Семинар «Виртуальные научные сообщества и технологии нечётких распределённых вычислений (Cloud Computing)» Таруса 04.02.2010 Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений Александр Силиненко Санкт-Петербургский государственный политехнический университет Кафедра «Телематика» [email protected]
25
Embed
Разграничение доступа в IP- сетях на основе моделей состояния виртуальных соединений
Разграничение доступа в IP- сетях на основе моделей состояния виртуальных соединений. Александр Силиненко Санкт-Петербургский государственный политехнический университет Кафедра «Телематика» [email protected]. Содержание. Актуальные аспекты задачи разграничения доступа в IP -сетях - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Семинар «Виртуальные научные сообщества и технологии нечётких распределённых вычислений (Cloud Computing)»
Таруса04.02.2010
Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений
Александр СилиненкоСанкт-Петербургский государственный политехнический университет
Актуальные аспекты задачи разграничения доступа в IP-сетях
Терминология
Постановка задачи
Модели и подходы к решению задачи
Программная реализация системы разграничения доступа в IP-сетях
3Задача разграничения доступа к сетевым ресурсам
Актуальность Широкое распространение сетей на основе стека протоколов TCP/IP Защита ресурсов IP-сетей от несанкционированного доступа и
удалённых деструктивных воздействий Ограничение обращений пользователей к нежелательным сетевым
ресурсам
Существующие методы решения
Логическое и физическое сегментирование IP-сети Логическое разграничение доступа, идентификация, аутентификация,
авторизация Межсетевое экранирование и фильтрация: пакетные фильтры,
инспекторы состояний, серверы-посредники
Проблемные вопросы
Тематическое разграничение доступа Атаки на сетевые сервисы, разрешённые политикой доступа
4Виртуальные соединения в сетях передачи данных
ГОСТ 26556-85 (X.25): виртуальное соединение – «одна из служб передачи данных с коммутацией пакетов, в которой процедура установления соединения и процедура завершения соединения определяют интервал времени для связи между двумя устройствами оконечного оборудования данных, во время которой в сеть передаются абонентские данные и доставляются из сети в том же порядке, в котором они были получены сетью»
РД 45.195-2001 (ATM): виртуальное соединение – «логическая ассоциация объектов, работающих между конечными точками виртуального канала или тракта»
В задаче разграничения доступа в IP-сети: виртуальное соединение (ВС) – информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одного- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.
Узел X
приложение i
5Виртуальные соединения и задача разграничения доступа в IP-сетях
IP-сеть
Узел Z Узел Y
приложение j
IP-пакеты
Виртуальное соединение
Объекты
Монитор безопасности
Проактивный анализ
Реактивный анализ
Субъекты
Политика разграничения доступа для виртуальных соединений
Выявление аномалий в виртуальных соединениях
6Общая постановка задачи
Для любого виртуального соединения (ВС) v, принадлежащего множеству
ВС V, определить принадлежность v подмножеству Vо опасных ВС или
подмножеству Vб безопасных ВС, где V=VоVб:
. если,0
; если,1)(
о
о
Vv
VvvF
Опасные ВС Vо
v1
…
Множество ВС VБезопасные ВС Vб
v2 v3
v4
v5 vi
v1
v3 vi
v2
v4 v5
Задача классификации:
7Цель
Разработка подхода к решению задачи разграничения
доступа в IP-сетях на основе скрытной фильтрации трафика с
использованием формального описания виртуальных
соединений и их анализа с целью определения соответствия
политике доступа и выявления аномалий
8Задачи
Формализовать описание виртуального соединения для решения
задачи разграничения доступа в IP-сетях.
Предложить формальное описание политики доступа к сетевым
ресурсам на основе множества правил фильтрации.
Разработать модели состояния виртуальных соединений,
учитывающие особенности транспортных протоколов в различных
фазах межсетевого взаимодействия.
Сформировать методику выявления атак типа «затопление» основе
анализа статистических характеристик виртуальных соединений.
Разработать архитектуру системы разграничения доступа в IP-сетях,
которая обеспечивает скрытную фильтрацию трафика на основе
предложенных моделей
9Теоретико-множественная модель виртуального соединения
P
P - множество IP-пакетов,
P ={pi, i=1…|P|},конечно
Т – множество временных отсчётов (дискретное время),
Т ={ti, i=1..}, счётно
t1 t2 t3 tn
Виртуальное соединение:
… …
t1 t2 t3 tn …t4 t5
p1 p2 p3 p4 p5 pn
…
ojijidjsjdisidjsjdisi
ttit
TttCCBBBBAAAA
NjippTPvNNipvjii
||,},,{},{},,{},{
]),1[,(,:),,1[,,1},{
где A – IP-адрес, B – номер порта, С – номер протокола,s – источник, d – приёмник
10Вектор состояния виртуального соединения
Параметр yk Значение Параметр yk
Значение
Интерфейс клиента Eth0 Прикладной протокол HTTP
Интерфейс сервера Eth1 Имя сайта www.mail.ru
IP-адрес клиента 194.85.98.33 Байт от клиента 14005
IP-адрес сервера 217.69.128.42 Байт от сервера 28904
Транспортный протокол TCP Пакетов от клиента 159
Порт клиента 12890 Пакетов от сервера 211
Порт сервера 8080 Таймаут неактивности 86400 с
Состояние транспортного
протокола
ESTABLISHED Имя запрошенного файла /htdocs/pics/Logo.png
Номер последовательности TCP для клиента
4893726109 Номер последовательности TCP для клиента
4893726109
Номер подтверждения TCP для клиента
2389348534 Номер подтверждения TCP для клиента
2389348534
Время начала ВС 14.01.10 12:12:48.01 Метод GET
Время последней активности 14.01.10 12:12:50.55 Мгновенная скорость 23 п/с
KKkyYvNNipv kti,,1},{'),1[,,1},{
11Декомпозиция задачи классификации виртуальных соединений
16Модель состояния виртуального соединения по протоколу TCP в системе разграничения доступа
GTCP = (Q, B, , , qs)
QTCP – множество состояний;
ВTCP – входной алфавит
(IP-пакеты и события таймеров);TCP (qi, pj) = qk – функция
переходов;TCP (q,p,Y) – функция
контроля соответствия пакета состоянию ВСqs – начальное состояние
17
G0 = (Q, B, , , qs)
Q0 – множество состояний;
В0 – входной алфавит (IP-пакеты и
события таймеров);0(qi, pj) = qk – функция переходов;
0(q,p,Y) – функция контроля
соответствия пакета состоянию ВСqs – начальное состояние
). , состоянию уетсоответств пакет-(1),,( если0
), , состоянию уетсоответств не пакет-(0),,( если,1),(
оп
оп2 VvqvpIPYpq
VvqvpIPYpqGYF
iii
iiii
Функция соответствия виртуального соединения спецификации используемого
протокола:
Модель состояния виртуального соединения UDP, ICMP в системе разграничения доступа
18Статистическое описание виртуальных соединений для задачи разграничения доступа
Безопасные ВС
Flood-атака - вероятность ошибки
1-го рода - вероятность ошибки
2-го рода < : уменьшаем
вероятность пропуска
атаки
19Методика выявления flood-атак на основе оценки статистических параметров методом последовательного анализа
Методика:
- вычислить очередное значение yij мгновенной интенсивности ВС vi;
- вычислить отношение правдоподобия ;
- вычислить функция F3(Yi) в соответствии с критерием Вальда.
L0, L1 - функция правдоподобия при условии
справедливости гипотезы H0 и H1:)()...()(),...,,(
)()...()(),...,,(
12111211
02010210
iniiinii
iniiinii
yyyyyyL
yyyyyyL
,),...,,(
),...,,(
210
211
inii
inii
yyyL
yyyL
)., гипотеза япринимаетс (1
если1
);измерений епродолжени(1
1 если,0
);, гипотеза япринимаетс( 1
если,1
)(
оа1
оа0
3
V vH
V vH
YF
i
i
i
Распределение мгновенных интервалов для ВС апроксимируется ограниченным
нормальным законом N(a,2)
Гипотеза H0 – выборочное среднее соответствует распределению безопасного ВС
Гипотеза H1 –выборочное среднее соответствует распределению для flood-атаки
20Архитектура системы разграничения доступа в IP-сетях
Безопасность системы разграничения доступа обеспечивается за счёт выполнения условий скрытного функционирования: прозрачности и сохранения целостности обрабатываемых IP-пакетов (если не выполняется трансляция адресов )
Диспетчер пакетов
Таблицавекторов
состояния текущих ВС
Выявление flood-атак
Выявление аномалий в протоколах
Анализ прикладных протоколов
Трансляция адресов
Правила фильтрации
новых ВС
Правила фильтрации текущих ВС
Политика доступа
Добавление правилапри выявлении атаки
Добавление ВС, параметры ВС
Администратор безопасности
Формирование
IP-пакет
IP-пакет без изменений
Параметры ВС
Параметры ВС
Преобразо-ванный
IP-пакет
21Программная реализация системы разграничения доступа
Программно-аппаратный межсетевой экран ССПТ-2
Типовая схема включения ССПТ-2
Сертификаты соответствия требованиям ФСТЭК и ФСБ по 3-му классу защищённости
22Ключевые функциональные особенности межсетевого экрана ССПТ-2
Скрытный режим работы в сети («стелс») Максимальное число интерфейсов: 5 Управление: Ethernet, консоль, COM, WEB,командная строка Уровни фильтрации: канальный, сетевой, транспортный, прикладной Система визуализации регистрационной информации Режим высокой готовности Анализ параметров виртуальных соединений Трансляция сетевых адресов (NAT) Фильтрация по номеру VLAN Синхронизация времени по NTP Механизм блокировки flood-атак Аутентификация администратора по RADIUS Аутентификация сетевых пользователей Зеркалирование трафика
23Пример таблицы векторов состояния виртуальных соединений
номер правила фильтрации; таймаут неактивности интерфейс, IP-адрес, порт клиента интерфейс, IP-адрес, порт сервера
транспортный протокол прикладной протокол состояние виртуального соединения статистика пакетов и байт
24Сравнительная характеристика ССПТ-2 и межсетевых экранов Cisco