Содержание к диссертации
Введение
Глава 1. Актуальные аспекты обеспечения безопасности информации в IP-сетях 15
1.1. Виртуальные соединения в IP-сетях 17
1.2. Методы и средства защиты от реализаций угроз информационной безопасности сетевых ресурсов 28
1.3. Подходы к решению задачи разграничения доступа в ІР-сетях 40
1.4. Выводы по главе 1 и постановка задачи исследования 46
Глава 2. Анализ безопасности виртуальных соединений на основе политики разграничения доступа 49
2.1. Теоретико-множественная модель виртуального соединения 51
2.2. Алгебра правил фильтрации 59
2.3. Выполнение политики разграничения доступа в ІР-сетях 68
2.4. Выводы по главе 2 76
Глава 3. Выявление аномалий в виртуальных соединениях на этапе обмена данными 78
3.1. Модели состояний виртуальных соединений 78
3.2. Статистические методы обнаружения деструктивных воздействий в ІР-сетях 89
3.3. Методика выявления FLOOD-АТАК на основе последовательного анализа статистических параметров виртуальных соединений... 100
3.4. Выводы по главе 3 106
Глава 4. Программная реализация средства разграничения доступа на основе моделей состояния виртуальных соединений 107
4.1. Архитектура подсистемы фильтрации 107
4.2. Программная реализация межсетевого экрана на основе моделей состояния виртуальных соединений 117
4.3. Порядок формирования политики разграничения доступа 127
4.4. Выводы по главе 4 130
Заключение 131
Список использованной литературы 133
- Методы и средства защиты от реализаций угроз информационной безопасности сетевых ресурсов
- Выполнение политики разграничения доступа в ІР-сетях
- Статистические методы обнаружения деструктивных воздействий в ІР-сетях
- Программная реализация межсетевого экрана на основе моделей состояния виртуальных соединений
Введение к работе
Актуальность темы. В настоящее время информация является главным стратегическим и тактическим ресурсом для многих сфер человеческой деятельности. По этой причине особое внимание уделяется вопросам обеспечения информационной безопасности (ИБ) объектов различной природы, и, в частности, - противодействию реализациям угроз сетевого характера, обусловленных удалёнными деструктивными воздействиями на программно-аппаратные средства обработки, хранения и передачи данных. Наиболее подверженными такого сорта воздействиям являются информационно-вычислительные и коммуникационные ресурсы (далее именуемые сетевыми) распределённых автоматизированных систем (АС), построенных с использованием компьютерных сетей на базе стека протоколов TCP/IP (далее - IP-сети). Среди причин такого положения дел -существенная неадекватность встроенных механизмов обеспечения ИБ базовых протоколов IP-сетей современному уровню развития средств реализации угроз, наиболее распространёнными среди которых являются попытки несанкционированного обращения к сетевым ресурсам, атаки на отказ в обслуживании, а также сетевая активность вирусов и «ботнетов».
Одним из основных методов защиты сетевых ресурсов АС от распределённых деструктивных воздействий в IP-сетях является разграничение доступа (РД). Согласно принятой политике ИБ этот метод реализуется на основе идентификации, аутентификации и моделей логического разграничения доступа пользователей или процессов, действующих от их имени, к сетевым ресурсам. Попытки несанкционированного обращения при этом блокируются средствами, реализующими указанные сервисы ИБ. Как правило, такими средствами являются программные или программно-аппаратные средства межсетевого экранирования и фильтрации трафика. Наряду с разграничением доступа пользователей к сетевым ресурсам межсетевые экраны (МЭ) обеспечивают выполнение ряда важных сервисов и функций ИБ, включая криптографическую защиту данных, сокрытие структуры защищаемой сети, мониторинг трафика и обнаружение некоторых видов сетевых атак.
Используемые в настоящее время подходы к реализации РД в ІР-сетях основаны на анализе сетевого трафика на предмет соответствия политике доступа, выраженной в виде совокупности правил фильтрации. При этом следует подчеркнуть, что возможности такого анализа не позволяют( V обеспечить защиту от всего существующего многообразия вредоносных /'
сетевых воздействий. Это обусловлено постоянным совершенствованием методов и средств реализации сетевых угроз через разрешённые политикой доступа виртуальные соединения (ВС). С точки зрения задачи РД под ВС понимается информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одно-или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.
Важной особенностью, которую необходимо учитывать при обеспечении ИБ объектов АС, распределённых на ІР-сетях, является возможность ситуации, при которой в момєеіт установления ВС соответствует требованиям политики доступа, а во время обмена данными - перестаёт им соответствовать. Необходимо отметить также, что сетевые средства защиты информации сами могут оказаться объектом деструктивных воздействий, что, при успешном проведении атаки, влечёт за собой серьёзные нарушения политики ИБ, которую такие средства призваны обеспечивать.
С учётом изложенного актуальной научно-технической задачей является разработка и совершенствование методов и средств РД в ІР-сетях на основе выявления и блокирования ВС, представляющих угрозу ИБ сетевых ресурсов распределённых АС. При этом создаваемые средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.
В диссертационной работе предлагается подход к решению задачи РД в ІР-сетях, основанный на представлении каждого виртуального соединения в виде модели состояния. Эта модель включает в себя, как детерминированные параметры сетевого, транспортного и прикладного уровней межсетевого взаимодействия, так и статистические характеристики потока ІР-пакетов. Анализ параметров модели производится межсетевым экраном, функционирующим в скрытном режиме. Скрытность МЭ обеспечивается за счёт прозрачности этого устройства для безопасных ВС и отсутствию логических и физических адресов на его фильтрующих интерфейсах.
Диссертационная работа опирается на исследования таких российских и зарубежных учёных, как В.А. Васенин, В.А. Галатенко, П.Н. Девянин, Д. фон Биддер-Сенн и других.
Целью исследования является разработка подхода к решению задачи разграничения доступа в ІР-сетях на основе моделей состояния виртуальных соединений.
Для достижения поставленной цели в диссертационной работе были сформулированы и решены следующие задачи.
Разработать теоретико-множественную модель описания виртуального соединения для её использования при решении задачи разграничения доступа в ІР-сетях.
Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации.
Разработать модели состояния виртуальных соединений, учитывающие особенности используемых протоколов транспортного уровня в различных фазах межсетевого взаимодействия.
Сформировать методику выявления атак типа «затопление» на основе анализа статистических характеристик виртуальных соединений.
Разработать архитектуру системы разграничения доступа в ІР-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей состояния виртуальных соединений.
Объектом исследования являются виртуальные соединения, организуемые в ІР-сетях для обеспечения информационного взаимодействия сетевых приложений. Предметом исследования являются модели виртуальных соединений и их использование для решения задачи разграничения доступа в ІР-сетях.
Методы исследований. Для решения сформулированных задач использовался аппарат теории множеств, теории алгоритмов, основ теории защиты информации, а также методы статистической обработки данных, процедурного и объектно-ориентированного программирования.
Научные результаты и их новизна
Предложена теоретико-множественная модель виртуального соединения, которая является универсальным способом описания информационного потока, возникающего при доступе пользователя к сетевому ресурсу. Такая модель может применяться при решении различных задач по обработке трафика в ІР-сетях, включая разграничение доступа, маршрутизацию, биллинг, мониторинг и анализ сетевых протоколов.
Впервые предложена алгебра правил фильтрации, формально описывающая политику доступа к сетевым ресурсам. Алгебра позволяет в автоматическом режиме производить оптимизацию набора правил, определять его полноту и непротиворечивость.
Разработаны модели состояния виртуальных соединений, позволяющие контролировать корректность использования транспортных протоколов в различных фазах межсетевого взаимодействия. Модели состояния
предназначены для реализации в межсетевых экранах, которые функционируют в скрытном режиме и не разрывают транспортные соединения между взаимодействующими приложениями в IP-сетях.
Сформирована методика выявления межсетевыми экранами атак типа «затопление», основанная на анализе статистических характеристик виртуальных соединений. Предложенная методика позволяет идентифицировать атаку для заданных значений вероятностей ошибок 1-го и 2-го рода и минимальном в среднем объёме выборки.
Предложена архитектура системы разграничения доступа в ІР-сетях, основанная на использовании разработанных моделей состояния виртуальных соединений.
Положения, выносимые на защиту.
Теоретико-множественная модель описания виртуального соединения как последовательности IP-пакетов, формируемых в рамках взаимодействия пользователя и сетевого ресурса.
Алгебра правил фильтрации для формального описания политики доступа к сетевым ресурсам.
Модели состояния виртуальных соединений на основе конечных автоматов, учитывающих параметры протоколов сетевого, транспортного и прикладного уровней в различных фазах межсетевого взаимодействия.
Методика выявления межсетевыми экранами атак типа «затопление» на основе анализа статистических параметров моделей состояния виртуальных соединений.
Архитектура и программная реализация системы разграничения доступа в ІР-сетях, обеспечивающей скрытную фильтрацию трафика на основе моделей состояния виртуальных соединений и подходов к определению их безопасности.
Обоснованность и достоверность представленных в диссертационной работе научных положений подтверждается согласованностью теоретических результатов с результатами, полученными при реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.
Практическая ценность работы. Разработанные модели, подходы и архитектура системы фильтрации могут быть использованы для создания средств защиты сетевых ресурсов АС, позволяющих производить многоуровневый контроль трафика и разграничение доступа путём
блокирования виртуальных соединений, признанных опасными. В основу диссертационной работы положены результаты, полученные автором в период с 2004 по 2009 год в ходе выполнения НИР и ОКР в ЦНИИ РТК, а также на кафедре «Телематика» ГОУ ВПО «СПбГПУ».
Внедрение результатов. Результаты проведённых исследований нашли практическое применение в перечисленных далее разработках, в которых автор принимал личное участие.
Разработанное программное обеспечение вошло в состав межсетевого экрана ССПТ-2, сертифицированного на соответствие требованиям руководящих документов ФСБ и ФСТЭК РФ по 3 классу защищённости. В составе систем защиты информации ССПТ-2 внедрён в эксплуатацию в сетях Федеральной таможенной службы РФ, ФГУ ГНИЙ ИТТ «Информика», ОАО «ТГК-1», ЦНИИ РТК, правительства Ленинградской области и в других учреждениях.
Модели и алгоритмы, полученные в результате работы, используются в учебном процессе при проведении лабораторных работ по курсам «Методы и средства защиты компьютерной информации», «Сети ЭВМ и телекоммуникации», а также в студенческих НИР на кафедре «Телематика» ГОУ ВПО «СПбГПУ».
Программная реализация алгоритмов и подходов, полученная в работе, применяется в составе системы защиты информации, используемой при проведении космического эксперимента «Контур» по управлению роботом-манипулятором, находящимся на борту Международной космической станции, через Интернет.
Апробация и публикация результатов работы. Результаты, полученные в ходе работы над диссертацией, докладывались на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 14 статей, в том числе - 3 в изданиях, публикации в которых рекомендуются Высшей аттестационной комиссией Министерства образования и науки Российской Федерации.
Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства грантов в сфере научной и научно-технической деятельности за 2008 и 2009 годы.
Структура и объем диссертации. Диссертационная работа общим объемом 128 страниц состоит из введения, четырех глав, заключения, списка литературы из 101 наименования, включает 37 рисунков и 8 таблиц.
Методы и средства защиты от реализаций угроз информационной безопасности сетевых ресурсов
В соответствии с ГОСТ Р 51624-00 [43] угроза безопасности информации -это «совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее».
Угрозы классифицируются по нескольким критериям [4, 6]. Одной из наиболее распространённых среди них считается классификация по аспекту информационной безопасности, против которого угроза направлена в первую очередь. Этот критерий позволяет разделить угрозы, связанные с нарушением конфиденциальности, то есть несанкционированного разглашения конфиденциальной или секретной информации; целостности, когда информация подвергается несанкционированному изменению вплоть до уничтожения; доступности, приводящей к затруднениям или отказу в доступе к ресурсам. Имеет место классификация угроз ИБ по ресурсам (компонентам) ОЗ, на которые направлена угроза (данные, программное или аппаратное обеспечение, инфраструктура, персонал), по природе возникновения (естественные и искусственные), по непосредственному источнику (природная среда, персонал, санкционированные или несанкционированные программно-технические средства), по располооїсению источника (внутри или вне ОЗ) и некоторым другим критериям. Наличие угроз перечисленных типов и их комбинаций, в свою очередь, ведёт к появлению различных уязвимостей и способов их реализации в составе информационных и телекоммуникационных средств и систем, входящих в объект защиты. Перечень угроз, уязвимостей и способов их реализации приведён, в частности, в ГОСТ Р 51624-00 [43]. Угрозы безопасности информации, обрабатываемой в IP-сетях, имеют собственную специфику, которая обусловлена следующими существенными особенностями архитектуры протоколов стека TCP/IP, структуры сети и использования её ресурсов. Отсутствие или неадекватность существующим угрозам встроенных механизмов защиты информации в базовых протоколах стека TCP/IP. В частности, отсутствуют средства криптозащиты передаваемых данных, взаимной аутентификации субъектов межсетевого взаимодействия, эффективной приоритезации и управления полосой пропускания трафика. В настоящее время эти недостатки устраняются путем внедрения новых версий протоколов (IPv6, различных модификаций TCP), а также использования дополнительных программно-технических средств ЗИ. При этом переход на новые версии базовых протоколов в распределённых составных сетях затруднён вследствие децентрализованного характера управления, а применение дополнительных средств защиты не носит обязательного характера. Вследствие этого многие уязвимости, связанные с архитектурой и реализацией протоколов стека TCP/IP, используются злоумышленниками в настоящее время. Возможность осуществления удалённых атак на объекты IP-сетей. Целями этих атак, в соответствие с ранее приведённой классификацией, являются несанкционированный доступ к конфиденциальной информации, нарушение целостности данных, ограничение их доступности. Использование Интернета во всех сферах жизнедеятельности общества, что повышает вероятность нарушения ИБ различных объектов, в том числе и связанных с обеспечением национальной безопасности [2, 3]. По сведениям источников [4, 5] актуальными на сегодняшний день являются следующие технические способы реализации угроз ИБ ОЗ в ІР-сетях: вредоносное программное обеспечение; получение невостребованной информации (спам); «троянские» программы; нарушение конфиденциальности данных при перенаправлении запроса на подставной информационный ресурс (фишинг); распределённые атаки типа «отказ в обслуживании» (DDoS-атаки); компрометация ресурсов (взлом); создание ботнетов — сетей, состоящих из компьютеров со скрытно установленным программным обеспечением и использующихся для нелегальной деятельности, в том числе рассылки спама и организации распределённых атак; нецелевое использование ресурсов IP-сетей, а также доступ к информации, несовместимой с деятельностью организации; ошибки программного обеспечения и другие. Наиболее актуальными атаками, которые используют особенности архитектуры IP-сетей, являются [4]: подслушивание (sniffing); изменение данных; анализ сетевого трафика; подмена доверенного субъекта; посредничество в обмене незашифрованными ключами; перехват сеанса (session hijacking); парольные атаки; атаки на уровне приложений. Одной из задач диссертации является разработка методики оценки безопасности ВС на примере выявления и блокировки атак типа «затопление» (flood-атак). Данный вид удалённых деструктивных воздействий относится к классу атак на отказ в обслуживании, которые нарушают доступность объекта атаки. Этот класс атак может вызывать крах приложения, перезагрузку системы, нехватку системных ресурсов, снижение пропускной способности сети и другие события, нарушающие процесс штатного функционирования АС. Необходимо отметить, что в настоящее время организация атак на отказ в обслуживании носит признаки отлаженного механизма, который используется в целях дискредитации конкурентов, шантажа, кибертеррористической деятельности [2, 3, 44]. Объектами таких атак являются различные сетевые ресурсы Интернета, в том числе системы электронных платежей, новостные порталы, сайты компаний, порталы различных государственных служб. Вопросы организации защиты от подобных деструктивных воздействий приобретают особую актуальность в связи с выполнением Федеральной целевой программы «Электронная Россия» [45], в рамках которой, в частности, предполагается максимальное использование информационных технологий для оказания государственных услуг гражданам и хозяйствующим субъектам. В связи с этим далее рассмотрим модели, методы и средства защиты информации, обрабатываемой с помощью ресурсов ІР-сетей.
Выполнение политики разграничения доступа в ІР-сетях
Для выявления фактов несанкционированного доступа или деструктивных воздействий (атак) в IP-сетях предназначены программные или программно-аппаратные системы обнаружения вторжений (СОВ, от англ. Intrusion Detection System, IDS). В соответствии с источниками [4, 9, 87] классификация СОВ и подходов к их реализации может быть выполнена по следующим критериям. По способу реагирования на атаку различают пассивные и активные СОВ. По способу выявления атаки принято различать подходы, основанные на выявлении аномального поведения (поведенческие СОВ) и обнаружении злоупотреблений (сигнатурные СОВ). По способу сбора информации об атаке различают обнаружение атак на уровне сети, хоста и приложения. Каждый из перечисленных подходов имеет свои достоинства и недостатки, поэтому, как правило, реализации СОВ являются гибридными, то есть включают в себя возможности нескольких категорий. При этом общим недостатком СОВ считается большое количество ложных срабатываний (ошибок первого рода) [87].
С точки зрения способности реагировать на факты деструктивных воздействий наиболее предпочтительным является использование активных СОВ или, как их ещё называют, систем предотвращения вторжений (от англ. Intrusion Prevention System, IPS). Такие COB способны не только обнаруживать сетевую атаку, но и блокировать её путём применения средствами разграничения доступа динамически сформированных правил фильтрации.
Тенденцией последнего десятилетия в разработке сетевых средств обеспечения ИБ является реализация унифицированного управления защитой [67], при котором несколько сервисов безопасности интегрируется в единую систему и функционирует совместно на одной аппаратной платформе. В соответствии с таким подходом объединяют сервисы разграничения доступа и обнаружения вторжений, что позволяет органично реализовать активную СОВ [68, 69]. При этом неизбежно возникают ограничения на методы выявления деструктивных воздействий, связанные с минимизацией вычислений, необходимых для функционирования СОВ.
В настоящее время используют различные методы обнаружения вторжений. В их числе: графы атак; нейронные и иммунные сети; экспертные системы; сигнатурные методы; статистический и кластерный анализ; поведенческая биометрия и другие [87]. Рассмотрим те из них, которые могут быть применены в активных СОВ, построенных с использованием средств разграничения доступа на основе моделей состояния виртуальных соединений.
Выявление аномалий на основе подсчёта энтропии трафика Одним из перспективных направлений развития статистических методов обнаружения вторжений является анализ распределений и энтропии различных параметров обрабатываемых виртуальных соединений [88-90]. В качестве таких параметров, рассматриваемых как случайные величины, могут использоваться IP-адреса и порты взаимодействующих сторон, объём содержащихся в пакетах данных, различные количественные меры передаваемой на прикладном уровне информации, а также их корреляционные зависимости. Основная идея при этом заключается в выявлении факта уменьшения энтропии (меры неопределённости) контролируемых параметров как следствия реализуемых атак.
В частности, в источнике [90] описывается алгоритм, использующий в качестве меры неопределённости поведения трафика энтропию по Шеннону Щх) [91] и сложность по Колмогорову (х) [92]: где х — строка битов, кодирующая данные протокола прикладного уровня в IP-пакете, р(х) - вероятность появления такой строки, /(х) — длина строки.
Сложность по Колмогорову определяется, как размер наименьшей программы (или алгоритма), которая вычисляет (выводит на печать) заданную строку. Таким образом, сложность случайной последовательности бит будет наибольшей среди всех битовых строк данной длины.
Факт аномального поведения трафика устанавливается в случае выполнения следующего неравенства: где Xj — битовая строка в IP-пакете, соответствующая данным протокола прикладного уровня. В отсутствии аномального трафика сложность по Колмогорову строки Х[Х2Хз...хп выше, чем сумма значений сложностей отдельных строк Х\, х2, Хз,... , хп, что означает высокий уровень энтропии данных прикладного уровня. Сближение значений функций К(х\х2Хз.. .хп) и К(х\)+К(х2)+ +К(хз)+.. ,+К(х„) и выполнение неравенства (3.2) свидетельствует об уменьшении неопределенности в прикладных данных трафика, что указывает на факт обнаружения аномалии.
Кроме неравенства (3.2) в [90] используются дополнительные критерии, также основанные на подсчёте значений сложности по Колмогорову полезной нагрузки IP-пакетов. Такой подход, как утверждают авторы, позволяет обнаружить не только известные атаки, но и реализуемые впервые. Основным недостатком подхода является необходимость существования данных прикладного уровня в IP-пакетах. Это означает, что подход не работает для выявления таких разновидностей атак и злоупотреблений, как затопление SYN-пакетами или зашифрованное взаимодействие между узлами ботнет-сети.
Статистические методы обнаружения деструктивных воздействий в ІР-сетях
К статистическим параметрам последовательности пакетов в виртуальных соединениях относятся характеристики, учитывающие время поступления пакетов (одного или нескольких) на обрабатывающее устройство. Статистическими параметрами являются интенсивность пакетов, то есть количество пакетов в заданную единицу времени, а также временной интервал между двумя последовательно обработанными пакетами в рамках виртуального соединения. Использование различных статистик, соответствующих выборкам перечисленных параметров, является перспективным для обнаружения атак типа «затопление» (от англ. flood-attack; в дальнейшем будем именовать их также flood-атаками). Покажем это.
Атаки типа «затопление» [44] характеризуются передачей на компьютер или сеть жертвы интенсивного потока IP-пакетов различного вида. При этом возможны следующие варианты такой атаки: один компьютер атакуется другим компьютером (схема «1 к 1»), множество компьютеров атакуется одним компьютером (схема «1 к М»), один компьютер атакуется множеством компьютеров (схема «N к 1»), множество компьютеров атакуется другим множеством компьютеров (схема «NKM»). В последних двух случаях говорят о распределённой flood-атаке. Распространена ситуация, при которой адрес отправителя в IP-пакетах является фиктивным и генерируется случайным образом, что существенно осложняет противодействие такой атаке.
Как правило, атакующий формирует и отправляет IP-пакеты на адрес жертвы с интенсивностью, которая существенно превышает интенсивность безопасного виртуального соединения, под которым в текущем контексте будем понимать виртуальное соединение v Voa, свободное от деструктивных воздействий (см. подраздел 2.1, стр. 58). Кроме того, с большой вероятностью используется генерация IP-пакетов с постоянной частотой. При этом время, которое требуется каждому пакету для достижения атакуемого объекта, колеблется в небольших пределах в зависимости от текущей загрузки промежуточных узлов сети по маршруту следования. Таким образом, справедливо считать поток IP-пакетов, формируемых при осуществлении flood-атаки, стационарным. Это означает, что закон распределения статистических параметров потока не изменяется во времени.
Flood-атака в этом случае будет характеризоваться получением последовательности IP-пакетов, стандартное отклонение мгновенной интенсивности и межпакетных интервалов которой существенно меньше, чем аналогичные показатели для безопасных ВС. В случае, если ІР-адрес отправителя не изменяется от пакета к пакету, такая последовательность может быть обработана в рамках одного или нескольких ВС. Если же атака происходит с использованием подстановки случайных IP-адресов в каждом пакете, это вызовет существенное увеличение интенсивности вновь открываемых ВС, которые в дальнейшем не будут использованы для передачи пакетов (полуоткрытые соединения, например, при атаке SYN-flood). Эти моменты необходимо учитывать при разработке механизмов выявления и блокирования деструктивных воздействий, порождаемых flood-атаками. Подразумевается, что реализованная политика доступа не блокируют такого сорта атаки, которые чаще всего направлены на общедоступные сервисы, например, WWW-порталы или сервера службы DNS.
Для подтверждения вышеизложенного были исследованы виртуальные соединения, порождаемые различными сетевыми приложениями, а также программами имитации flood-атак типа «Ping of Death» и «SYN-flood». На рис. 3.7 представлены графики, отражающие результаты исследований. Как можно видеть (рис. 3.7, а), интенсивность ВС, порождаемого трафиком программ имитации атак «Ping of Death» и «SYN-flood» заметно превосходит интенсивность ВС, соответствующих сетевым приложениям передачи файла по протоколу FTP, а также онлайн аудио- и видеотрансляции. Отклонение среднего значения интенсивности для ВС, соответствующих реализации атак, на измеряемом диапазоне составляет 3-4%, тогда как у других ВС этот показатель заметно выше.
Графики интенсивности ВС для различных типов трафика Из графиков на рис.3.7, б следует, что на начальном этапе работы виртуального соединения для трафика известных сетевых приложений характерен существенный разброс величины межпакетных интервалов. В то же время трафик, имитирующий flood-атаки, демонстрирует постоянство этого показателя в течение всего времени наблюдения.
Рассмотрим последовательность IP-пакетов в рамках виртуального соединения, как случайный процесс, представляющий собой точечные события на оси времени. Будем считать, что моменты времени t\, t2..., соответствующие поступлению пакетов на обработку, распределены по закону Пуассона [96]. В этом случае возможно рассмотрение двух процессов: целочисленного процесса {N(t), t 0}, определяющего число случайных точек в полуинтервале [0, /), и последовательности случайных величин {4, А=1,2,3,...}, характеризующих времена появления точек на временной оси. В различных источниках, в частности в [97], показано, что случайная величина N(t) при больших / асимптотически распределена нормально, причём среднее значение и дисперсия равны.
Программная реализация межсетевого экрана на основе моделей состояния виртуальных соединений
Запуск подсистемы фильтрации производится автоматически при подаче питания на устройство, либо по запросу администратора в случае, если подсистема фильтрации была предварительно остановлена.
Подсистема регистрации (FNPLOGD). Принимает запросы на регистрацию от других подсистем, входящих в состав ПО ССПТ-2, по следующим категориям: регистрация событий; регистрация данных трафика (пакетов и информации о виртуальных соединениях). Подсистема регистрации может выполнять периодическую выгрузку журналов регистрации на удаленный FTP-сервер, если это определено администратором. Подсистема авторизации (FNPAUTHD). Обеспечивает идентификацию, аутентификацию и разграничение прав доступа администраторов (пользователей) ССПТ-2, принимая запросы на авторизацию от командного интерпретатора (FNPSH). Результат выполнения запроса авторизации регистрируется, как соответствующее событие на сервере регистрации. Подсистема авторизации обеспечивает: управление списком активных пользователей; управление списком "занятых" привилегий пользователей; контроль активности пользователей. Подсистема авторизации использует следующие методы аутентификации: локальная аутентификация; аутентификация по протоколу RADIUS. Командный сервер (FNPSHD). Обеспечивает организацию защищеного канала управления для WEB-интерфейса администратора. Подсистема терминального доступа (FNP_CRYD). Обеспечивает защищенный канал управления для командного интерфейса администратора посредством реализации терминального доступа администратора к командному интерфейсу ССПТ-2 на базе протокола TELNET. Все TELNET-сообщения передаваемые между сервером терминального доступа и управляющим компьютером являются зашифрованными. Командный интерпретатор (FNPSH). Является центральной подсистемой, реализующей функции управления другими подсистемами и структурами данных ССПТ-2. Реализует следующие функции: выполнение запросов аутентификации администратора ССПТ-2; реализация командного языка ССПТ-2: проверка синтаксиса, семантики и выполнение вводимых команд; регистрация действий администратора по управлению и настройке ССПТ-2 путем отправки серверу регистрации запросов на регистрацию событий. Подсистема высокой готовности (FNPHAD). Обеспечивает реализацию режимов высокой готовности ССПТ-2 с целью повышения надежности функционирования. Может работать в одном из следующих режимов: «активный-резервный»; «активный-активный». Подсистема контроля целостности (FNP_CSD). Обеспечивает контроль целостности компонентов управляющей операционной системы, программных модулей и структур данных ССПТ-2 на основе расчета и последующей периодической проверки контрольных сумм заданных файлов. WEB-интерфейс администратора. Обеспечивает универсальный графический интерфейс пользователя для администрирования ССПТ-2. В состав WEB-интсрфейса администратора входят HTTP сервер, РНР модуль и РНР сценарии. Назначение, область применения и режимы работы Межсетевой экран ССПТ-2 [84, 85] выполнен в виде локального (однокомпонентного) устройства, реализующего контроль за информацией, которая циркулирует между отдельными подсистемами обработки информации внутри автоматизированной системы (АС) и/или между АС. МЭ может использоваться для защиты АС, в которых обрабатывается информация одинакового предельно допустимого уровня конфиденциальности или секретности. Межсетевой экран ССПТ-2 применяется для разделения сегментов информационной сети внутри или между АС классов ЗА-1В (в соответствии с руководящим документом [86]), с целью обеспечения защиты информации от несанкционированного доступа (НСД) посредством: фильтрации сетевых пакетов, передаваемых в локальных вычислительных сетях внутри АС или между АС. Фильтрация пакетов (передача пакета в защищаемую ЛВС или из неё, или запрет передачи - удаление пакета) осуществляется на основе анализа параметров заголовка и содержимого пакета по совокупности критериев, устанавливаемых правилами фильтрации для разных уровней модели взаимодействия открытых систем (OSI); управления виртуальными соединениями между отдельными узлами ЛВС внутри или между АС. Управление виртуальными соединениями (разрешение или запрет соединения) осуществляется на основе результатов анализа параметров вектора состояния виртуальных соединений; контроля данных, передаваемых на прикладном уровне модели взаимодействия открытых систем. Контроль данных (анализ данных и их передача или запрет передачи) осуществляется по заданным критериям, в том числе, с учетом направления потока данных. Межсетевой экран может использоваться в ЛВС, построенных на базе технологии Ethernet с пропускной способностью 10/100/1000 Мбит/с.