Решетневские чтения. 2018
УДК 004.056
АВТОМАТИЗИРОВАННОЕ ПОСТРОЕНИЕ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ НА ОСНОВЕ СПИСКА РАЗРЕШЕННЫХ СЕТЕВЫХ СЛУЖБ
Д. И. Старков, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Описывается способ автоматизированного построения правил фильтрации на основе списка разрешенных сетевых служб.
Ключевые слова: защита информации, межсетевой экран, фильтрация трафика.
AUTOMATED FIREWALL RULE FILTERING BASED ON THE LIST OF ALLOWED NETWORK SERVICES
D. I. Starkov, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The method of automated construction offilter rules based on the list of allowed network services is described.
Keywords: information protection, firewall, traffic filtering.
На сегодняшний день межсетевой экран (МЭ) является основным элементом обеспечения информационной безопасности, блокирующим несанкционированный доступ в корпоративную сеть. Применение средств защиты информации данного класса является как повсеместной практикой, так и обязательным требованием ряда нормативно-правовых актов и стандартов в области информационной безопасности [1].
Одной из важнейших задач, при применении МЭ, является правильная конфигурация его политики. Под конфигурацией политики МЭ понимается разработка набора правил фильтрации, задающих политику разграничения доступа на сетевом уровне. Такая политика определяет возможность прохождения сетевого трафика между сетевыми узлами. Эффективность работы данного средства зашиты в первую очередь зависит от корректности выработанной политики. Процесс разработки политики МЭ, в силу его сложности, подвержен ошибкам, что, в свою очередь, может привести к неверному или не эффективному отображению политики сетевой безопасности, результатом чего является снижение общего уровня информационной безопасности в защищаемой сети [2-4].
Для того чтобы исключить ошибки, возникающие при конфигурации МЭ, а также сократить ресурсы, затрачиваемые на настройку его политики безопасности, предлагается решение, позволяющее строить индивидуальные правила фильтрации МЭ на основе списка разрешенных сетевых служб.
Основу решения составляет технология многомерного представления и анализа данных, полученных из сетевого трафика. Она позволяет получить набор па-
раметров, необходимых для построения индивидуальных правил фильтрации, а также отобразить список сетевых служб, использующихся в защищаемой сети [5].
На вход решения подается дамп сетевого трафика в формате «РСАР», собранного в точке сети, где предполагается установить МЭ. Информация о трафике подвергается анализу в зависимости от заданного режима обработки. Решение предполагает три режима обработки сетевых пакетов:
- межсетевой экран, использующийся для разграничения доступа между внутренней и внешней сетями;
- межсетевой экран, использующийся для разграничения доступа между внутренними подсетями;
- персональный межсетевой экран.
В зависимости от режима обработки формируется набор данных, который в дальнейшем будет использоваться для автоматизированного построения индивидуальных правил конкретного МЭ. Далее полученные сведения заносятся в хранилище данных, где они приобретают многомерное отображение. С помощью встроенных в решение механизмов можно отобразить и проанализировать список использующихся сетевых служб, среди которых необходимо отобрать потенциально разрешенные.
После всех процедур с данными к ним применяется скрипт формирования правил фильтрации на основе отобранных сетевых служб. В ходе работы скрипта формируется политика конкретного МЭ, где правила фильтрации, пропускающие сетевой трафик, соответствуют разрешенным сетевым службам. Остальные правила фильтрации формируются как запрещающие.
Информационная безопасность
Структурная схема работы решения
При необходимости, с помощью механизмов фильтрации в конечном списке можно оставить только разрешающие правила, сформировав, таким образом, политику безопасности МЭ по принципу «запрещено всё, что явно не разрешено».
Структурная схема работы решения изображена на рисунке.
Таким образом, разработанное решение, позволяет путем несложных манипуляций сформировать правила фильтрации для частного случая политики безопасности МЭ. Такой способ формирования правил фильтрации можно использовать в сегментированных сетях, где каждый клиентский сегмент работает с определенной сетевой службой или набором таких служб, а также для персональных МЭ.
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции // Национальный стандарт Российской Федерации. М. : Стандартинформ, 2012. 135 с.
2. Wool A. A Quantitative Study of Firewall Configuration Errors [Электронный ресурс]. URL: https:// ieeexplore.ieee.org/document/1306389/ (дата обращения: 23.04.2018).
3. Wool A. Trends in Firewall Configuration Errors [Электронный ресурс]. URL: https://www.eng.tau.ac.il/ ~yash/05440153.pdf (дата обращения: 23.04.2018).
4. Уязвимости корпоративных информационных систем [Электронный ресурс]. URL: https://www. ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-
vulnerabilities-2018-rus.pdf (дата обращения: 23.04.2018).
5. Старков Д. И. Построение правил фильтрации межсетевых экранов на основе многомерного представления данных о сетевом трафике // Актуальные проблемы авиации и космонавтики. 2018. Т. 2.
References
1. GOST R ISO/MEK 27033-1-2011. Informatsion-naya tekhnologiya (IT). Metody i sredstva obespecheniya bezopasnosti. Bezopasnost' setey. Chast' 1. Obzor i kont-septsii [GOST R ISO / IEC 27033-1-2011 "Information technology (IT). Methods and means of ensuring security. Network security. Part 1. Overview and Concepts"] // National Standard of the Russian Federation. M. : Stan-dartinform, 2012. 135 p.
2. Wool A. A Quantitative Study of Firewall Configuration Errors. Available at: https ://ieeexplore. ieee.org/document/1306389/ (accessed: 23.04.2018).
3. Wool A. Trends in Firewall Configuration Errors. Available at: https://www.eng.tau.ac.il/~yash/ 05440153. pdf (accessed: 23.04.2018).
4. Uyazvimosti korporativnykh informatsionnykh system [Vulnerabilities of corporate information systems].. Available at: https://www.ptsecurity.com/upload/corpora-te/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf (accessed: 23.04.2018). (In Russ.)
5. Starkov D. I. [The construction of filtering rules of firewalls based on the multidimensional view of data about the network traffic]. Aktual'nye problemy aviatsii i kosmonavtiki. 2018. Vol. 2. (In Russ.)
© Старков Д. И., Жуков. В. Г., 2018