МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ СРЕДСТВ МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ В УСЛОВИЯХ ПРИОРИТЕЗАЦИИ ТРАФИКА
Мусатов Владислав Константинович,
Аспирант кафедры ССиСК, МТУСИ, Инженер-проектировщик, ЗАО "НПП "БИТ", Москва, Россия, [email protected]
Щербанская Анна Алексеевна,
Аспирант кафедры ПИиТВ,
ФГБОУ ВПО "Российский университет дружбы народов", Ведущий специалист Управления бюджетирования, СОАО "Национальная Страховая Группа", Москва, Россия, [email protected]
Ключевые слова: сетевая безопасность, межсетевое экранирование, сетевой QoS, математическое моделирование, показатели производительности.
Сетевая безопасность является важным аспектом защиты информационных активов современной организации, имеющей развитую IT-инфраструктуру. Межсетевое экранирование - это одна из базовых функций, использующихся для обеспечения сетевой безопасности. В качестве устройств межсетевого экранирования, выполняющих пакетную фильтрацию, используются как узкоспециализированные средства, такие как межсетевые экраны, так и маршрутизаторы сети. Вопросами увеличения производительности и отказоустойчивости сетевого оборудования в настоящее время занимается большое число производителей оборудования. Специалисты IEEE обосновали опасность атак типа "Распределённый Отказ в обслуживании" (англ. DDoS) на нижние ступени базы правил фильтрации. Работа содержит математическую модель средства межсетевого экранирования, не учитывающую функционирование в условиях приоритезации трафика. Приведена математическая модель средства межсетевого экранирования, реализующего механизмы приоритезации трафика. Эта модель основывается на работе специалистов IEEE, но имеет ряд доработок, позволяющих оценить влияние приоритезации трафика на эффективность его фильтрации и отказоустойчивость оборудования. Математические методы и процедуры расчёта также претерпели изменение, что повысило скорость расчёта в среде имитационного моделирования.
Описано функционирование средства межсетевого экранирования в условиях приорите-зации трафика. Приведены содержательная и математическая постановки задачи, математические методы и процедуры, использованные при описании модели, общие принципы расчётов в средах компьютерной алгебры и математического моделирования, а также численные оценки. Представлены два метода расчёта в средах математического моделирования, приведено их краткое описание, плюсы и минусы. Для подтверждения корректности работы модели использовались три сценария поведения трафика. Представлены численные значения показателей производительности средств межсетевого экранирования, функционирующих в условиях приоритезации трафика и графические зависимости. Описана опасность использования механизмов очередей (queueing) без ограничения полос пропускания трафика (policing, shaping), выделяемых под разные классы обслуживания, что будет верно для сетей доступа. Даны рекомендации по использованию механизмов очередей в рамках концепции QoS.
Для цитирования:
Мусатов В.К., Щербанская А.А. Математическое моделирование средств межсетевого экранирования в условиях приоритезации трафика
// T-Comm: Телекоммуникации и транспорт. - 2015. - Том 9. - №8. - С. 47-57.
For citation:
Musatov V.K., Sherbanskaya А.А. Mathematical modeling of firewalling device in context of traffic prioritization. T-Comm. 2015. Vol 9. No.8,
рр. 47-57. (in Russian).
1. Введение
Целью данной работа является оценка влияния при-оритезации трафика на работу устройств, выполняющих функции межсетевого экранирования. Специалисты IEEE разработали математическую модель средства межсетевого экранирования, с помощью которой была доказана опасность атак на нижние ступени базы правил фильтрации [1].
В современных сетях с коммутацией пакетов активно используется приоритезация обслуживания сетевого трафика, поэтому данная работа была сконцентрирована именно в этом направлении.
Описание результатов работы выполнено следующим образом. 8 разделе 2 приведена содержательная и математическая постановки задачи, а также описание использованных математических процедур и методов, применённых в рамках работы. Раздел 3 содержит описание алгоритмов расчёта для систем компьютерной алгебры и математического моделирования, особенности, с которыми авторы столкнулись при работе с математической моделью. Раздел 4 содержит результаты расчётов по математической модели, их анализ и выводы,
2. Постановка задачи
2.1. Содержательная постановка задачи
Термины и определения
Под средствами межсетевого экранирования понимается комплекс программных или программно-аппаратных средств, осуществляющий контроль и фильтрацию трафика в соответствии с заданными правилами фильтрации. Под это определение попадают специализированные межсетевые экраны, а также другие устройства, использующие листы контроля доступа (англ. Access lists, ACL).
Под приоритезацией обслуживания сетевого трафика понимается процесс обслуживания трафика, в соответствии с которым часть трафика, критичная к задержкам, уменьшению полосы пропускания и другим показателям качества, будет иметь приоритет перед обычным трафиком.
Пакет, поступивший на обслуживание, с точки зрения модели является заявкой на обслуживание. По этой причине в тексте встречаются оба термина обозначающие одно и то же.
Сетевой QoS
Хотя объёмы трафика с приоритетами не так велики по сравнению с трафиком без приоритета (трафик типа Best Effort), его влияние на показатели производительности оборудования сетей связи значительно.
Для отличия трафик с приоритетом от трафика без приоритета или от трафика с другим приоритетом, используются два основных подхода:
1. За счёт меток качества обслуживания на канальном уровне:
1.1. Class of Service для технологии Ethernet;
1.2. Discard Eligible bit для технологии Frame Relay;
1.3. Cell Loss Priority bit для технологии ATM;
1.4. Traffic class bits для технологии MPLS.
2. За счёт меток качества обслуживания в поле Type of Service (или расширенной версии Differentiated Services Code Point) на сетевом уровне заголовка IPv4 или в поле Traffic Class для IPv6.
В большинстве реализаций сетевого оборудования, пакет, попавший в сетевую карту, проходит проверки целостности и трекер соединений (connection tracker). После чего он попадает в механизмы Ingress QoS. Далее пакет попадёт на обслуживание в основные системы средства межсетевого экранирования, а затем на Egress QoS, который также может выполнять различные операции над трафиком. Список операций над трафиком для Ingress и Egress QoS может быть настроен отдельно для каждого направления. Список основных функций, которые относят к QoS, у всех производителей одинаков, но имеет различия в деталях. К этому списку относят следующие операции:
1. Policing - это жёсткое ограничения полосы пропускания, выделенной под определённый класс трафика. Весь трафик класса, превысивший выделенную ему полосу пропускания, будет отброшен или промаркирован другой меткой.
2. Shaping - это мягкое ограничения полосы пропускания, выделенной под определённый класс трафика. Весь трафик класса, превысивший выделенную ему полосу пропускания, попадёт в буферную очередь и будет ждать отправки. Этот механизм сглаживает трафик и применяется для Egress QoS.
3. Queueing предполагает создание отдельных очередей для пакетов с разными классами (приоритетами) в рамках общего буфера памяти.
С точки зрения модели нас интересует именно Ingress Queueing.
Рассматриваемые средства межсетевого экранирования
В работе рассматриваются средства межсетевого экранирования, не поддерживающие распараллеливание процесса обслуживания.
В [1] предложена аналитическая модель межсетевого экрана NetFilter/IPTables на базе ОС Fedora Linux 2.6.15. Разработанная нами модель системы массового обслуживания (СМО), учитывающая приоритезацию трафика для двух потоков: приоритетного и неприоритетного основывается на [1], однако, имеет ряд доработок и совершенно другие математические методы и процедуры расчётов. Наша модель представлена на рис. 1.
В модели рассматривается два типа приоритетов. Первый - абсолютный приоритет постановки в очередь. Если очередь заполнена полностью, а на интерфейс пришёл пакет с более высоким приоритетом, чем некий находящийся в очереди, то он его вытеснит и займёт место в очереди в соответствии со своим приоритетом. Второй - относительный приоритет обслуживания. Это обуславливается тем, что обслуживание пакета (заявки) не может быть остановлено или отменено с приходом более приоритетного пакета. В отличие от
телефонных сетей связи, в которых результатом обслуживания заявки является продолжительный сеанс связи (разговор абонентов), в пакетных сетях заявкой является пакет, а время обслуживания пакета настолько мало, что нет смысла прерывать его обслуживание. Так работает реальное оборудование, этот факт подтверждается в [2].
На вход модели поступает два потока заявок/пакетов с интенсивности ми поступления Д и Я2 ■
Приоритетный поток будем именовать потоком 1-го приоритета - Я,, а не приоритетный - потоком 2-го
приоритета - Я2 ■
Полный объём модели равен Ь +1 пакетов. Один пакет находится на обслуживании, остальные пакеты могут находиться в очереди, вмещающей £ пакетов.
Очерзл!.. ■■Ся.еч I.
Деление im приоритетные очереди
Очередь loro Очередь 2ого
приоритета: приоритета:
2 2
i j
ПООчерЗцная об раб от к э правил фв )ьтрйции
Рис. 1. Модель функционирования средства межсетевого экранирования с учётом приоритезации трафика
Ядро обработки пакетов имеет среднее время обслуживания ]/р. Оно включает в себя функции распаковки пакета, проверка его заголовков, маршрутизацию, адресацию канального уровня, а также трансляцию сетевых адресов. Для Linux это является последовательностью действий в соответствии с технической документацией [2,3]. Похожие методы обработки у межсетевых экранов (МЭ) на основе ОС FreeBSD. Для большинства других производителей программно-аппаратного оборудования сетей связи это не совсем верно. Вплоть до Ingress QoS всё будет так же, но затем будут выполнены операции фильтрации, проверок на вирусные сигнатуры, трансляция сетевых адресов и обнаружение вторжений {при условии наличия такого функционала или модуля расширения функционала). После будет производиться маршрутизация и адресация канального уровня и ряд других операций. К примеру, схема обработки пакета для Cisco ASA представлена в [4,5].
По причине того, что операции, входящие в «ядро обработки пакетов», вносят задержки, которые можно считать постоянными по времени, то для моделирования различных устройств достаточно будет измерить задержку, вносимую набором операций, выполняющихся от момента получения пакета до начала фильтрации.
Следующий этап - это проверка пакета по базе правил или ACL. Каждое правило представлено обслуживающим устройством со временем сопоставления одного правила 1///,- В рамках одного цикла расчёта последним правилом будет являться правило на позиции М или то, на котором произошло совпадение по его критерию. Пакет, достигнувший правила М, покидает систему обслуживания. Не важно, сколько правил будет после правила М, так как они не участвуют в обработке пакетов и не вносят задержки. Условно надо помнить только то, что М не может быть больше, чем общий объём базы правил.
На практике //,>//, так как время обслуживания
пакета с участием работы драйвера устройства и сетевых заголовков значительно больше, чем обработка отдельного правила.
Модель не рассматривает статические задержки, вносимые после этапа фильтрации. Если их учесть, то изменится модель, а точнее количество состояний системы. Проще добавить усреднённую постоянную задержку, вносимую последующими операциями.
Допущения
Допущение 1. В модели пренебрегается разницей в методах различения приоритетов пакета. Это допущение влияет на статическую задержку, вносимую в процесс обслуживания трафика устройством. Проверки меток на канальном и сетевом уровнях будут производиться с различной задержкой, по причине необходимости распаковки пакета, однако, разница незначительна.
Допущение 2. Входящий поток - простейший. Это обусловлено тем, что взаимное наложение большого числа малых независимых ординарных потоков с различным последействием (теорема Хинчина), а также преобразование потока в сети в пределе даёт поток близкий к простейшему [б].
Допущение 3. Входящих потоков всего два: с приоритетом обслуживания и без приоритета. Допущение было взято для уменьшения количества состояний системы и как следствие уменьшения ресурсов, необходимых для машинных расчётов (раздел 4).
Допущение 4. Оба входящих потока активируют одно и то же правило на позиции «L». Допущение использовано в целях снижения количества состояний системы. Его можно обойти способом предложенным [1].
Допущение 5. В большинстве программно-аппаратных реализаций, в том числе Cisco ASA, Juniper SRX, пакеты попадают в буфер сетевой карты (NIC Memory), а затем через кольцо прямого доступа к памяти (DMA Ring) их переводят в основную память (Main memory) устройства [7]. Этот процесс в модели не рассматривается.
На основании описанной модели и принятых допущений разработана трёхмерная диаграмма состояний и переходов представленная на рис. 2.
Процесс {Х(/),1>0}, описывающий поведение
СМО, является марковским случайным процессом с непрерывным временем и дискретным множеством состояний:
Х = Х0иХ1, где
Х0 = {(0.0.0}}, X, = {(/.#),О < I < ¿,0 < ] < и + } < Цк = й?} • Обозначим через р - стационарную вероятность того, что система находится в состоянии (1,]ук), т.е. в накопителе находится / приоритетных заявок, ] неприоритетных заявок, и на приборе обслуживается заявка на фазе под номером к, а через - стационарную вероятность того, что в системе нет заявок.
Очевидно, что все состояния марковского процесса |Х(/), г > 0} сообщаются, что наглядно отображено на
рис. 2. Поэтому этот процесс является эргодическим и существуют строго положительные предельные вероятности р. .к> 0 </</,, 0<j<L,i + j<L,k = \М,
независящие от начального состояния процесса, являющиеся стационарными вероятностями, что подтверждается в [8]. Таким образом, стационарное распределение существует и удовлетворяет системе уравнений равновесия:
Л + Aui.fi = № Ролм - (1)
Л+Л+Л )А>. о.1 =(Л+Л2 )Ршо + МР1.<ш + т.ш, № Л + Л 0., = \Pi-u0.1 + МРылм* 0</<£, (3)
>о<у<А (4)
№А1 = ЪРЬЛЯЛ + ЛЛ-1Л.1»
ч.1+т+и..«.г'+у<4/>о,,/>о, С7)
+ 0<1<Х, (Ю)
Л + Лг + = Л2Ро.)-1.2 + 0 < ] <
МРи0.2 = Л Л-1.0.2 + Л/>1-1.1.2 + И\Ри\.\1
+ у < / > 0, У > 0, + / = £, />0,у > 0,
Л1+Л1+ц)рШк=црШк_1, 2<к < М, Я,+Я2+р)рм=Л]р/_Шк+ррм_1, 0<1<1, 2<к< М, (17) Л, +Я1 + р)р0М=Л2р^_1к +ЛР1Ш_„ 0< у < ¿, 2<к < М,(18)
+ МЪд*-1> 2<к<М, (19) (Л + /ОРы* = ЛЛх-].* + М><шы, 2 <к<М, (20)
(П) (12)
(13)
(14)
(15)
(16)
Ц + X, + = ЛА-tj,* + Mj-u + m.j.k- Р (21)
/ + j < L, i > 0,7 > 0,2 <k<M,
(A + М)Рщ = ЦЛ-^и+т.м-1. (22)
i + j = L, г > 0, j > 0, 2 < & < М.
Также стационарные вероятности удовлетворяют условию нормировки:
AM + tSS^-l- (23)
(=0 к=1
Пусть - стационарная вероятность того, что в системе находится п заявок обоих приоритетов, тогда
я-1 и
Рп = XX/W и. * > Ро=Р0.0.0-
l=U * = 1
Вероятности потери заявок
Обозначим через р*011 - вероятность сброса из заполненного накопителя неприоритетной заявки в случае, если в систему поступает приоритетная заявка; - вероятность потери неприоритетной заявки при
поступлении в систему с полностью заполненной очередью.
I Я, м ; А2 1 м
Л, + /Ц л, + л, i=i
Таким образом, полная вероятность потери неприоритетной заявки равна:
1 L-1 М ; I. М
jo» _ +P,r
wiprior
■ -Р\
Aj + Л, ,=о f=
Вероятность потери приоритетной заявки при ее поступлении в систему имеет вид:
Joss
_ л
Р prior 1 . 1
/ц + Ы Показатели загрузки системы Стационарное распределение позволяет получить средние показатели загрузки рассматриваемой системы массового обслуживания.
Пусть N - среднее число заявок в системе, тогда
;=0 >0
Обозначим через Q - среднее число заявок в очереди, через Qx и Q„ - среднее число заявок в очереди 1-го и 2-го приоритетов соответственно.
L L-i м
L L-i М
1=0 _/=0 к=\ ¡=0 ;=0 ¿=1 ¿. 1-; л/
/=0 (г=|
Математические методы и процедуры расчёта Для системы уравнений равновесия (1)-(23) найти решение в явном виде не представляется возможным,
для нахождения стационарного распределения мы использовали численные методы (раздел 4). При поиске наиболее удобной функции формирования матрицы (переименования индексов) было замечено, что при специальном виде функции, приведенном в разделе 4, матрица переходных интенсивностей принимает блочный трехдиатональный вид:
[Ч А 0 •• • 0 0 0
Со А А - ■ 0 0 0
0 с, в2 ■■ ■ 0 0 0
2=
0 0 0 • ■ BL_, А 0
0 0 0 • ■ Q-1 BL A+i
0 0 0 • ■ 0 CL BL+V
(24)
Здесь блок =[-Д]блок Д имеет размер Мх М и следующий вид:
Н-Л-/4 Ц
-Д -Л -V« о
о
О О
о
M
-Д -Л, -/л
О о о
о о о
M
-Д-Л-/' о
о о о
о и
-Д -р
мер, блок g
в, о о в,
где 0 - нулевая матрица.
1/
"J»!
О О
Mi
-м о
0 ■■ • 0 0 0
fi ■■ • 0 0 0
-fl ■■ • 0 0 0
0 0 0 • ~M M 0
0 0 0 - 0 -м M
0 0 0 ■ 0 0 -M)
Введем дополнительно блок са размера М х М, в левом нижнем углу которого стоит а все остальные элементы нули. Тогда:
(c 1 fc, oï
;c2 = 1
с CJ
(c 0 0^ fcl 0 0^
Q 0 ■c = 0 Q 0
,0 0
и т.д.
Блок А. имеет размер 1 х М, состоит из элемента (Л, стоящего слева, и нулей.
Введем блоки Л, и Л, - диагональные матрицы размера М х М , на диагонали которых размещены Л, и Л, соответственно. Тогда
А2 = (Л, Л,);4 =
О Л,
О
Л,
;А =
Л2 Л, 0
0 Лз Л, 0
0 0 л2 ли
Блоки вр1= 2,1 имеют размер (г-М)х(г-М) и состоят из I блоков стоящих на диагонали. Напри-
Гд 0
и т.д.
Таким образом, имеем систему уравнений равновесия:
В0 I Х| С0 О :' ■А +■*к' вк+хк+1'1ск = о, 1 < к < ь Х1I А+1+= о
Исходя из вида матрицы переходных интенсивностей, воспользуемся матричным методом Ш-разложение. Матрица д представима в виде:
о о
оо о с; ф, о
оо о о с, Ф,
П -а, о о I -л; о о 1
Нижний диагональный блок В1+1 из Ь блоков В]Г
размещённых по диагонали, в правом нижнем углу которого располагается блок размера М х М следующего вида:
0=
о о о о о о
I о о
о
I -R,
О I
ООО ООО ООО
О О (И
ООО
ООО
Ф,_, о о
Ог4 ф, о
о С, «W
кроме того, над диагональными подблоками блока Д находятся диагональные блоки размера М х М, у
которых на диагоналях стоят ^.
Блок С„ размера Мх I состоит из ¡Л, стоящей внизу блока, и (М-1) нулей.
и для нее выполняются следующие рекуррентные формулы :
R,. =~Ar+tФ;;„ФГ - Br + RrCr,r = L,L -1,...,0.
Решение системы (25) можно записать в матрично-мультипликативном виде:
—т —г
хx(i R^R^.-.Rf.^^i ^ к ^ L -I-1,
3. Решение в системах компьютерной
алгебры и математического моделирования
В качестве системы компьютерной алгебры и математического моделирования авторами была взята Wolfram Mathematica 10,0.1.0 [9],
Полная блок-схема алгоритма громоздка и не вписываются в формат статьи, далее будет описана общая идея алгоритма.
Авторы проводили расчёты двумя методами:
1. метод, с циклическим заполнением матрицы вероятностей (не описан);
2. матричный метод расчёта (раздел 2.3).
СУР предполагает хранение данных в трёхмерной матрице, то есть по числу индексов системы, однако это затрудняло работу и анализ поведения системы. Выходом стало создание функции формировании матрицы (ФФМ), которая бы переводила значения вероятностей в одномерное пространство, то есть в строку матрицы. Пример ФФМ представлен для второго метода расчёта. ФФМ могут быть разными в зависимости от того, в какой последовательности пересчитывать индексы состояний системы.
3.1. Первый метод расчёта - циклический метод заполнение матрицы вероятностей
Первому методу расчёта характерны решения больших систем линейных уравнений. Основным способом для решения таких систем линейных уравнений в средах моделирования является матричный метод расчёта.
Основной проблемой стал объём памяти, необходимый для хранения матриц, описывающих уравнения. Если моделируемое оборудование имеет буфер на 512 пакетов и содержит 100 правил, то наша система будет иметь 66658097 уравнений и переменных. Вследствие чего матрица левой части уравнений будет содержать 4443301895661409 позиций (значений). Если эти значения кодировать 64 битами, то есть в формате точности «double», то хранение этой матрицы в пределе займёт 35,55 петабайт, что совершенно неприемлемо. Вторичная проблема в том, что цикл заполнения матрицы уравнений ресурсоёмок и занимает много времени. По описанным причинам далее этот метод описывать не будем.
3.2. Второй метод расчёта - блочное заполнение матрицы вероятностей
При подборе ФФМ было замечено, что распределение значений в матрице несёт определённый характер в зависимости от того, как построена ФФМ. Это позволило сделать предположение о том, что можно построить ФФМ специального вида и использовать матричный метод расчёта (раздел 2.3). Результатом использования ФФМ специального вида стала матрица, получившая трёхдиагональный вид (формула 24).
Второй метод решает часть недостатков первого, но по-прежнему критичен к памяти для хранения матрицы. Система описывается некоторым количеством меньших по размеру матриц, подчиняющихся определённым правилам формирования. Заполнение матриц также проще, так как их формирование подчиняется ряду правил, а не большой системе уравнений.
В этом методе для заполнения матрицы не требуется ФФМ, так как заранее известно, как будут выглядеть малые матрицы. Для того чтобы разобраться, на каких позициях конечного вектора состояний СМО стоят искомые вероятности потребуется ФФМ. В отличие от первого метода версия построения ФФМ будет только одна, и другие варианты не подойдут. Ранее такая версия ФФМ была названа специальной.
Для упрощения алгоритма механизмы «разряженных матриц» не использовались, однако, авторы не отрицают, что их применение положительно скажется на снижении требуемых для расчёта ресурсов памяти, но заметно усложнит алгоритм расчёта.
Общая идея алгоритма
Первый этап заключается во вводе исходных данных.
Вторым этапом является создание трёх векторов «а,Ь,с», хранящих в себе ссылки на заполняемые нами матрицы. Длина векторов зависит от количества матриц каждого типа. Количество матриц, в свою очередь, зависит от размера пакетного буфера.
Третьим этапом будет заполнение этих матриц. Каждый тип матриц подчиняется определённым правилам заполнения, описанным в разделе 2.3.
Четвёртый этап это создание и расчёт вектора вероятностей состояний системы. Для этого необходимо создать несколько векторов для хранения матриц для промежуточных расчётов, получаемых путём матричных операций.
Пятым этап - это решение системы линейных уравнений. В результате мы получим некоторое количество векторов вероятности состояний СМО. Для получения финального результата эти вектора нужно соединить, полный вектор вероятностей состояния СМО. Впоследствии, используя ФФМ, их можно проанализировать.
Шестым этапом будет расчёт конечных показателей производительности.
Пример функции формирования матрицы
Для примера была выбрана ФФМ специального вида.
Алгоритм 1. Функция ФФМ специального вида:
ВвОД! i.i.k.M " ij.k - индексы av тяпип. М - :м: I-IV> /п.14:1 ки обсл СМО
Вывод: FFM # |-лiiui|;'Г | !: If 1=0 And j=0 And к=0'1Ъеп # система i:.ci:i 2: FFM=1 3: Else
4: [fi=0 And j=0 I lien U буфер п>ст. пакет на обслуживают
5: f'!"M=k+l
6: Else
If 1=0 Andj>0 Then # в буфере есть пакеты 2-ло приор., пакет на обслуживании
8: For х=0 То j
9: У=У+х
10: Next х
II: FFM=l+M*y+k
12: Else
13: Ii I '0 Alld ¡-0 I hen H фере iv:t. 1 :.:к.':l: 1-ГО приор., пакет ш ибспужнкиаш
14: For ч=0 То i
15:
16: Next x
17: FFM=l+M*i+M*y+k
18: FJse
19: lfi>0 And j >0 l"hen U p oytticpc доъ пикеты, пакет на обслуживании
20: FFM=I ;FM( 0, i +j ,3,М)+М*( i-1)+к
21: End If
22: End If
23: End If
24: End If
25:End If 26: Return FFM
4. Результаты расчёта и выводы
Машинные ограничения
Самую большую проблему при машинных вычислениях создаёт ограничение объёма оперативной памяти ЭВМ. Авторы работы располагали 14 Гбайт свободной оперативной памяти для вычислений.
Исходные данные
За исходные данные, с учётом ограничения аппаратных ресурсов были выбраны следующие значения: количество ступеней обслуживания М -30, количество мест в очереди L = 30, время обслуживания
= 2-107,// = 3,77-Ю"4было взято из [1]. Предельный поток трафика, который может обслужить наша система, равен 246931 пакет в секунду, эту точку будем называть «точкой отказа». Общая динамика системы сохраняется при подборе подходящих соотношений
Графики и выводы
Интерес представляют три сценария поведения трафика и отклика системы на него.
Первый сценарий - поток приоритетного трафика постоянный, поток неприоритетного трафика растет, превышая обслуживающую способность приборов. При работе устройств на реальной сети наиболее вероятен именно этот сценарий.
Второй сценарий - поток неприоритетного трафика постоянный, поток приоритетного трафика растёт, превышая точку отказа. Подобный сценарий маловероятен на реальной сети, но помогает подтвердить корректность работы модели. Такое может случиться при broadcast-шторме, если его пакеты будут иметь приоритет выше, чем best effort, что маловероятно. Обязательным условием этого события должна быть некорректная настройка параметров policing или scheduling, или их отключение.
Третий сценарий - поток приоритетного и неприоритетного трафика равномерно нарастает, превышая обслуживающую способность приборов. Такой сценарий маловероятен, но представляет интерес для оценки работы модели.
Первый сценарий
Для первого сценария дополнительные исходные данные по входящим потокам трафика выглядят следующим образом Л, = 40• 103 = const, Л, = 0,40 ■ 10\80 ■ 1 (У...280-103■
320.00 ISO .00 240.00 200.00 160.00 120.00 60.00 40.00 0.00
-Суммарный обслуженный поток —Днэкниль
-Поток 10га прнормтгта
-Поток 2 ora приоритета
40 S0 120 160 200 240 2S0 220
И Н Г£ НС И ВНОС IЬ ВНОДЯЩе!ОНОТОВД) J ;.!>_. í>-\.!l.: ■ С l'Jii :) ctr
График 1. Интенсивность обслуженного трафика (сценарий 1)
По графику 1 хорошо видно, в какой момент времени рассматриваемое устройство перестаёт обслуживать трафик, то есть достигает точки отказа. Поток приоритетных пакетов не несёт потерь при повышении потока неприоритетных пакетов.
J0 28
0 26 S 24
М К 22
8 я 10
1 i л 5 i ie i 114 I f 12
г с я о 6
С .j 2
0
0 .10 S0 120 ISO 200 240
Интенсивность входящего потони пакетов ¡oro приоритета, тыс.пакетов в сек
230
График 2. Потери заявок 2-го приоритета от интенсивности собственного входящего потока пакетов (сценарий 1)
График потерь заявок первого приоритета не представлен по причине того, что потери пакетов 1-го приоритета отсутствуют. Соответственно все потери составляют потери заявок 2-го приоритета.
-Оч.1о го приор ■Оч.2о го приор -Общ. очередь
SO 120 160 200 240 230 320 Интенсивность входящего гюток.1 пакетов, ты;, пане топ в сен
График 3. Заполнение пакетной очереди (сценарий 1)
График 3 демонстрирует динамику заполнения пакетной очереди в зависимости от того, какова интенсивность входящего потока пакетов. Пакетный буфер в основном занят пакетами 2-го приоритета. При максимальной интенсивности входящего потока пакетов среднее количество пакетов 1-го приоритета в очереди равно 0,13947 пакета. Пакетный буфер не заполняется полностью по причине того, что пакеты постоянно покидают очередь, продвигаясь на облуживание, либо покидая очередь вследствие сброса пакета 2-го приоритета по причине прихода пакетов 1-го приоритета.
Второй сценарий
Для второго сценария дополнительные исходные данные по входящим потокам трафика выглядят следующим образом Л, =0,40 103,80-103...280 103/ 4=40-103 = const-
Из графика 4 видно, что в момент, когда система достигает точки отказа, объём обслуженной нагрузки 2-го приоритета падает, так как его пакеты вытесняются из буфера пакетами 1-го приоритета. Это также подтверждает корректность работы модели.
Динамика изменения очереди и потерь пакетов для входящего потока во всех сценариях аналогична представленной в работах [1] и [10]. Это позволяет сделать вывод, о том, что механизмы queueing не вносят значительного изменения результатов атак на нижние ступени баз правил фильтрации средств межсетевого экранирования.
Применение механизмов queueing в отрыве от механизмов scheduling и policing может привести к серьёзной потере полосы пропускания трафика с приоритетом ниже, чем трафика, интенсивность которого нарастает лавинообразно. Главным образом это опасно для трафика класса best effort. Из этого следует, что применение механизмов queueing не рекомендуется без нормирования полос пропускания, под все классы трафика, обслуживаемые в устройстве. Это будет верным для сетей доступа.
Для того чтобы оценить эффективность расстановки правил фильтрации для приоритетных потоков в зависимости от объёмов их трафика, требуется разработать математическую модель, в которой входящие потоки с различными приоритетами обслуживания будут активировать различные правила в базе правил, то есть необходимо отказаться от допущения 5. Решение этой задачи позволит оптимизировать расстановку правил в рамках списка фильтрации при учёте приоритезации трафика.
Авторы работы в дальнейшем предполагают провести имитационное моделирование на основании представленных результатов. Целью имитационного моделирования будет снятие ряда допущений, принятых в математической модели.
Литература
1. Saiah к., Eíbadawi Ew Boutaba R. Performance Modeling and Analyses of Network Firewall // IEEE Transactions on network and service management, vol. 9, no. 1, March 2012. pp 12-21.
2. Документация проекта NetFilter/IPtables [Электронный ресурс]. URL: http://www.netfilter.org/documentation/index.html (дата обращения 02.02.2014).
3. Packet Flow Graph [Электронный ресурс]. URL: http://xkr47.outerspace.dyndns.org/netfllter/packet_flow/ (дата обращения 02.02.2014).
4. ASA order of operation (scheme format) [Электронный ресурс]. URL:https;//learn¡ngnetwork,cisco,com/servlet/J¡veServlet/showImage/2-145132-40964/AS AO pe ration031408.jpg (дата обращения 02.02.2014).
5. ASA order of operation, extended (text format) URL: http ://deepakarora1984.blogspot.ru/2009/05/asa-order-of-operation.html (дата обращения 02.02.2014).
6. Назаров A.H., Сычёв К.И. Модели и методы расчёта показателей качества функционирования узлового оборудования и структурно-сетевых параметров сетей связи следующего поколения. - М: Изд-во ООО «Поликом», 2011. - 491 с.
7. Ossipov A. Maximizing Firewall Perfomance (BRKSEC-3021)// Cisco Conference, Orlando. - 2013. [Электронный ресурс]. URL: http://www.alcatron.net/Cisco%20Live%202013%20Melboume/Cisco%2 0Live%20Content/Security/BRKSEC-3021%20%20Maximising%20Firewall %20Performance,pdf (дата обращения 02.02.2014),
8. Бочаров ПЛ., Печинкин А.В. Теория массового обслуживания. - М:Изд-во РУДН, 1995. - 529 с.
9. Обзор продукта Wolfram Mathematica [Электронный ресурс]. URL: h ttp://w w w. wo! fram.com/math em atica/?sou гее=na v (дата обращения 02.02.2014).
10. Мусатов В.К. Обоснование эффективности применения автокоррекции баз правил фильтрации в средствах межсетевого экранирования // T-Comm - Телекоммуникации и транспорт. - 2014. - №8. - С. 68-72.
MATHEMATICAL MODELING OF FIREWALLING DEVICE IN CONTEXT OF TRAFFIC PRIORITIZATION
Musatov Vladislav Konstantinovich, postgraduate student, MTUCI "Moscow Technical University of Communication and Informatics", design engineer, CJSC "Scientific Industrial Enterprise "Safety of Information Technology", Moscow, Russia, [email protected] Sherbanskaya Anna Alekseevna, postgraduate student., People Friendship University of Russia, Leading specialist of budgeting, OJSC "National Insurance Group", Moscow, Russia, [email protected]
Abstract
Network security is an important aspect of the modern organizations information assets protection, which has a developed IT-infrastructure. Firewalling - one of the basic functions, used to provide network security. As firewalling device, that provides packet filtering, acts a specialized firewall or network routers. The issue of increasing the performance and fault tolerance of network equipment is currently engaged in a large number of equipment developers. IEEE specialists proved risks of attacks such as "Denial of Service" on the lower steps of filtering rule base. Their work contains a mathematical model of firewall that neglect functioning of the device in contexts of traffic prioritization. This article presents the mathematical model of firewalling device, that implements mechanisms to traffic prioritization. This model is based on the work of experts of IEEE, but has a row of improvements, allowing to evaluate the impact of traffic prioritization on its filtering and fault-tolerant hardware. In article presented a full cycle of creation of mathematical model of firewalling device, that operating under the condition of traffic prioritization.
Describes the problem description and mathematical problem definition, mathematical methods and procedures used for model description, the general calculations principles in environments of computer algebra and mathematical modeling, and simulation results. Mathematical methods and calculating procedures also have undergone a change, which increased the speed of calculation in the simulation environment. The author gives two methods for calculating mathematical modeling environments, their short description, pros and cons. To prove the correctness of the model used three scenarios traffic behavior. Numerical values of performance measures firewalling device under the condition of traffic prioritization are Graphical dependence is presented. Late in described the danger of using queueing mechanisms without traffic bandwidth limitations (policing, shaping) that allocated to a different classes of service. That statement is right for access networks. Also provides recommendations on the use of queueing mechanisms in QoS concept.
Keywords: network security, firewalling, network QoS, mathematical modelling, performance metrics.
Reference
1. Salah K., Elbadawi E., Boutaba R. (20l2),"Performance Modeling and Analyses of Network Firewall", IEEE Transactions on network and service management, vol. 9, no. 1, March, pp 12-21.
2. "NetFilter/IPtables project documentation", available at: http://www.netfilter.org/documentation/index.html (Accessed 2 February 2015).
3. "Packet Flow Graph for NetFilter/IPtables", available at: http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/ (Accessed 2 February 2015).
4. "ASA order of operation", available at: https://learningnetwork.cisco.com/servlet/JiveServlet/showImage/2-l45l32-40964/ASA 0peration03l408.jpg (Accessed 2 February 2015).
5. "ASA order of operation, extended", available at: http://deepakaroral984.blogspot.ru/2009/05/asa-order-of-operation.html (Accessed 2 February 20l5).
6. Nazarov A.N., Sichov K.I. (20ll), Modeli i metodi rascheta pokazateley kachestva funkcionirovaniya uzlovogo oborudobanuya strukturno-setevih parametrov setey svyazi sleduyushego pokoleniya, Policom [Models and methods for calculating the performance indexes of node equipment functioning and structural-network parameters of next generation networks], Krasnoyarsk, Russia [in Russian].
7. Ossipov A. (2013), "Maximizing Firewall Perfomance (BRKSEC-302l)", available at: http://www.alcatron.net/Cisco%20Live%2020l 3% 20Melbourne/Cisco%20Live%20Content/Security/BRKSEC-302l%20%20Maximising%20Firewall%20Performance.pdf (Accessed 2 February 20l5).
8. Bocharov P.P., Pechkin A.V. (l995), Teoriya massovogo oblujivaniya [Mass service theory], PFUR, Moscow, Russia [in Russian].
9. "Wolfram Mathematica - product over", available at: http://www.wolfram.com/mathematica/?source=nav (Accessed 2 February 20l5).
10. Musatov V.K. (20l4), "Justification of the effectiveness of rule base auto-correction in network firewalls", T-Comm, no.8, pp. 68-72 [in Russian].