УДК 621.3
МЕТОДИКА ОЦЕНКИ ЭФФЕКТИВНОСТИ ПРИМЕНЕНИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ
А.А. Кисляк, О.Ю. Макаров, Е.А. Рогозин, В.А. Хвостов
Проведен анализ особенностей практического применения межсетевых экранов (МЭ) при построении автоматизированных систем с использованием подключения к глобальным сетям по протоколу TCP/IP. Предложена методика оценки эффективности МЭ, основанная на расчете весов областей значений полей IP пакетов, позволяющая учитывать как качество фильтрации цифрового потока, проходящего через МЭ, так и оценивать результаты применения средств активного аудита безопасности сети специализированными средствами как меру соответствия настроек в правилах фильтрации МЭ требуемой политике безопасности
Ключевые слова: сетевой экран, информационная безопасность, эффективность
Интенсивное развитие глобальных телекоммуникационных сетей, и в особенности «Интернет» предоставляет небывалые ранее возможности по совершенствованию процессов обработки информации в современных АС, и приводит к повышению уязвимости информации, циркулирующей в телекоммуникационных системах. Зачастую преимущества использования глобальных сетей полностью нивелируется «хакерами», «крэкерами» и другим разновидностями кибернетических шпионов, постоянно и достаточно интенсивно осуществляющих НСД к информационным ресурсам АС. Для защиты информации от НСД при подключении к глобальным сетям руководящими документами [1-3] предписывается применение специальных программных (аппаратных) средств защиты информации от НСД — межсетевых экранов. Основным назначением МЭ является фильтрация трафика и состоит в выборочном пропускании информационных потоков через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности.
В качестве критериев анализа могут быть:
- служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.;
- непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
- внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т.п.
- Функции посредничества МЭ выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами -посредниками.
Кисляк Алексей Алексеевич - ВИПС ФСО РФ, соискатель, тел. 8-(910)3450050
Макаров Олег Юрьевич - ВГТУ, д-р техн. наук, профессор, тел. 8-(910)3487032
Рогозин Евгений Алексеевич - ВИПС ФСО РФ, д-р техн. наук, тел. 8-(906)6739536
Хвостов Виктор Анатольевич - ВИПС ФСО РФ, канд. техн. наук, тел. 8-(950)7618314
Они являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью. При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой - посредником, функционирующей в компьютере экрана. Требования к МЭ изложены в используемом сегодня РД ФСТЭК России [1]. Он разработан в дополнение к Руководящим документам [2,3].
Документ предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.
Экраны в соответствии с этим документом разделяются на 5 классов (классов защищенности) по уровням контроля межсетевых информационных потоков. Дифференциация подхода к выбору функций защиты в МЭ определяется автоматизированной системой, для защиты которой применяется данный экран.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации [1].
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия ИТКС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия ИТКС класса 1А с внешней средой.
Однако использование данного РД в ближайшее время окончится. С введением в России нового ГОСТ — «Общие критерии оценки безопасности информационных технологий» ISO/IEC 15408: 1999. “Информационная технология — Методы и средства защиты информации — Критерии оценки безопасности информационных технологий” (ОК) необходимо будет проводить оценку стойкости функции безопасности (strength of function (SOF)). При этом ОК декларируют необходимость численного определения показателя, характеризующего SOF МЭ, но не содержат показателей и методик их расчета. В известной литературе, касающейся применения МЭ для решения задач информационной безопасности [4-6], а также на сайтах производителей МЭ данных
о показателях их эффективности (SOF) и методах расчетов не содержится.
Таким образом, целью данной статьи является предложение показателя эффективности МЭ, позволяющего удовлетворить требования ОК по предоставлению информации о SOF средств защиты, и разработка методики его расчета.
В интересах обоснования показателя эффективности МЭ рассмотрим подробнее принципы их функционирования [4]. Межсетевой экран - это не просто маршрутизатор, СВТ или группа систем, которые обеспечивают безопасность в сети. Скорее, МЭ - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких СВТ и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель МЭ - управление доступом К или ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты. МЭ может быть маршрутизатором, персональным компьютером, или группой СВТ, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб СВТ, находящимися вне этой подсети. Обычно МЭ создается на основе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Интернетом, хотя может быть создана и на других маршрутизаторах, для защиты только части хостов или подсетей.
С учетом этого SOF МЭ заключается в полноте реализации политики безопасности в терминах сетевой конфигурации, в частности качестве фильтрации цифрового потока (трафика) как входящего в сеть, так и исходящего из сети через МЭ.
Оценку SOF МЭ таким образом можно провести рассчитав вероятность реализации НСД через МЭ
Рнсд . Данный показатель предлагается получать на
этапе эксплуатации в виде отношения веса области входных значений полей IP пакетов фильтруемого
цифрового потока DHcd, в которой МЭ на этапе
эксплуатации можно считать преодоленным (область реализации угроз НСД МЭ), к весу всей области входных значений полей IP пакетов:
DHcd. С V :
P =
1 нсд
где
(1);
веса области входных значений
полей 1Р пакетов фильтруемого цифрового потока В нсд , в которой МЭ на этапе эксплуатации можно считать преодоленным;
я V вес всей т-мерной области входных значений полей ІР пакетов.
Под весом области понимается объем этой области с учетом вероятности появления точек (входных воздействий), составляющих данную область.
Вес области входных значений полей ІР адресов Яэнсд , в которой МЭ на этапе эксплуатации
считается преодоленным, зависит от качества работы МЭ и от оперативности реагирования на события
НСД администратора МЭ, т.е. Яэнсд зависит от
того, сколько типовых сценариев реализаций угроз НСД было учтено в правилах фильтрации при его разработке и от того, какая область входных значений полей ІР адресов фильтруемого цифрового потока соответствует этим угрозам, а также от того, сколько из реализованных угроз НСД удалось выявить с использованием систем обнаружения вторжений или аналитиками цифрового потока внутри защищенного сегмента при эксплуатации МЭ, и какая область значений полей ІР пакета соответствует выявленным угрозам.
Представим всю область значений полей ІР пакета реализованных угроз НСД ^нсд как объеди-
нение выявленной
D
обн
и не обнаруженных
Dn
Внсд Вобн и Вост ;
Так как предполагается, что после обнаружения фактов НСД выявленные ошибки настройки
фильтров МЭ исправляются, то Вобн ° В°ст = 0 Тогда справедливо выражение для веса ЯВ области значений ІР адресов:
Rd = Rd + R
D,
обн
Do.
(2)
Характеризовать текущий уровень безопасности настроек параметров фильтрации МЭ удобно с
помощью величины ост . Для этой величины исходя из (2) справедливо:
D,
D
Dn,
r
= Rd.бн* -1) =
r
D„,
(3)
= Rn x K
D
обн
где К обн — можно охарактеризовать как коэффициент обнаружения ошибок в настройке правил фильтрации МЭ.
Для определения веса К ^ необходимо знать
все возможные значения полей ІР адресов для всех возможных сценариев НСД. В принципе такая ситуация не возможна. Развитие способов НСД осуществляется опережающими темпами по отноше-
нсд
нсд
нию к способам защиты. Поэтому прямое применение математического выражения (1) невозможно.
Преобразуем выражение (1) с учетом выражения (3).
р.
нсд
Яь
■X К
обн :
Коэффициент Кобн можно рассматривать как
величину, характеризующую технологический уровень (возможности по анализу журналов регистрации и простоту настройки правил фильтрации) и условия эксплуатации МЭ (адекватность организационных мер существующим угрозам НСД, наличие администратора МЭ, системы обнаружения вторжений и (или) аналитиков ЦП в защищенном сегменте сети).
Определение данного показателя расчетными методами достаточно сложно, поэтому необходимо использование методов активного аудита безопасности сети специализированными средствами.
Пусть имеется средство активного аудита уровня ИБ сети, защищенной МЭ, других систем и средств ЗИ от НСД и определенный набор организационных мер. Коэффициент Кобн в данном случае можно определить как:
Я
Кобн
Я,
В
Я
(4)
В обн
где в * — вес области значений полей па-
кетов ІР соответствующий полному перечню проверочных тестов, реализованных в средстве активного аудита;
Яп * — вес области значений полей пакетов
В обн
ІР соответствующий перечню проверочных тестов, обнаруженный МЭ при активном аудите.
Веса областей, соответствующие реализациям угроз НСД, предлагается определять следующим образом. Пусть в результате эксплуатации МЭ будет определен набор из N точек многомерного пространства значений полей ІР адресов, при которых угрозы НСД реализованы. Каждой такой 1 -ой (1 = 1,К) точке соответствовала своя подобласть
входных параметров уе (у£ ^ Вобн ), где МЭ
окажется преодоленным. В действительности разным точкам может соответствовать одна и та же подобласть. Однако на этапе эксплуатации, возможно, исключить точки, попадающие в уже выявленные подобласти, поэтому такое предположение правомерно. Подобласть реализаций НСД можно представить в виде объединения элементарных областей, каждая из которых представляет собой некоторую окрестность точки в т-мерном пространстве значений полей ІР пакетов. Каждая подобласть V. имеет
свой вес, который можно представить как объем фигуры в т-мерном пространстве с учетом вероятности появления т-мерных точек, составляющих этот объем:
VI VI
К =Е V • р1=гг -Е Р1
где VV — объем элементарной области; р 1 — вероятность _|-ой т-мерной точки из области ^ .
Так как область состоит из подобластей
N
^ (Побн‘ = ^ЕV1 ) то вес области НСД будет
1=1
равен сумме весов всех частных подобластей:
N Воби
(5)
1=1
Аналогичным образом могут быть определены
и веса Яп* и Яв* в формуле
(4).
П а Ообн-
Так как вся т-мерная область входных параметров V состоит из точек, сумма вероятностей появления на входе ПС которых равна единице, то выражение для веса области V по аналогии с формулой ( ) будет иметь вид:
V
Я = ь •Е Рі =
у7
(6)
где р 1 - вероятность каждой ]-ой т-мерной
точки в области V. С учетом формул (5) и (6) формула (1) будет иметь вид:
П обн
ут -Е Рі
Р =
1 нсд.
У-т
Во,
Кобн ‘ • Е Р,
Введя обозначение 1 нсдобн
чательно получим:
Р = К • Р
нсд. обн нсдобн
Вобн
р =Е р
нсдобн г
і окон-
(7)
Р.
где 1 нсдобн - вероятность выбора вектора значений полей 1Р пакетов из области Побн .
оби
1
Математическое выражение (7) можно использовать как при текущей оценке эффективности МЭ по результатам анализа эксплуатации реакции его на входящий цифровой поток (анализ журнала регистрации событий), так и для приближенной оценки полноты правил фильтрации, содержащихся в базе данных МЭ на этапе проектирования. При этом зна-
чение величины
Р.с
нсдобн можно представить следующим математическим выражением:
Рнсдобн = Я!"І ї»сдобн (*1,."> Хт ^Х^...’ ахп
где
многомерная
плотность распределения вероятностей т-мерного случайного вектора входных значений полей 1Р пакетов области НСД.
При использовании аппроксимации
^нсдобн (Х1,•••, Хт )
-т/ равномерным распределением при допущении их статистической независимости и замене произвольной области Побн многомерным эквивалентным параллелепипедом можно записать окончательное выражение для показателя эффективности МЭ:
Рисд = Коби X М / ЕЩ
(8)
где М — размерность области
^NV диапазон значений, входящий в область
НСД 1 поля пакета.
В качестве иллюстрации расчетов с использованием математического выражения (8) оценим эффективность защиты информации от НСД (80Б) МЭ, встраиваемого в состав подсистемы обеспечения безопасности операционной системы МСВС 3.0, построенной с использованием исходного кода ЬГЫиХ [7] и широко используемой при построении АС военного назначения. Выбор для проведения расчетов по предложенной методике объясняется доступностью технической документации, а также наличием информации о правилах фильтрации МЭ установленных по умолчанию, описанных в электронной документации. Фильтрация 1Р пакетов осуществляется по следующим полям: 1Р адресам источника и получателя, идентификатор протокола информационного обмена, номер порта, значения флагов заголовка пакета (М=4). Диапазоны значений полей 1Р пакетов, однозначно относящихся к области НСД, представлены в таблице.
Диапазоны значений полей ІР пакетов
Наименование поля значений ІР пакета Полный диапазон значений поля 1Р пакета Диапазон значений, относящийся к области НСД
Идентификатор протокола информационного обмена Полный диапазон -256 Все значения за исключением 6 (ТСР) и 17 (ГОР)
ІР адрес 232 порядка 4 миллиардов 8 по 16 млн. (зарезервированы ІАКА для исследовательских целей), 192.168.*.*, 172.16.*.* (4 миллиона) используются для обмена информацией в локальных сетях
Номер порта 65536 331 порт, используемый «троянскими конями»
Значения флагов в заголовке ТСР пакета 11 4
Значения полей, относящихся к области НСД, получены на основе анализа списка идентификаторов протоколов, опубликованный на сайте 1ЛКЛ, списка диапазонов адресов «Интернет», опубликованный на сайте 1ЛМЛ, списка портов, используемых «троянскими конями», опубликованный в [6], описания заголовков ТСР пакетов при реализации НСД с использованием нестандартных значений к
флагов. Коэффициент обн на основании данных
[8] примем порядка 0.01. Данное значение является предварительным и потребует уточнения при практическом тестировании МЭ средствами активного аудита.
Проведенные расчеты с использованием матер
матического выражения (8) показывает что ясд-(80Б) МЭ встроенного в МСВС 3.0 при установленных по умолчанию правилах фильтрации составляет величину 3*10-9. При фильтрации только по 3 полям 1Р пакетов (без фильтрации адресов) составит величину 5*10-5.
Таким образом, в статье предложен метод оценки эффективности МЭ при решении им задачи обеспечения безопасности периметра АС от НСД основанный на расчете весов областей значений полей 1Р пакетов. Разработанный метод позволяет учитывать как непосредственное качество фильтрации цифрового потока, проходящего через МЭ, так и оценивать результаты применения средств активного аудита безопасности сети специализированными средствами как меру соответствия настроек в правилах фильтрации МЭ требуемой политике безопасности.
оби
Таким образом, предложенный метод соответствует концепции требований гарантированности оценки уровня безопасности реализованного механизма защиты декларированной (80Б) ОК.
Литература
1. Гостехкомиссия РФ. Руководящий документ.
Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1997.
2. Гостехкомиссия РФ. Руководящий документ.
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Воениздат, 1992.
3. Гостехкомиссия РФ. Руководящий документ.
Средства вычислительной техники. Защита от несанкцио-
нированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1992.
4. Дж Вэк и Л Карнахан “Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))” - специальная публикация NIST 800 - 10 (www.nist.ru).
5. Смит, Родерик, В Сетевые средства Linux.: Пер. с англ. — М. : Издательский дом «Вильямс», 2003. — 672 С.
6. Лукацкий А.В. Обнаружение атак. — СПб: БХВ
- Петербург, 2001 г.- 611 C
7. Защищенная операционная система МСВС 3.0 / Тюлин А. Жуков И., Ефанов Д. // Открытые системы 2001 №10 С. 11-18
8. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника 2004 г. — 384 С.
Воронежский институт правительственной связи (филиал) Академии Федеральной службы охраны
Российской Федерации
Воронежский государственный технический университет
TECHNIQUE OF THE RATING OF EFFICIENCY APPLICATION GATEWAY SCREENS
A.A. Kislyak, O.Ju. Makarov, E.A. Rogozin, V.A. Khvostov
The analysis of features of practical application of gateway screens is lead at construction of the automated systems with use of connection to wide-area networks under report TCP/IP. The technique of a rating of efficiency gateway screens, based on calculation of weights of areas of values of fields IP of the packages is offered, allowing to take into account as direct quality of kill of the digital stream which is taking place through gateway screens, and to estimate results of application of means of active audit of safety of a network the specialized means as a measure of conformity of adjustments in rules of kill gateway screens to required politics of safety
Key words: the network screen, information safety, efficiency