Решетневскуе чтения. 201S
УДК 004.9
ЗАЩИТА ПЕРИМЕТРА СЕТИ РАСПРЕДЕЛЕННОЙ СИСТЕМОЙ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Р. А. Астаулов, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Освещена проблема влияния процедуры обнаружения вторжений модулем UTM-решения на производительность сетевого канала передачи данных. Рассмотрено решение защиты периметра сети на основе UTM-решения и распределенной системы обнаружения вторжений. Предлагается концепция вынесения сенсоров и аналитического ядра СОВ за пределы UTM-решения с последующим зеркалированием сетевого трафика.
Ключевые слова: защита информации, атаки, Unified Threat Management, сети, система обнаружения вторжений.
PROTECTION OF NETWORK PERIMETER WITH DISTRIBUTED INTRUSION DETECTION SYSTEM
R. A. Astaulov, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The problem of influence of detection procedure of intrusions by the module of the UTM-decision to output of network data link is covered. The decision of protection of the perimeter of the network is considered on the basis of UTM-decision and distributed system of intrusions detection. The conception of submitting of sensors and analytical nucleus of IDS beyond the boundaries of UTM-decision with mirroring of network traffic is offered.
Keywords: data protection, attacks, Unified Threat Management, network, intrusion detection system.
Обеспечение информационной безопасности является для большинства организаций непростой задачей вследствие высокой сложности архитектуры вычислительных сетей и большого числа взаимосвязей внутри подсистем. В целях защиты периметра сети наиболее перспективными, на сегодняшний день, являются UTM-решения (Unified Threat Management, UTM), которые могут содержать в себе множество функций, таких как межсетевой экран, антиспам, антивирус, обнаружение вторжений, контентную фильтрацию и др. Это позволяет вести централизованное администрирование, упрощает установку и конфигурирование системы защиты. Однако, в ходе исследования одного из открытых UTM [1], было установлено, что модуль системы обнаружения вторжений (СОВ) характеризуется наибольшей нагрузкой на сервер и пропускную способность сети. При включении модуля производительность сетевого канала может снижаться в разы. С одной стороны, это объясняется установкой UTM в разрыв канала связи, с другой, более сложной, по сравнению с другими СЗИ, аналитической системой для модуля обнаружения вторжений [2].
Для нивелирования проблемы производительности сетевого канала предлагается вариант вынесения мо-
дуля СОВ за пределы UTM-решения и применение распределенной архитектуры, которая позволяет снизить нагрузку на сетевой канал без потери контроля трафика системой обнаружения вторжений.
Основными компонентами распределенной СОВ являются датчик(и) и анализатор(ы). Датчики собирают информацию о сетевом трафике, поступающем в ИС или ее сегменты, осуществляют первичный анализ и направляют эту информацию анализатору. Анализатор выполняет анализ собранных данных, уведомляет администраторов СОВ об обнаруженных вторжениях, выполняет другие действия по реагированию, генерируют отчеты на основе собранной информации. [3] Допускается, что анализатор СОВ может располагаться на одной машине с консолью управления и хранилищем правил.
В качестве руководства по конфигурированию используются рекомендации по созданию системы защиты информации ГОСТ Р 51583-2014 и National Institute of Standards and Technology NIST, включающие в себя несколько этапов:
1) планирование;
2) установка и конфигурирование;
3) тестирование;
4) ввод в эксплуатацию.
Информационная безопасность
Рис. 1. Схема испытательного стенда
Рис. 2. Производительность сетевого канала
На этапе планирования происходит проектирование архитектуры сети, выделение защищаемого сегмента, а также выбор средств защиты сети.
Для тестирования предложенной архитектуры в качестве СОВ и UTM были выбраны Snort NIDS и Simple Wall соответственно, как наиболее популярные Open Source решения. Сетевым датчиком выступает ОС Xubuntu с установленным Snort сенсором, анализатор СОВ, располагающийся на сервере с ОС Xubuntu, включает в себя базу решающих правил, панель управления и аналитическое ядро. В качестве клиентов выступают виртуальные машины с ОС Windows 7. Схема испытательного стенда представлена на рис. 1.
Установка и базовое конфигурирование Simple Wall и Snort осуществляется в соответствии с руководствами производителей. На устройстве, представляющем сетевой датчик СОВ применяется IP сегментирование, преобразование сетевых адресов и зерка-лирование трафика на анализатор СОВ с помощью утилиты iptables. Ниже приведен пример кода, реализующий данную технологию на испытательном стенде.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t mangle -A PREROUTING -d 192.168.2.130 -j TEE --gateway 192.168.2.10
iptables -t mangle -A PREROUTING -s 192.168.2.130 -j TEE --gateway 192.168.2.10
Производительность сетевого канала между внешней сетью и клиентом замеряется с помощью клиент-серверной утилиты Iperf3, генерирующей TCP и UDP трафик на протяжении 1 минуты. Результаты показаны на рис. 2.
Тестирование показывает, что предлагаемая архитектура улучшает производительность сетевого канала, при этом, сохранив функцию детектирования сетевых вторжений на защищаемый сегмент сети. При вынесении сенсора и аналитического ядра СОВ за пределы UTM-решения, объем трафика в единицу времени снижается менее чем на 10 %, что на 60 % лучше по сравнению с вариантом, при котором модуль СОВ функционировал на одном устройстве с другими средствами защиты информации.
В перспективе, такая архитектура позволяет устанавливать несколько сенсоров и аналитических ядер в одной сети с последующей балансировкой сетевой нагрузки с помощью таких алгоритмов как round robin или его модификации, а также алгоритмов балансировки, основанных на весовых коэффициентах.
Решетневские чтения. 2018
Библиографические ссылки
1. SimpleWall [Электронный ресурс]. URL: http://www.simplewallsoftware.com/ (дата обращения: 25.08.2018).
2. Сетевые решения. Системы обнаружения компьютерных угроз [Электронный ресурс]. URL: http://www.nestor.minsk.by/sr/2008/05/sr80513.html (дата обращения: 28.08.2018).
3. ФСТЭК России. Методический документ ФСТЭК России профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты [Электронный ресурс]. URL: https://fstec.ru/component/ attachments/download/317 (дата обращения: 30.08.2018).
4. Snort NIDS [Электронный ресурс]. URL: https://www.snort.org/ (дата обращения: 30.08.2018).
References
1. SimpleWall. Available at: http://www.simple-wallsoftware.com (accessed: 25.08.2018).
2. Network solutions. Computer threats detection systems. Available at: http://www.nestor.minsk.by/ sr/2008/05/sr80513.html (accessed: 28.08.2018).
3. FSTEC of Russia. Methodical document of FSTEC of Russia the protection profile of network intrusion detection systems of the fourth-class network protection level. Available at: https://fstec.ru/component/ attachments/download/317 (accessed: 30.08.2018).
4. Snort NIDS. Available at: https://www.snort.org/ (accessed: 30.08.2018).
© Астаулов Р. А., Жуков В. Г., 2018