Редств обеспечения информационной безопасности ip

Методы и средства обеспечения информационной безопасности ip-сетей на основе межсетевых экранов с механизмом контроля траспортных соединений

Силиненко Александр Витальевич

НПО РУСНЕТ, интернет-провайдер 
avs@rusnet.ru

Введение. Обеспечение информационной безопасности для систем распределенной обработки информации является сегодня задачей, от решения которой зависит сама возможность использования таких систем. В свою очередь, построение системы информационной защиты невозможно без комплексного подхода и использования целого ряда организационных мер, технических средств и методов, основные из которых перечислены ниже:

• система организационных мер;

• системы физического контроля доступа;

• средства авторизации, аутентификации и аудита;

• системы криптографической защиты данных;

• системы контроля целостности данных;

• системы резервного копирования;

• средства обнаружения и предотвращения сетевых атак и аномальной активности;

• средства разграничения доступа в сетях (межсетевые экраны);

• системы антивирусной защиты.

Межсетевые экраны как средства контроля трафика между сегментами сети, а также ограничения доступа к серверам и рабочим станциям, сами по себе не могут в полной мере решить проблемы безопасности организации. Однако, выполняя целый перечень функций, межсетевые экраны во многих случаях являются обязательным элементом и основой построения периметра безопасности распределенной системы обработки информации.

Сетевые средства разграничения доступа, представленные сегодня на рынке, характеризуются разнообразием ценовых, функциональных и других характеристик, и могут быть разделены по следующим классификационным критериям [6]:

• способ реализации МЭ;

• способ размещения МЭ;

• типы защищаемых объектов;

• уровни модели OSI.

Не останавливаясь на прочих, отметим, что в соответствии с критерием уровня модели OSI можно выделить следующие группы межсетевых экранов:

1) управляемые коммутаторы;  
2) фильтры пакетов;  
3) динамические фильтры пакетов;  
4) инспекторы состояний;  
5) посредники сеансового уровня;  
6) посредники прикладного уровня;  
7) межсетевые экраны экспертного уровня.

Межсетевые экраны с механизмом контроля транспортных соединений. В работе [5], посвященной методам оптимизации обработки сетевых пакетов в устройствах разграничения доступа, рассматривались межсетевые экраны, представляющие собой фильтры пакетов (пункт 2 в приведенной классификации). Было показано, что выполняя декомпозицию единой таблицы правил на несколько таблиц меньшего размера, можно добиться ускорения обработки пакетов.

Необходимо отметить, что на сегодняшний день межсетевые экраны, построенные по технологии фильтрации пакетов, уступают место более современным устройствам - межсетевым экранам экспертного уровня, базовым элементом которых является инспектор состояний. Данная технология представляет собой механизм контроля транспортных соединений, позволяющий рассматривать каждый пакет не обособлено, как это было в случае с фильтрами пакетов, а в контексте некоторого виртуального соединения (это касается в большей степени протокола TCP). Такой подход позволяет контролировать не только статические (транспортные протоколы, адреса и порты источника и приемника), но и динамические параметры соединения, что дает возможность получить следующие преимущества:

• контроль хода TCP-соединения;

• блокировка атак, связанных с некорректной установкой флагов и управляющих последовательностей TCP;

• автоматическое открытие клиентского порта, необходимого для текущего соединения;

• создание одного правила для одного потока данных;

• контроль данных прикладных протоколов.

Имея доступ ко всем проходящим пакетам, межсетевой экран с функциями контроля транспортных соединений получает возможность контролировать параметры всех фаз жизни (состояний) виртуального соединения: фазу установления соединения, фазу передачи данных и фазу завершения соединения. Граф конечного автомата, описывающий эти состояния для субъектов взаимодействия (клиента и сервера), приведен в документе RFC-793, который является стандартом реализации протокола ТСР. Однако для межсетевого экрана, находящегося между клиентом и сервером, граф конечного автомата, описывающий состояния виртуального соединения протокола ТСР, будет несколько отличаться от классического. В несколько упрощенном виде граф представлен на рис.1.

 
Рис.1. Граф конечного автомата виртуального соединения TCP для межсетевого экрана.

Основным компонентом межсетевого экрана с функциями контроля транспортных соединений является динамическая таблица состояний, в которой содержится информация обо всех соединениях, проходящих в данный момент времени через межсетевой экран. Таким образом, решение о пропуске очередного пакета принимается на основании не только информации, содержащейся в пакете, но и сохраненного контекста сессии, к которой данный пакет принадлежит. Именно это отличает устройство с функциями контроля транспортных соединений от пакетных фильтров.

...

Выводы. В работе были рассмотрены вопросы, связанные с теоретическим аспектами работы межсетевого экрана с механизмом контроля транспортных соединений. Приведены основные методы классификации современных устройств разграничения доступа, отличительные особенности межсетевых экранов - инспекторов состояний. Введен математический аппарат, определяющий производительность такого устройства. С помощью этого аппарата было теоретически доказано, что производительность межсетевого экрана зависит от количества правил фильтрации и количества пакетов в виртуальном соединении, что и подтверждается на практике.

Библиография

1. Городецкий А.Я., Заборовский В.С. Информатика. Фрактальные процессы  в компьютерных сетях. Учеб. пособие/ СПбГПУ. - СПб.: Изд-во СПбГПУ, 2000.  
2. Городецкий А.Я. Информационные системы. Вероятностные модели и статистические решения. Учеб. пособие/ СПбГПУ. - СПб.: Изд-во СПбГПУ, 2003.  
3. Управление передачей данных в системах защиты информации на базе контроля транспортных соединений / Силиненко А.В. Материалы 3-й Санкт-Петербургской межрегиональной конференции "Информационная безопасность регионов России". - 2003.  
4. Системы защиты информации на базе контроля состояний транспортных соединений. / Силиненко А.В. // Журн. БДИ. - 2003. - N 5-6.  
5. Задача оптимизации прохождения правил фильтрации в межсетевых экранах периметра безопасности / Купреенко С.В. Силиненко А.В. // Материалы 5-й конференции "Теоретические и прикладные вопросы современных информационных технологий". - 2004. - Часть 1. - с. 99 -102.  
6. С.В.Лебедь. Межсетевое экранирование. Теория и практика защиты внешнего периметра. - М. - Изд. МВТУ им. Баумана, 2002. - 301 с.