Detecção e tratamento de intrusões em plataformas baseadas no XEN

Abstract

A virtualização de servidores aparece como uma solução para várias demandas atuais dos sistemas computacionais: taxa de ociosidade das máquinas, alto consumo de energia, ocupação de espaço físico e dificuldade para gerenciamento de muitos sistemas operacionais em um mesmo datacenter. Entre as alternativas de virtualização disponíveis, o monitor de máquina virtual Xen é uma das opções mais consolidadas e que possui melhor desempenho dentre as demais alternativas existentes. Para proporcionar sistemas virtualizados seguros, um aliado eficaz são os sistemas detectores de intrusão que trabalham realizando monitoração no tráfego da rede. Este trabalho apresenta uma abordagem para detecção de intrusão em máquinas virtuais baseadas no monitor de máquina virtual Xen, introduzindo uma ferramenta para detectar e bloquear intrusos que estiverem tentando obter acesso indevido ao sistema. A ferramenta elaborada recebeu o nome de XenGuardian e trabalha realizando comunicação entre as máquinas virtuais (domU) com a máquina hóspede (dom0). Na ocorrência de tentativas de acesso não autorizadas, a máquina hóspede realiza o tratamento da ocorrência bloqueando o usuário. Para validar a solução, exploits foram utilizados, desferindo ataques contra sistemas de detecção de intrusos e auferindo medições de desempenho através do benchmark NetPerf.

Servers virtualization is a technology which became a solution to several demands of today’s computational systems: machines idles cycles, high energy consumption, physical space occupation issues and the difficult to management different operating systems in a same computational environment. Among the existing virtualization platforms, Xen appears as an interesting choice presenting the best performance in comparison with the remaining alternatives. Virtualized systems very often require security and one way to provide safe virtualized systems is through the use of intrusion detection systems which are able to monitor the network data traffic. This work presents an approach to detect intrusion in Xen virtual machines, introducing a tool to monitor and block malicious or unwanted access to the system. The tool was named XenGuardian and it works using direct communication between the virtual machine (DomU) and the host machine (Dom0) to indicate when a suspicious action is detected. If unauthorized access attempts are identified, the host machine deal with the situation blocking the user responsible for the attack. In order to validate XenGuardian efficiency, exploits were used to perform attacks against the intrusion detection system. Performance measures were obtained through the use of the NetPerf benchmark.