CC BY
53
АУДИТ БЕЗОПАСНОСТИ В СИСТЕМЕ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ СЕТЕВОГО ВЗАИМОДЕЙСТВИЯ НА ОСНОВЕ ИСПОЛЬЗОВАНИЯ СИСТЕМЫ ДОМЕННЫХ ИМЕН
Маркин Д.О.,
Академия ФСО России, admin@nikitka.net
Ключевые слова:
мониторинг, аудит, управление безопасностью, информационная безопасность, мониторинг безопасности, аудит безопасности, DNS, система доменных имен.
АННОТАЦИЯ
Представлено описание системы аудита безопасности в системе управления сетевого взаимодействия на основе системы доменных имен. Представлен также алгоритм работы данной системы, обоснована его принципиальная реализуемость. На основе предложенных показателей эффективности функционирования предлагаемой системы показаны ее преимущества перед известными системами аудита безопасности. Описана типовая структура компьютерной сети, реализующая предлагаемую систему, и представлены результаты апробации системы на испытательном стенде. Основным результатом работы является алгоритм функционирования системы аудита безопасности на основе использования системы доменных имен. Использования системы доменных имен в целях осуществления аудита безопасности позволяет значительно увеличить степень охвата элементов локальных и глобальных сетей, подвергаемых аудиту, а также обеспечить более полный набор контролируемых параметров сетевого взаимодействия. Результаты проведенного исследования подтверждены наличием авторского патента на изобретение и свидетельством об официальной регистрации программы для ЭВМ. В настоящее время локальные и глобальные сети информационных систем требуют реализации непрерыв-
ного процесса административного управления. При этом функции администрирования затрагивают, как проблемы, связанные с производительностью и надежностью работы сети, так и с ее безопасностью. Поскольку полностью исключить возможность возникновения нештатных ситуаций невозможно, решение заключается в том, чтобы обнаруживать проблемы на наиболее ранних стадиях, и получать о них наиболее подробную информацию. Для реализации этого решения чаще всего используют метод мониторинга системы и ее безопасности. Безопасность локальной сети (в более общем смысле -защищенность ее от внешних и внутренних вредоносных действий) обеспечивается двумя методами: аудитом и контролем. Предлагается система аудита безопасности в системе управления безопасностью сетевого взаимодействия на основе использования системы доменных имен. Разнообразие классов угроз информационной безопасности (ИБ), реализуемых с использованием особенностей функционирования протоколов межсетевого взаимодействия, требует от службы администрирования ИБ корпоративных информационных систем, как соответствующих программно-аппаратных комплексов мониторинга и оценивания состояния ИБ в этом направлении, так и соответствующих методик их использования в различных, динамически возникающих ситуациях.
В условиях функционирования системы управления безопасностью сетевого взаимодействия является наличие класса угроз ИБ, определяемых стандартами [3, 4] и другими, являются сетевые угрозы, то есть классы угроз, реализуемых с использованием протоколов межсетевого взаимодействия. Особенностью предлагаемой системы аудита безопасности является использование системы доменных имен. К числу угроз, использующих систему доменных имен, относятся угрозы, основанные на модификации пакетов ОЫБ-транзакций, которые относятся к классу угроз, направленных на создание в сети ложного маршрута. Их потенциальная опасность заключается в возможности перехвата данных, передающихся между клиентами сетевых сервисов и серверами этих сервисов. Таким образом, в руках злоумышленников могут оказаться аутентификацион-ные данные сотрудников организации для доступа к ресурсам конкретного сервиса.
Необходимо отметить, что практическое отсутствие реализаций программно-аппаратных комплексов, а также методик мониторинга и оценивания класса угроз И Б, основанных на модификации пакетов ОЫБ-транзакций, при потенциально высокой опасности реализации в корпоративных информационных системах атак типа: анализ сетевого трафика; подмена доверенного объекта сети; навязывание ложного маршрута; внедрение ложного объекта сети и соответствующих этим атакам угроз, определяет основное противоречие, устранение которого возможно путем реализации предлагаемой системы аудита и мониторинга угроз И Б сетевого взаимодействия.
1. Показатели эффективности системы управления
безопасностью сетевого взаимодействия
В качестве показателя результативности предлагается использовать защищенность сетевого взаимодействия клиента и информационных сервисов, использующих систему доменных имен, выражаемую вероятностью надежной защиты информации:
N
Р=Црг (1)
г=1
где Р- - вероятность защищенности информации на ¡-м
объекте, участвующем в сетевом взаимодействии; N - количество объектов, для которых осуществляется управление информационной безопасностью.
Защищенность информации на <-м объекте зависит от защищенности информации в каждом состоянии (режиме работы) каждого объекта. Таким образом, защищенность информации на /-м объекте выражается:
м
/}=1-П(1-^)' (2)
к=1
где Р-^ - вероятность защищенности информации на /-м
объекте в к-м состоянии (режиме работы) автоматизированной системы; М - количество состояний автоматизированной системы.
В классическом случае задача по обеспечению безопасного сетевого взаимодействия решается путем установки межсетевого экрана (МСЭ) в защищаемом сегменте сети, как правильно, локальной. При этом количество элементов компьютерной сети N„pom, на которые распространяется политика безопасности МСЭ, ограничена размерами защищаемого сегмента.
Предлагаемая система управления безопасностью сетевого взаимодействия (СУБСВ) позволяют вне зависимости от топологии сети и расположения точки мониторинга (межсетевого экрана) и клиентов осуществлять управление информационной безопасностью и мониторинг сетевого взаимодействия. Количество охватываемых такой системой мониторинга элементов сети - Ncucm и, очевидно, что Ncucm > N„pom. Кроме того, данная система позволяет осуществлять управление информационной безопасностью и мониторинг сетевого взаимодействия как на этапе установления соединения, так и на этапе информационного обмена клиента и информационных служб, осуществлять фильтрацию трафика с учетом любых значимых полей сетевых пакетов, управление доступом клиентов к информационным службам после установления соединения, фильтрацию трафика на наличие сведений конфиденциального характера и сведений, составляющих государственную тайну. Таким образом, если в качестве критерия эффективности выбрать защищенность информации, то с учетом формул (1) и (2) его можно представить в виде:
Ncucm Мсист ^прот МПр0т
Рсист= П а- W-Pik))>Pnpom= Ш1" ГК1"^»' ?=1 к=1 ;=1 к=1 где РСист - вероятность надежной защиты информации в предлагаемой системе, Р„рот - вероятность надежной защиты информации в системах-прототипах, используемых в рамках локальных сетей.
2. Алгоритм работы системы управления
информационной безопасностью
сетевого взаимодействия
В состав типовой компьютерной сети, реализующей предлагаемую систему, входят следующие элементы:
1. Клиентская ПЭВМ (Клиент).
2. Интернет-провайдер (в составе: кэширующий DNS сервер, шлюз).
3. Вспомогательный клиент.
4. Система доменных имен.
5. Точка мониторинга (межсетевой экран, фильтр, прокси-сервер).
6. Сервер информационной службы.
Пример типовой представлен на рис. 1. В качестве клиента могут выступать как ПЭВМ пользователей компьютерной сети, так и различные службы (например, FTP, WEB, SMTP, POP). В качестве информационных служб выступают любые службы, использующие систему доменных имен. К ним относятся, например, WEB, FTP, EMAIL, POP, SMTP, IMAP. На рис. 2 представлен алгоритм работы системы управления безопасностью сетевого взаимодействия, реализуемого типовой компьютерной сетью, представленной на рис.1.
Сервер информационной _службы_
©
1
©
(1!) Точка мониторинга
_©L_
I
®
© I©
1
Интернет провайдер
© ©)
Шлюз DNS
сервер
©
©
©it© ©1
©
(2)корневые DNS сервера (А..М)
it
6J GTLD
DNS сервера доменов 1 уровня
it
311 DNS коммутатор ( 8 ,
7)
DNS сервер Домена 2 уровня (контролируемый)
Рис. 1. Структурная схема типовой компьютерной сети, реализующей функционирование СУБСВ на основе использования системы доменных имен
Начало
- 102 -
Этап. 1. Передача команды (управляющего воздействия) "вспомогательному" клиенту, на инициализацию запроса к DNS серверу интернет-
Доменное имя
информационной службы есть в кэш-памяти DNS сервера интернет-провайдера ?
Этап 2. Запрос к DNS серверу
интернет-провайдеру на разрешения доменного имени из доменной зоны, за которую отвечает контролируемый DNS сервер
Г- 110
Этап 11. Запрос клиента к DNS серверу интернет-провайдеру на разрешения доменного имени информационной службы
ill -
Этап 12. Получение клиентом неавторитетного (из кэшпамяти) DNS ответа от DNS сервера интернет-провайдера
Запрашиваемое доменное имя есть в кэш-памяти DNS сервера интернет-провайдера ?
Этапы 4-7. Обработка DNS
запроса запрошенного доменного имени системой доменных имен
106 I -
Этапы 13-14. Передача запроса от клиента к информационной службе в точку мониторинга -межсетевой экран
- 113 I
Этап 15. Обработка клиентского запроса в точке мониторинга - межсетевом экране
,- 114 I
Этап 8. Обработка DNS запроса запрошенного доменного имени DNS-коммутатором контролируемого DNS сервера
107_I_
Этап 9. Передача DNS ответа от контролируемого DNS сервера к DNS серверу интернет-провайдера
Этапы 16-17. Передача запроса клиента к информационной службе, обработка запроса информационной службой и передача ответа клиенту через точку мониторинга
_ 115 .
Этап 10. Обработка DNS ответа DNS сервером интернет-провайдера
Этап 18. Обработка ответа информационной службы в точке мониторинга -межсетевом экране
г- 116 -1-
Этапы 19-20. Передача ответа информационной службы клиенту
Рис. 2. Алгоритм работы системы управления безопасностью сетевого взаимодействия на основе использования системы доменных имен
Для успешной реализации предлагаемой системы удаленного мониторинга и управления информационной безопасностью сетевого взаимодействия на основе использования системы доменных имен необходимо выполнение ряда условий:
1. Существует контролируемый DNS-сервер, отвечающий за какую-либо (любую) зону системы доменных имен.
2. Клиент обслуживается интернет-провайдером с кэши-рующим DNS-сервером либо известен иной DNS-сервер, услугами которого пользуется клиент, и данный сервер является кэширующим.
3. В момент получения DNS-ответа от контролируемого DNS-сервера в кэше DNS-сервера интернет-провайдера отсутствует запись с целевым DNS-именем узла информационной службы.
4. В точке мониторинга существует база IP-адресов и доменных имен целевых информационных службы, в отношении которых ведется мониторинг и управление сетевым взаимодействием с клиентом.
Для инициализации процесса мониторинга необходимо осуществить запрос на разрешение DNS-имени из зоны, за которую отвечает контролируемый DNS-сервер. Благодаря этому, появляется возможность сформировать DNS-ответ на полученный запрос с заданными параметрами.
Согласно рекомендациям RFC 1034 [1], RFC 1035 [2], устанавливающих порядок функционирования, спецификацию и применение системы доменных имен, при формировании DNS-ответа допускается добавление, так называемых полей "Additional".
Данные поля необходимы для записи IP-адресов вспомогательных узлов различных типов, в том числе, для предотвращения повторного обращения к DNS-серверу, в случаях, когда по определенным причинам, основной узел, запись которого передается в поле "Answer", оказывается недоступным. В случае применения предлагаемой системы, в поле "Additional" записывается1Р-адрес, ставящийся в соответствие доменному имени целевой информационной службе, но реально принадлежащий точке мониторинга -межсетевому экрану.
Реализация данных функций в предлагаемой системе возложена на так называемый DNS-коммутатор, алгоритм работы которого представлен на рис. 3 и реализован в авторской программе для ЭВМ [6].
Новизна предлагаемого решения по реализации алгоритма работы системы управления информационной безопасностью сетевого взаимодействия подтверждается наличием авторского патента [5]. После того как в процессе разрешения заданного DNS-имени кэширующий DNS-сервер интернет-провайдера (ISР) получает DNS-ответ, то при отсутствии записей в своей кэш-памяти соответствующих записям из дополнительных полей DNS-ответа, он помещает эти записи в кэш-память.
Таким образом, в кэш-память DNS-сервера интернет-провайдера помещаются записи, устанавливающие соответствие доменных имен информационных служб, для которых будет осуществляться мониторинг, и IP-адреса, принадлежащего точке мониторинга.
Al Начало
Импорт параметров
203 _
Прием DNS запроса от DNS клиента на разрешение заданного DNS имени
Разбор DNS запроса и идентификация информации из запроса
Формирование DNS ответа
206 -"-
Запись дополнительного поля в DNS ответ на основе заданных параметров
— I
г 207 -1-
Передача DNS ответа
Аудит произведенных действий
А1 Конец
Рис. 3. Алгоритм работы DNS коммутатора в составе контролируемого DNS-сервера
С этого момента, в случае, если клиент формирует DNS-запрос на разрешение имени узла целевой информационной службы с доменными именем, хранящимся в кэше провайдера и сохраненного из дополнительных полей, полученных после обработки DNS-запроса "вспомогательного" клиента, то DNS-сервер интернет-провайдера формирует и отправляет DNS ответ клиенту на основе данных из своего кэша. Таким образом, клиент получает разрешение доменного имени запрошенной информационной службы с IP-адресом, полученным от контролируемого DNS-сервера и хранящемся в момент обработки запроса клиента интернет-провайдером в кэш-памяти провайдера. При этом IP-адрес принадлежит не целевой информационной службе, запрашиваемой клиентом, а точке мониторинга. Соответственно, далее, обращение клиента к целевой информационной службе происходит по IP-адресу, принадлежащему точке мониторинга. При обращении клиента по полученному IP адресу к точке мониторинга, в которой на основании предопределенных параметров сетевой политики безопасности производится ряд управляющих воздействий. К этим действиям относится:
1. Разбор полученной от клиента транзакции.
2. Выработка и применение управляющих воздействий.
3. Аудит полученных транзакций и произведенных действий.
4. Формирование на основе данных полученной клиентской транзакции запроса к информационной службе.
В точке мониторинга - МСЭ осуществляется преобразование сетевых адресов (Network Address Translation - NAT), что позволяет обеспечить его "прозрачную" работу с точки зрения клиента и целевой информационной службой.
3. Апробация результатов разработки алгоритма
системы управления безопасностью
сетевого взаимодействия
Апробация представленных результатов производилась с использованием испытательного стенда в виде компьютерной сети, представленной на рис. 1.
В состав компьютерной сети входят:
1. DNS-сервер на базе программного обеспечения BIND 9.4, отвечающий за зону ".а", с доменным именем
ns.a .
2. DNS-сервер на базе программного обеспечения BIND 9.4, отвечающий за зону ".Ь", с доменным именем "ns.b".
3. Клиентская ПЭВМ с IP адресом 10.0.33.13.
4. Точка мониторинга - межсетевой экран с IP-адресом 10.0.33.13.
Между всеми объектами компьютерной сети настроено сетевое взаимодействие. Принцип работы компьютерной сети заключается в следующем.
Между DNS-серверами пересылка зон настроена таким образом, что получая запрос на разрешения доменного имени из зоны, за который отвечает другой DNS-сервер, текущий DNS-сервер формирует и отправляет к нему повторный DNS-запрос и, получив от него ответ, формирует и отправляет DNS-ответ клиенту, сформировавшему первый запрос, одновременно помещая в свою кэш-память ответ от второго DNS-сервера. Таким образом, моделируется работа DNS-сервера интернет-провайдера.
На первом этапе на DNS-сервере, отвечающем за зону ".Ь" запускается, скрипт "fakedns", реализующий работу DNS-коммутатора. В задачу скрипта входит обработка полученного DNS-запроса на разрешение доменного имени из зоны ".Ь" и добавление в DNS-ответ дополнительного поля "Additional" для заданного доменного имени (в примере - "victim.com"), соответствующим целевой информационной службе, для которой будет осуществляться мониторинг и управление безопасностью сетевого взаимодействия с клиентом, и с заданным IP-адресом (в примере -"10.0.33.13"), соответствующим точке мониторинга - межсетевому экрану. Запуск скрипта "fakedns" с заданными параметрами, моделирующий работу DNS-коммутатора осуществляется командой, представленной на рис. 4.
a root@ns:-/Desktop/fakedns ИР1Н1 X
Файл Правка Вид Терминал Вкладки Справка
[root@ns fakedns]# /fakedns 10.0.33.3 victim со». 10.0.33.13[|
Рис. 4. Команда на запуск DNS-коммутатора
SECURITY AUDIT IN THE SYSTEM OF SECURITY NETWORKING CONTROL BASED ON USING DOMAIN NAME SYSTEM
Markin D.O., postgraduate student Academy FSD of Russia, Oryol, admin@nikitka.net
Abstract
The paper presents description of security audit system in the system of security networking control based on using domain name system. The algorithm of the system operation is shown; its principal feasibility is justified. Basing on the offered efficiency indicators of system operation it's shown the proposed system advantages over the known security audit systems. The typical structure of compute network that implements the proposed system is described in details and also the results the system testing on the test bench are presented. The main authors result got in this paper is the algorithm of security audit system operation based on using domain name system. The use of the domain name system in order to implement security audit allows to significantly increasing items as local area network as global network too. Also it provides more complete set of controlled parameters using during security audit. The results of the study confirmed by the author's the patent for the invention and certificate of the computer program official registration.
Keywords: Monitoring, auditing, security management, information security, monitoring security, audit security, DNS, domain name system.
References
1. RFC 1034 Domain Names - Concepts And Facilities / P. Mockapetris, ISI, November 1987.
2. RFC 1035 Domain Names - Implementation And Specification / P. Mockapetris, ISI, November 1987.
3. GOST R 51275-2006. Information Security. The object of information. Factors affecting information. General provisions. Introduced. 2006.12.27. Moscow: Federal Agency on Technical Regulation and Metrology, 2007. 8 p. (Russian Federation National Standard).
4. GOST R ISO/MEK 15408-1 Information technology. Methods and means of security. Evaluation criteria for information technology security. Part 1. Introduction and General model. Moscow. 47 p. (Russian Federation National Standard).
5. Patent. 2503059 Russian Federation: G06F 15/173, H04L 29/12. Method of remote monitoring and information security networking management based on using domain name system / D.O. Markin, M.S. Aksmentov; the applicant and the patentee Academy of FSD of Russia. №2012123556; declared. 06.06.2012; 27.12.2013, Newsletter. №36.
6. The certificate on the computer program state registration № 2013612870 Russian Federation. DNS-switch / D.O. Markin; declared. 09.01.2013; registrated in the Register of computer programs 14.03.2013.
Выводы и направления дальнейших исследований
На основе проведенного эксперимента можно сделать вывод, что, при выполнении перечисленных условий и благодаря использованию системы доменных имен и добавлению дополнительного поля "Additional" в DNS-коммутаторе при обработке запроса на разрешение доменного имени целевой информационной службы, возникает возможность осуществления контроля сетевого взаимодействия клиента и заданных информационных служб вне зависимости от их расположения и топологии компьютерной сети. Появляется возможность мониторинга и контроля сетевого взаимодействия клиента и заданных информационных служб на этапе установления сеанса соединения и на этапе информационного обмена, что позволяет обеспечить фильтрацию трафика на наличие сведений конфиденциального характера и сведений, составляющих государственную тайну, предотвращение несанкционированного доступа к информации. В рамках направлений дальнейших исследований предлагается:
1. Реализовать предложенную систему в действующей сети Интернет с использование технологий виртуального хостинга либо физических серверов.
2. Проверить работу предложенной системы при взаимодействии с DNS-серверам интернет-провайдеров, использующих различное программное обеспечения, выявить пределы применимости системы, существующие ограничения и условия использования в действующей сети Интернет.
3. Реализовать предложенную систему в качестве прототипа системы удаленного мониторинга, контроля доступа и управления информационной безопасностью сетевого взаимодействия выделенной корпоративной сети организации.
Особенностями предлагаемой системы являются:
1. Реализация доступа к информационному обмену удаленных пользователей и удаленных информационных ресурсов.
2. Возможность получения доступа и мониторинг трафика удаленных пользователей и информационных ресурсов, использующих SSL/TLS (работающих по протоколу HTTPS).
3. "Прозрачный" режим работы точки мониторинга.
4. Отсутствие нарушений в режиме функционирования и структуре распределенной инфокоммуникационной сети (ИТКС провайдера, программно-аппаратная среда провайдера и пользователя, программно-аппаратная среда серверов информационных ресурсов).
5. Независимость от расположения пользователей и
1. RFC 1034 Domain Names - Concepts And Facilities / P. Mockapetris,
2. RFC 1035 Domain Names - Implementation And Specification /
3. ГОСТ P 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. -Введ. 2006.12.27. - Москва: Федеральное агентство по техническому регулированию и метрологии, 2007. - 8 с. - (Национальный стандарт РФ).
4. ГОСТ Р ИСО/МЭК 15408-1 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1 .Введение и общая модель. - М. - 47 с.
5. Пат. 2503059 Российская Федерация: МПК G06F 15/173, H04L 29/12. Способ удаленного мониторинга и управления информационной безопасностью сетевого взаимодействия на основе использования системы доменных имен / Д.О. Маркин, М.С. Аксаментов; заявитель и патентообладатель Академия ФСО России. - 2012123556; заявл. 06.06.2012; 27.12.2013, Бюл. №36.
6. Свидетельство о государственной регистрации программы для ЭВМ №2013612870 Российская Федерация. DNS-коммутатор / Д.О. Маркин; заявл. 09.01.2013; зарегистрировано в Реестре программ для ЭВМ 14.03.2013 г.
