Diversas ferramentas contribuem para aumentar a segurança de um sistema computacional. Dentre elas, destacam-se os sistemas de detecção de intrusão. Tais sistemas monitoram continuamente a atividade em uma rede ou servidor, buscando evidências de intrusão. Entretanto, detectores de intrusão baseados em host são particularmente vulneráveis, pois devem ser instalados nas próprias máquinas a monitorar e podem ser desativados ou modificados por invasores bem sucedidos. Este trabalho propõe e implementa uma arquitetura para a aplicação confiável e robusta de detectores de intrusão baseados em host, através da utilização do conceito de máquina virtual. A utilização de máquinas virtuais vem se tornando uma alternativa interessante para vários sistemas de computação, por suas vantagens em custos e portabilidade. O conceito de máquina virtual também pode ser empregado para melhorar a segurança de um sistema computacional contras ataques a seus serviços. A proposta aqui apresentada faz uso da separação de espaços de execução provida por um ambiente de máquinas virtuais para separar o sistema de detecção de intrusão do sistema a monitorar. Com isso, o detector de intrusão se torna invisível e inacessível a eventuais invasores. A implementação da arquitetura proposta e os testes realizados demonstraram a viabilidade dessa solução.
Características da proposta:
- Detecção de Intrusão em processos através da análise de chamadas de sistema;
- Controle de acesso no sistema virtual através da utilização de ACL (Acess Control List);
Como a proposta foi implementada:
- Utilizando o User Mode Linux;
- Os algoritmos de detecção de intrusão e controle de registros não estão otimizados;
Título da Dissertação: Uma Abordagem para a Proteção de Detectores de Intrusão Baseada em Máquinas Virtuais.
Artigos Publicados:
- Marcos Laureano, Carlos Maziero e Edgard Jamhour. Detecção de Intrusão em Máquinas Virtuais. 5º Simpósio de Segurança em Informática – SSI. ITA – São José dos Campos, 2003.
- Marcos Laureano, Carlos Maziero e Edgard Jamhour. Proteção de detectores de intrusão através de máquinas virtuais. IV Workshop em Segurança de Sistemas Computacionais – XXII Simpósio Brasileiro de Redes de Computadores (SBRC 2004). P. 63-74.
- Marcos Laureano, Carlos Maziero e Edgard Jamhour. Detectando Intrusões na Máquina Virtual User-Mode Linux. 5º Workshop sobre Software Livre – WLS. Sessão Paralela – Fórum Internacional Software Livre, 2004.
- Marcos Laureano, Carlos Maziero e Edgard Jamhour. Intrusion Detection in Virtual Machine Environments. 30th EUROMICRO Conference – SPECIAL SESSION ON “Different Aspects of Security”, 2004, Rennes – França.
- Marcos Laureano, Carlos Maziero e Edgard Jamhour. Protecting host-based intrusion detectors through virtual machines in Computer Networks, v. 51, p. 1275-1283, 2007