Концепция кластера информационной безопасности Параллельные VPN-шлюз и анализатор сетевого трафика г. Нижний Новгород 26 ноября 2002 года А.П. Лубанец В.С. Заборовский ГНЦ ЦНИИ РТК

2 Содержание Постановка задачи обеспечения ИБ в современных ИС и пути ее решения Концепция кластера информационной безопасности Параллельный VPN-шлюз Параллельный анализатор сетевого трафика Выводы Перспективы развития

3 Аспекты обеспечения ИБ в современных ИС Аспект обеспечения Производительность Фильтрация Желательно Анализ трафика Критично Обнаружение атак Критично Криптография Критично Инспекция пакетов Критично

4 Концепция разработки технических средств для обеспечения ИБ Базовая предпосылка: Задачи управления и обеспечения ИБ обладают иерархической структурой, характеризуются распределенность и внутренним параллелизмом Положение 1Передача данных и управляющих воздействий происходит по разным (физическим и логическим) каналам Положение 2 Устройства защиты, не являющиеся источниками или приемниками пакетов (МЭ, IDS, анализаторы), могут не иметь адресов (IP, MAC) Положение 3Для масштабирования производительности технические средства обеспечения ИБ строятся на базе кластеров

5 Технические требования к средствам обеспечения ИБ Масштабируемость Производительность Надежность Использование стандартов (стеки протоколов, сетевые интерфейсы, криптографические алгоритмы) Разделение управляющего и рабочего контура Сетевые стелс-технологии (патентованная технология ЦНИИ РТК)

6 Преимущества использования кластерных технологий Масштабируемость Производительность Надежность Использование стандартов (стеки протоколов, сетевые интерфейсы) Разделение управляющего и рабочего контура

7 Концепция кластера информационной безопасности (КИБ) Масштабирование технических средств использование централизованного высокопроизводительного ресурса кластеризация подобных устройств Обеспечение комплексной ИБ (универсальность КИБ) Использование специализированных сетевых процессоров (технические средства, позволяющие обрабатывать сетевые транзакции, не обнаруживая себя в сети)

8 Масштабирование в рамках концепции КИБ Централизованный ресурс Кластеризация

9 Обеспечение комплексной ИБ в КИБ Межсетевые экраны (МЭ) VPN-шлюзы Системы обнаружения вторжений (IDS) Анализаторы лог-файлов МЭ Инспекция пакетов с учетом протокола (stateful inspection)

10 Специализированные сетевые процессоры Прикладные процессы Ввод Программный канал - стек TCP/IP Вывод. Программный канал - стек TCP/IP Системные вызовы Ядро ОС Базовые команды – посылка/прием/удаление пакетов (put, get, del) Пакет – совокупность заголовка и данных Структура - данные могут быть пакетом коллектор эмиттер база СП управление Общая структура сетевого процессора (СП)

11 Реализация технических средств обеспечения ИБ в соответствие с концепцией КИБ Пилотные образцы компонентов КИБ: Параллельный анализатор лог- файлов МЭ Конвертация лог-файлов межсетевых экранов и визуализация процессов происходящих в сети. Параллельный VPN-шлюз Организация шифрованных туннелей в соответствии с парадигмой виртуальных частных сетей (VPN).

12 Технические требования к реализации параллельного VPN-шлюза Масштабируемая за счет использования централизованного масштабируемого ресурса архитектура Модульная структура Использование стандартов (межсетевое взаимодействие, языки программирования, криптографические алгоритмы)

13 Выполнение требований к реализации параллельного VPN- шлюза Использование в качестве масштабируемого централизованного ресурса сетевого высокопроизводительного параллельного кластера с распределенной памятью (MPICH 1.2.3, рабочий контур Gigabit Ethernet, контур управления и доступа к дисковому массиву – Fast Ethernet) VPN-шлюз состоит из следующих модулей: сетевой процессор, планировщик и вычислительное ядро Использование стандартов: TCP/IP, ANSI C, MPI 1.1, POSIX.1b; криптоалгоритмы ГОСТ

14 Структура параллельного VPN- шлюза MPI-кластер (вычислительное ядро) Библиотека примитивов MPI Параллельное вычислительное ядро Библиотека криптографи- ческих функций Планировщик Сетевой процессор Планировщик Сетевой процессор 1)Взаимодействие с сетевым процессором и ядром 2)Монитор ресурсов 3)Блок управления и контроля состояния VPN-каналов 1)Прозрачное взаимодействие со средой передачи пакетов 2)Взаимодействие с планировщиком

15 Вычислительное ядро параллельного VPN-шлюза Явный параллелизм: структурный (теория групповых коммуникаций) и физический (MPI) Масштабируемость (свойство кластера) Интероперабельность (межплатформенное взаимодействие) Мобильность (межплатформенный перенос) Функциональная простота (функционально конечные группы процессов, оперирование пакетами определенного формата) Инвариантность по отношению к данным

16 Структура вычислительного ядра параллельного VPN-шлюза 1)Генерация базиса и ключей 2)Процедура восстановления 3)Процедура шифрования Процесс-исполнитель 1 Процесс-исполнитель N... Координатор Запросы от планировщика (пакеты на обработку) Прием и распределение пакетов Сборщик Ответы планировщику (обработанные пакеты) Проверка пакетов и передача Группа координатора Рабочая группа Группа сборщика

17 Тестирование параллельного VPN- шлюза Исследованы следующие характеристики: Зависимость производительности от вычислительной мощности кластера Сравнение двух подходов передачи данных: с записью в сетевую память и без таковой Накладные расходы на использование параллельной среды выполнения MPICH

18 Результаты тестирования параллельного VPN-шлюза Линейный рост производительности кластера (в среднем 50% на каждый узел; предельный 70%; 300% для пяти узлов) => VPN-шлюзы заданной производительности Незначительные временные затраты на параллельную с обработкой запись на устройства сетевой памяти => анализаторы трафика, IDS, сетевые сенсоры Накладные расходы на использование параллельной среды выполнения MPICH не имеют существенного значения для низколатентной среды

19 Технические требования к реализации параллельного анализатора Масштабируемая архитектура (использование кластеризации) Модульная структура Использование стандартов на межсетевое взаимодействие и языки программирования

20 Выполнение требований к реализации параллельного анализатора Масштабирование путем кластеризации однотипных устройств, каждое из которых в автономном режиме является самодостаточным устройством Анализатор состоит из следующих модулей: СУБД, планировщик, конверторы и сервер сетевой памяти (NAS-сервер) Использование стандартов: TCP/IP и ANSI С

21 Структура параллельного анализатора NAS NFS Планировщик NFS Конвертер МЭ NFS Сервер СУБД Сервер визуализации Станция управления Кластер Масштабируемая часть

22 Тестирование параллельного анализатора Автономное устройство Кластер устройств в конфигурации: 4 конвертера 1 управляющий узел Совмещенный сервер (сервер СУБД, сетевой памяти NAS, сервер визуализации)

23 Результаты тестирования параллельного анализатора В качестве нагрузки использовалась лог-файлы от межсетевого экрана в корпоративном сегменте из нескольких десятков рабочих станций. Скорость поступления лог-файлов в среднем 100 Кбайт/сек. Конвертирование лог файлов на параллельной анализаторе указанной конфигурации производилось в 15 раз быстрее по сравнению с автономным устройством.

24 В Ы В О Д Ы Свойство внутреннего параллелизма обработки сетевого трафика позволяет производить его обработку на параллельных вычислительных кластерах Для обработки можно использовать как уже имеющиеся кластеры с разделяемой памятью (опытные образцы устройств), так и специализированные (серийные устройства) С помощью технологий кластеризации возможно повышение как производительности, так и надежности устройств, входящих в состав КИБ

25 Проблемы современных систем обеспечения ИБ Сложность инфрастуктуры: сетевой, данных и приложений Список уязвимостей сетевого оборудования, программного обеспечения постоянно растет Вероятность проведения успешной атаки при наличии времени и усердия Сложность конфигурации средств защиты требует от администратора безопасности высокой квалификации Современные средства защиты способны лишь блокировать атаку, но ни предотвратить, ни выявить последствия

26 Перспективное применение кластерных технологий в системах обеспечения ИБ Решение проблемы: Защита в реальном времени Адаптация средств защиты к меняющимся условиям инфраструктуры Реализация безопасности на этапах подготовки атаки, во время и на этапе завершения Применение технологии активного аудита или адаптивного управления безопасностью

27 Активный аудит (адаптивное управление безопасностью) Состав системы: Средства анализа защищенности и поиска уязвимости объектов информационной системы Средства обнаружения и анализа атак Средства адаптации и управления настройками средств защиты в режиме реального времени при изменении инфраструктуры или атаках

Адрес: , Санкт- Петербург, Тихорецкий пр., 21 Тел.: (812) Факс: (812) г. Нижний Новгород 26 ноября 2002 года ГНЦ ЦНИИ РТК Контактная информация