Universidade de Lisboa Repositório da Universidade de Lisboa

Repositório da Universidade de Lisboa >
Faculdade de Ciências (FC) >
FC - Teses de Doutoramento >

Please use this identifier to cite or link to this item: http://hdl.handle.net/10451/7254

Título: Análise e implementação de medidas de controlo de segurança, com base na deteção de incidentes em tempo real para redes de âmbito alargado
Autor: Abrunhosa, João Manuel Pena Afonso de, 1971-
Orientador: Veiga, Pedro, 1952-
Palavras-chave: Redes de computadores
Segurança das comunicações (Informática)
Teses de doutoramento - 2012
Issue Date: 2012
Resumo: A preocupação com a segurança na Internet vem-se demostrando como crucial, face aos vetores em que a sua forte proliferação se vem alicerçando: crescimento dos débitos dos circuitos de acesso, aumento do numero de utilizadores, incremento da diversidade de aplicações disponíveis e criticidade dos dados por estes acedidos e disponibilizados. Boa parte das tentativas de intrusão observadas na Internet, tem como alvo o sistema DNS – Domain Name System. O DNS, sendo um dos serviços mais simples em que a Internet se baseia, e em simultâneo um dos seus mais frágeis. Tal facto deve-se, em boa parte, por ser um dos serviços onde ocorrem com maior incidência ataques à sua segurança. Adicionalmente e observando o facto de que a generalidade dos restantes serviços existentes depender hierarquicamente da autenticidade da informação por este prestada, o comprometimento da informação por si facultada, tem implicações diretas nos serviços que estão a montante. O presente trabalho apresenta uma nova abordagem para a identificação de ataques específicos ao servidor de DNS e uma metodologia capaz de automaticamente colmatar os mesmos. O sistema desenvolvido não assegura uma filtragem total dos ataques possíveis ao servidor de DNS, mas recorre a uma heurística própria para aumentar a resiliência de um servidor de DNS resguardando-o de uma forma automatizada. A capacidade de comunicação entre as diversas sondas, e a utilização de um repositório comum de informação, com vista a uma operação de forma integrada, são também objetivos do trabalho, que pretende ainda propor uma solução multiplataforma, e baseada em tecnologias open source. Perante um conjunto de heurísticas próprias as sondas irão reagir, ativando ou inibindo um acesso, e partilhando a informação entre si, evitando um potencial ataque a outro servidor de DNS, mesmo antes de o mesmo vir a ser consumado. O objeto do trabalho, começou com a abordagem ao estado da arte, contemplando-se o estudo das soluções existentes – com a exploração das suas potencialidades e a consequente definição das necessidades específicas a implementar. Foram traçados os objetivos a implementar na solução, criando-se a respetiva análise funcional. Encontraram-se três vetores fulcrais que orientaram a implementação da plataforma que agora se apresenta: as sondas, que recolhem os dados sobre os servidores de DNS a monitorizar e armazenam os mesmos num motor de base de dados relacional; a metodologia de análise que baseando-se numa heurística desenvolvida, avalia cada ação a tomar, e a Interface Web que permite a gestão de todas as funcionalidades inerentes a operacionalidade da solução. Existe ainda uma ferramenta de gestão de alarmes que possibilita, em função das situações detetadas, despoletar os avisos nas formas previstas – E-Mail, SMS (short message service) e IM (instant messaging), construindo-se uma solução de UM (unified messaging). A fase seguinte, foi a implementação da solução delineada, aplicada ao caso em estudo – a FCCN – Fundação para a Computação Científica Nacional, que tendo a seu cargo a gestão do domínio de topo. PT dispõe de acesso privilegiado aos servidores de DNS onde pode ser avaliada a plataforma. Face ao universo de servidores responsáveis pela operação do serviço de DNS no âmbito de .PT, foram acopladas duas sondas aos dois servidores existentes em território nacional. Foram concretizados testes sobre a validade da mesma, operaram-se melhorias sobre a metodologia implementada e concluiu-se com a colocação em produção da solução.
There is a growing concern in recent years regarding security on the Internet especially considering the ever-increasing pace of transfer rates, number of users, diversity of applications available and criticality of data accessed. Most of the intrusion attempts on the Internet are targeted at the DNS (Domain Name System). The DNS is one of the simplest services on which the Internet is based and simultaneously is also one of the most vulnerable. This is, in large part, due to the fact that the DNS is at the forefront of all Internet services that rely heavily on the authenticity of the information it provides. Consequently, an attack on the DNS has direct impact on all services and can take down significant portions on the Internet. In this work we present a new approach to identify some kind of attacks to a DNS server and a methodology to automatically isolate such attacks. The system we have developed does not guarantee a full filtering of all attacks to a DNS server but uses a heuristic approach to increase the resilience of a DNS server under unforeseen situations in an automated way. The proposed solution, based on open source multi-platform technology, allows sensorto- sensor communication but uses of a common repository of information, and operates in a truly integrated way. The sensors react based on a set of heuristics by activating or inhibiting access but also share information with other sensors, thus avoiding a potential attack on another DNS server, even before it happens. The work begins with a state of the art review, exploring the existing solutions in order to define the specific requirements for a successful solution to be implemented. Also in this phase, the aims were established and the functional analysis was created. There are three key elements that compose the platform: the probes, which collect data on the DNS servers, the engine database, which catalogs all the information and the Web Interface (Portal Security) which allows the management of all the features inherent to operation of the system. There is also a management tool that allows the setup of alarms, depending on the situations identified and sends the warnings as required - E-Mail, SMS (short message service) and IM (instant messaging), a solution of Unified Messaging. The next step was the implementation of the solution at FCCN - Foundation for National Scientific Computing. Reliability results obtained so far were very successful and the product was sent into production.
Descrição: Tese de doutoramento, Informática (Engenharia Informática), Universidade de Lisboa, Faculdade de Ciências, 2012
URI: http://hdl.handle.net/10451/7254
Appears in Collections:FC - Teses de Doutoramento

Files in This Item:

File Description SizeFormat
ulsd063895_td_Joao_Abrunhosa.pdf7,54 MBAdobe PDFView/Open
Statistics
FacebookTwitterDeliciousLinkedInDiggGoogle BookmarksMySpaceOrkut
Formato BibTex mendeley Endnote Logotipo do DeGóis 

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

 

  © Universidade de Lisboa / SIBUL
Alameda da Universidade | Cidade Universitária | 1649-004 Lisboa | Portugal
Tel. +351 217967624 | Fax +351 217933624 | repositorio@reitoria.ul.pt - Feedback - Statistics
DeGóis
Promotores do RCAAP   Financiadores do RCAAP

Fundação para a Ciência e a Tecnologia Universidade do Minho   Governo Português Ministério da Educação e Ciência PO Sociedade do Conhecimento (POSC) Portal oficial da União Europeia