Разграничение доступа в IP- сетях на основе моделей состояния виртуальных соединений

1. Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений Александр Силиненко Санкт-Петербургский государственный политехнический университет Кафедра «Телематика» avs@rusnet.ru

2. Содержание • Актуальные аспекты задачи разграничения доступа в IP-сетях • Терминология • Постановка задачи • Модели и подходы к решению задачи • Программная реализация системы разграничения доступа в IP-сетях

3. Задача разграничения доступа к сетевым ресурсам 3 Актуальность • Широкое распространение сетей на основе стека протоколов TCP/IP • Защита ресурсов IP-сетей от несанкционированного доступа и удалённых деструктивных воздействий • Ограничение обращений пользователей к нежелательным сетевым ресурсам Существующие методы решения • Логическое и физическое сегментирование IP-сети • Логическое разграничение доступа, идентификация, аутентификация, авторизация • Межсетевое экранирование и фильтрация: пакетные фильтры, инспекторы состояний, серверы-посредники Проблемные вопросы • Тематическое разграничение доступа • Атаки на сетевые сервисы, разрешённые политикой доступа

4. Виртуальные соединения в сетях передачи данных 4 ГОСТ 26556-85 (X.25): виртуальное соединение–«одна из служб передачи данных с коммутацией пакетов, в которой процедура установления соединения и процедура завершения соединения определяют интервал времени для связи между двумя устройствами оконечного оборудования данных, во время которой в сеть передаются абонентские данные и доставляются из сети в том же порядке, в котором они были получены сетью» РД 45.195-2001 (ATM): виртуальное соединение–«логическая ассоциация объектов, работающих между конечными точками виртуального канала или тракта» В задаче разграничения доступа в IP-сети: виртуальное соединение (ВС) –информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одного- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.

5. Виртуальные соединения и задача разграничения доступа в IP-сетях 5 IP-сеть Узел X Узел Y Узел Z приложение i приложение j IP-пакеты Виртуальное соединение Политика разграничения доступа для виртуальных соединений Монитор безопасности Проактивный анализ Объекты Субъекты Реактивный анализ Выявление аномалий в виртуальных соединениях

6. Общая постановка задачи 6 Для любого виртуального соединения (ВС) v, принадлежащего множеству ВС V,определить принадлежность vподмножеству Vо опасных ВС или подмножеству Vб безопасных ВС, где V=VоVб: Задача классификации: Опасные ВС Vо v1 v1 v3 vi v4 v2 v3 v2 v5 … vi v4 v5 Безопасные ВС Vб Множество ВС V

7. Цель 7 Разработка подхода к решению задачи разграничения доступа в IP-сетях на основе скрытной фильтрации трафика с использованием формального описания виртуальных соединений и их анализа с целью определения соответствия политике доступа и выявления аномалий

8. Задачи 8 • Формализовать описание виртуального соединения для решения задачи разграничения доступа в IP-сетях. • Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации. • Разработать модели состояния виртуальных соединений, учитывающие особенности транспортных протоколов в различных фазах межсетевого взаимодействия. • Сформировать методику выявления атак типа «затопление» основе анализа статистических характеристик виртуальных соединений. • Разработать архитектуру системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей

9. Теоретико-множественная модель виртуального соединения 9 P- множество IP-пакетов, P={pi, i=1…|P|}, конечно Т – множество временных отсчётов (дискретное время), Т={ti, i=1..},счётно P t2 t3 tn t1 … … p1 p2 p3 p4 p5 pn t4 t5 t2 t3 tn t1 … … Виртуальное соединение: где A – IP-адрес, B– номер порта, С – номер протокола, s – источник, d – приёмник

10. Вектор состояния виртуального соединения 10

11. Декомпозиция задачи классификации виртуальных соединений Vо – множество опасных виртуальных соединений Vо=VозVоп Vоа, где: Vоз – виртуальные соединения, запрещённых политикой разграничения доступа R Vоп – виртуальные соединения, не соответствующие спецификациям G используемых протоколов; Vоа– виртуальные соединения, реализующие удалённые атаки

12. Политика разграничения доступа к сетевым ресурсам на основе алгебры правил R= <R, >: алгебра правил фильтрации Сигнатураалгебры :  –множество операций = {φ1, φ2},где φ1 – операция сложения φ2– операция умножения Несущее множество R: R –множество правил фильтрации, R= {rj, j=1..|R|} rj= <Xj, Aj> – правило фильтрации, где Xj–вектор параметров правила Aj–вектор атрибутов правила

13. Определение операций алгебры правил фильтрации 13 Сложениеφ1 где Aj1 – атрибут действия правила фильтрации, Aj1 = 1 – разрешение доступа; Aj1 = 0 – запрет доступа Умножениеφ2

14. Обоснование корректности задания алгебры правил фильтрации 14 Выполнение аксиом коммутативного кольца: Сложение Коммутативность: r1+ r2= r2 + r1 Ассоциативность: r1 + (r2 + r3)= (r1 + r2) + r3 Существование нуля:r1 + 0r = r1, Существование противоположного: Умножение Коммутативность: r1r2= r2r1 Ассоциативность: r1(r2r3)= (r1r2)r3 Существование единицы:r11r= r1 Сложение и умножение Дистрибутивность: r1(r2 + r3)= r1r2 + r1r3

15. Соответствие виртуального соединения политике разграничения доступа, заданной в виде алгебры 15 Правило rj= <Xj, Aj>, гдеXj={Xjn, n=1..N}, соответствует ВС Yi={yk,k=1..K}i, если ykYiXj и XnYiXjвыполняется условие yi1Xj1, yi2Xj2, …, yilXjl, l=1..|YiXj| Правило rjв большей степени соответствует ВС Y, чем ri,если оба правила соответствуют ВС и выполняется одно из условий 1) Xi1Xj1; 2) Xi1Xj1Xi2Xj2; 3) Xi1Xj1Xi2Xj2 Xi3Xj3; … ; n) Xi1Xj1Xi2Xj2Xi3Xj3 … XiNXjN Правило rk* в наибольшей степени соответствует ВС,если его вектор параметров Xk удовлетворяет условию Xk1Xj1Xk2Xj2Xk3Xj3 … XkNXjN, j=1..k-1,k+1,…|R|. Функция соответствия виртуального соединения политике разграничения доступа (не соответствует) (соответствует)

16. Модель состояния виртуального соединения по протоколу TCP в системе разграничения доступа GTCP = (Q, B, , , qs) QTCP – множество состояний; ВTCP –входной алфавит (IP-пакеты и события таймеров); TCP(qi, pj) = qk– функция переходов; TCP(q,p,Y) – функция контроля соответствия пакета состоянию ВС qs– начальное состояние

17. Модель состояния виртуального соединения UDP, ICMP в системе разграничения доступа 17 G0 = (Q, B, , , qs) Q0 – множество состояний; В0 –входной алфавит (IP-пакеты и событиятаймеров); 0(qi, pj) = qk– функцияпереходов; 0(q,p,Y) – функция контроля соответствия пакета состоянию ВС qs– начальное состояние Функция соответствия виртуального соединения спецификации используемого протокола:

18. Статистическое описание виртуальных соединений для задачи разграничения доступа Flood-атака • - вероятность ошибки 1-го рода • - вероятность ошибки 2-го рода • < : уменьшаем вероятность пропуска атаки Безопасные ВС

19. Методика выявления flood-атак на основе оценки статистических параметров методом последовательного анализа Распределение мгновенных интервалов для ВС апроксимируется ограниченным нормальным законом N(a,2) Гипотеза H0 – выборочное среднее соответствует распределению безопасного ВС Гипотеза H1 –выборочное среднее соответствует распределению для flood-атаки L0, L1 - функция правдоподобия при условии справедливости гипотезы H0 и H1: Методика: - вычислить очередное значение yijмгновенной интенсивности ВСvi; - вычислить отношение правдоподобия ; - вычислить функция F3(Yi)в соответствии с критерием Вальда.

20. Архитектура системы разграничения доступа в IP-сетях • Безопасность системы разграничения доступа обеспечивается за счёт выполнения условий скрытного функционирования: прозрачности и сохранения целостности обрабатываемых IP-пакетов (если не выполняется трансляция адресов )

21. Программная реализация системы разграничения доступа 21 Программно-аппаратный межсетевой экран ССПТ-2 Типовая схема включения ССПТ-2 Сертификаты соответствия требованиям ФСТЭК и ФСБ по 3-му классу защищённости

22. Ключевые функциональные особенности межсетевого экрана ССПТ-2 22 • Скрытный режим работы в сети («стелс») • Максимальное число интерфейсов: 5 • Управление: Ethernet, консоль, COM,WEB,командная строка • Уровни фильтрации: канальный, сетевой, транспортный, прикладной • Система визуализации регистрационной информации • Режим высокой готовности • Анализ параметров виртуальных соединений • Трансляция сетевых адресов (NAT) • Фильтрация по номеру VLAN • Синхронизация времени по NTP • Механизм блокировки flood-атак • Аутентификация администратора по RADIUS • Аутентификация сетевых пользователей • Зеркалирование трафика

23. Пример таблицы векторов состояния виртуальных соединений 23 • номер правила фильтрации; • таймаут неактивности • интерфейс, IP-адрес, порт клиента • интерфейс, IP-адрес, порт сервера • транспортный протокол • прикладной протокол • состояние виртуального соединения • статистика пакетов и байт

24. Сравнительная характеристика ССПТ-2 и межсетевых экранов Cisco 24

25. Направления разработок 25 • Организация параллельной обработки виртуальных соединений • Реализация новых алгоритмов обнаружения аномалий • Внедрение механизмов формального описания протоколов для контроля корректности их использования