CC BY
120УДК 004.056
АЛГОРИТМ УПОРЯДОЧИВАНИЯ ПРАВИЛ ФИЛЬТРАЦИИ СЕТЕВОГО ТРАФИКА В НАБОРАХ ПРАВИЛ МЕЖСЕТЕВЫХ ЭКРАНОВ*
Т. С. Хеирхабаров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: admin@kb-61.com
Представлено описание разработанного алгоритма упорядочивания правил фильтрации в наборах правил межсетевых экранов на основе технологии пассивного анализа сетевого трафика. Использование разработанного алгоритма позволяет повысить пропускную способность межсетевых экранов.
Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика.
THE ALGORITHM OF NETWORK TRAFFIC FILTERING RULES ORDERING IN FIREWALL RULE SETS
T. S. Kheirkhabarov
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation E-mail: admin@kb-61.com
The firewall rules ordering algorithm is described. Using this algorithm allows to increase the throughput of the firewalls.
Keywords: firewall, network traffic filtering rules.
Межсетевые экраны (МЭ) - неотъемлемый элемент обеспечения сетевой безопасности. Применение МЭ при построении систем защиты информации является не только повсеместной практикой, но и обязательным требованием ряда нормативных документов в области информационной безопасности.
Политика межсетевого экранирования (т. е. определение того, какие сетевые потоки должны быть пропущены, а какие заблокированы) реализуется в МЭ набором правил фильтрации сетевого трафика. Структура представления наборов правил фильтрации подавляющего большинства современных МЭ представляет собой линейный список. Для каждого проходящего через МЭ сетевого пакета осуществляется последовательный перебор правил из данного линейного списка. После нахождения первого соответствующего сетевому пакету правила фильтрации перебор оставшихся в списке правил останавливается. Таким образом, чем выше по списку будет стоять соответствующее правило фильтрации, тем быстрее МЭ примет решение об обработке сетевого пакета. Очевидно, что чем выше по списку будут располагаться наиболее часто срабатывающие правила фильтрации, тем меньше ресурсов МЭ будет тратиться на последовательный перебор линейного списка правил. В свою очередь, от интенсивности использования вычислительных ресурсов МЭ во многом зависит его пропускная способность.
В рамках исследования технологий межсетевого экранирования автором был разработан алгоритм, позволяющий упорядочивать правила фильтрации в наборах правил по частоте их срабатывания.
Основу алгоритма составляет технология пассивного анализа сетевого трафика. Она позволяет построить статистическую модель проходящего через МЭ трафика и на её основе рассчитать частоту срабатывания каждого правила фильтрации из набора правил. Блок-схема разработанного алгоритма представлена на рис. 1.
Поступающий на вход алгоритма сетевой трафик преобразуется в массив сетевых пакетов P, из которого затем восстанавливается информация о TCP- и UDP-соединениях. Эта информация сохраняется в отдельном массиве данных C.
Для каждого соединения ci в данном массиве хранится следующая информация: IP-адрес клиента, номер порта клиента, IP-адрес сервера, номер порта сервера, используемый протокол транспортного уровня и количество переданных в рамках соединения сетевых пакетов. На основе массива C формируется сводный массив сетевых соединения C* путём объединения записей с одинаковыми значениями полей «IP-адрес клиента», «IP-адрес сервера», «№ порта сервера» и «Транспортный протокол». Данный массив затем сортируется по убыванию значения поля «Количество пакетов».
*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.
Методы и средства защиты информации
Начало^
JT
Файл дампа
/Файл дампа или поток трафика
Преобразование в массив сетевых пакетов P
I
i 0
/ i, i < |P| \
Подпрограмма реконструкции TCP соединений
Подпрограмма реконструкции UDP соединений
Сохранить соединение с, в массив C
i = i + 1 =□=
Массив соединений C
I
Преобразование в массив С*
Массив правил фильтрации R
Преобразование
в массив метаданных M
i = 0
J.
j < |M|
Расчёт Ф(mj, cj*) Ф: MxC*^N U {0}
Сохранение значения Ф(т^ cj*) в массив F
j = J + i
Массив F значений функции Ф
3l
Сортировка массива метаданных M
Последовательная выгрузка правил фильтрации из массива М
Сохранение выгруженных правил в массив R*
Конец
/Упорядоченный массив правил фильтрации R*
Файл экспорта правил
Рис. 1. Блок-схема разработанного алгоритма упорядочивания правил фильтрации сетевого трафика
Фрагмент массива метаданных М
№ IP-адрес клиента IP-адрес сервера Протокол № порта сервера Правило фильтрации
1 192.168.2.56 10.50.10.3 TCP 80 iptables -A FORWARD -s 192.168.2.56 -d 10.50.10.3 -p TCP -dport 80 -j ACCEPT
2 192.168.2.134 10.50.10.16 TCP 1352 iptables -A FORWARD -s 192.168.2.134 -d 10.50.10.16 -p TCP -dport 1352 -J ACCEPT
Ещё одним входным параметром алгоритма является массив правил фильтрации межсетевого экрана Я, который необходимо упорядочить. На основе данного массива в процедуре восстановления метаданных осуществляется формирование массива метаданных М.
Для каждого г из Я в данном массиве сохраняется следующая информация: порядковый номер, 1р-адрес клиента, 1р-адрес сервера, используемый протокол транспортного уровня, номер порта сервера, текстовое представление соответствующего правила фильтрации. Фрагмент массива метаданных М представлен в таблице.
Далее массив метаданных М и сводный массив сетевых соединений С* поступают на вход процедуры расчёта значения функции Ф. В данной процедуре для каждого тк е М на основании сводного массива сетевых соединений С* осуществляется расчёт функции Ф, значением которой является неотрицательное целое число, равное количеству срабатываний соответствующего т1 правила г е Я: Ф: М х СN и {0}.
На основе значений функции Ф процедура сортировки осуществляет поиск такой перестановки элементов массива М, при которой соответствующие им значения функции Ф располагаются в порядке убывания: Ф(т,) > Ф(т,) > ... > Ф(тк). А на основе данной
перестановки уже осуществляется формирование упорядоченного массива правил R*.
На примере МЭ Iptables, являющегося штатным для ОС Linux, была произведена оценка эффективности разработанного алгоритма путём замера пропускной способности. В случае когда набор правил был представлен всего одним правилом, разрешающим прохождение любого трафика, пропускная способность МЭ составила 83,56 Мбит/с. После создания неупорядоченного набора правил фильтрации и их загрузки в межсетевой экран среднее значение пропускной способности упало более чем на 40 % - до 46,82 Мбит/с. Затем этот неупорядоченный набор правил был упорядочен с помощью разработанного алгоритма и снова загружен в межсетевой экран. В результате среднее значение пропускной способности увеличилось на 30 % по сравнению с неупорядоченным набором правил и составило 66 Мбит/с. Результаты замера пропускной способности представлены на рис. 2.
Таким образом, применение разработанного алгоритма упорядочивания правил фильтрации межсете-
УДК 004.056
ОБНАРУЖЕНИЕ АНОМАЛИЙ В НАБОРАХ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ*
Т. С. Хеирхабаров, А. А. Шаляпин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: admin@kb-61.com
Представлено описание автоматизированной системы оценки правил фильтрации межсетевых экранов, позволяющей обнаруживать аномалии в наборах правил фильтрации и вырабатывать рекомендации по их устранению.
Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика, аномалия.
DETECTING ANOMALIES IN THE FIREWALL RULE SETS
T. S. Kheirkhabarov, A. A. Shalyapin
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, Russian Federation 660014 E-mail: admin@kb-61.com
The description of the firewall rules of automated assessment system is presented. Using this system allows to discover and resolve anomalies in the firewall rule sets.
Keywords: firewall, network traffic filtering rules, anomaly.
На сегодняшний день межсетевые экраны (МЭ) этом, как и любое другое средство защиты информа-являются неотъемлемой частью инфраструктуры за- ции, для надлежащего выполнения своих функций щиты любой корпоративной компьютерной сети. При МЭ должен быть правильно настроен.
*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.
вых экранов в наборах правил позволяет снизить нагрузку на аппаратную составляющую межсетевых экранов и тем самым повысить их пропускную способность. При этом эффект от упорядочивания правил будет наиболее заметен на высоконагруженных межсетевых экранах с большим количеством используемых правил фильтрации (тысячи и десятки тысяч правил).
90.00
30,00 70,00
ьаоо
^^^Н _
зооо
ЗООО 1 или
Ы? 1 M > Неулордоч. правила У гюрядо ч. правила
■ РЯД1 83,56 46,82 65,99
Рис. 2. Результаты измерений пропускной способности межсетевого экрана
© Хеирхабаров Т. С., 2014
