Семинар «Виртуальные научные сообщества и технологии нечётких распределённых вычислений (Cloud Computing)» Таруса Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений Александр Силиненко Санкт-Петербургский государственный политехнический университет Кафедра «Телематика»

2 Содержание Актуальные аспекты задачи разграничения доступа в IP-сетях Терминология Постановка задачи Модели и подходы к решению задачи Программная реализация системы разграничения доступа в IP-сетях

3 Задача разграничения доступа к сетевым ресурсам Актуальность Широкое распространение сетей на основе стека протоколов TCP/IP Защита ресурсов IP-сетей от несанкционированного доступа и удалённых деструктивных воздействий Ограничение обращений пользователей к нежелательным сетевым ресурсам Существующие методы решения Логическое и физическое сегментирование IP-сети Логическое разграничение доступа, идентификация, аутентификация, авторизация Межсетевое экранирование и фильтрация: пакетные фильтры, инспекторы состояний, серверы-посредники Проблемные вопросы Тематическое разграничение доступа Атаки на сетевые сервисы, разрешённые политикой доступа

4 Виртуальные соединения в сетях передачи данных ГОСТ (X.25): виртуальное соединение – «одна из служб передачи данных с коммутацией пакетов, в которой процедура установления соединения и процедура завершения соединения определяют интервал времени для связи между двумя устройствами оконечного оборудования данных, во время которой в сеть передаются абонентские данные и доставляются из сети в том же порядке, в котором они были получены сетью» РД (ATM): виртуальное соединение – «логическая ассоциация объектов, работающих между конечными точками виртуального канала или тракта» В задаче разграничения доступа в IP-сети: виртуальное соединение (ВС) – информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одного- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.

Узел X приложение i 5 Виртуальные соединения и задача разграничения доступа в IP-сетях IP-сеть Узел Z Узел Y приложение j IP-пакеты Виртуальное соединение Объекты Монитор безопасности Проактивный анализ Реактивный анализ Субъекты Политика разграничения доступа для виртуальных соединений Выявление аномалий в виртуальных соединениях

6 Общая постановка задачи Для любого виртуального соединения (ВС) v, принадлежащего множеству ВС V, определить принадлежность v подмножеству V о опасных ВС или подмножеству V б безопасных ВС, где V=V о V б : Опасные ВС V о v1v1 … Множество ВС V Безопасные ВС V б v2v2 v3v3 v4v4 v5v5 vivi v1v1 v3v3 vivi v2v2 v4v4 v5v5 Задача классификации:

7 Цель Разработка подхода к решению задачи разграничения доступа в IP-сетях на основе скрытной фильтрации трафика с использованием формального описания виртуальных соединений и их анализа с целью определения соответствия политике доступа и выявления аномалий

8 Задачи Формализовать описание виртуального соединения для решения задачи разграничения доступа в IP-сетях. Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации. Разработать модели состояния виртуальных соединений, учитывающие особенности транспортных протоколов в различных фазах межсетевого взаимодействия. Сформировать методику выявления атак типа «затопление» основе анализа статистических характеристик виртуальных соединений. Разработать архитектуру системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей

9 Теоретико-множественная модель виртуального соединения P P - множество IP-пакетов, P ={p i, i=1…|P|}, конечно Т – множество временных отсчётов (дискретное время), Т ={t i, i=1.. }, счётно t1t1 t2t2 t3t3 tntn Виртуальное соединение: …… t1t1 t2t2 t3t3 tntn … t4t4 t5t5 p1p1 p2p2 p3p3 p4p4 p5p5 pnpn … где A – IP-адрес, B – номер порта, С – номер протокола, s – источник, d – приёмник

10 Вектор состояния виртуального соединения Параметр y k Значение Параметр y k Значение Интерфейс клиентаEth0Прикладной протоколHTTP Интерфейс сервераEth1Имя сайта IP-адрес клиента Байт от клиента14005 IP-адрес сервера Байт от сервера28904 Транспортный протоколTCPПакетов от клиента159 Порт клиента12890Пакетов от сервера211 Порт сервера8080Таймаут неактивности86400 с Состояние транспортного протокола ESTABLISHEDИмя запрошенного файла/htdocs/pics/Logo.png Номер последовательности TCP для клиента Номер последовательности TCP для клиента Номер подтверждения TCP для клиента Номер подтверждения TCP для клиента Время начала ВС :12:48.01МетодGET Время последней активности :12:50.55Мгновенная скорость23 п/с

11 Декомпозиция задачи классификации виртуальных соединений V о – множество опасных виртуальных соединений V о =V оз V оп V оа, где: V оз – виртуальные соединения, запрещённых политикой разграничения доступа R V оп – виртуальные соединения, не соответствующие спецификациям G используемых протоколов; V оа – виртуальные соединения, реализующие удалённые атаки

12 Политика разграничения доступа к сетевым ресурсам на основе алгебры правил R = : алгебра правил фильтрации Несущее множество R : R – множество правил фильтрации, R = {r j, j=1..|R|} r j = – правило фильтрации, где X j – вектор параметров правила A j – вектор атрибутов правила Сигнатура алгебры : – множество операций = {φ 1, φ 2 }, где φ 1 – операция сложения φ 2 – операция умножения

13 Определение операций алгебры правил фильтрации где A j1 – атрибут действия правила фильтрации, A j1 = 1 – разрешение доступа; A j1 = 0 – запрет доступа Сложение φ 1 Умножение φ 2

Выполнение аксиом коммутативного кольца: Сложение Коммутативность: r 1 + r 2 = r 2 + r 1 Ассоциативность: r 1 + (r 2 + r 3 )= (r 1 + r 2 ) + r 3 Существование нуля: r r = r 1, Существование противоположного: Умножение Коммутативность: r 1 r 2 = r 2 r 1 Ассоциативность: r 1 (r 2 r 3 )= (r 1 r 2 )r 3 Существование единицы: r 1 1 r = r 1 Сложение и умножение Дистрибутивность: r 1 (r 2 + r 3 )= r 1 r 2 + r 1 r 3 14 Обоснование корректности задания алгебры правил фильтрации

15 Соответствие виртуального соединения политике разграничения доступа, заданной в виде алгебры Правило r j =, где X j ={X jn, n=1..N}, соответствует ВС Y i ={y k,k=1..K} i, если y k Y i X j и X n Y i X j выполняется условие y i1 X j1, y i2 X j2, …, y il X jl, l=1..|Y i X j | Функция соответствия виртуального соединения политике разграничения доступа Правило r j в большей степени соответствует ВС Y, чем r i, если оба правила соответствуют ВС и выполняется одно из условий 1) X i1 X j1 ; 2) X i1 X j1 X i2 X j2 ; 3) X i1 X j1 X i2 X j2 X i3 X j3 ; … ; n) X i1 X j1 X i2 X j2 X i3 X j3 … X iN X jN Правило r k * в наибольшей степени соответствует ВС, если его вектор параметров X k удовлетворяет условию X k1 X j1 X k2 X j2 X k3 X j3 … X kN X jN, j=1..k-1,k+1,…|R|. (не соответствует) (соответствует)

16 Модель состояния виртуального соединения по протоколу TCP в системе разграничения доступа G TCP = (Q, B,,, q s ) Q TCP – множество состояний; В TCP – входной алфавит (IP-пакеты и события таймеров); TCP ( q i, p j ) = q k – функция переходов; TCP ( q,p,Y ) – функция контроля соответствия пакета состоянию ВС q s – начальное состояние

17 G 0 = (Q, B,,, q s ) Q 0 – множество состояний; В 0 – входной алфавит (IP-пакеты и события таймеров); 0 ( q i, p j ) = q k – функция переходов; 0 ( q,p,Y ) – функция контроля соответствия пакета состоянию ВС q s – начальное состояние Функция соответствия виртуального соединения спецификации используемого протокола: Модель состояния виртуального соединения UDP, ICMP в системе разграничения доступа

18 Статистическое описание виртуальных соединений для задачи разграничения доступа Безопасные ВС Flood-атака - вероятность ошибки 1-го рода - вероятность ошибки 2-го рода < : уменьшаем вероятность пропуска атаки

19 Методика выявления flood-атак на основе оценки статистических параметров методом последовательного анализа Методика: - вычислить очередное значение y ij мгновенной интенсивности ВС v i ; - вычислить отношение правдоподобия ; - вычислить функция F 3 (Y i ) в соответствии с критерием Вальда. L 0, L 1 - функция правдоподобия при условии справедливости гипотезы H 0 и H 1 : Распределение мгновенных интервалов для ВС апроксимируется ограниченным нормальным законом N(a, 2 ) Гипотеза H 0 – выборочное среднее соответствует распределению безопасного ВС Гипотеза H 1 –выборочное среднее соответствует распределению для flood-атаки

20 Архитектура системы разграничения доступа в IP-сетях Безопасность системы разграничения доступа обеспечивается за счёт выполнения условий скрытного функционирования: прозрачности и сохранения целостности обрабатываемых IP- пакетов (если не выполняется трансляция адресов )

21 Программная реализация системы разграничения доступа Программно-аппаратный межсетевой экран ССПТ-2 Типовая схема включения ССПТ-2 Сертификаты соответствия требованиям ФСТЭК и ФСБ по 3-му классу защищённости

22 Ключевые функциональные особенности межсетевого экрана ССПТ-2 Скрытный режим работы в сети («стелс») Максимальное число интерфейсов: 5 Управление: Ethernet, консоль, COM, WEB,командная строка Уровни фильтрации: канальный, сетевой, транспортный, прикладной Система визуализации регистрационной информации Режим высокой готовности Анализ параметров виртуальных соединений Трансляция сетевых адресов (NAT) Фильтрация по номеру VLAN Синхронизация времени по NTP Механизм блокировки flood-атак Аутентификация администратора по RADIUS Аутентификация сетевых пользователей Зеркалирование трафика

23 Пример таблицы векторов состояния виртуальных соединений номер правила фильтрации; таймаут неактивности интерфейс, IP-адрес, порт клиента интерфейс, IP-адрес, порт сервера транспортный протокол прикладной протокол состояние виртуального соединения статистика пакетов и байт

24 Сравнительная характеристика ССПТ-2 и межсетевых экранов Cisco ФункцииCisco ASA 5505Cisco ASA 5510Cisco ASA 5520Cisco ASA 5540НПО РТК, ССПТ-2 Количество пользователей/узлов 10, 50 или не ограничено Не ограничено Пропускная способность До 150 Мбит/сДо 300 Мбит/сДо 450 Мбит/сДо 650 Мбит/сДо 800 Мбит/с Количество виртуальных соединений , *50 000, * Количество новых соединений в секунду Количество фильтрующих интерфейсов 8 портов 10/100 Мбит/с (включая 2 порта POE) 5 портов 10/100 Мбит/с, 2 порта 1000 Мбит/с + 3 порта 10/100 Мбит/с* 1 порт 10/100 Мбит/с + 4 порта 1000 Мбит/с портов 10/100Мбит/с или 2 порта 10/100/1000 Мбит/с Виртуальые интерфейсы (VLANs) 3 без поддержки транков / 50/100* Не применимо - безадресный режим работы Контексты безопасности (виртуальные МЭ), включено/максимум 02/52/202/50 Индивидуальная политика безопасности для каждого VLAN без ограничения количества Отказоустойчивая конфигурация активный/резерв ный без сохранения состояния и резервирование Не поддерживается; активный/активный и активный/резервны й* активный/активны й и активный/резервн ый

25 Направления разработок Организация параллельной обработки виртуальных соединений Реализация новых алгоритмов обнаружения аномалий Внедрение механизмов формального описания протоколов для контроля корректности их использования