CC BY
70
УДК 004.056
ОБ АВТОМАТИЗАЦИИ ПРОЦЕССА ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ
МЕЖСЕТЕВЫХ ЭКРАНОВ
Д. И. Старков Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: Starkov-25@mail.ru
Работа посвящена вопросам формирования правил фильтрации сетевого трафика в межсетевых экранах. Проводится анализ существующих подходов к автоматизации процесса построения правил фильтрации в межсетевых экранах.
Ключевые слова: защита информации, межсетевой экран, фильтрация трафика. ABOUT AUTOMATING THE BUILD PROCESS OF FIREWALLS' FILTERING RULES
D. I. Starkov Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: Starkov-25@mail.ru
The entry is dedicated to the issues of developing of network traffic filtration rules for firewalls. The existing ways of automation of the process of developing firewall filtration rules were analyzed
Keywords: information protection, firewall, traffic filtering.
Межсетевой экран - это локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС [1].
На сегодняшний день межсетевой экран является неотъемлемым элементом системы обеспечения безопасности любой корпоративной сети, являющийся не только зарекомендовавшей себя практикой при построении системы защиты, но также обязательным требованием нормативных документов в области информационной безопасности [2].
Одной из важнейших задач, при применении межсетевого экрана, является правильная конфигурация его политики. Под конфигурацией политики межсетевого экрана понимается разработка набора правил фильтрации, которые определяют возможность прохождения сетевого трафика. Эффективность работы межсетевого экрана в первую очередь зависит от правил фильтрации. Построение правил фильтрации для небольших сетей с полной документацией не является сложной задачей. Однако для больших сетей со сложной топологией и разнообразием различных устройств и принципов её функционирования, построение правил становится сложной задачей даже для опытных специалистов.
Для того чтобы избежать возникновения ошибок при конфигурации межсетевого экрана, а так же сокращения необходимых для настройки его политики безопасности ресурсов, необходимо автоматизировать процесс построения правил фильтрации. Рассмотрим существующие подходы к решению данной задачи.
Первый подход заключается в генерации правил фильтрации на основе пассивного анализа сетевого трафика, проходящего через точку установки настраиваемого межсетевого экрана.
Секция «Методы и средства зашиты информации»
На вход системы подается либо дамп сетевого трафика в формате PCAP, собранного с помощью сетевого анализатора, либо непрерывный поток трафика, проходящего через точку включения межсетевого экрана. Весь полученный трафик проходит стадию анализа, результаты которого помещаются в базу данных, где они обрабатываются с помощью, например, методов кластерного анализа. На основе результатов кластерного анализа происходит генерация формальных правил, т. е. правил не привязанных к конкретной модели межсетевого экрана. Сгенерированные формальные правила состоят из информации о направлении передачи трафика, адресах и портах источника и назначения, а также информация о пропуске или блокировке трафика. Далее формальные правила транслируются в правила фильтрации для конкретного межсетевого экрана. Схожий механизм по генерации правил фильтрации присутствует в сетевом анализаторе «Wireshark». Правила фильтрации можно сгенерировать для конкретного выделенного пакета с использованием форматов правил различных моделей межсетевых экранов [3].
В качестве примера второго подхода можно привести модель генерации правил для межсетевого экрана ССПТ-2, разработанную в НПО-РТК [4]. Представленная методика заключается в формировании правил фильтрации на основе неформальной политики разграничения доступа. Такая политика описывается неформально, то есть в виде таблиц, наглядно представляющих правила разграничения доступа. Суть метода заключается в переходе от общих, неформальных правил к детальному их описанию в соответствии с моделью конкретного межсетевого экрана. Правила представляются в виде модели субъект-объект-действие. Субъектом является тот, кто совершает действие (человек или процесс). Объект - то, над чем действие совершается (файл, папка, поток). Действие - конкретное действие, совершаемое субъектом. В модели доступа субъекту, действию и объекту в соответствие ставятся абстрактные понятия - категория: роль, активность, вид. Например: роль - «администратор», вид - «конфиденциальная информация», активность - «запись». Таким образом, правила фильтрации создаются не для объектов, действий и субъектов, а для ролей, видов и активностей. Такие правила не нужно менять. Для получения конкретных правил, необходимо связать объекты с видами, действия с активностями и субъекты с ролями. Такое представление позволяет формировать множество конкретных правил, соответствующих одному абстрактному правилу. Также каждому объекту назначается определенный класс, например: «IP-хост», «UDP-сервис». Каждый класс ассоциируется с группой атрибутов, имеющих произвольные значения. Класс объекта и набор атрибутов составляет описание объекта, необходимое для работы с ним. Далее выполняется трансляция уже конкретных правил в правила фильтрации определенного межсетевого экрана.
Третий подход заключается в применении средств автоматизации, как правило, с графическим интерфейсом для генерации правил фильтрации для конкретной модели межсетевого экрана, например, программное обеспечение «Firewall Builder» [5]. Элементы сети представляются в виде графических объектов. Такие объекты представляют как аппаратные устройства, над которыми осуществляется управление, так и различные элементы, на основе которых строятся все правила: сетевые интерфейсы, протоколы, порты и т. д. Формирование правил фильтрации происходит за счет перетаскивания нужных объектов в нужные ячейки правила. На основе построенной таким образом политики формируются правила фильтрации, где отображение таких правил соответствует формату правил для выбранной модели межсетевого экрана.
Рассмотренные подходы имеют свои преимущества и недостатки. Обоснование их использования зависит от количества узлов в сети и полноты документации. Для хорошо документированных систем подойдет прием, использующийся в «Firewall Builder». Для систем, документация политики доступа в которых присутствует, но представляет собой лишь поверхностное её описание, способ, разработанный в НПО-РТК, является наиболее предпочтительным. Способ, основанный на пассивном прослушивании трафика можно выделить, как наиболее перспективный, так как он полностью автоматизирует процесс создания правил фильтрации, что делает его универсальным в отношении построения правил разграничения доступа в сети.
Библиографические ссылки
1. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного дос-
тупа к информации // Сборник руководящих документов по защите информации от НСД. М. : Гостехкомиссия России, 1998. C. 93-106.
2. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. М. : Стандартин-форм, 2012. 135 с.
3. Хеирхабаров Т. С. Об автоматизации генерации правил фильтрации межсетевых экранов путем пассивного анализа сетевого трафика // Решетневские чтения. 2012. Т. 2. С. 686-687.
4. Защита информации в компьютерных сетях с использованием межсетевых экранов ССПТ [Электронный ресурс]. URL: http://www.npo-rtc.ru/ (дата обращения: 20.03.2017).
5. Firewall Builder [Электронный ресурс] URL: http://www.fwbuilder.org/ (дата обращения: 29.03.2017).
© Старков Д. И., 2017
