Обоснование эффективности применения автокоррекции баз правил фильтрации в средствах межсетевого экранирования
Ключевые слова: сетевая безопасность, межсетевое экранирование, динамические списки фильтрации, показатели производительности.
Обеспечение информационной безопасности является одной из важных задач при создании сетей связи. Одними из базовых устройств, используемых для обеспечения сетевой безопасности, являются межсетевые экраны. Концепция и механизмы межсетевого экранирования иавест-ны уже достаточно давно и успели претерпеть множество модификаций. Но один из базовых механизмов, называемый база правил фильтрации (англ. rule base) достаточно давно не модифицировался и становится источником уязвимости в случае, если база правил разрастается и в ней накапливается достаточно большое количество активных правил. Эта уязвимость может быть использована при проведении DDoS атак, а также может заметно повысить нагрузку на межсетевой экран при неудачном стечении обстоятельств в реальных условиях эксплуатации под воздействием нормального/легитимного трафика. Специалисты IEEE обосновали опасность атак типа отказ в обслуживании на нижние ступени базы правил фильтрации. На основании их выводов проведена работа по оценке эффективности автокоррекции баз правил фильтрации с целью снижения эффективности атак на нижние ступени правил, а также оптимизации работы баз правил фильтрации при штатном режиме функционирования межсетевого экрана. Рассматриваются способы построения баз правил фильтрации и их уязвимость, в случае если они содержат большое количество активных правил фильтрации и построены как линейный список. Эксплуатация данной уязвимости позволяет снизить необходимый объём ресурсов злоумышленника, для выведения межсетевого экрана из строя, тем самым позволяя ботнетам малого размера совершать достаточно мощные атаки. Описаны существующие подходы к решению данной проблемы и представлен концептуальный подход по компенсации данной уязвимости, по средствам добавления возможности автоматической корректировки базы правил фильтрации. Представлены численные значения показателей производительности межсетевых экранов при атаке на нижние ступени базы правил различного размера. Представлены графические зависимости. Графические зависимости позволяют оценить выигрыш по производительности при переносе атакуемых правил вверх списка фильтрации.
Мусатов В.К.,
спирант кафедры ССиСК, ФГБОУ ВПО "Московский технический университет связи и информатики", Инженер-проектировщик 2ой категории, ЗАО "НПП "БИТ', Москва, [email protected]
1. Основные функции межсетевых экранов
Общая идея межсетевого экранирования, а точнее фильтрации трафика, не нова, однако, с момента появления своей первой реализации механизмы фильтрации претерпели заметные изменения и модификации.
Первые упоминания о межсетевом экранировании появились в конце 1980 года [1]. В это время межсетевые экраны не были самостоятельным продуктом и использовались как функционал маршрутизаторов. Их самой первой задачей было разграничение сетей друг от друга, а основным объектом фильтрации являлся паразитный широковещательный трафик протоколов, несущих информацию о настройках сетевых устройств и их моделях.
Межсетевые экраны ограничивают доступ части сетевого трафика из незащищённых сетей в защищённые сегменты сети, основываясь на различных параметрах фильтрации и логике принятия решений [2]. Логические цепи и их условия срабатывания обрабатываются межсетевым экраном в определённой последовательности. Эти последовательности формируются и функционируют с помощью отдельного механизма, известного как набор правил (rule set) или база правил (rule base). Также существует механизм типа счётчик-таймер, после срабатывания которого происходит выполнение логической цепочки действий.
2. Уязвимость существующих типов механизмов построения баз правил
2.1. Описание механизма построения баз правил
Первой фактической реализацией механизмов баз правил является линейный список фильтрации, в котором правила поочерёдно обслуживаются от первого до сработавшего правила или последнего правила в списке (частный случай сработавшего). На рисунке 1
представлен линейный список фильтрации длиной N и возможный результат работы списка при совпадении на правиле M.
22. Описание уязвимости механизма
построения баз правил
Списки фильтрации имеют серьёзную уязвимость в своей реализации, заключающуюся в последовательной обработке правил фильтрации. Эта уязвимость проявляется в случае, когда список накапливает достаточное количество активных правил. Реализация уязвимости возможна при атаках направленных на нижние ступени базы фильтрации. Следствием реализации атаки на нижние ступени правил является продолжительный проход списка фильтрации от начала, до правила M, что приводит к значительному увеличению времени обслуживания и возрастанию затрат аппаратных ресурсов. Эксплуатация этой уязвимости позволяет существенно повысить эффективность атак, направленных на отказ в обслуживании: чтобы достичь цели при атаке на нижние ступени базы правил злоумышленнику потребуются заметно меньшие ресурсы, чем при атаке на случайное правило в списке [3]. Некорректная на-
rk
Пакет направляется на этап фильтрации.
Правило 1
Правило 2
Правило 3
Правило M
Правило N
Правило M было разрешающим.
Пакет получает разрешение пройти в соответствии с определённым правилом (accepted).
Правило М было запрещающим.
Пакет удаляется из памяти, покидает систему обслуживания (Drop, rejected, deny); причина -запрет в соответствии с политикой фильтрации.
Рис. 1. Линейный список фильтрации
стройка межсетевого экрана также ухудшает ситуацию [4,5].
Заранее заметим, что, кроме умышленной атаки, подобная ситуация может случайно сформироваться при обращении легитимных пользователей к защищаемому ресурсу. Например, такая ситуация может появиться при публикации определённой новости или информации, необходимой большой количеству пользователей, по определённому критерию будет совпадать с нижними ступенями правил списка фильтрации межсетевого экрана.
2.3. Задача компенсации уязвимости
Результаты, приведенные в [3] показывают необходимость смягчения атак эксплуатирующих описанную уязвимость. В результате анализа существующих мер предложен новый подход, описанный ниже.
3. Варианты решения задачи
3.1. Существующие варианты решения задачи
Первым решением является метод построения баз правил, называемый "вложенные списки", которые позволили снизить время обслуживания правил, находящихся в конце списка фильтрации [6]. Этот способ формирования списков не реализован как самостоятельный модуль, но функционирует с помощью переходов (jump) между цепочками фильтрации в NetFilter. При этом если в цепочке произошло совпадение по критерию, то пакет получит соответствующий статус или действие, а точнее: accept, reject, drop или jump на другую цепочку фильтрации. Пример преобразования обычного набора правил во вложенный набор правил приведён на рисунке 2. Этому методу характерна группировка правил фильтрации по определённым критериям. При этом этим критерии заполняют первичный список и одновременно являются ссылками на вложенные списки, содержащие действующие правила. Недостатком этого метода является снижение эффективности метода при вложенных списках большого размера и создание "паразитных" ссылок на вложенные наборы правил, которые требуют время на обслуживание, но не несут полезной информации. В дополнении усложняется обслуживание набора правил в целом и проявляются проблемы при разделении по критериям, если правила имеют более одного критерия единовременно.
Второе решение проблемы не затронуло логику работы механизмов баз правил. Оно заключалось в загрузке в межсетевой экран за-
ранее подготовленных списков фильтрации при срабатывании определённого механизма, анализирующего состояние и поведение сетевого трафика, программного обеспечения и других элементов в сети. Эти механизмы могут быть представлены системами обнаружения и предотвращения вторжений, системами SIEM (Security information and event management) и другими системами мониторинга и анализа событий. Данный метод показывает хорошие результаты, но он имеет ряд недостатков таких, как сложность прогнозирования необходимых запасных наборов правил, сложность последующей эксплуатации при изменениях в технологических процессах, используемых в организации, а также сложность внедрения и эксплуатации самих систем мониторинга и анализа событий. С точки зрения межсетевого экрана, основной уязвимостью этого метода является статичность заранее подготовленных наборов правил. Результатом реализации этой уязвимости может стать подбор непредусмотренной заранее ситуации, в результате чего межсетевой экран не сможет бороться с атакой и механизм станет неэффективным до вмешательства персонала.
3.2. Предлагаемый вариант решения задачи
Учитывая наработки в этой области, предложено третье решение, основанное на постоянном статистическом контроле над состоянием и эффективностью работы базы правил фильтрации для минимизации, вносимой ею задержки, под конкретный трафик, который воздействовал на межсетевой экран в последний, отрезок времени.
Реализация этого метода приведёт к созданию динамических баз правил фильтрации. В рамках этого решения будет производиться автокоррекция базы правил фильтрации, переставляя правила или группы правил в рамках базы так, чтобы они находились в порядке убывания вероятности срабатывания, то есть правила с наибольшей вероятностью срабатывания находились вначале списка фильтрации.
Предлагаемый вариант компенсации уязвимости, может быть реализован в качестве модификации к существующим механизмам, что должно позволить сделать его самостоятельным модулем в рамках межсетевого экрана. В данном варианте межсетевой экран сможет функционировать как с линейным списком
Рис. 2. Вложенные наборы правил
фильтрации, так и встроенным списком при этом, не будет нарушаться общая концепцию механизмов фильтрации, а также это позволить функционировать межсетевому экрану как с включенным модулем автокоррекции базы правил, так и без него.
Результаты данной работы посвящены оценке эффективности работы этого метода. Расчёты выполнены с помощью математической модели, описанной в разделе 4 и работе [3].
При проработке этого метода компенсации уязвимости возникло множество технологических сложностей. Техническим аспекта будет посвящена отдельная статья.
4. Математическое моделирование
и его результаты
4.1. Общие сведения
В рамках создания механизма динамической фильтрации была проведена работа по оценке целесообразности его разработки. Для обоснования эффективности применения метода ниже приведены различные численные результаты и графические интерпретации, полученные на основе модифицированной математической модели, представленной в [3].
Модель реализована на основе теории цепей Маркова и теории массового обслуживания. Для получения части выходных характеристик была проведена незначительная модификация модели в части расчёта конечных показателей производительности, а также введён ряд уравнений для расчёта технических характеристик непредставленных в технической документации на оборудование.
4.2. Входные данные
Входными данными для математической модели являются 5 параметров:
1. Интенсивность входящего потока (потока атаки), в пакетах в секунду (англ. packet per second, PPS) — X.
2. Скорость обработки пакетов драйвером сетевой карты, пакетов в секунду — р.
3. Скорость обработки пакетов списком фильтрации, пакетов в секунду — с
4. Номер ступени обслуживания, на которую производится атака — N.
5. Размер буфера памяти сетевой карты, ед. пакетов — K.
Входные данные, использованные для расчётов в этой работе, получены в ходе анализа технической документации на существующие аппаратные межсетевые экраны. Наиболее исчерпывающей документацией обладают устройства Juniper Networks Inc. Для расчёта был выбран межсетевой экран Juniper SRX240, созданный для сегмента Branch office. Надо заметить, что характеристики указанные в техничес-
кой документации являются верхними границами возможностей этих межсетевых экранов.
Общие технические характеристики выбранного оборудования представлены в спецификациях [7]. Необходимо заметить, что авторы работы [3] использовали для расчёта и подтверждения своей математической модели реальные значения р и r, полученные в ходе работы с тестовым стендом. Межсетевой экран, установленный на тестовом стенде, функционировал под ОС Linux с ядром Fedora Linux 2.6.15 и с базовыми tg3 драйверами сетевой карты 3COM Broadcom NetXtreme GigabitEthernet.
По концепции работы межсетевого экрана Linux Netfilter фильтрация производиться после фазы, называемой PREROUTING [6]. Для нас главное, что фильтрация производится после первичной обработки пакета. В устройствах на основе операционной системы JunOS механизмы работы схожи, сначала производится первичная обработка, затем фильтрация [8,9]. По этой причине для оценки р будет использована характеристика Routing (Packet Mode) PPS.
Так как техническая документация не раскрывает необходимые данные, то было принято решение об оценочном расчёте, исходя из известных характеристик. Используя исходную информацию, а также ряд математических формул, удалось составить несколько оценок производительности. Исходя из того, что характеристики скорости обслуживания пакетов сетевой картой и набором правил неизвестны, можно составить предположения о локальных максимуме и минимуме производительности устройства. В результате получен ряд графиков, в которых точки, лежащие в рамках площади между двумя расчётными кривыми, являются множеством возможных рабочих значений.
По результатам предварительного расчёта были получены соотношения р, r и разных размеров списка:
1. 1/р = 3,33 мс; 1/ r = 0,034 мс; 50 правил.
2.1/р = 3,33 мс; 1/r= 0,017 мс; 100 правил.
5. Расчёт параметров производительности
межсетевого экрана
5.1. Моделирование
Моделирование проводилось при атаках на 300, 500 и 1000 правил при различной оценочной производительности устройства, тем самым было получено 6 групп результатов, представленных далее. При моделировании на устройство подавалась нагрузка от 1000 до 200000 PPS.
В рамках модели была использовано распределение Пуассона для входящего потока требований. Распределение Пуассона даёт хорошее приближение для трафика, которому характерен одинаковый размер пакета и рав-
номерное распределение времени поступления пакетов. Это позволяет предположить, что модель даст лучшее приближение при использовании характеристик, которые были получены производителем при тестах на пакетах фиксированного размера, равного 64 байта. Также при этих тестах достигается максимально возможный PPS устройства при выполнении функций маршрутизации и межсетевого экранирования, а максимальная пропускная способность не достигается (она диктуется скоростью работы буферов памяти).
Ниже приведён алгоритм в соответствии, с которым производился расчёт:
Ввод :А, ц, r, N, K.
1. Задаём матрицу P [l. .K ,1. .N ]= 0
2. Производимрасчётбазовыхзначений :
q = А, с2 = А+Е> с3 = , с4 = А+Г, с5 =-, с6 = И
ß r r ß r r
3. Расчёт вероятностей состояния крайних значен ий первой строки:
p,n=q p = с ■ P
1,N-1 2 -M, N
4. Расчёт вероятностей состояния первой строки : ДлявсехiотN -1 до 2 выгполнитъ:
P,;-i = С3 ■ р
конец цикла
5. Расчёт вероятности состояния крайн его значения второй строки:
р = с ■ р
2,N 4 -'U-Cl
6. Расчёт вероятностей состояний «центр матрицыг»: Для всехiот 2 доК -1
P = C ■ P - C ■ P
ri,N-1 2 ri, N 5 ri-1, N
Длявсех ]от N-1 до 2 P. . . = C3 ■ P - C5 ■ P ,
!,У-1 3 I, J 5 !-1, J
конец цикла
P+1iN = C4 ■ Pi11 - q ■ Pi-1,1
конец цикла
7. Расчёт вероятностей состояния крайнего значе ния последней строки :
P -1 = C ■ P - C ■ P
1 К, N 1 ^6 1 К, N 5 1 К-1, N
8. Расчёт вероятностей состояни й нижней строки : Для всех i от N-1 до 2
PK ,i - 1 = PK ,i - C5 ■ PK -1, i
конец цикла
9. Расчёт р0и нормализация резулътатов:
K N
Swnp =
k=1 n=1 1
р 0
1 + Sum,
P = или P
Р = Р - р
10. Расчёт показателей производительности и их вывод:
10.1. Сред нее вр емя обслуживан ия :
X = 1+
V Г
10.2. Расчёт интенсивности обслуженной нагрузки:
1- р к
У- ^ илиу = ц
х к=1
10.3. Расчёт вероятности потерь :
х и Рот =±Рк»
10.4. Расчёт среднего колич ества пакетов в очереди :
К N
кср =11РкУк
к=1и=1
10.5. Расчёт среднего времен и пребыгвания в СМО:
к ш= -%-У
10.6. Расчёт среднего времени пребывания в очереди :
= ш - X
10.7. Расчёт загрузки ресурсво межсетевого экран а: и-у * X
гк
У
Рис. 3. Пропускная способность межсетевого экрана
Рис. 4. Задержки, время нахождения пакета в системе массового обслуживания
5.2. Выходные величины
Модель предусматривает большой объём выходных данных, подлежащих анализу:
1. Среднее время пребывания пакета в системе массового обслуживания.
2. Среднее время пребывания пакета в очереди.
3. Вероятность потери пакетов (процент потери пакетов).
4. Среднее количество пакетов в очереди.
5. Загрузка аппаратных ресурсов межсетевого экрана в процентах.
6. Максимально возможная обслуженная нагрузка при заданных условиях.
7. Процент обслуженного трафика при заданных входных условиях.
5.3. Графические интерпретации
На рисунке 3 представлено соотношение интенсивность обслуженной нагрузки от интенсивности поступающего потока пакетов. Из рисунка видно, что при одинаковых параметрах производительности устройства, его возможности по обслуживанию трафика заметно падают при увеличении позиции атакуемой ступени в рамках базы правил. Например, при атаке на 300-е правило можно снизить максимальную эффективность системы по этому показателю приблизительно на 50%, при атаке — на 500-е правило на 65%, при атаке — на 1000-е правило на 80%.
На рисунке 4 представлено соотношение задержек, вносимых межсетевым экраном, от интенсивности поступающего потока пакетов.
Для величины задержек также характерно заметное увеличение с ростом ступени атакуемого правила. Дополнительно следует заметить, что приемлемые значения задержек сохраняются на 70-85% от максимальной загрузки межсетевого экрана. После достижения этих значений задержки начинают резко расти до недопустимых значений. Прекращение резкого роста задержек обоснованно тем, что система вошла в состояние насыщения, пакетная очередь загружена на 85-98,5% и большинство пришедших пакетов будут удаляться, не попадая в очередь, при этом, когда сама очередь заполниться на 100% рост задержек прекратиться полностью.
На рисунке 5 представлено соотношение потерь пакетов в %, от интенсивности поступа-
Рис. 5. Потери пакетов
20 40 60 80 100 120 140
Рис. 6. Использование ресурсов межсетевого экрана
гк
ющего потока пакетов. В модели не учитываются потери пакетов за счёт искажений в канале или других проблем возникающих на сети, но в целом потери начинают заметно проявляться только по достижения пороговых значений производительности устройства.
На рисунке 6 представлено соотношение использования ресурсов межсетевого экрана в %, от интенсивности поступающего потока пакетов. Рост линеен, но в зависимости от производительности кривые будут иметь различный наклон. Из рисунка видно, что для достижения полной загрузки межсетевого экрана злоумышленнику достаточно использовать заметно меньшие ресурсы. При атаке на 300-е правило от 74 до 119.5 КРРБ, при атаке на 500-е правило от 49,3 до 85,2 КРРБ, а при атаке на 1000-е правило от 26,8 до 49,6 КРРБ.
6. Выводы
Анализируя полученные результаты, можно сделать вывод, что при переносе, наиболее часто срабатывающие правил вверх списка фильтрации, можно заметно выиграть в производительности межсетевого экрана. Даже при переносе часто срабатывающего или атакуемого правила на 30-50% выше, чем его перво-
начальная позиция, этим можно добиться значительного результата. Это может позволить либо выиграть время до усиления атаки и обратиться к специалистам по защите от РРоБ или создать такие условия, при которых у злоумышленника не будет хватать ресурсов для того, чтобы вызвать отказ в обслуживании.
Основной проблемой при переносе правил вверх списка фильтрации будет возможность нарушения логики работы списка фильтрации. Это может привести к его полному или частичному отказу. Вследствие этого необходимо провести анализ типовых списков фильтрации и выработать критерии, удовлетворяя которые, можно будет создать методики по перестроению списков фильтрации. Эти методики должны будут описывать общие подходы по группировке правил и ограничениям по перемещению правил в рамках списка фильтрации.
В рамках будущих работ планируется рассмотреть технические аспекты создания динамических списков фильтрации и проработать вопрос о перестроении списков фильтрации с сохранением логики их работы. А также произвести модификацию математической модели с целью возможности исследования влияния поток трафика с приоритетами обслуживания на работу межсетевого экрана.
Литература
1. Kenneth I., Forrest S. A History and Survey of Network Firewalls. // University ofNew Mexico Department of Computer Science, 2002 г., [Электронный ресурс]. URL: http://www.cs.unm.edu/~treport/tr/02-12/ fire-wall.pdf (дата обращения 02.02.2014).
2. NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy., [Электронный ресурс]. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1 .pdf (дата обращения 02.02.2014).
3. Salah K, Elbadawi E, Boutaba R. Performance Modeling and Analyses of Network Firewall // IEEE Transactions on network and service management, volume 9, number 1, march 2012. Pp. 12-21.
4. Wool A Firewall Configuration Errors Re^sited // Cornell University Lbrary, 6.11.2009., [Электронный ресурс]. URL: http://arxiv.org/abs/0911.1240v1 -(дата обращения 02.02.2014).
5. Hazelhurst S. Algorithms for Analysing Firewall and Router Access lists, 9.8.2000., [Электронный ресурс]. URL:http://arxiv.org/abs/cs/0008006v1 -Cornell University Library (дата обращения 02.02.2014).
6. Juniper Networks SRX Series Services Gateways Datasheet [Электронный ресурс]. URL: http://www.iuniper.net/us/en/local/pdf/datasheets/ 1000281-en.pdf (дата обращения 02.02.2014).
7. Документация проекта NetFilter/IPtables [Электронный ресурс]. URL: http://www.netfilter.ong/docu-mentation/indexhtml (дата обращения 02.02.2014).
8. Учебный курс JNCIA-Junos Study Guide — Part1, 2, 2010.
9. Учебный курсJunos Security 10b, декабрь 2010.
Justification of the effectiveness of rule base auto-correction in network firewalls Musatov V.K., MTUCI, postgraduate student, [email protected]
Abstract
Provision of the information security is one of the essential task for network creating. One of the basic devices used to maintain network security is network firewall. The technical concept and mechanisms of firewalling known for quite some time and they have undergone many modifications. However one of the core mechanisms, called rule base was not modified for a long time and it becomes a source of vulnerability if the rule base grows and accumulates a sufficiently large number of active rules. IEEE experts substantiated risk of attacks on rules arranged at low steps of the rule base. Based on their results I have measured the performance of rule base auto-correct to reduce the effectiveness of attacks on rules arranged at low steps of rule base, and have optimized rule base of the network firewall normal operation mode. The article discusses methods of construction filtering rule bases and their vulnerability, if they contain large amounts of active filtering rules and built as a linear list. Exploitation of vulnerability allows to reduce the required amount of attack resources to incapacitate firewall, thereby allowing the small size botnets make powerful attacks. Describes existing methods to solving this problem and presents a conceptual approach to compensate this vulnerability by means of adding the auto-correct ability to filtering rule base. The numerical values of firewall performance when it attacked on the low steps of the rule bases that had various sizes and then performance measures of shifting the attacked rule up to the top of filtering list. Presented graphical dependencies. Graphic dependencies allow estimating the gain in performance when moving up the attacked rules in filtering rule bases.
Keywords: network security, firewalling, dynamic Ultering lists, performance measures.
rk