Семинар «Виртуальные научные сообщества и технологии нечётких распределённых вычислений (Cloud Computing)»

Таруса04.02.2010

Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений

Александр СилиненкоСанкт-Петербургский государственный политехнический университет

Кафедра «Телематика»avs@rusnet.ru

2Содержание

Актуальные аспекты задачи разграничения доступа в IP-сетях

Терминология

Постановка задачи

Модели и подходы к решению задачи

Программная реализация системы разграничения доступа в IP-сетях

3Задача разграничения доступа к сетевым ресурсам

Актуальность Широкое распространение сетей на основе стека протоколов TCP/IP Защита ресурсов IP-сетей от несанкционированного доступа и

удалённых деструктивных воздействий Ограничение обращений пользователей к нежелательным сетевым

ресурсам

Существующие методы решения

Логическое и физическое сегментирование IP-сети Логическое разграничение доступа, идентификация, аутентификация,

авторизация Межсетевое экранирование и фильтрация: пакетные фильтры,

инспекторы состояний, серверы-посредники

Проблемные вопросы

Тематическое разграничение доступа Атаки на сетевые сервисы, разрешённые политикой доступа

4Виртуальные соединения в сетях передачи данных

ГОСТ 26556-85 (X.25): виртуальное соединение – «одна из служб передачи данных с коммутацией пакетов, в которой процедура установления соединения и процедура завершения соединения определяют интервал времени для связи между двумя устройствами оконечного оборудования данных, во время которой в сеть передаются абонентские данные и доставляются из сети в том же порядке, в котором они были получены сетью»

РД 45.195-2001 (ATM): виртуальное соединение – «логическая ассоциация объектов, работающих между конечными точками виртуального канала или тракта»

В задаче разграничения доступа в IP-сети: виртуальное соединение (ВС) – информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одного- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.

Узел X

приложение i

5Виртуальные соединения и задача разграничения доступа в IP-сетях

IP-сеть

Узел Z Узел Y

приложение j

IP-пакеты

Виртуальное соединение

Объекты

Монитор безопасности

Проактивный анализ

Реактивный анализ

Субъекты

Политика разграничения доступа для виртуальных соединений

Выявление аномалий в виртуальных соединениях

6Общая постановка задачи

Для любого виртуального соединения (ВС) v, принадлежащего множеству

ВС V, определить принадлежность v подмножеству Vо опасных ВС или

подмножеству Vб безопасных ВС, где V=VоVб:

. если,0

; если,1)(

о

о

Vv

VvvF

Опасные ВС Vо

v1

…

Множество ВС VБезопасные ВС Vб

v2 v3

v4

v5 vi

v1

v3 vi

v2

v4 v5

Задача классификации:

7Цель

Разработка подхода к решению задачи разграничения

доступа в IP-сетях на основе скрытной фильтрации трафика с

использованием формального описания виртуальных

соединений и их анализа с целью определения соответствия

политике доступа и выявления аномалий

8Задачи

Формализовать описание виртуального соединения для решения

задачи разграничения доступа в IP-сетях.

Предложить формальное описание политики доступа к сетевым

ресурсам на основе множества правил фильтрации.

Разработать модели состояния виртуальных соединений,

учитывающие особенности транспортных протоколов в различных

фазах межсетевого взаимодействия.

Сформировать методику выявления атак типа «затопление» основе

анализа статистических характеристик виртуальных соединений.

Разработать архитектуру системы разграничения доступа в IP-сетях,

которая обеспечивает скрытную фильтрацию трафика на основе

предложенных моделей

9Теоретико-множественная модель виртуального соединения

P

P - множество IP-пакетов,

P ={pi, i=1…|P|},конечно

Т – множество временных отсчётов (дискретное время),

Т ={ti, i=1..}, счётно

t1 t2 t3 tn

Виртуальное соединение:

… …

t1 t2 t3 tn …t4 t5

p1 p2 p3 p4 p5 pn

…

ojijidjsjdisidjsjdisi

ttit

TttCCBBBBAAAA

NjippTPvNNipvjii

||,},,{},{},,{},{

]),1[,(,:),,1[,,1},{

где A – IP-адрес, B – номер порта, С – номер протокола,s – источник, d – приёмник

10Вектор состояния виртуального соединения

Параметр yk Значение Параметр yk

Значение

Интерфейс клиента Eth0 Прикладной протокол HTTP

Интерфейс сервера Eth1 Имя сайта www.mail.ru

IP-адрес клиента 194.85.98.33 Байт от клиента 14005

IP-адрес сервера 217.69.128.42 Байт от сервера 28904

Транспортный протокол TCP Пакетов от клиента 159

Порт клиента 12890 Пакетов от сервера 211

Порт сервера 8080 Таймаут неактивности 86400 с

Состояние транспортного

протокола

ESTABLISHED Имя запрошенного файла /htdocs/pics/Logo.png

Номер последовательности TCP для клиента

4893726109 Номер последовательности TCP для клиента

4893726109

Номер подтверждения TCP для клиента

2389348534 Номер подтверждения TCP для клиента

2389348534

Время начала ВС 14.01.10 12:12:48.01 Метод GET

Время последней активности 14.01.10 12:12:50.55 Мгновенная скорость 23 п/с

KKkyYvNNipv kti,,1},{'),1[,,1},{

11Декомпозиция задачи классификации виртуальных соединений

).(

);,(

);,(

),,(

3

2

1

i

i

i

i

YF

GYF

RYF

GRYF

. если,0

; если,1),(

оз

оз1 Vv

VvRYF

i

ii

. если,0

; если,1),(

оп

оп2 Vv

VvGYF i

. если,0

; если,1)(

оа

оа3 Vv

VvYF i

о

о

если,0

; если,1)(

Vv

VvvF

i

ii

Vо – множество опасных виртуальных соединений

Vо=VозVоп Vоа, где:

Vоз – виртуальные соединения, запрещённых политикой разграничения

доступа R

Vоп – виртуальные соединения, не соответствующие спецификациям G

используемых протоколов;

Vоа – виртуальные соединения, реализующие удалённые атаки

12Политика разграничения доступа к сетевым ресурсам на основе алгебры правил

R = <R, >: алгебра правил

фильтрацииНесущее множество R:

R – множество правил фильтрации,

R = {rj, j=1..|R|}

rj = <Xj, Aj> – правило фильтрации,

где

Xj – вектор параметров правила

Aj – вектор атрибутов правила

Сигнатура алгебры :

– множество операций

= {φ1, φ2}, где

φ1 – операция сложения

φ2 – операция умножения

13Определение операций алгебры правил фильтрации

},...,,,,...,{},...,,,,...,{ 22221222211121111211213 MNMN AAaXXXAAaXXXrrr

, где},,...,,,,...{

; где},,...,,,,...{

21112122122111212111

211121221221112121113 AAAAAAaaXXXX

AAAAAAaaXXXXr

MMNN

MMNN

},...,,,,...,{

},...,,,,...,{*},...,,,,...,{*

212212211121221221113

22221222211121111211213

MMNN

MMMN

AAAAAAXXXXXXr

AAAXXXAAAXXXrrr

где Aj1 – атрибут действия правила фильтрации,

Aj1 = 1 – разрешение доступа; Aj1 = 0 – запрет доступа

Сложение φ1

Умножение φ2

Выполнение аксиом коммутативного кольца:

Сложение

Коммутативность: r1 + r2= r2 + r1

Ассоциативность: r1 + (r2 + r3)= (r1 + r2) + r3

Существование нуля: r1 + 0r = r1,

Существование

противоположного:

Умножение

Коммутативность: r1r2= r2r1

Ассоциативность: r1(r2r3)= (r1r2)r3

Существование единицы: r11r= r1

Сложение и умножение

Дистрибутивность: r1(r2 + r3)= r1r2 + r1r3

14Обоснование корректности задания алгебры правил фильтрации

11

2121

отрицание логическое где

},,...,,,,...,,{

AA

AAAXXXr MN

0 где},,...,,,,...,{0 11 AAr

1 где

},,...,,,,...,,{1

1

2121

A

DADAADXDXDX MNr

15Соответствие виртуального соединения политике разграничения доступа, заданной в виде алгебры

Правило rj = <Xj, Aj>, где Xj={Xjn, n=1..N}, соответствует ВС Yi={yk,k=1..K}i, если

ykYiXj и XnYiXj выполняется условие yi1Xj1, yi2Xj2, …, yilXjl, l=1..|YiXj|

оз1

оз11

есть то,1}),||..1{(0

есть то,0}),||..1{(1),(

Vvесли ARkrдля

Vvесли ARkrдляRYF

ikk

ikki

Функция соответствия виртуального соединения политике разграничения доступа

Правило rj в большей степени соответствует ВС Y, чем ri, если оба правила

соответствуют ВС и выполняется одно из условий 1) Xi1 Xj1; 2) Xi1Xj1 Xi2 Xj2; 3)

Xi1Xj1 Xi2Xj2 Xi3Xj3; … ; n) Xi1Xj1 Xi2Xj2 Xi3Xj3 … XiNXjN

Правило rk* в наибольшей степени соответствует ВС, если его вектор параметров Xk

удовлетворяет условию Xk1Xj1 Xk2Xj2 Xk3Xj3 … XkNXjN, j=1..k-1,k+1,…|R|.

(не соответствует)

(соответствует)

16Модель состояния виртуального соединения по протоколу TCP в системе разграничения доступа

GTCP = (Q, B, , , qs)

QTCP – множество состояний;

ВTCP – входной алфавит

(IP-пакеты и события таймеров);TCP (qi, pj) = qk – функция

переходов;TCP (q,p,Y) – функция

контроля соответствия пакета состоянию ВСqs – начальное состояние

17

G0 = (Q, B, , , qs)

Q0 – множество состояний;

В0 – входной алфавит (IP-пакеты и

события таймеров);0(qi, pj) = qk – функция переходов;

0(q,p,Y) – функция контроля

соответствия пакета состоянию ВСqs – начальное состояние

). , состоянию уетсоответств пакет-(1),,( если0

), , состоянию уетсоответств не пакет-(0),,( если,1),(

оп

оп2 VvqvpIPYpq

VvqvpIPYpqGYF

iii

iiii

Функция соответствия виртуального соединения спецификации используемого

протокола:

Модель состояния виртуального соединения UDP, ICMP в системе разграничения доступа

18Статистическое описание виртуальных соединений для задачи разграничения доступа

Безопасные ВС

Flood-атака - вероятность ошибки

1-го рода - вероятность ошибки

2-го рода < : уменьшаем

вероятность пропуска

атаки

19Методика выявления flood-атак на основе оценки статистических параметров методом последовательного анализа

Методика:

- вычислить очередное значение yij мгновенной интенсивности ВС vi;

- вычислить отношение правдоподобия ;

- вычислить функция F3(Yi) в соответствии с критерием Вальда.

L0, L1 - функция правдоподобия при условии

справедливости гипотезы H0 и H1:)()...()(),...,,(

)()...()(),...,,(

12111211

02010210

iniiinii

iniiinii

yyyyyyL

yyyyyyL

,),...,,(

),...,,(

210

211

inii

inii

yyyL

yyyL

)., гипотеза япринимаетс (1

если1

);измерений епродолжени(1

1 если,0

);, гипотеза япринимаетс( 1

если,1

)(

оа1

оа0

3

V vH

V vH

YF

i

i

i

Распределение мгновенных интервалов для ВС апроксимируется ограниченным

нормальным законом N(a,2)

Гипотеза H0 – выборочное среднее соответствует распределению безопасного ВС

Гипотеза H1 –выборочное среднее соответствует распределению для flood-атаки

20Архитектура системы разграничения доступа в IP-сетях

Безопасность системы разграничения доступа обеспечивается за счёт выполнения условий скрытного функционирования: прозрачности и сохранения целостности обрабатываемых IP-пакетов (если не выполняется трансляция адресов )

Диспетчер пакетов

Таблицавекторов

состояния текущих ВС

Выявление flood-атак

Выявление аномалий в протоколах

Анализ прикладных протоколов

Трансляция адресов

Правила фильтрации

новых ВС

Правила фильтрации текущих ВС

Политика доступа

Добавление правилапри выявлении атаки

Добавление ВС, параметры ВС

Администратор безопасности

Формирование

IP-пакет

IP-пакет без изменений

Параметры ВС

Параметры ВС

Преобразо-ванный

IP-пакет

21Программная реализация системы разграничения доступа

Программно-аппаратный межсетевой экран ССПТ-2

Типовая схема включения ССПТ-2

Сертификаты соответствия требованиям ФСТЭК и ФСБ по 3-му классу защищённости

22Ключевые функциональные особенности межсетевого экрана ССПТ-2

Скрытный режим работы в сети («стелс») Максимальное число интерфейсов: 5 Управление: Ethernet, консоль, COM, WEB,командная строка Уровни фильтрации: канальный, сетевой, транспортный, прикладной Система визуализации регистрационной информации Режим высокой готовности Анализ параметров виртуальных соединений Трансляция сетевых адресов (NAT) Фильтрация по номеру VLAN Синхронизация времени по NTP Механизм блокировки flood-атак Аутентификация администратора по RADIUS Аутентификация сетевых пользователей Зеркалирование трафика

23Пример таблицы векторов состояния виртуальных соединений

номер правила фильтрации; таймаут неактивности интерфейс, IP-адрес, порт клиента интерфейс, IP-адрес, порт сервера

транспортный протокол прикладной протокол состояние виртуального соединения статистика пакетов и байт

24Сравнительная характеристика ССПТ-2 и межсетевых экранов Cisco

Функции Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 НПО РТК, ССПТ-2

Количество пользователей/узлов

10, 50 или не ограничено

Не ограничено Не ограничено Не ограничено Не ограничено

Пропускная способность До 150 Мбит/с До 300 Мбит/с До 450 Мбит/с До 650 Мбит/с До 800 Мбит/с

Количество виртуальных соединений

10 000, 25 000* 50 000, 130 000* 280 000 400 000 50 000

Количество новых соединений в секунду

4 000 9 000 12 000 25 000 7 000

Количество фильтрующих интерфейсов 8 портов 10/100

Мбит/с (включая 2 порта POE)

5 портов 10/100 Мбит/с, 2 порта 1000 Мбит/с + 3

порта 10/100 Мбит/с*

1 порт 10/100 Мбит/с + 4 порта

1000 Мбит/с

1 порт 10/100 Мбит/с + 4 порта 1000

Мбит/с

2 - 5 портов 10/100Мбит/с или 2 порта 10/100/1000

Мбит/с

Виртуальые интерфейсы (VLANs)

3 без поддержки транков /

50/100* 150 200Не применимо -

безадресный режим работы

Контексты безопасности (виртуальные МЭ),включено/максимум 0 2/5 2/20 2/50

Индивидуальная политика безопасности для каждого VLAN без

ограничения количества

Отказоустойчивая конфигурация

активный/резервный без

сохранения состояния и

резервирование

Не поддерживается;активный/активный

и активный/резервны

й*

активный/активный и

активный/резервный

активный/активный и

активный/резервный

активный/активный и активный/резервный

25Направления разработок

Организация параллельной обработки виртуальных соединений

Реализация новых алгоритмов обнаружения аномалий

Внедрение механизмов формального описания протоколов для

контроля корректности их использования