CC BY
2
УДК 004.056
ПРИМЕНЕНИЕ ПРОТОКОЛА NETFLOW ПРИ АВТОМАТИЗИРОВАННОМ
ПОСТРОЕНИИ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ
*
Д. И. Старков Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: Starkov-25@mail.ru
Предлагается решение по автоматизированному построению и анализу правил фильтрации межсетевых экранов на основе протокола «NetFlow».
Ключевые слова: защита информации, межсетевой экран, фильтрация трафика.
APPLICATION OF THE NETFLOW PROTOCOL IN AUTOMATED
CONSTRUCTION FIREWALL FILTERING RULES
*
D. I. Starkov Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: Starkov-25@mail.ru
A solution is proposed for the automated construction and analysis of firewall filtering rules basedon the «NetFlow»protocol.
Keywords: information protection, firewall, traffic filtering.
При автоматизации процесса построения политики межсетевого экрана (МЭ) возникает необходимость в механизме получения и отображения служебной информации о сетевом трафике, позволяющей специалисту принять взвешенное решение относительно разрешения или запрета каждого сетевого потока между определенными сетевыми узлами ИТ инфраструктуры.
В силу разнообразия вариантов построения сетевой топологии и способов размещения средств межсетевого экранирования, а также непрерывности процесса модернизации сетевой инфраструктуры, механизмы получения информации из сетевого трафика должны обладать максимальной гибкостью развертывания, обеспечивающей адаптивность к любым изменениям структуры сети. Из-за критичности использования сетевых ресурсов, ориентированных непосредственно на оптимизацию бизнес-процессов, данные механизмы должны задействовать минимум вычислительных возможностей и производительности защищаемой сети. К тому же, для получения полноценной картины поведения сети и удобства развертывания системы сбора сетевого трафика, механизмы сбора информации о трафике должны поддерживаться на различном коммуникационном оборудовании.
Для смягчения вышеперечисленных недостатков, а также сокращения трудозатрат, необходимых для разработки политики МЭ, предлагается решение по автоматизированному построению и анализу правил фильтрации МЭ, в основе которого лежит многомерное представление и анализ данных, полученных с помощью протокола «NetFlow».
Секция «Информационнаябезопасность»
Данная работа представляет собой результат совершенствования решения по автоматизированному построению и анализу данных, полученных путем пассивного прослушивания сетевого трафика [1]. Для получения данных, использующихся при построении правил МЭ в решении [1] используется технология пассивного прослушивания сетевого трафика, которая имеет ряд недостатков, а именно:
1. Большие объемы данных. При перехвате сетевого трафика с учетом всех служебных полей заголовка протоколов и поля данных, может потребоваться значительный объем памяти, выделяемый под хранение. К тому же, в силу того, что для составления правил необходима не вся информация, содержащаяся в заголовках сетевых пакетов, нецелесообразно хранить именно всю последовательность заголовков протоколов и содержащихся данных.
2. Необходимость использования технологии зеркалирования. При сборе сетевого трафика в точках маршрутизации или коммутации, где соответственно присутствуют средства, осуществляющие данные функции, необходимо наличие в этих средствах поддержки так называемых SPAN или RSPAN портов, осуществляющих соответственно локальное и удаленное дублирование всего сетевого трафика, проходящего через них, что в свою очередь не всегда представляется возможным. Также минусом технологии зеркалирования является необходимость во введении дополнительных выделенных линий связи и места хранения сетевых пакетов. При реализации без выделенных каналов связи имеет место быть увеличению нагрузки на существующие линии связи, в силу удвоения проходящего через них сетевого трафика [2].
3. Сложность настройки. В крупномасштабных гетерогенных сетях возникает сложность в реализации схем централизованного и распределенного сбора сетевого трафика.
Таким образом, возникает необходимость в новом, более эффективном подходе к сбору и обработке сетевого трафика. В качестве подхода к сбору сетевой телеметрии предлагается применение протокола «NetFlow», который позволяет исключить недостатки механизма пассивного прослушивания трафика следующим образом [3]:
- получение сведений о трафике непосредственно в рамках установки двунаправленного соединения (сетевого потока);
- возможность аккумулировать данные о трафике в рамках как локальных, так и удаленных устройств (применение коллекторов);
- возможность хранения минимума данных, не использующихся для построения правил фильтрации межсетевых экранов;
- гибкость и масштабируемость развертывания, в силу возможности применения штатных сенсоров в маршрутизируемом и коммутационном оборудовании, а также наличие бесплатных программных сенсоров;
- распространенность технологии, как непосредственно в виде проприетарного стандарта открытого сетевого протокола «NetFlow» компании «Cisco», так и его аналогов в сетевом оборудовании других производителей.
При применении «NetFlow» на вход решения подается дамп сетевых потоков, собранных с помощью NetFlow-сенсоров, устанавливаемых непосредственно на конечных узлах сети или настраиваемых на маршрутизируемом или коммутационном оборудовании, аккумулируемых с помощью NetFlow-коллекторов и обрабатываются посредством NetFlow-анализаторов. Полученные потоки поступают на загрузку в хранилище данных с дополнительной структурой, где исключаются и добавляются дополнительные измерения, такие как: даты начала и конца потока; время начала и конца потока; количество потоков.
Изменения принципа сбора сетевой телеметрии изображены на рисунке.
Модернизация способа сбора сетевого трафика в данном решении посредством использования протокола «NetFlow» позволяет повысить эффективность его применения путем сбора данных о сетевом трафике в виде сетевых потоков, подразумевающих
установление двунаправленного соединения и исключающих наличие иного одностороннего нежелательного трафика, наличие которого характерно при сканировании сетевой активности в неразборчивом режиме.
Пакет NetFlow
IP-адрес источника
IP-адрес назначения
Порт источника
Порт назначения
ID протокола
Дата начала потока
Время начала потока
Дата конца потока
Время конца потока
Количество потоков
Количество пакетов
Хранилище данных
NetFlow коллектор/ анализатор
Парсинг
Данные о потоке
IP-адрес источника
IP-адрес назначения
Порт источника
Порт назначения
ID протокола
Дата начала потока
Время начала потока
Дата конца потока
Время конца потока
Количество потоков
Количество пакетов
Подсеть назначения
Подсеть источника
Направление пакета
Имя интерфейса
Диапазон портов источника
Диапазон портов назначения
Дамп NetFlow трафика
Анализ
Маска подсети
IP-адрес интерфейса
Имя интерфейса
Подсеть интерфейса
Интерфейс внутренний/ внешний
Принцип сбора сетевой телеметрии
Применение «NetFlow» позволяет более гибко выстраивать структуру подсистемы сбора сетевого трафика, не прибегая к необходимости вести учет трафика на каждом конечном узле сети или к технологии зеркалирования, а также просто её масштабировать при изменении структуры сети. Немаловажным преимуществом является особенность хранения определенных параметров, соответствующих сетевому потоку, что в свою очередь позволяет экономить занимаемую под данные о сетевом трафике память и снижать нагрузку на каналы связи, по которым передается такая информация.
Библиографические ссылки
1. Старков Д.И. Построение правил фильтрации межсетевых экранов на основе многомерного представления данных о сетевом трафике // Актуальные проблемы авиации и космонавтики. 2018. Т. 2.
2. Теория и практика SPAN/RSPAN (cisco switch span) // URL: https://www.opennet.ru/ base/cisco/cisco_span_rspan.txt.html (дата обращения 19.04.2020).
3. Cisco IOS NetFlow [Электронный ресурс] // URL: https://www.cisco.com/cZen/us/ products/ios-nx-os-software/ios-NetFlow/index.html (дата обращения 19.04.2020).
© Старков Д. И., 2020
