- ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРИМЕТРА СЕТИ Текст научной статьи по специальности «Компьютерные и информационные науки»
- Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Астаулов Р. А., Жуков В. Г.
- Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Астаулов Р. А., Жуков В. Г.
- PROTECTION OF NETWORK PERIMETER WITH MULTIFUNCTIONAL PROTECTION SYSTEM
- Текст научной работы на тему «ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРИМЕТРА СЕТИ»
- Защита периметра компьютерных сетей
- Управление механизмами защиты
ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРИМЕТРА СЕТИ Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Астаулов Р. А., Жуков В. Г.
Рассмотрено решение защиты периметра сети на основе UTM и распределенной системы обнаружения вторжений. Предлагается концепция вынесения сенсоров и аналитического ядра СОВ за пределы UTM-решения с последующим зеркалированием сетевого трафика.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Астаулов Р. А., Жуков В. Г.
Экспериментальное исследование корпоративной сети передачи данных с адаптивной системой защиты информации
PROTECTION OF NETWORK PERIMETER WITH MULTIFUNCTIONAL PROTECTION SYSTEM
The decision of protection of the perimeter of the network is considered based on UTM and distributed system of intrusions detection. The conception of submitting of sensors and analytical nucleus of IDS beyond the boundaries of UTM-decision with mirroring of network traffic is offered.
Текст научной работы на тему «ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРИМЕТРА СЕТИ»
Секция «Информационная безопасность»
ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Рассмотрено решение защиты периметра сети на основе UTM и распределенной системы обнаружения вторжений. Предлагается концепция вынесения сенсоров и аналитического ядра СОВ за пределы UTM-решения с последующим зеркалированием сетевого трафика.
Ключевые слова: информационная безопасность, вычислительные сети, Unified Threat Management.
PROTECTION OF NETWORK PERIMETER WITH MULTIFUNCTIONAL
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: roman21k2@gmail.com
The decision of protection of the perimeter of the network is considered based on UTM and distributed system of intrusions detection. The conception of submitting of sensors and analytical nucleus of IDS beyond the boundaries of UTM-decision with mirroring of network traffic is offered.
Keywords: information security, network, Unified Threat Management.
Обеспечение информационной безопасности для большинства организаций представляет собой нетривиальную задачу и вызывает вопросы по выбору средств защиты и их интеграции. Для сетей малого и среднего размера возможен вариант внедрения многофункционального решения класса UTM (Unified Threat Management, UTM), которое представляет собой набор программных компонентов, таких как: межсетевой экран, антиспам, сетевой антивирус, обнаружение вторжений, контентная фильтрация и др.
Основными проблемами внедрения UTM являются снижение пропускной способности сети и появление единой точки отказа. Для нивелирования проблем предлагается архитектура, отказоустойчивого «high availability» кластера с вынесением одного программного компонента за пределы UTM. Так как исследования показали, что основную нагрузку на сеть оказывает модуль системы обнаружения вторжений (СОВ), то было принято решение вынести именно данный компонент из UTM. Предлагаемая архитектура представлена на рис. 1.
Функционал защиты развернут в рамках UTM-решения (Firewall, Proxy, AV, Anti-Spam) и сервера IDS. В качестве UTM выступает физический сервер PfSense, основанный на операционной системе FreeBSD и работающий в режиме МЭ с возможностью подключения таких модулей как, Proxy, AV, NIDS, IPS, а также поддерживающий технологию CARP (Common Address Redundancy Protocol). Кроме того, для каждой машины необходим дополнительный интерфейс синхронизации. Для маршрутизации локального трафика используется коммутатор, на нем же выделен сегмент LAN.
Актуальные проблемы авиации и космонавтики — 2019. Том 2
Производительность сетевого канала между внешней сетью и клиентом замеряется с помощью клиент-серверной утилиты Iperf3, генерирующей TCP и UDP трафик на протяжении 1 минуты.
В первом приближении для получения предварительных оценок проведено тестирование пропускной способности и анализ средних значений нагрузки (Load averages) сервера в следующих режимах работы:
1) UTM-решение функционирует на одном физическом сервере;
2) программный компонент СОВ выключен на UTM и функционирует на внешнем сервере Security Onion. Трафик на СОВ зеркалируется с коммутатора.
Рис. 1. Предлагаемая архитектура внедрения UTM
Рис. 2. Результаты тестирования пропускной способности
Рис. 3. Загрузка сервера UTM в первом режиме работы
Рис. 4. Загрузка сервера UTM во втором режиме работы
Тестирование показывает, что предлагаемая архитектура оказывает меньшее влияние на производительность сетевого канала, при этом, сохраняет функцию детектирования сетевых вторжений на защищаемый сегмент сети.
В перспективе, такая архитектура позволяет устанавливать несколько сенсоров и аналитических ядер в одной сети с последующей балансировкой сетевой нагрузки с помощью таких алгоритмов как «round robin» или его модификации, а также алгоритмов балансировки, основанных на весах.
1. Сетевые решения. Системы обнаружения компьютерных угроз [Электронный ресурс]. URL: http://www.nestor.minsk.by/sr/2008/05/sr80513.html (дата обращения: 28.03.2019.
2. ФСТЭК России. Методический документ ФСТЭК России профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/317 (дата обращения: 30.03.2019).
3. Snort NIDS [Электронный ресурс]. URL https://www.snort.org/ (дата обращения: 30.03.2019).
© Астаулов Р. А., Жуков В. Г., 2019
Защита периметра компьютерных сетей
С развитием сетевых технологий появился новый тип СЗИ — межсетевые экраны (Firewall), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.
Межсетевые экраны, установленные в точках соединения с сетью Интернет — обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Intemet-cepBepoB, открытых для общего пользования, от несанкционированного доступа.
В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:
- трансляция адресов для сокрытия структуры и адресации внутренней сети;
- фильтрация проходящего трафика;
- управление списками доступа на маршрутизаторах;
- дополнительная идентификация и аутентификация пользователейстандартных служб (на проходе);
- ревизия содержимого (вложений) информационных пакетов, выявление инейтрализация компьютерных вирусов;
- виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям — обеспечения конфиденциальности, — применяютсякриптографические методы, рассмотренные выше);
- противодействие атакам на внутренние ресурсы.
Управление механизмами защиты
- выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного поэтапного усиления степени защищенности АС;
- так называемый «мягкий» режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности АС и существующей технологии обработки информации;
- возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в «мягком», так и обычном режимах).
- должны поддерживаться возможности управления механизмами защиты какцентрализованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализованно (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных). Аналогично, часть изменений, произведенных децентрализованно, должна быть автоматически отражена в центральной базе данных защиты и при необходимости также разослана на все другие станции, которых они касаются. Например, при смене своего пароля пользователем, осуществленной на одной из рабочих станций, новое значение пароля этого пользователя должно быть отражено в центральной базе данных защиты сети, а также разослано на все рабочие станции, на которых данному пользователю разрешено работать;
- управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции, то есть независимо от того, включена она в данный момент времени и работает ли на ней какой-то пользователь или нет. После включения неактивной станции все изменения настроек, касающиеся ее механизмов защиты, должны быть автоматически перенесены на нее;
- в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа. Проведение таких замен может быть вызвано как необходимостью устранения обнаруженных ошибок в программах, так и потребностью совершенствования и развития системы (установкой новых улучшенных версий программ);
- для больших АС особую важность приобретает оперативный контроль за состоянием рабочих станций и работой пользователей в сети. Поэтому система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.
- подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;
- возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;
- в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности. Например, заменять все многократно повторяющиеся в журнале события, связанные с выполнением командного файла autoexec.bat, одним обобщенным;
- желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с администрации безопасности.