Document details

Tese de mestrado em Engenharia Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2011

Neste projecto pretende-se alertar em teoria e na prática a problemática da segurança de informação em grandes redes empresariais. Estamos a falar de infra-estruturas críticas, por exemplo, no sério mercado das telecomunicações onde existe uma grande preocupação em relação a ataques ou intrusões vindas do exterior em detrimento da preocupação em relação a ataques que tenham origem na própria rede interna. Para protecção de uma rede empresarial tipicamente são utilizados mecanismos tradicionais como firewalls e/ou Intrusion Detection Systems (IDS), no entanto deve-se ter em atenção o facto destas técnicas serem eficientes na protecção contra utilizadores não autorizados e exteriores à rede empresarial, mas muitas vezes ineficientes no que diz respeito a utilizadores autorizados que possam ter já sido infectados por malware. Nestas situações, muito dificilmente existirá a garantia de uma rede empresarial segura contra a propagação de malware que tenha origem nas máquinas dos utilizadores autorizados (i.e. estagiários, colaboradores, etc). Este projecto surge na tentativa de corrigir esta potencial lacuna de segurança em grandes redes empresariais. Neste contexto é apresentada uma solução completa, o Worm Monitoring System (WMS), que permite a captura automática de tráfego supostamente malicioso que tenha origem na rede empresarial. Para tal, foram criados componentes de software que tratam automaticamente das importantes tarefas de identificação, análise dinâmica e alarmística de malware propagado internamente (worms e bots) que possa estar envolvido no tráfego capturado por uma federação de sondas (honeypots) estrategicamente distribuídas pela rede. Num ambiente empresarial é requerido ter soluções não intrusivas, assim como soluções leves, eficientes, de fácil integração e acima de tudo produtivas, pelo que houve especial preocupação na idealização e construção de uma arquitectura distribuída para o WMS. Para validar a solução implementada assim como outras aplicações da solução, foi realizada numa fase final, uma avaliação experimental completa do WMS, a partir do Worm Monitoring System interface (WMSi) que permitiu gerar resultados estatísticos e informação acerca das tendências deste tipo de ataques.

This project is an attempt to correct a potentially dangerous security gap in large enterprise networks, in this context a solution is presented, the WMS, which allows automatic capture of alleged malicious traffic that originates on the corporate network, including mechanisms of back-end, as the mwmonitor prototype, which automatically handles the important task of identifying and dynamic analyzing of internally malware spread like worms and bots that may be involved in captured traffic by the strategically distributed probes on the corporate network. In a business environment are required to have non-intrusive solutions, as well as lightweight solutions, efficient, easy integration and above all productive, and there was particular concern in the design and construction a decentralized architecture for the WMS well as the choice of constituent technologies. As a result, after the creation of security metrics, the system also allows the monitoring (WMSi) protection status of a large corporate network with regard to the occurrence of internal propagation of malware. To validate the implemented solution as well as other applications of the solution was performed in a final phase, an experimental evaluation in which they extract some interesting statistical results and information about attack trends.