Document details

Trabalho de projecto de mestrado em Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), apresentado à Universidade de Lisboa, através da Faculdade de Ciências, 2012

Uma ferramenta SIEM (Security Information and Event Management) representa uma solução que combina a coleção de eventos em tempo real através da monitorização de uma rede de computadores em múltiplas localizações, com a correlação e análise dos dados obtidos pela monitorização, a fim de descobrir se existem ataques/intrusões em progresso para que alarmes e ações de remediação possam ser iniciadas. ”Prevenção é ideal, mas deteção é obrigatória”. Este ´e o lema utilizado pelo projeto europeu MASSIF (FP7-257475) [1] que visa utilizar tecnologias SIEM para oferecer deteção de ataques e intrusões em sistemas informáticos sob variados contextos. Hoje em dia, a tecnologia SIEM não ´e novidade, no entanto, o projeto MASSIF aborda diversas limitações existentes nos sistemas SIEM atuais, e tenciona apresentar soluções inovadoras para esses problemas. Uma das limitações presentes é a incapacidade do sistema de fornecer um elevado grau de confiabilidade ou resiliência a ataques na disseminação de eventos entre os seus componentes (sensores e motor de correlação). O projeto MASSIF tem como objetivo contribuir para a resolução desse problema, fornecendo um mecanismo de comunicação que assegure a entrega fiável e atempada dos eventos de segurança, ainda que este se encontre sob ataque, quer nos nós que o concretizam como na rede que os liga. Esta tese foi desenvolvida neste contexto, oferecendo uma solução para a comunicação confiável em SIEMs. Uma vez que sensores e motores de correlação podem encontrar-se geograficamente dispersos, existe a necessidade de fornecer um sistema de comunicação capaz de transmitir dados (e.g., eventos e comandos de reconfiguração) não só em redes de estrutura LAN, mas também em redes de larga escala como a Internet. Alguns dos problemas associados a esta comunicação são atrasos nas transmissões de dados, configurações incorretas de rotas, violações de integridade nos dados transmitidos, e ataques de negação de serviço (DoS). Todos estes problemas podem potencialmente afetar a conformidade da análise de eventos. Na tese ´e apresentada a conceção de um Resilient Event Bus (REB) para uma comunicação confiável entre sensores e motores de correlação. O REB é baseado numa rede sobreposta que opera sobre a infraestrutura SIEM existente, e que usa vários mecanismos, como algoritmos de codificação, multihoming e transmissão de dados por múltiplas rotas, para assegurar uma entrega atempada de dados em vários cenários de falha (i.e., do tipo acidental ou malicioso). A tese apresenta o desenho dos vários mecanismos empregues pelo REB, incluindo uma comparação com outras soluções na literatura atual e a justificação das escolhas feitas. O trabalho também inclui uma descrição de uma primeira concretização do REB, a metodologia utilizada na sua execução e a análise de alguns resultados de testes.

A Security Information and Event Management (SIEM) tool is a security solution that combines real-time event collection by monitoring a target network at a diverse set of locations, with the correlation and analysis of the obtained data to find out if attacks/intrusions are in progress, so that alarms and remediation actions can be initiated. Since the different components of a SIEM tool (e.g., the sensors and the correlation engine) may be geographically dispersed, there is the need for a communication subsystem capable of transmitting data (e.g., events and reconfiguration commands) not only in LAN settings, but also over large scale networks such as the Internet. Some of the inherent problems associated to this communication are delays, routing misconfigurations, message integrity violations and denial of service attacks, which can all affect the correctness of the event analysis. This thesis presents the design of a Resilient Event Bus (REB) for a resilient communication across a diverse set of network environments. The REB is based on an overlay network superimposed on top of the existing SIEM infrastructure, which uses several mechanisms, such as coding algorithms, multihoming and multipath data transmission, to ensure timely data delivery in various failure scenarios (i.e., of both accidental and malicious nature).