CC BY
8
Секция «Информационнаябезопасность»
УДК 004.056
ПОСТРОЕНИЕ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ НА ОСНОВЕ МНОГОМЕРНОГО ПРЕДСТАВЛЕНИЯ ДАННЫХ О СЕТЕВОМ ТРАФИКЕ
Д. И. Старков Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: Starkov-25@mail.ru
Описывается система автоматизации процесса построения правил фильтрации, основанная на многомерном представлении данных, полученных из сетевого трафика.
Ключевые слова: защита информации, межсетевой экран, фильтрация трафика.
THE CONSTRUCTION OF FILTERING RULES OF FIREWALLS BASED ON THE MULTIDIMENSIONAL VIEW OF DATA ABOUT THE NETWORK TRAFFIC
D. I. Starkov Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: Starkov-25@mail.ru
The system of automating the process of creating filtering rules based on multidimensional representation of data received from network traffic is described.
Keywords: information protection, firewall, traffic filtering.
На сегодняшний день межсетевой экран (далее - МЭ) является неотъемлемой частью системы обеспечения защиты информационной безопасности любой корпоративной сети, являющийся не только зарекомендовавшей себя практикой, но также обязательным требованием нормативных документов в области информационной безопасности [1].
Одной из важнейших задач, при применении МЭ, является правильная конфигурация его политики [2]. Под конфигурацией политики МЭ понимается разработка набора правил фильтрации, которые определяют возможность прохождения сетевого трафика с заданными параметрами. Эффективность работы МЭ в первую очередь зависит от правильности построения правил фильтрации. Построение правил фильтрации для небольших сетей с полной документацией не является сложной задачей. Однако для масштабных сетей со сложной топологией и разнообразием технических устройств и принципов её функционирования, построение правил становится сложной задачей даже для опытных специалистов [3].
Для того, что бы исключить ошибки, возникающие при конфигурации МЭ, а так же сократить ресурсы, затрачиваемые на настройку его политики безопасности, необходимо автоматизировать процесс построения правил фильтрации.
Для решения поставленной задачи предлагается информационно-аналитическая система автоматизации процесса построения правил фильтрации, основанная на многомерном представлении и анализе данных, полученных из сетевого трафика. Данная система состоит из 4 модулей:
- модуль сбора данных - предназначен для получения и анализа данных из сетевого трафика;
Актуальные проблемы авиации и космонавтики - 2018. Том 2
- модуль хранения данных - предназначен для многомерного отображения сведений, полученных в результате работы предыдущего модуля;
- модуль анализа данных - предназначен для многомерного анализа данных с целью получения сетевых потоков;
- модуль вывода - предназначен для генерации правила фильтрации определенного устройства.
На вход системы подается дамп сетевого трафика в формате «PCAP», собранного в какой-либо точке сети, где предполагается установить фильтрующее устройство. Посредством работы модуля сбора данных из сетевого трафика отбирается и анализируется информация, необходимая для построения правил фильтрации. Обработка трафика осуществляется в одном из трех режимов, соответствующих частным случаям расположения в сети МЭ, таким как: персональный МЭ, МЭ разграничения внутренней и внешней сети, МЭ разграничения внутренних подсетей. В зависимости от режима обработки в систему вводятся дополнительные данные об интерфейсах, необходимые для анализа сетевых пакетов.
Полученные посредством модуля сбора данных сведения заносится в хранилище данных, где они приобретают многомерное отображение. Данные хранятся в виде многомерного OLAP-куба, имеющего иерархическую структуру измерений. В качестве измерений выступают следующие значения:
- IP-адрес источника;
- IP-адрес назначения;
- порт источника;
- порт назначения;
- идентификатор протокола (TCP или UDP);
- дата поступления или отправки пакета;
- время поступления или отправки пакета;
- имя интерфейса;
- диапазон портов источника;
- диапазон портов назначения;
- подсеть источника;
- подсеть назначения;
- направление пакета.
По измерениям производится агрегация фактов, вследствие чего формируются так называемые срезы куба. Фактом в данном случае является поле, характеризующее количество пакетов, относящихся к определенной цепочке измерений.
При работе с OLAP-кубами данные отображаются с помощью кросс-таблиц, при формировании которых можно определить, какие измерения и факты будут учувствовать в построении куба, а также степень детализации отображаемых данных.
После всех процедур с данными к ним применяется скрипт формирования сетевых потоков. Скрипт записывает всю отображенную информацию в виде списка с дополнительным полем, определяющим запрещенные и разрешенные сетевые потоки, которые задаются пользователем. Далее к полученному списку применяется скрипт формирования правил фильтрации, который создает правила фильтрации для модели определенного МЭ. Система предполагает самостоятельное описание принципа формирования правил, соответствующего определенной модели фильтрующего устройства. Для описания правил используются специальные переменные. Правила фильтрации так же могут быть упорядочены в зависимости от количества пакетов, соответствующих определенному правилу.
Таким образом, за счет применения технологии многомерного представления и анализа данных было получено гибкое решение, позволяющее путем несложных манипуляций отображать необходимую для формирования правил фильтрации информацию о сетевом трафике. Такое отображение позволяет получать корректные списки правила для частных случаев политики безопасности и расположения МЭ, что делает данное решение универсальным.
Секция «Информационная безопасность»
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции / Национальный стандарт Российской Федерации. М. : Стандартинформ, 2012. 135 с.
2. Scarfone К., Hoffmann P. NIST Special Publications 800-41 Guidelines on Firewall and Firewall Policy. USA, Gaithersburg, 09.2009.
3. Ehab S. Al-Shaer, Hazem H. Hamed. Modeling and Management of Firewall Policies // IEEE Transactions on Network and Service Management. 2004. Vol. 1, Issue 1.
© Старков Д. И., 2018
