CC BY
12
Секция «Информационная безопасность»
УДК 004.9
ПОСТРОЕНИЕ МНОГОФУНКЦИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ
ПЕРИМЕТРА СЕТИ
Р. А. Астаулов, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: roman21k2@gmail.com
Рассмотрено решение защиты периметра сети на основе UTM и распределенной системы обнаружения вторжений. Предлагается концепция вынесения сенсоров и аналитического ядра СОВ за пределы UTM-решения с последующим зеркалированием сетевого трафика.
Ключевые слова: информационная безопасность, вычислительные сети, Unified Threat Management.
PROTECTION OF NETWORK PERIMETER WITH MULTIFUNCTIONAL
PROTECTION SYSTEM
R. A. Astaulov, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: roman21k2@gmail.com
The decision of protection of the perimeter of the network is considered based on UTM and distributed system of intrusions detection. The conception of submitting of sensors and analytical nucleus of IDS beyond the boundaries of UTM-decision with mirroring of network traffic is offered.
Keywords: information security, network, Unified Threat Management.
Обеспечение информационной безопасности для большинства организаций представляет собой нетривиальную задачу и вызывает вопросы по выбору средств защиты и их интеграции. Для сетей малого и среднего размера возможен вариант внедрения многофункционального решения класса UTM (Unified Threat Management, UTM), которое представляет собой набор программных компонентов, таких как: межсетевой экран, антиспам, сетевой антивирус, обнаружение вторжений, контентная фильтрация и др.
Основными проблемами внедрения UTM являются снижение пропускной способности сети и появление единой точки отказа. Для нивелирования проблем предлагается архитектура, отказоустойчивого «high availability» кластера с вынесением одного программного компонента за пределы UTM. Так как исследования показали, что основную нагрузку на сеть оказывает модуль системы обнаружения вторжений (СОВ), то было принято решение вынести именно данный компонент из UTM. Предлагаемая архитектура представлена на рис. 1.
Функционал защиты развернут в рамках UTM-решения (Firewall, Proxy, AV, Anti-Spam) и сервера IDS. В качестве UTM выступает физический сервер PfSense, основанный на операционной системе FreeBSD и работающий в режиме МЭ с возможностью подключения таких модулей как, Proxy, AV, NIDS, IPS, а также поддерживающий технологию CARP (Common Address Redundancy Protocol). Кроме того, для каждой машины необходим дополнительный интерфейс синхронизации. Для маршрутизации локального трафика используется коммутатор, на нем же выделен сегмент LAN.
Актуальные проблемы авиации и космонавтики - 2019. Том 2
Производительность сетевого канала между внешней сетью и клиентом замеряется с помощью клиент-серверной утилиты Iperf3, генерирующей TCP и UDP трафик на протяжении 1 минуты.
В первом приближении для получения предварительных оценок проведено тестирование пропускной способности и анализ средних значений нагрузки (Load averages) сервера в следующих режимах работы:
1) UTM-решение функционирует на одном физическом сервере;
2) программный компонент СОВ выключен на UTM и функционирует на внешнем сервере Security Onion. Трафик на СОВ зеркалируется с коммутатора.
Рис. 1. Предлагаемая архитектура внедрения UTM
Рис. 2. Результаты тестирования пропускной способности
Рис. 3. Загрузка сервера UTM в первом режиме работы
Секция «Информационнаябезопасность»
Load average CPU usage
Memory usage
Рис. 4. Загрузка сервера UTM во втором режиме работы
Тестирование показывает, что предлагаемая архитектура оказывает меньшее влияние на производительность сетевого канала, при этом, сохраняет функцию детектирования сетевых вторжений на защищаемый сегмент сети.
В перспективе, такая архитектура позволяет устанавливать несколько сенсоров и аналитических ядер в одной сети с последующей балансировкой сетевой нагрузки с помощью таких алгоритмов как «round robin» или его модификации, а также алгоритмов балансировки, основанных на весах.
Библиографические ссылки
1. Сетевые решения. Системы обнаружения компьютерных угроз [Электронный ресурс]. URL: http://www.nestor.minsk.by/sr/2008/05/sr80513.html (дата обращения: 28.03.2019.
2. ФСТЭК России. Методический документ ФСТЭК России профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/317 (дата обращения: 30.03.2019).
3. Snort NIDS [Электронный ресурс]. URL https://www.snort.org/ (дата обращения: 30.03.2019).
© Астаулов Р. А., Жуков В. Г., 2019
