Разграничение доступа в IP- сетях на основе моделей...
-
Upload
camilla-todd -
Category
Documents
-
view
56 -
download
3
description
Transcript of Разграничение доступа в IP- сетях на основе моделей...
Семинар «Виртуальные научные сообщества и технологии нечётких распределённых вычислений (Cloud Computing)»
Таруса04.02.2010
Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений
Александр СилиненкоСанкт-Петербургский государственный политехнический университет
Кафедра «Телематика»[email protected]
2Содержание
Актуальные аспекты задачи разграничения доступа в IP-сетях
Терминология
Постановка задачи
Модели и подходы к решению задачи
Программная реализация системы разграничения доступа в IP-сетях
3Задача разграничения доступа к сетевым ресурсам
Актуальность Широкое распространение сетей на основе стека протоколов TCP/IP Защита ресурсов IP-сетей от несанкционированного доступа и
удалённых деструктивных воздействий Ограничение обращений пользователей к нежелательным сетевым
ресурсам
Существующие методы решения
Логическое и физическое сегментирование IP-сети Логическое разграничение доступа, идентификация, аутентификация,
авторизация Межсетевое экранирование и фильтрация: пакетные фильтры,
инспекторы состояний, серверы-посредники
Проблемные вопросы
Тематическое разграничение доступа Атаки на сетевые сервисы, разрешённые политикой доступа
4Виртуальные соединения в сетях передачи данных
ГОСТ 26556-85 (X.25): виртуальное соединение – «одна из служб передачи данных с коммутацией пакетов, в которой процедура установления соединения и процедура завершения соединения определяют интервал времени для связи между двумя устройствами оконечного оборудования данных, во время которой в сеть передаются абонентские данные и доставляются из сети в том же порядке, в котором они были получены сетью»
РД 45.195-2001 (ATM): виртуальное соединение – «логическая ассоциация объектов, работающих между конечными точками виртуального канала или тракта»
В задаче разграничения доступа в IP-сети: виртуальное соединение (ВС) – информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одного- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.
Узел X
приложение i
5Виртуальные соединения и задача разграничения доступа в IP-сетях
IP-сеть
Узел Z Узел Y
приложение j
IP-пакеты
Виртуальное соединение
Объекты
Монитор безопасности
Проактивный анализ
Реактивный анализ
Субъекты
Политика разграничения доступа для виртуальных соединений
Выявление аномалий в виртуальных соединениях
6Общая постановка задачи
Для любого виртуального соединения (ВС) v, принадлежащего множеству
ВС V, определить принадлежность v подмножеству Vо опасных ВС или
подмножеству Vб безопасных ВС, где V=VоVб:
. если,0
; если,1)(
о
о
Vv
VvvF
Опасные ВС Vо
v1
…
Множество ВС VБезопасные ВС Vб
v2 v3
v4
v5 vi
v1
v3 vi
v2
v4 v5
Задача классификации:
7Цель
Разработка подхода к решению задачи разграничения
доступа в IP-сетях на основе скрытной фильтрации трафика с
использованием формального описания виртуальных
соединений и их анализа с целью определения соответствия
политике доступа и выявления аномалий
8Задачи
Формализовать описание виртуального соединения для решения
задачи разграничения доступа в IP-сетях.
Предложить формальное описание политики доступа к сетевым
ресурсам на основе множества правил фильтрации.
Разработать модели состояния виртуальных соединений,
учитывающие особенности транспортных протоколов в различных
фазах межсетевого взаимодействия.
Сформировать методику выявления атак типа «затопление» основе
анализа статистических характеристик виртуальных соединений.
Разработать архитектуру системы разграничения доступа в IP-сетях,
которая обеспечивает скрытную фильтрацию трафика на основе
предложенных моделей
9Теоретико-множественная модель виртуального соединения
P
P - множество IP-пакетов,
P ={pi, i=1…|P|},конечно
Т – множество временных отсчётов (дискретное время),
Т ={ti, i=1..}, счётно
t1 t2 t3 tn
Виртуальное соединение:
… …
t1 t2 t3 tn …t4 t5
p1 p2 p3 p4 p5 pn
…
ojijidjsjdisidjsjdisi
ttit
TttCCBBBBAAAA
NjippTPvNNipvjii
||,},,{},{},,{},{
]),1[,(,:),,1[,,1},{
где A – IP-адрес, B – номер порта, С – номер протокола,s – источник, d – приёмник
10Вектор состояния виртуального соединения
Параметр yk Значение Параметр yk
Значение
Интерфейс клиента Eth0 Прикладной протокол HTTP
Интерфейс сервера Eth1 Имя сайта www.mail.ru
IP-адрес клиента 194.85.98.33 Байт от клиента 14005
IP-адрес сервера 217.69.128.42 Байт от сервера 28904
Транспортный протокол TCP Пакетов от клиента 159
Порт клиента 12890 Пакетов от сервера 211
Порт сервера 8080 Таймаут неактивности 86400 с
Состояние транспортного
протокола
ESTABLISHED Имя запрошенного файла /htdocs/pics/Logo.png
Номер последовательности TCP для клиента
4893726109 Номер последовательности TCP для клиента
4893726109
Номер подтверждения TCP для клиента
2389348534 Номер подтверждения TCP для клиента
2389348534
Время начала ВС 14.01.10 12:12:48.01 Метод GET
Время последней активности 14.01.10 12:12:50.55 Мгновенная скорость 23 п/с
KKkyYvNNipv kti,,1},{'),1[,,1},{
11Декомпозиция задачи классификации виртуальных соединений
).(
);,(
);,(
),,(
3
2
1
i
i
i
i
YF
GYF
RYF
GRYF
. если,0
; если,1),(
оз
оз1 Vv
VvRYF
i
ii
. если,0
; если,1),(
оп
оп2 Vv
VvGYF i
. если,0
; если,1)(
оа
оа3 Vv
VvYF i
о
о
если,0
; если,1)(
Vv
VvvF
i
ii
Vо – множество опасных виртуальных соединений
Vо=VозVоп Vоа, где:
Vоз – виртуальные соединения, запрещённых политикой разграничения
доступа R
Vоп – виртуальные соединения, не соответствующие спецификациям G
используемых протоколов;
Vоа – виртуальные соединения, реализующие удалённые атаки
12Политика разграничения доступа к сетевым ресурсам на основе алгебры правил
R = <R, >: алгебра правил
фильтрацииНесущее множество R:
R – множество правил фильтрации,
R = {rj, j=1..|R|}
rj = <Xj, Aj> – правило фильтрации,
где
Xj – вектор параметров правила
Aj – вектор атрибутов правила
Сигнатура алгебры :
– множество операций
= {φ1, φ2}, где
φ1 – операция сложения
φ2 – операция умножения
13Определение операций алгебры правил фильтрации
},...,,,,...,{},...,,,,...,{ 22221222211121111211213 MNMN AAaXXXAAaXXXrrr
, где},,...,,,,...{
; где},,...,,,,...{
21112122122111212111
211121221221112121113 AAAAAAaaXXXX
AAAAAAaaXXXXr
MMNN
MMNN
},...,,,,...,{
},...,,,,...,{*},...,,,,...,{*
212212211121221221113
22221222211121111211213
MMNN
MMMN
AAAAAAXXXXXXr
AAAXXXAAAXXXrrr
где Aj1 – атрибут действия правила фильтрации,
Aj1 = 1 – разрешение доступа; Aj1 = 0 – запрет доступа
Сложение φ1
Умножение φ2
Выполнение аксиом коммутативного кольца:
Сложение
Коммутативность: r1 + r2= r2 + r1
Ассоциативность: r1 + (r2 + r3)= (r1 + r2) + r3
Существование нуля: r1 + 0r = r1,
Существование
противоположного:
Умножение
Коммутативность: r1r2= r2r1
Ассоциативность: r1(r2r3)= (r1r2)r3
Существование единицы: r11r= r1
Сложение и умножение
Дистрибутивность: r1(r2 + r3)= r1r2 + r1r3
14Обоснование корректности задания алгебры правил фильтрации
11
2121
отрицание логическое где
},,...,,,,...,,{
AA
AAAXXXr MN
0 где},,...,,,,...,{0 11 AAr
1 где
},,...,,,,...,,{1
1
2121
A
DADAADXDXDX MNr
15Соответствие виртуального соединения политике разграничения доступа, заданной в виде алгебры
Правило rj = <Xj, Aj>, где Xj={Xjn, n=1..N}, соответствует ВС Yi={yk,k=1..K}i, если
ykYiXj и XnYiXj выполняется условие yi1Xj1, yi2Xj2, …, yilXjl, l=1..|YiXj|
оз1
оз11
есть то,1}),||..1{(0
есть то,0}),||..1{(1),(
Vvесли ARkrдля
Vvесли ARkrдляRYF
ikk
ikki
Функция соответствия виртуального соединения политике разграничения доступа
Правило rj в большей степени соответствует ВС Y, чем ri, если оба правила
соответствуют ВС и выполняется одно из условий 1) Xi1 Xj1; 2) Xi1Xj1 Xi2 Xj2; 3)
Xi1Xj1 Xi2Xj2 Xi3Xj3; … ; n) Xi1Xj1 Xi2Xj2 Xi3Xj3 … XiNXjN
Правило rk* в наибольшей степени соответствует ВС, если его вектор параметров Xk
удовлетворяет условию Xk1Xj1 Xk2Xj2 Xk3Xj3 … XkNXjN, j=1..k-1,k+1,…|R|.
(не соответствует)
(соответствует)
16Модель состояния виртуального соединения по протоколу TCP в системе разграничения доступа
GTCP = (Q, B, , , qs)
QTCP – множество состояний;
ВTCP – входной алфавит
(IP-пакеты и события таймеров);TCP (qi, pj) = qk – функция
переходов;TCP (q,p,Y) – функция
контроля соответствия пакета состоянию ВСqs – начальное состояние
17
G0 = (Q, B, , , qs)
Q0 – множество состояний;
В0 – входной алфавит (IP-пакеты и
события таймеров);0(qi, pj) = qk – функция переходов;
0(q,p,Y) – функция контроля
соответствия пакета состоянию ВСqs – начальное состояние
). , состоянию уетсоответств пакет-(1),,( если0
), , состоянию уетсоответств не пакет-(0),,( если,1),(
оп
оп2 VvqvpIPYpq
VvqvpIPYpqGYF
iii
iiii
Функция соответствия виртуального соединения спецификации используемого
протокола:
Модель состояния виртуального соединения UDP, ICMP в системе разграничения доступа
18Статистическое описание виртуальных соединений для задачи разграничения доступа
Безопасные ВС
Flood-атака - вероятность ошибки
1-го рода - вероятность ошибки
2-го рода < : уменьшаем
вероятность пропуска
атаки
19Методика выявления flood-атак на основе оценки статистических параметров методом последовательного анализа
Методика:
- вычислить очередное значение yij мгновенной интенсивности ВС vi;
- вычислить отношение правдоподобия ;
- вычислить функция F3(Yi) в соответствии с критерием Вальда.
L0, L1 - функция правдоподобия при условии
справедливости гипотезы H0 и H1:)()...()(),...,,(
)()...()(),...,,(
12111211
02010210
iniiinii
iniiinii
yyyyyyL
yyyyyyL
,),...,,(
),...,,(
210
211
inii
inii
yyyL
yyyL
)., гипотеза япринимаетс (1
если1
);измерений епродолжени(1
1 если,0
);, гипотеза япринимаетс( 1
если,1
)(
оа1
оа0
3
V vH
V vH
YF
i
i
i
Распределение мгновенных интервалов для ВС апроксимируется ограниченным
нормальным законом N(a,2)
Гипотеза H0 – выборочное среднее соответствует распределению безопасного ВС
Гипотеза H1 –выборочное среднее соответствует распределению для flood-атаки
20Архитектура системы разграничения доступа в IP-сетях
Безопасность системы разграничения доступа обеспечивается за счёт выполнения условий скрытного функционирования: прозрачности и сохранения целостности обрабатываемых IP-пакетов (если не выполняется трансляция адресов )
Диспетчер пакетов
Таблицавекторов
состояния текущих ВС
Выявление flood-атак
Выявление аномалий в протоколах
Анализ прикладных протоколов
Трансляция адресов
Правила фильтрации
новых ВС
Правила фильтрации текущих ВС
Политика доступа
Добавление правилапри выявлении атаки
Добавление ВС, параметры ВС
Администратор безопасности
Формирование
IP-пакет
IP-пакет без изменений
Параметры ВС
Параметры ВС
Преобразо-ванный
IP-пакет
21Программная реализация системы разграничения доступа
Программно-аппаратный межсетевой экран ССПТ-2
Типовая схема включения ССПТ-2
Сертификаты соответствия требованиям ФСТЭК и ФСБ по 3-му классу защищённости
22Ключевые функциональные особенности межсетевого экрана ССПТ-2
Скрытный режим работы в сети («стелс») Максимальное число интерфейсов: 5 Управление: Ethernet, консоль, COM, WEB,командная строка Уровни фильтрации: канальный, сетевой, транспортный, прикладной Система визуализации регистрационной информации Режим высокой готовности Анализ параметров виртуальных соединений Трансляция сетевых адресов (NAT) Фильтрация по номеру VLAN Синхронизация времени по NTP Механизм блокировки flood-атак Аутентификация администратора по RADIUS Аутентификация сетевых пользователей Зеркалирование трафика
23Пример таблицы векторов состояния виртуальных соединений
номер правила фильтрации; таймаут неактивности интерфейс, IP-адрес, порт клиента интерфейс, IP-адрес, порт сервера
транспортный протокол прикладной протокол состояние виртуального соединения статистика пакетов и байт
24Сравнительная характеристика ССПТ-2 и межсетевых экранов Cisco
Функции Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 НПО РТК, ССПТ-2
Количество пользователей/узлов
10, 50 или не ограничено
Не ограничено Не ограничено Не ограничено Не ограничено
Пропускная способность До 150 Мбит/с До 300 Мбит/с До 450 Мбит/с До 650 Мбит/с До 800 Мбит/с
Количество виртуальных соединений
10 000, 25 000* 50 000, 130 000* 280 000 400 000 50 000
Количество новых соединений в секунду
4 000 9 000 12 000 25 000 7 000
Количество фильтрующих интерфейсов 8 портов 10/100
Мбит/с (включая 2 порта POE)
5 портов 10/100 Мбит/с, 2 порта 1000 Мбит/с + 3
порта 10/100 Мбит/с*
1 порт 10/100 Мбит/с + 4 порта
1000 Мбит/с
1 порт 10/100 Мбит/с + 4 порта 1000
Мбит/с
2 - 5 портов 10/100Мбит/с или 2 порта 10/100/1000
Мбит/с
Виртуальые интерфейсы (VLANs)
3 без поддержки транков /
50/100* 150 200Не применимо -
безадресный режим работы
Контексты безопасности (виртуальные МЭ),включено/максимум 0 2/5 2/20 2/50
Индивидуальная политика безопасности для каждого VLAN без
ограничения количества
Отказоустойчивая конфигурация
активный/резервный без
сохранения состояния и
резервирование
Не поддерживается;активный/активный
и активный/резервны
й*
активный/активный и
активный/резервный
активный/активный и
активный/резервный
активный/активный и активный/резервный
25Направления разработок
Организация параллельной обработки виртуальных соединений
Реализация новых алгоритмов обнаружения аномалий
Внедрение механизмов формального описания протоколов для
контроля корректности их использования