Разработка архитектуры системы мониторинга и аудита правил маршрутизации и фильтрации сетевого трафика
Основные недостатки фильтрации и маршрутизация пакетов на основе политик. Применение метода функциональной декомпозиции. Составные части алгоритма мониторинга и аудита. Алгоритм аудита противоречий правил конфигурации. Формализованные сигнатуры аномалий.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 10.01.2016 |
Размер файла | 410,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Волгоградский государственный университет
Статья
На тему: «Разработка архитектуры системы мониторинга и аудита правил маршрутизации и фильтрации сетевого трафика»
Автор: студент Стеценко Дмитрий Андреевич
Научный руководитель: ассистент
кафедры Информационной безопасности
Умницын Михаил Юрьевич
Аннотация
Системы управления, основанные на политиках, получают все большее распространение в самых разных сферах применения благодаря гибкости в управлении и удобству администрирования. Политики, как совокупности правил функционирования системы в виде "если-то", встречаются в настройках различных сервисов, в том числе средства (устройства) фильтрации и маршрутизации. Однако сложность построения списков правил приводит к проблемам конфигурирования, включающие в себя проблемы несогласованности и избыточности правил, которые в свою очередь могут привести к ряду угроз информационной безопасности.
Ключевые слова: Архитектура; мониторинг; аудит; маршрутизация; фильтрация; политики; правила
Abstract
System management, policy-based, are becoming more common in various applications due to the flexibility in the management and ease of administration. Policy as a set of rules of functioning of the system in the form of "if-then"can be found in the settings of various services, including a means (device) filtering and routing. However, the complexity of the construction of lists of rules leads to configuration problems, including problems of inconsistency and redundancy rules, which in turn can lead to a number of threats to information security.
Keywords: Architecture; monitoring; auditing; routing; filtering; policies; rules
Фильтрации и маршрутизация пакетов на основе политик, имеет ряд недостатков, причем они становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметим основные из них:
· сложность восприятия правил (в некоторых случаях совокупность правил может стать неуправляемой);
· невозможность полного тестирования правил (приводит к незащищенности сети от не протестированных атак, в результате администратору трудно определить, скомпрометирован ли маршрутизатор или нет).
На самом деле причин возникновения ошибок маршрутизации и фильтрации гораздо шире и подлежит отдельному рассмотрению, однако способ их выявления зачастую одинаков: администратор сравнивает фактическое состояние сети с ожидаемым, ищет различия и выясняет, при каких обстоятельствах они могли возникнуть. В большинстве случаев это осуществляется вручную. Специалист по маршрутизации самостоятельно регистрируется на отдельных устройствах маршрутизации и проверяет информацию о маршрутах и конфигурацию самих устройств, пытаясь выявить причины ошибок и несоответствия.
Тем временем гораздо эффективнее для поиска причины использовать средства мониторинга и аудита, которые регулярно и параллельно на всех обследуемых устройствах могут делать моментальные снимки с помощью инструмента для анализа маршрутов, а также собирать всю необходимую информацию, на всех устройствах маршрутизации. Помимо этого инструменты проверяют данные о маршрутизации на предмет возможных ошибок, автоматически выполняя те же самые шаги, которые предпринял бы специалист. После анализа, занимающего всего несколько секунд, программное обеспечение отображает возможные источники ошибок при маршрутизации, администратору в свою очередь достаточно лишь изучить их, чтобы быстро локализовать проблему. Кроме того, используя сравнению двух снимков, можно определить, какие пути были измены, кем и почему в результате возникла ошибка.
Исследование. Описанная система мониторинга и аудита должна распознавать даже промежуточные изменения в настройке отдельных устройств и сразу же сообщать об этом администратору. Например, возможно, что применение асимметричных маршрутных путей необходимо в данный момент времени при конкретных условиях, но если их число постоянно меняется, значит в сети имеется аномалия, и это необходимо проверить.
Приведенные требования можно формализовать следующим образом. При реализации функций мониторинга и аудита параметров работы систем фильтрации и маршрутизации трафика средство, отвечающее за выполнение этих функций, должно обеспечивать:
1) формирование, просмотр, редактирование, активацию (деактивацию) и удаление заданий на сбор значений параметров работы (выполнения\невыполнения правил) систем фильтрации и маршрутизации пакетов информации;
2) система должна идентифицировать любые изменения (удаление, изменение или добавление новых правил) ключевых элементов в конфигурации политик сетевых устройств, а так же выявлять следующие типы аномалий систем фильтрации и маршрутизации пакетов информации: пересечение, обобщение, затенение и избыточность. Конфигурация каждой системы должна проверяться по утвержденной базе данных эталонных образов для проверки любых изменений в настройках безопасности, которые могли бы повлиять на безопасность;
3) создание отчетов (в виде журналов) по параметрам работы систем фильтрации и маршрутизации пакетов информации. Отчет должен содержать время и дату выявления аномалии, наименование объекта мониторинга, тип выявленной аномалии, источник выявленной аномалии, краткое описание ее местоположения;
4) выдачу аварийных сообщений по параметрам работы и конфигураций систем фильтрации и маршрутизации пакетов информации, если полученные значения отличаются от установленных.
Т.о. для полноценного контроля за процессами фильтрации и маршрутизации, средство обеспечивающее данные функции должно предоставлять следующие возможности:
· мониторинг изменения конфигурации правил фильтрации и маршрутизации;
· мониторинг противоречий (валидация) правил фильтрации и маршрутизации;
· выдача аварийных сообщений с краткой информацией о выявленных аномалиях;
· ведение журнала отчетов;
Применение метода функциональной декомпозиции позволило выделить в таблицу составные части, характерные для описанной системы мониторинга и аудита.
Таблица 1. Составные части алгоритма мониторинга и аудита
Подсистема сбора данных |
Осуществляет с заданной регулярностью опрос объектов, подлежащих мониторингу, для получения исследуемых значений. Может также включать в себя первичный анализ полученных данных с целью, квалификации полученных значений как нормальных, требующих вмешательства оператора либо критических. |
|
Подсистема хранения |
Отвечает за накопление, хранение, архивацию данных о результатах проверок. Включает компоненты для работы с базами данных (БД) или иными репозиториями, программные средства уменьшения объема хранимой информации и т.п. |
|
Подсистема анализа данных |
Включает компоненты, производящие исследования данных, накопленных системой, сбор статистики, выработку эталонных значений и сравнение с ними различных состояний наблюдаемой системы, верификацию правил маршрутизации и фильтрации и т.д. |
|
Подсистема оповещения |
Отвечает за уведомление лиц, ответственных за функционирование проверяемых объектов о нештатных ситуациях и иных значимых событиях, возникающих в системе. |
|
Подсистема вывода |
Отвечает за представление информации о работе системы и результатов проверок в виде, удобном для восприятия пользователем. Для взаимодействия с конечным пользователем, безусловно, необходим развитый интерфейс, предоставляющий удобную навигацию между различными типами отчетов и сводок о состоянии объектов мониторинга. |
Эти подсистемы ориентированы на оперативный мониторинг, направленный на оценку текущей работоспособности и немедленную реакцию на разнообразные внештатные ситуации работы систем маршрутизации и фильтрации.
На рисунке 1 приведена возможная архитектура системы, удовлетворяющей этим требованиям.
Рисунок 1 ? Архитектура системы мониторинга и аудита
Фактически можно говорить о том, что типовые особенности, наложенные на конкретную архитектуру, выражают требования к функциональной модели разрабатываемой системы. По методологии IDEF0 для программного комплекса мониторинга и аудита правил фильтрации и маршрутизации сетевого трафика разработана функциональная модель, определяющая структуру и связи подсистем системы мониторинга и аудита. Модель разрабатываемой системы, построенная согласно данному стандарту приведена на рисунке ниже.
Рисунок 2 ? Контекстная диаграмма верхнего уровня
Рисунок 3 ? Дочерняя диаграмма
Представленная функциональная модель состоит из двух диаграмм: родительской диаграммы (А 0) и диаграммы, представляющей ее декомпозицию.
Основной функциональный блок, который определяет систему в качестве единого модуля, детализируется на другой диаграмме с помощью шести блоков, соединенных интерфейсными дугами. Эти блоки представляют основные подфункции исходной функции. Данная декомпозиция выявляет полный набор подфункций, каждая из которых представлена как блок, границы которого определены интерфейсными дугами.
В процессе декомпозиции, функциональный блок, представленный на родительской диаграмме, был подвергнут детализации на второй диаграмме. Получившаяся диаграмма второго уровня содержит функциональные блоки, отображающие главные подфункции функционального блока родительской диаграммы и является дочерней. Декомпозиция была произведена в соответствии с шестью основными модулями, которые должны быть включены в ПС мониторинга и аудита (таблица 1). Таким образом, блок, представленный на родительской диаграмме, был разбит на следующие функциональные блоки:
- обработка события ИБ (А 1);
- сбор информации об этом событии (А 2);
- сохранение собранной информации (А 3);
- анализ сохраненной информации (А 4);
- распространение проанализированной информации (А 5);
- отобразить распространенную информацию (А 6).
Управление будет воздействовать на все шесть функциональных блоков, представленных на диаграмме, декомпозирующей родительскую диаграмму.
Можно утверждать, что математического моделирования, для приведенного набора модулей, требует только та часть, функции которой сводятся к анализу и проверке формальных спецификаций. Известны различные общие подходы, но их применимость к верификации правил фильтрации и маршрутизации ограничена, в следствие чего существующих средств сетевого мониторинга и управления маршрутизацией\фильтрацией, удовлетворяющих всем поставленным в данном исследовании требованиям не выявлено. алгоритм мониторинг декомпозиция маршрутизация
Следует отметить, что аномалии возникающие в правилах фильтрации и маршрутизации легко поддаются математической формализации, что стало одним из решающих факторов, повлиявших на результат тщательного анализа, в ходе которого был сделан следующий вывод: для данной работы наиболее подходящим представляется сигнатурный метод верификации правил. Этот подход предполагает структурирование и последующий анализ собранной о конфигурациях политик информации. Т.о. основным преимуществом данного подхода является сочетание простоты программной реализации с максимальной точностью выявления аномалий.
Для реализации выбранного метода было принято решение положить в основу аудита правил фильтрации и маршрутизации способ выявления аномалий основанный на составлении и последующем сравнении текущих значений объектов мониторинга с контрольными. Формализуем данный прием следующим образом.
Пускай существует такое множество, элементы которого описывают состояние объекта мониторинга. Назовем его профилем объекта и обозначим как П. При этом выделяют два вида профиля:
1) контрольный профиля (Пк): данный профиль формируется при тестовом проведении мониторинга системой мониторинга и аудита или задается вручную, уполномоченным на то специалистом, и характеризует состояние контролируемого объекта.
2) текущий профиль (Пт): данный профиль создается каждый раз при проведении мониторинга состояния КС.
Программный комплекс мониторинга и аудита правил фильтрации и маршрутизации согласно выдвигаемым к нему требованиям должен предусматривает два типа аудита: целостности конфигураций и противоречий правил конфигураций, которые легко формализовать в виде блок-схем:
Блок-схема 1 ? Алгоритм аудита целостности конфигураций
2. Блок-схема 2 ? Алгоритм аудита противоречий правил конфигурации
В первом случае в качестве контрольного профиля выступает эталонный профиль, параметры которого изначально считаются безопасными, а во втором - профиль аномалий, определяющий набор сигнатур противоречивого поведения.
Для формирования текущего и эталонного профиля разработана модель профиля защищаемой сети. Данная модель описывает статические характеристики сети, такие как топология, множество узлов сети, их расположение, характеристики и связность друг с другом, правила маршрутизации и фильтрации в сети. Данная модель выступает в качестве текущего и эталонного профиля в программном комплексе мониторинга и аудита правил фильтрации и маршрутизации.
Математически модель сети можно определить как набор множеств статических параметров, характерных для реальной сети. M=<N, L, R, IP, PORTS, PROTOCOLS>, где M - модель сети, N - множество узлов в сети, L - множество связей в сети, R - множество правил в сети, IP - множество адресов в сети, PORTS - множество портов в сети {0..65535}, PROTOCOLS - множество протоколов, используемых в сети {IP, ICMP, TCP, UDP}.
Описание составляющих |
Составляющие |
Описание элементов |
|
Узел в сети характеризуется адресом, типом и узлом сети, которому он принадлежит. |
n є N, n = Tє{Подсеть, Диапазон, Хост, Коммутатор, Маршрутизатор, МЭ} |
ip - множество адресов узла, T - тип узла, n' - узел сети, для которого узел n является вложенным. |
|
Множество связей представляет собой множество пар узлов, которые связаны напрямую в сети |
L=<(n1,n2)> |
n1 - первый узел пары узлов, n2 - второй узел пары узлов. |
|
Множество правил представлено множеством правил фильтрации и маршрутизации |
R=<PR,PF> |
PR - множество правил маршрутизации в сети, PF - множество правил фильтрации в сети. |
|
Правило фильтрации определяется как набор из оконечной точки источника, оконечной точки цели и действия, задаваемого для правила |
pf є PF, pf = <nr, Vs,Vd, a є {Разрешить, Запретить}> V |
nr - объект, которому принадлежит правило, Vs - оконечная точка источника, Vd - оконечная точка цели, a - действие правила, port - порт узла, protocol - протокол передачи. |
|
Правила маршрутизации в модели определяют направления в сети для достижимости между объектами |
pr є PR, pr = <nr, nd, nfd> |
nr - объект, которому принадлежит правило, nd - объект-цель, nfd - объект-шлюз. |
Теоретиком-множественная модель, описывающая профиль защищаемой сети, позволяет формализовать профиль аномалий правил фильтрации и маршрутизации, используемый в случае аудита противоречий правил в качестве контрольного профиля.
Формализованные сигнатуры аномалий, которые соответствует небезопасным параметрам правил конфигурации имеют следующий вид.
Название |
Математическое представление |
|
"Затенение" |
Пусть правило A предшествует правилу B в списке правил. Тогда правило B будет затенено правилом A, если выполняется условие |
|
"Обобщение" |
Пусть правило A предшествует правилу B в списке правил. Тогда правило B будет обобщать правило A, если выполняется условие |
|
"Пересечение |
Для правил A и B в списке правил будет определено пересечение, если выполняется условие |
|
"Неиспользуемые правила" |
Для правил A и B в списке правил правило A будет избыточно, если выполняется условие |
Вывод
В данной работе разработана архитектура и функциональная и теоретико-множественная модель системы мониторинга и аудита,, описаны алгоритмы функционирования ее модулей и подсистем, выявлено взаимодействие между этими модулями.
Предлагаемое решение для системы мониторинга и аудита:
1. Является масштабируемой: изменение и дополнение функциональности разрабатываемого по данной модели программного комплекса предполагается за счет разработки дополнительных плагинов для осуществления проверок и модулей реакции на события ОС;
2. Ориентирована на оперативный мониторинг, направленный на оценку текущей работоспособности и эффективности работы исследуемых объектов и немедленную реакцию на разнообразные внештатные ситуации;
Библиографический список
1. М.Мамаев, С.Петренко Технологии защиты информации в Интернете // СПб: "Питер", 2002.
2. Мордвин Д.В. Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети // Автореферат диссертации на соискание учёной степени кандидата технических наук, Таганрог 2010 г.
3. Коновалова В.А., Горовая М.А. Рефеат Применение межсетевых экранов для защиты корпоративных сетей // Электронный ресурс Режим доступа: http://www.studfiles.ru/dir/cat32/subj120/file3185/view4499.html
4. Дмитриенко П.В. Методика оценки эффективности систем мониторинга вычислительных ресурсов // Компьютерные исследования и моделирование 2012 Т. 4 № 3 С. 661-668 Режим доступа: http://crm.ics.org.ru/uploads/crmissues/crm_2012_3/661-668.pdf
5. Кореньков В.В., Дмитриенко П.В. Архитектура и пути реализации системы локального мониторинга ресурсного центра // Электронный журнал "Системный анализ в науке и образовании", №3, 2011. - Дубна, 2011. Режим доступа: http://www.sanse.ru/download/96
Размещено на Allbest.ru
...Подобные документы
Исследование основ метода движения трафика в сети. Ознакомление с IP адресацией и IP пакетами, протоколами. Определение понятия и функций сокета. Создание программного приложения мониторинга трафика (поступления и отправки пакетов между абонентами).
курсовая работа [474,7 K], добавлен 20.04.2015Обоснование необходимости систем компьютерного тестирования. Выбор среды программирования. Специфика сферы логистики. Организация программной среды аудита знаний. Используемые элементы среды программирования. Разработка алгоритма работы программы аудита.
дипломная работа [809,9 K], добавлен 07.01.2017Основные положения, связанные с маршрутизацией компьютерных сетей и её видами, протоколами маршрутизации и их разновидностями, алгоритмами маршрутизации, их классификацией, типами и свойствами. Разработка программы и моделирование компьютерной сети.
курсовая работа [1,8 M], добавлен 04.11.2012Описание систем управления процессами маршрутизации пакетов, передаваемых через компьютерную сеть. Изучение методов теории выбора кратчайших путей. Разработка программы маршрутизации данных и определение кратчайших путей их маршрутов методом Дейкстры.
курсовая работа [495,7 K], добавлен 24.06.2013Методы проектирования систем автоматического управления: экспериментальный и аналитический. Моделирование замкнутой системы управления. Системы в динамике: слежение, стабилизация, алгоритм фильтрации. Математические модели систем, воздействий, реакция.
контрольная работа [522,9 K], добавлен 05.08.2010Анализ проблемы обеспечения информационной безопасности при работе в сетях; обоснование необходимости разработки алгоритмов безопасной маршрутизации пакетов сообщений в глобальной информационной сети. Алгоритмизация задач безопасной маршрутизации пакетов.
дипломная работа [1,0 M], добавлен 21.12.2012Алгоритм декомпозиции графов и расчеты динамики логических сетей. Преобразование пространства булевых векторов. Описание блоков программной реализации и их взаимодействие. Разработка программы "слияния" статистик на основе алгоритма объединения.
дипломная работа [111,8 K], добавлен 07.03.2012Анализ модели политики безопасности. Программы сетевого общения (Instant Messengers и чаты). Удаление информации без возможности восстановления. Устройства хранения, файловые системы, уязвимости. Пример защиты ПК методом фильтрации сетевого трафика.
курсовая работа [97,2 K], добавлен 17.12.2015Понятие и классификация алгоритмов маршрутизации. Основное определение теории графов. Анализ и разработка алгоритмов Дейкстры и Флойда на языке программирования C# для определения наилучшего пути пакетов, передаваемых через сеть. Их сравнительный анализ.
курсовая работа [1,2 M], добавлен 16.05.2015Характеристика методов нечеткого моделирования и изучение системы кластеризации в пакетах прикладных программ. Разработка и реализация алгоритма для оптимизации базы правил нечеткого классификатора с помощью генетического алгоритма аппроксимации функции.
дипломная работа [1,9 M], добавлен 21.06.2014Интерфейс системы онлайн-мониторинга стационарного аппарата. Интерфейс автоматизированного рабочего места мониторинга АПБ Московского метрополитена. Архитектура системы ProView, основные сферы применения. Структура графического интерфейса пользователя.
курсовая работа [1,8 M], добавлен 21.03.2016Основные проблемы, возникающие у сетевых администраторов предприятий. Программные средства диагностики. Установка ядра системы. Настройка модуля отслеживания загрузки. Расчет затрат на разработку системы сетевого мониторинга, её внедрение и сопровождение.
дипломная работа [4,5 M], добавлен 13.08.2014Классификация алгоритмов маршрутизации. Методы передачи данных. Характеристики коммуникационной составляющей длительности выполнения параллельного алгоритма. Преимущества и недостатки CTR. Оценки трудоемкости для различных топологий и кластеров.
презентация [875,8 K], добавлен 10.02.2014Цель маршрутизации - доставка пакетов по назначению с максимизацией эффективности. Построение алгоритмов поиска кратчайшего пути маршрутизации, расчёт пути с минимальным количеством переходов. Характеристики протокола RIP и построение маршрутных таблиц.
курсовая работа [74,1 K], добавлен 26.08.2010Назначение, принципы построения и архитектура единой системы мониторинга и администрирования. Характеристика аппаратуры цифровой системы передачи данных ВТК-12. Принцип работы шлюза, создание его файлов конфигурации и реализация интерфейсных функций.
дипломная работа [3,2 M], добавлен 28.10.2013Необходимость ввода гибкой классификации пользователей на основе их поведения при работе с тематическими ресурсами. Параметризация классов пользователей, интеллектуальный алгоритм фильтрации контента. Параметры для принятия экспертной системой решения.
статья [16,7 K], добавлен 15.11.2013Рассмотрение понятия обмена информацией в сети. Изучение протоколов динамической маршрутизации различных комбинаций соединений Ethernet и Serial. Определение зависимости прохождения сигнала от типа порта и кабеля. Применение данных типов маршрутизации.
курсовая работа [1,3 M], добавлен 28.05.2014Выбор сервера базы данных, инструментальных средств разработки клиентского интерфейса и технологий. Описание таблиц базы данных системы мониторинга. Разработка инструментальных средств создания элементов системы. Интерфейс генерации тестов. Расчет затрат.
дипломная работа [1,9 M], добавлен 12.03.2013Сущность интеллектуальных систем. Запись математического выражения в виде ориентированного графа. Особенности разработки генетического алгоритма для решения задачи аппроксимации логического вывода экспертной системы на основе метода сетевого оператора.
дипломная работа [1,0 M], добавлен 17.09.2013Обзор области генерации сетевого трафика. Описание выбранных методов, моделей, алгоритмов решения задач. Создание модели поведения пользователя, распределение количества посещённых страниц сайта. Выбор средств реализации программного продукта (проекта).
курсовая работа [1,3 M], добавлен 30.06.2017