CC BY
38перестановки уже осуществляется формирование упорядоченного массива правил R*.
На примере МЭ Iptables, являющегося штатным для ОС Linux, была произведена оценка эффективности разработанного алгоритма путём замера пропускной способности. В случае когда набор правил был представлен всего одним правилом, разрешающим прохождение любого трафика, пропускная способность МЭ составила 83,56 Мбит/с. После создания неупорядоченного набора правил фильтрации и их загрузки в межсетевой экран среднее значение пропускной способности упало более чем на 40 % - до 46,82 Мбит/с. Затем этот неупорядоченный набор правил был упорядочен с помощью разработанного алгоритма и снова загружен в межсетевой экран. В результате среднее значение пропускной способности увеличилось на 30 % по сравнению с неупорядоченным набором правил и составило 66 Мбит/с. Результаты замера пропускной способности представлены на рис. 2.
Таким образом, применение разработанного алгоритма упорядочивания правил фильтрации межсете-
УДК 004.056
ОБНАРУЖЕНИЕ АНОМАЛИЙ В НАБОРАХ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ*
Т. С. Хеирхабаров, А. А. Шаляпин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: admin@kb-61.com
Представлено описание автоматизированной системы оценки правил фильтрации межсетевых экранов, позволяющей обнаруживать аномалии в наборах правил фильтрации и вырабатывать рекомендации по их устранению.
Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика, аномалия.
DETECTING ANOMALIES IN THE FIREWALL RULE SETS
T. S. Kheirkhabarov, A. A. Shalyapin
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, Russian Federation 660014 E-mail: admin@kb-61.com
The description of the firewall rules of automated assessment system is presented. Using this system allows to discover and resolve anomalies in the firewall rule sets.
Keywords: firewall, network traffic filtering rules, anomaly.
На сегодняшний день межсетевые экраны (МЭ) этом, как и любое другое средство защиты информа-являются неотъемлемой частью инфраструктуры за- ции, для надлежащего выполнения своих функций щиты любой корпоративной компьютерной сети. При МЭ должен быть правильно настроен.
*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.
вых экранов в наборах правил позволяет снизить нагрузку на аппаратную составляющую межсетевых экранов и тем самым повысить их пропускную способность. При этом эффект от упорядочивания правил будет наиболее заметен на высоконагруженных межсетевых экранах с большим количеством используемых правил фильтрации (тысячи и десятки тысяч правил).
90.00
30,00 70,00
ьаоо
^^^Н _
зооо
ЗООО 1 или
Ы? 1 M > Неулордоч. правила У гюрядо ч. правила
■ РЯД1 83,56 46,82 65,99
Рис. 2. Результаты измерений пропускной способности межсетевого экрана
© Хеирхабаров Т. С., 2014
Методы и средства защиты информации
Схема взаимодействия модулей СОЭПФ
Под настройкой МЭ в первую очередь понимается создание набора правил фильтрации, определяющего возможность прохождения через настраиваемый МЭ сетевого трафика с заданными параметрами. К таким параметрам чаще всего относятся IP адреса источника и назначения, номера сетевых портов источника и назначения, реже - значения флагов в заголовке TCP пакетов.
С задачей построения правил фильтрации для МЭ связан ряд факторов, обусловливающих её сложность: большое количество отдельных узлов и сегментов в сети, отсутствие документации на функционирующие в сети системы, различия синтаксиса правил для МЭ разных производителей, а также ряд других, менее значимых факторов. Сложность построения списков правил фильтрации приводит к проблемам конфигурирования правил.
Проведённые исследования [1] показывают, что даже очень опытные специалисты и эксперты допускают ошибки в конфигурировании правил МЭ. При этом допущенные ошибки, как правило, приводят к появлению противоречий между различными правилами, которые в западных исследованиях называют аномалиями. Данные аномалии подробно описаны и проанализированы в работе [2]. Выделяют 4 типа аномалий: затенение между правилами, обобщение правил, пересечение правил и избыточность правил.
После создания набора правил фильтрации необходимо проверить его на наличие аномалий. В случае большого количества правил в наборе задача выявления аномалий может потребовать значительных временных ресурсов, а также есть вероятность того, что решающий данную задачу специалист может пропустить ошибку или же, наоборот, посчитать за ошибку не являющееся таковым. Для автоматизации данной задачи осуществляется разработка программной системы оценки эффективности правил фильтрации (СОЭПФ), позволяющей выявлять аномалии в наборах правил широкого спектра МЭ. Данная система входит в состав разрабатываемого программного комплекса управления межсетевыми экранами корпоративных компьютерных сетей и состоит из следующих основных модулей:
1) модуль генерации формальных правил;
2) аналитический модуль;
3) база описаний поддерживаемых форматов правил МЭ.
Схема взаимодействия модулей СОЭПФ представлена на рисунке.
На вход системы подаётся набор правил МЭ, при этом данный набор может быть получен системой автоматически с МЭ либо же предоставлен пользователем в виде конфигурационного скрипта МЭ. Данный набор затем преобразуется в набор формальных правил, то есть правил, не привязанных к конкретной модели МЭ. В процессе преобразования к формальному виду правил используется информация из библиотеки описаний форматов правил МЭ. Описание формата правил конкретного МЭ представляет собой ХМЬ-файл, содержащий схему преобразования формальных правил в формат определённого МЭ. Для ряда МЭ, имеющих бинарный формат набора правил фильтрации и не предлагающих возможности его экспорта/ импорта в текстовый формат, в базе описаний могут присутствовать не просто ХМЬ-файлы схем преобразования, а библиотека функций, позволяющих преобразовать бинарный формат набора правил в текстовый и наоборот. В случае если необходимый МЭ отсутствует в списке поддерживаемых системой, пользователь имеет возможность самостоятельного создания ХМЬ-описаний и библиотек преобразований.
Полученный набор формальных правил подвергается анализу, в результате которого формируется отчёт об обнаруженных аномалиях, а также генерируется оптимизированный набор правил МЭ.
Стоит отметить, что контроль аномалий в наборе правил фильтрации МЭ необходимо осуществлять не только на этапе первоначальной настройки, но и при добавлении или изменении правил в уже существующем наборе. В первую очередь это обусловлено тем, что в большинстве МЭ очень важен порядок следования правил в наборе. Для каждого проходящего сетевого пакета происходит последовательный перебор правил до тех пор, пока не будет найдено правило, соответствующее сетевому пакету, при этом все нижележащие правила не проверяются. Поэтому неправильный порядок следования правил фильтрации может стать причиной возникновений аномалии. При добавлении нового правила в набор очень важно определить для него правильную позицию, что опять же
для больших наборов правил является весьма нетривиальной задачей. Поэтому необходимы инструменты для её автоматизации.
В разрабатываемой системе предусмотрен специальный «ассистент» добавления и изменения правил фильтрации. В случае необходимости внесения изменений в набор правил какого-либо МЭ пользователь выполняет данную операцию не через интерфейс управления МЭ, а посредством данного «ассистента». Через интерфейс «ассистента» пользователь вносит необходимые изменения, после чего выполняется их оценка с целью выявления возможных аномалий. Если внесённые изменения не влекут за собой появления аномалий, то они применяются на межсетевом экране. Иначе пользователю предлагаются варианты исправления возникшей аномальной ситуации: изменение порядка следования правил или уточнение фильтрующих условий вновь добавляемого или изменяемого правила.
Таким образом, применение разрабатываемой программной системы для оценки наборов правил фильтрации МЭ позволит значительно сократить риски
информационной безопасности, связанные с некорректной настройкой МЭ, а также уменьшит время, затрачиваемое специалистами на выявление и устранение аномалий.
Библиографические ссылки
1. Wool A. A quantitative study of firewall configuration errors // IEEE Computer Society. 2004. Vol. 37. C. 62-67.
2. Ehab S. Al-Shaer, Hazem Н. Hamed. Firewall Policy advisor for anomaly discovery and rule editing // Integrated Network Management. 2003. C. 17-30.
References
1. Wool A. A quantitative study of firewall configuration errors // IEEE Computer Society, Vol. 37, 2004. C. 62-67.
2. Ehab S. Al-Shaer, Hazem Н. Hamed. Firewall Policy advisor for anomaly discovery and rule editing // Integrated Network Management, 2003, C. 17-30.
© Хеирхабаров Т. С., Шаляпин А. А., 2014
УДК 004.56
О ЗАДАЧЕ ПОСТРОЕНИЯ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
Н. И. Чугунова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: 89135078030@mail.ru
Рассмотрена проблема и предложен подход к построению информационной системы специального назначения в защищенном исполнении.
Ключевые слова: критически важные информационные системы, информационные системы специального назначения, системы в защищенном исполнении.
THE PROBLEM OF CONSTRUCTING A SECURE INFORMATION SYSTEM
FOR SPECIAL PURPOSE
N. I. Chugunova
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation E-mail: 89135078030@mail.ru
The problem is studied and an approach to the construction of secure information system for a special purpose is proposed.
Keywords: critical information systems, information systems, secure information system special purpose.
На сегодняшний день большинство организаций становятся все более зависимыми от информационных систем (ИС) и услуг. Использование информационных технологий позволяет повысить эффектив-
ность деятельности организаций, но вместе с тем и сделать их более уязвимыми по отношению к угрозам информационной безопасности. В особенности это стало чувствительным для критически важных ин-
