CC BY
105Методы и средства защиты информации
2. Agibalov G. P. Prikladnaya diskretnaya matematika. 2012. № 3 (17). pp. 77-84.
3. Agibalov G. P., Lipsky V. B., Pankratova I. A. Cryptographic extension of Russian programming language. Prikladnaya diskretnaya matematika. Prilozhenie. 2013. № 6. pp. 93-98.
4. Agibalov G. P., Lipsky V. B., Pankratova I. A.
Prikladnaya diskretnaya matematika. 2013. № 3 (21). pp. 93-104.
5. Agibalov G. P., Lipsky V. B., Pankratova I. A. Project of hardware implementation of Russian programming language. Prikladnaya diskretnaya matematika. Prilozhenie. 2013. № 6, pp. 98-102.
© Агибалов Г. П., 2013
УДК 004.7.056.53
СИСТЕМА АКТИВНОГО МОНИТОРИНГА СВОЙСТВ БЕЗОПАСНОСТИ СЕТЕВЫХ УЗЛОВ
Д. А. Бородавкин1, И. В. Потуремский2, Д. П. Маренковъ
ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева» Россия, 662972, г. Железногорск Красноярского края, ул. Ленина, 52 Е-mail: db@iss-reshetnev.ru1, oris@iss-reshetnev.ru2, marenkovd@yandex.com3
Рассматриваются принципы построения системы активного мониторинга свойств безопасности сетевых узлов и некоторые практические аспекты ее реализации. Описанная система решает задачи автоматизированного мониторинга сетевых узлов и сервисов, контроля уязвимостей и оповещения о выявлении соответствующих событий информационной безопасности. Система функционирует, производя анализ статистики о потоках данных в сети, и при определенных условиях инициирует активное сканирование сервисов.
Ключевые слова: сетевые технологии, информационная безопасность, контроль уязвимостей.
ACTIVE SECURITY MONITORING SYSTEM OF NETWORK DEVICES
D. A. Borodavkin1, I. V. Potyremskiy2, D. P. Marenkov3
JSC "Academician M. F. Reshetnev "Information Satellite Systems" 52, Lenin str., Zheleznogorsk, Krasnoyarsk region, 662972, Russia Е-mail: db@iss-reshetnev.ru1, oris@iss-reshetnev.ru2, marenkovd@yandex.com3
The principles of network devices active security monitoring system building and some practical development issues are described. The aim of the system is to solve the problems of network devices and service automated monitoring, vulnerabilities control and information security events notification. The system acts performing network data stream analysis and initiate active service scan under meeting some conditions.
Keywords: computer networking, information security, vulnerability control.
Работа пассивных систем обеспечения информационной безопасности (ИБ) должна сопровождаться непрерывным контролем состояния ИБ со стороны автоматизированных систем аудита [1]. Кроме того, задачи обеспечения ИБ предполагают некоторую автономность от информационной инфраструктуры предприятия. Ниже излагается схема работы системы активного мониторинга сетевых узлов, позволяющей вести непрерывный мониторинг узлов и сервисов в сети.
В целом, система решает задачи контроля подключения устройств к сети предприятия, мониторинга сетевых сервисов на узлах сети и уязвимостей этих сервисов. На практике такой функционал может использоваться:
- для контроля уязвимостей демилитаризованной зоны;
- контроля подключений клиентов локальной сети;
- аудита использования запрещенных сервисов локальной сети;
- выделения деятельности вредоносного ПО типа Backdoor.
Принцип работы системы заключается в следующем:
1. На основании информации о потоках данных в сети, получаемой от коммутационного оборудования (протокол NetFlow [2]), непрерывно формируется список узлов сети и их активных сетевых портов.
2. Для узлов из списка осуществляется сканирование портов с целью определения состава сервисов, доступных на хосте. Сканирование производится по расписанию, а также по срабатыванию определенных триггеров.
3. Данные сканирований систематизируются, выделяются и ранжируются события ИБ (обнаружение нового узла, обнаружение нелегитимного узла, обна-
Решетневскуе чтения. 2013
ружение нелегитимного сервиса, обнаружение уязвимого сервиса).
4. Производится уведомление о событиях согласно степени их важности (оперативное уведомление, экспорт в системы 81БМ, периодическая отчетность).
На рисунке приведена схема организации системы и отражен принцип ее функционирования.
Монитор устройств Модуль планирования аудита Модуль сканирования
Система активного ^ мониторинга сетевых узлов
Схема организации системы
Система состоит из четырех асинхронно работающих модулей.
Монитор устройств. Модуль обеспечивает обработку информации о потоках данных в сети с выделением информации о адресах узлов и активных сетевых портах. На входе модуля (1 на схеме) - сообщения в формате протокола NetFlow (поддерживается рядом устройств производства компании Cisco). Также могут быть реализованы варианты с использованием в качестве входной информации непосредственно «зеркалированного» трафика либо информации о IP- и MAC-адресах на портах коммутационного оборудования. Сложность и разнородность современных крупных корпоративных сетей располагает к параллельной реализации нескольких механизмов. На выходе модуля - информация о обнаруженных сетевых адресах, активных портах и времени их обнаружения 2, которая записывается в базу данных сканирования. В ряде случаев, когда необходимо обеспечить оперативное сканирование узла, возможна передача данных об узле в модуль планирования аудита 3.
Модуль планирования аудита. Модуль обеспечивает формирование заданий сканирования на основании данных внутренних БД о активных сетевых узлах 5, данных о сегментации сети и списка легитимных узлов и сервисов 4 из внешних систем (Active Directory, DNS либо иные БД хостов). Иными словами, модуль производит сравнение данных о том, что должно происходить, с данными о том, что происходит на самом деле. В результате, формируются задания на плановое сканирование, а также задания на сканирование вновь выявленных узлов и сетевых портов. Набор процедур сканирования определяется, исходя из класса узла.
Так, например, при обнаружении нового хоста в DHCP-зоне гостевого сетевого сегмента возможна оперативная инициация опроса стандартных NetBIOS-портов для получения информации о таких параметрах компьютера, как имя NetBIOS и сетевая группа. В качестве другого примера можно привести обнаружение сетевого трафика для ранее неиспользо-вавшегося порта на узле в ДМЗ. В этом случае необходимо инициировать сканирование с целью определения версии сервиса, «слушающего» данный порт. Что касается плановых сканирований, то они имеют целью актуализацию сведений о составе открытых портов.
Модуль сканирования. Задача модуля - запуск механизмов сканирования с заданными значениями на основании сформированных модулем планирования аудита заданий 6. В качестве backend предлагается использовать такие инструменты, как сетевые сканеры NMAP и OpenVAS. Так, для приведенного выше примера с определением параметров NetBIOS для вновь обнаруженного в гостевой DHCP-зоне узла целесообразно использовать скрипт smb-os-discovery сканера NMAP. На выходе модуля - информация 8 по результатам сканирования (список сервисов для открытых портов, отчет openvas по уязвимостям и др.).
Модуль оповещения. Используется для выделения и ранжирования событий информационной безопасности по результатам мониторинга и сканирования и уведомления о событиях с использованием различных механизмов в зависимости от степени критичности события. Выделяются события о обнаружении нелегитимного узла, нового легитимного узла, нелигитим-ного сервиса, сервиса с имеющимися уязвимостями (используется БД CVE). Методы уведомления разделяются на оперативные (мгновенное сообщение, sms-уведомление, звуковое уведомление), отложенные (электронная почта, экспорт в SIEM) и плановые (отчеты за периоды времени).
Таким образом, предложенная система позволяет оперативно отслеживать активность узлов в сети с использованием традиционных «пассивных» методов, проводя для генерирующих сетевой трафик узлов «активный» анализ путем сканирования сервисов, выделять изменения в составе узлов и сервисов, поддерживать в актуальном состоянии картину уязвимо-стей в сети, уведомлять об изменениях в ней.
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 27001-2006. М. : Изд-во стандартов, 2006.
2. Cisco IOS NetFlow Datasheet // Cisco Systems Inc. 2004.
References
1. GOST R ISO/IEC 27001-2006 // Moscow: Izdatelstvo standartov, 2006.
2. Cisco IOS NetFlow Datasheet // Cisco Systems Inc. 2004.
© Бородавкин Д. А., Потуремский И. В., Маренков Д. П., 2013
