Anuncios Google