TITULO: DETECCIÓN DE PROGRAMAS MALIGNOS EN REDES IP, BASÁNDOSE EN LA MEDICIÓN Y EL ANÁLISIS DE LOS FLUJOS TRÁFICO.

VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones TITULO: DETECCIÓN DE PROGRAMAS MALIGNOS EN REDES IP, BASÁNDOSE EN LA MEDICIÓN Y EL ANÁLISIS DE LOS FLUJOS TRÁFICO. Autor: Ing. Félix J. Álvarez Herrera Entidad: ETECSA. Organismo: MIC

Resumen Como parte de las tareas de administración y explotación de una red de datos, deben realizarse disímiles acciones, enfocadas a la solución de los problemas de desempeño, el planeamiento, la seguridad, etc. Para realizar estas tareas de manera efectiva es necesario realizar la medición, cuantificación y análisis del tráfico que se cursa utilizando la red En el presente trabajo se pone en práctica, en el marco de la Red Corporativa de ETECSA, una estrategia de medición pasiva, incorporando la utilización de flujos de tráfico como elementos de agregación de la información, específicamente la implementación de Cisco (NetFlow), además se realiza la recolección y análisis de dicha información utilizando para ello una herramienta de distribución libre y gratuita (FlowScan). Aunque la información de los flujos de tráfico puede ser utilizada en disímiles tareas: caracterización y comprensión del comportamiento de las redes existentes, cobro basado en el uso de los recursos, análisis de tráfico a largo plazo, detección de anomalías de operación, detección de abusos o ataques en las redes, etc. la presente investigación está enfocada hacia la detección de algunos de los programas malignos (gusanos de Internet) que se encuentran con mayor frecuencia en las redes IP y en especial en la Red Corporativa de ETECSA, lo cual constituye un muy alto riesgo en materia de seguridad informática. Palabras Claves flujos de tráfico, medición y análisis de tráfico, detección de programas malignos, gusanos de Internet. 2

INTRODUCCIÓN La medición, el análisis y la caracterización del tráfico de Internet o en general de cualquier red IP, se ha convertido en una técnica ampliamente utilizada y necesaria para cualquier operador de redes. Existen muchos sistemas que son capaces de examinar el tráfico de manera exhaustiva y detectar actividades maliciosas [1], monitorear complejas métricas de desempeño [2], o capturar trazas del tráfico. Sin embargo estos sistemas basados en trazas sin muestrear, presentan problemas de escalabilidad y está limitado su desarrollo a enlaces de baja velocidad. Los contadores SNMP [3], presentan una solución mas sencilla que ha sido ampliamente utilizada, pero que tiene sus limitaciones a la hora de detallar en la composición del tráfico, solo es capaz de reportar los totales del tráfico que se ha transmitido sobre el enlace en el que se está realizando la medición. Una técnica que en la actualidad esta siendo muy utilizada, es la medición pasiva incorporando la utilización de flujos [4] como elementos de agregación de la información, pues muestra grandes ventajas, determinadas por su poca interacción con el tráfico que se quiere analizar, los relativamente pequeños niveles de almacenamiento que se necesitan, y otras consideraciones adicionales sobre la confidencialidad y privacidad de la información. Los requisitos para desarrollar estas mediciones actualmente están disponibles, pues es muy popular entre la infraestructura de red, los dispositivos Cisco y con ellos el Netflow. 3

El NetFlow [5] es una parte integral del IOS de Cisco, que realiza la medición y colección de los datos, a la entrada de las interfaces ya sea del router o del switch, de forma extremadamente granular y exacta, lo que da lugar a los flujos, que no son mas, que agregados de tráfico de alto nivel. Entre las principales aplicaciones que se pueden desarrollar utilizando la información de los flujos de tráfico, encontramos: monitoreo del comportamiento de la red [6] y los usuarios, planeamiento de las redes, análisis de seguridad, contabilidad del trafico IP [7], ingeniería de tráfico, etc... Para realizar el análisis de la seguridad de las redes de datos, existen muchas y diversas metodologías, herramientas, y técnicas; y a su vez existen infinidad de manifestaciones en el comportamiento tanto de usuarios como de aplicaciones, que en el entorno de estas redes puede clasificarse como dañino, es por esto que se puede decir que no existe una manera absoluta de analizar todos los fenómenos. En este trabajo mostramos la factibilidad de detectar algunos de los programas malignos que en la actualidad más se han difundido tanto en Internet como en las Intranets utilizando para ello un sistema de medición y análisis de tráfico basado en flujos. Hay que destacar que para detectar estos mismos programas malignos utilizando otras de las técnicas y herramientas existentes se presenta grandes inconvenientes y en algunos casos resulta casi imposible. Además en el presente informe se describe la arquitectura de medición y las herramientas de análisis que se han puesto en práctica en el marco de la Red Corporativa de Etecsa, así como algunos de los resultados que ha arrojado esta implementación. 4

DESARROLLO 1. MEDICIÓN Y COLECCIÓN DE DATOS El primer paso en nuestro proyecto fue obtener las mediciones pasivas del tráfico en la red, a nivel de flujos IP. Los flujos IP son definidos en [4] como series unidireccionales de paquetes IP de un determinado protocolo, que viajan a través de la red entre un origen y un destino de pares IP/puerto dentro de cierto intervalo de tiempo. El Netflow realiza la creación de los flujos a la entrada del tráfico al router, y no a su salida, por lo que los flujos solo se actualizan por paquetes que provienen de la red (y no por paquetes que provienen de otras interfaces), en este trabajo nos limitamos solo a la medición y análisis concerniente al tráfico que se cursa por varias de las interfaces de un solo router (Ver Fig. 1.), un Cisco Catalyst 4503 utilizando la versión 5 del Netflow. Para realizar la colección y el análisis de los flujos, se ha decidido utilizar varios software de distribución libre y código abierto: flowdmux, cflowd [8], rrdtools [9], flowscan [11], rrgrapher [10], JKFlow [10], etc... Estas aplicaciones han sido desarrolladas bajo el auspicio de CAIDA [12] (Cooperative Association for Internet Data Analysis), y presentan grandes ventajas: son escalables, muy alto desempeño, configuración simplificada, código abierto a modificaciones, además existen varias listas de discusión sobre cada una de estas herramientas, por lo que se puede consultar cualquier duda o problema. 5

En la Fig. 2. se muestra como interaccionan cada una de las aplicaciones que se utilizan, cflowdmux recibe los datagramas UPD, con los flujos del Netflow (versión 5) proveniente del router Cisco y los pasa al cflowd (cflowd-2-1-b1) que es el encargado de crear los ficheros de flujos, después el flowscan (FlowScan-1.006) un script de Perl, procesa la información de estos ficheros y utilizando uno de los módulos de reportes previamente configurado (JKFlow), se crean y actualizan las bases de datos rotacionales correspondientes (rrdtool-1.2.1) (RRD, Round Robin Database). Por último se pueden utilizar varias herramientas para generar las imágenes con la información de tráfico, en este caso se ha utilizado RRGrapher (RRGrapher.cgi-1.32), una CGI que se puede acceder a través de un servidor Web (Apache-2.0.40 ). 2. CONFIGURACIÓN DE LAS HERRAMIENTAS En nuestra implementación, se ha habilitado el Netflow en varias de las interfaces Ethernet de un Switch Cisco Catalyst 4503, este switch se comporta como el Gateway de todas las subredes locales, por lo que se tiene acceso a todos los flujos de entrada y salida de estas. Se utilizó para la colección y el análisis, una PC de medianas prestaciones, utilizando como sistema operativo Redhat Linux 9.0, el colector cflowdmux está configurado para recibir los datagramas con los flujos por el puerto 2055, y cflowd, genera ficheros en texto plano con los flujos que se reciben dentro de un intervalo de 300 segundos, posteriormente es el flowscan quien captura estos ficheros y utilizando el módulo de reporte JKFlow actualiza las RRDs [9]. 6

La configuración del módulo de reportes JKFlow [17] permite clasificar todo el tráfico de entrada/salida de las subredes locales tanto por protocolos de transporte (tcp/udp/icmp) como de aplicación (http/ftp/smtp/dns/netbios/ microsoft-ds/ etc...), así como para las aplicaciones y servicios que se utilizan (teniendo en cuenta las principales aplicaciones y servicios identificados: navegación Web, descargas ftp, sistema SAP, SIPREC, sistema de cobros, sistema de recarga, etc...), y las estadísticas del tráfico de cada una de estas clasificaciones, ya sea en bytes, paquetes o flujos, se almacenan periódicamente en archivos RRDs. Por último, para la visualización de la información de tráfico colectada se han utilizado dos variantes: Se ha configurado la creación de varios grupos de imágenes que se actualizan automáticamente utilizando las bondades de la librería rrdtool, y que se muestran en el área de un portal Web (SharePoint Portal Server) creada con ese propósito http://www.vcl.etecsa.cu:9010/c5/administración%20de%20la%20red%20corpo/defaul t.aspx Se puede utilizar el módulo de visualización RRGrapher, que solo requiere como configuración, la localización de las bases de datos, y las directivas necesarias para poder acceder a la CGI desde un browser a través del servidor apache. 3. PROGRAMAS MALIGNOS Desde la aparición del gusano Code Red en Julio del 2001, estos fenómenos han comenzado ha ser de gran interés para la comunidad científica internacional en el campo de la seguridad informática, debido principalmente a su muy rápida velocidad de propagación, a tal punto que los sistemas basados en firmas como son los antivirus 7

existentes y los sistemas de defensa contra intrusos (IDS), son irrelevantes. Muchos de los esfuerzos en los últimos años han estado dirigidos en analizar la dinámica de la propagación de los gusanos [18,19], y en diseñar mecanismos automáticos de contención [20,21]. El gusano Slammer que apareció en Internet en enero del 2003 (en la Red Corporativa de Etecsa hizo su aparición mucho tiempo después), ha sido el gusano de más rápida propagación hasta la actualidad, y estuvo muy cerca del límite teórico de tamaño para un gusano. Slammer infecta el software Microsoft SQL Server, utilizando un simple datagrama UDP de 376 bytes de datos y 404 bytes del paquete IP, que funciona como exploit y gusano en si mismo, y no requiere acuse de recibo. Otro ejemplo es el gusano Witty aparecido en Internet en Marzo del 2004, este gusano infectó varios de los sistemas de detección de intruso ISS de la compañía BlackICE que existían a nivel mundial, cerca de 12000, en solo 45 minutos, aprovechando una vulnerabilidad aparecida solo 36 horas antes, además por primera vez un gusano tan difundido incorporaba la capacidad de provocar un daño realmente destructivo, eliminando de manera aleatoria los datos de los dispositivos de almacenamiento. 4. DETECCIÓN DE GUSANOS DE INTERNET En general los programas malignos pueden ser divididos en los siguientes grupos: gusanos, virus, troyanos, y utilidades de hackers; todos tienen como propósito dañar el sistema infectado u otros sistemas de la red. Los gusanos de red pueden ser clasificados de acuerdo al método de propagación (gusanos de correo, gusanos de mensajería instantánea, gusanos de Internet, gusanos de IRC, gusanos P2P), método 8

de instalación o finalmente teniendo encuentra algunas de las características estándares de todos los gusanos (polimorfismo, cautela, etc ). Los gusanos de Internet son aquellos que incluyen entre sus técnicas de propagación: Copia del gusano hacia los recursos compartidos de la red Explotación de las vulnerabilidades de los sistemas para penetrar estaciones o redes. Penetración de redes públicas Utilización de otros programas dañinos como transporte Básicamente el mecanismo que hemos utilizado en esta investigación para la detección de programas malignos y en especial de gusanos de Internet, consiste en: primero, caracterizar el tráfico de la red bajo circunstancias normales (teniendo en cuenta, el volumen, los protocolos, los orígenes y destinos, en diferentes periodos de tiempo etc ) y segundo determinar las circunstancias que no corresponden con esta caracterización, e identificar cuales son las causas que la provocan. Este trabajo forma parte de una investigación mucho más amplia que si tiene como principal objetivo determinar las características del tráfico de la Red Corporativa, así como de las principales aplicaciones que se utilizan. Solo vamos ha hacer referencia a algunas de estas características, aunque siempre el principal argumento lo constituye la estadísticas gráficas. En la figura 3 se muestra el comportamiento del tráfico de entrada y salida, durante el transcurso de un día de trabajo típico, teniendo en cuenta los protocolos de transporte mas utilizados. La gran mayoría del volumen del tráfico cursado, utiliza el protocolo 9

TCP, aunque como se aprecia en la figura 4, también se emplean otros protocolos de transporte (udp/icmp) pero con una presencia muy inferior. En cuanto a los protocolos de aplicación, se puede decir que la mayor parte del volumen de tráfico que transita por la red, utiliza el protocolo http (véase figura 5) esto esta determinado por las aplicaciones empleadas, principalmente la navegación Web y el Siprec, aunque la aparición de transferencias (aisladas) de grandes volúmenes de datos utilizando ftp, es totalmente normal, pues ese servicio es permitido y existe el ancho de banda disponible para ello (15Mbps) y como promedio no se utiliza mas de 1 Mbps. La detección de anomalías en el comportamiento de las estadísticas del tráfico ha ocurrido en varias ocasiones. En la figura 5 se muestra el promedio de flujos en 5 minutos para el tráfico de entrada y salida de las subredes de Villa Clara, catalogado por protocolos de aplicación, y correspondiente al día 18 de noviembre del 2005. Como se aprecia existe una cantidad alarmante de flujos en salida correspondientes a algunos de los protocolos utilizados en los sistemas Windows (137-139/TCP, 445/TCP). Teniendo en cuenta que el protocolo TCP es un protocolo orientado a la conexión, que siempre utiliza acuse de recibo, y que los flujos de tráfico siempre tienen un sentido unidireccional, la existencia de flujos de tráfico correspondientes a conexiones establecidas que utilicen TCP, deben presentar en todos los casos una relación similar para la cantidad de flujos de entrada y de salida, es por esta razón que el patrón de tráfico que se muestra en la figura 5 y 6 necesariamente tiene que corresponder a alguna anomalía. Como posteriormente se corroboró (en esta y en otras ocasiones), tal patrón del tráfico se debe a la aparición de miles de paquetes de inicio de conexión 10

TCP (SYN) con una dirección IP de destino diferente y aleatoria, pero con una única dirección de origen. En este caso se trataba de una sola PC infectada con el gusano de Internet Net- Worm.Win32.Padobot. Este programa maligno ha pesar de haber sido clasificado como un gusano de Internet, también incorpora las características de un troyano, primero y fundamental se propaga a través de una vulnerabilidad del subsistema LSASS (CAN-2003-0533) en los sistemas operativos Windows, provocando el reinicio de la PC infectada, posteriormente también abre algunos puertos (113, 3067 y 2041) a la espera de otros comandos, además intenta conectarse a varios canales IRC con el mismo propósito. Para analizar la importancia y trascendencia de utilizar este mecanismo u otro similar debemos tener en cuenta los siguientes aspectos: La detección del gusano se realiza con una mayor factibilidad cuando el origen de los paquetes (PC infectada) se encuentra en una de las subredes locales al router que esta realizando la medición, esto se debe al gran volumen de flujos en un solo sentido que se reportan en dicho punto, ya que en la mayoría de los casos, los gusanos utilizan mecanismos aleatorios para la creación de direcciones IP de destino. En el caso de que se utilice el protocolo UDP para la propagación de los gusanos, también se puede detectar, pues aunque no necesariamente tienen que existir la misma cantidad de flujos en entrada que en salida, si debe existir una relación uniforme. 11

Teniendo en cuenta que como factor común la gran mayoría de los gusanos tratan de propagarse a máxima velocidad (en el ejemplo anterior, cerca de 5 mil flujos en 5 minutos), la aparición oportuna de uno de estos programas dañinos puede colapsar cualquier red en cuestión de minutos (tómese como ejemplo el Slammer y el Witty). Aunque muchos de estos gusanos ya se hallan identificados y se posee los antivirus y las actualizaciones de seguridad para combatirlos, esto no quiere decir que dichos gusanos no existan o que no provoquen daño. En la actualidad existen en la Red Corporativa de Etecsa infinidad de estos programas dañinos que aprovechando las circunstancias (usuarios negligentes, proceso de instalación inicial de las PC, antivirus desactualizados, etc ) persisten y provocan grandes pérdidas de esfuerzo y tiempo. Este mecanismo permite detectar muchos de los fenómenos dañinos existentes en un tiempo mínimo, y sin la necesidad o problemática de los tiempos de respuesta a que se esta obligado con los sistemas basados en firmas, tales como, los antivirus, los sistemas de parcheo automático, o los IDS. 12

CONCLUSIONES Y RECOMENDACIONES En este trabajo hemos presentado una visión general sobre la medición y el análisis del tráfico en redes IP. Las mediciones utilizando los flujos proveen un balance adecuado entre la escalabilidad y el nivel de detalles. El NetFlow de Cisco se ha convertido en el sistema de medición de tráfico más popular y difundido (NetFlow y otras soluciones compatibles de medición utilizando flujos, están bajo estandarización del IETF [14, 15, 16]). Por su parte el flowscan y las demás herramientas necesarias para el funcionamiento de este, son aplicaciones libres y de código abierto, que logran un desempeño muy profesional, a la par de las aplicaciones comerciales, y que pueden utilizarse con múltiples propósitos, además de permitir en extremo la escalabilidad y adaptación en disímiles circunstancias. La utilización de la información de los flujos de tráfico en función de detectar algunos de los problemas inherentes a la seguridad de la redes, ha sido descrito en la literatura con frecuencia pero en la práctica poco utilizado. En este trabajo mostramos de manera práctica uno de los mecanismos más viables para la detección de muchos de los gusanos de Internet de los que se tiene conocimiento, e incluso poder advertir la aparición de nuevos variantes de estos gusanos, sin el inconveniente del retardo que siempre conlleva la utilización de los sistemas basados en firmas. Las mediciones del tráfico utilizando la agregación en flujos y su análisis posterior en función de la seguridad informática no debe tenerse como propósito aislado y único para la concepción de ningún sistema de esta índole, sino como un objetivo mas dentro 13

de la gama de tareas que se pueden llevar a cabo teniendo acceso a dicha información de tráfico. Como ultima conclusión de este trabajo queremos expresar la necesidad de implementar un sistema de medición y análisis de tráfico (ya sea comercial, libre o desarrollado a la medida) que cubra la Red Corporativa de ETECSA en su totalidad, lo cual permitiría mejorar de forma significativa, muchas de las tareas de gestión y administración de nuestra red. 14

ANEXOS Fig. 1. Diagrama de la Red Corporativa de Etecsa en Villa Clara Fig. 2. Interacción de los programas de colección y análisis de los datos. 15

Fig. 3. Tráfico I/O por protocolos de transporte (24 h) Fig. 4. Total de flujos I/O por protocolos de transporte (24 h) 16

Fig. 5. Tráfico I/O por protocolos de aplicación (24 h) Fig. 6. Total de flujos I/O por protocolos de aplicación (24 h)(dia 18-11-2005) 17

Fig. 7. Flujos de salida por protocolos de aplicación (4 semanas) (11-2005) 18

REFERENCIAS [1] Martin Roesch. Snort - lightweight intrusion detection for networks. 13th Systems Administration Conference. USENIX, 1999. [2] Chuck Cranor, Theodore Johnson, Oliver Spatschek, and Vladislav Shkapenyuk. Gigascope: A stream database for network applications. ACM SIGMOD, June 2003. [3] Keith McCloghrie and Marshall T. Rose. RFC 1213, March 1991. [4] K. Claffy, G. Polyzos, H.-W. Braun, Internet traffic flow profiling, Tech. Rep. TR- CS93-328, University of California, San Diego, Noviembre 1989. [8] cflowd CAIDA s flow analysis tool, http://www.caida.org/tools/measurement/cflowd/. [9] RRDtool Round Robin Database Tool, http://ee-staff.ethz.ch/ oetiker/webtools/rrdtool/ [10] Dave Plonka, RRGrapher the Round Rober Grapher, a Graph Construction Set for RRDtool, http://net.doit.wisc.edu/ plonka/rrgrapher/. [11] FlowScan http://net.doit.wisc.edu/ plonka/flowscan/. [12] CAIDA, http://www.caida.org/ [13] Marina Fomenkov, Ken Keys, David Moore, and k claffy, Longitudinal study of Internet traffic in 1998-2003, ACM SIGCOMM Internet Measurement Workshop, Noviembre 2003 [14] Andy Bierman and Juergen Quittek. Packet sampling (psamp). IETF working group. 19

[15] N. Brownlee, C. Mills, and G. Ruth. Traffic flow measurement: Architecture. RFC 2722, October 1999. [16] Nevil Brownlee and Dave Plonka. IP flow information export (ipfix). IETF working group. Computing (Archive for Informatics and Numerical Computation), Springer- Verlag, 43, 1990. [17] JKFlow, http://users.telenet.be/jurgen.kobierczynski [18] Z. Chen, L. Gao, and K. Kwiat. Modeling the Spread of Active Worms. In IEEE INFOCOM, 2003. [19] D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the Slammer Worm. IEEE Magazine of Security and Privacy, pages 33 39, July/August 2003. [20] D. Moore, C. Shannon, G. M. Voelker, and S. Savage. Internet Quarantine: Requirements for Containing Self-Propagating Code, 2003. [21] S. Staniford. Containment of Scanning Worms in Enterprise Networks. Journal of Computer Security, 2004. 20