НАУКА и ОБРАЗОВАНИЕ

Файл статьи: SE-BMSTU...o328.pdf (1693.32Кб)

УДК 004.413

Россия,  МГТУ им. Н.Э. Баумана

Сетевой экран или брандмауэр – широко известное средство защиты сетей. Для того, чтобы обеспечить требуемую защиту, брандмауэр должен быть соответствующим образом настроен, или как говорят, конфигурирован. К сожалению, конфигурирование может быть сопряжено с ошибками, которые делают даже опытные администраторы, что приводит к снижению уровня защиты сети и проникновению в сеть нежелательных пакетов.
Сеть может подвергаться различным угрозам и атакам. Один из механизмов, которые примен1297яются для обеспечения безопасности сети – межсетевой экран.
Межсетевой экран – это элемент сети, который контролирует прохождение пакетов через границы защищаемой сети, основываясь на политике безопасности. Политика безопасности представляет собой список правил.
Пакетные фильтры работают в режиме без инспекции состояния: они исследуют пакеты как независимые объекты. Правила имеют вид: (условие, действие). Межсетевой экран анализирует входящий трафик, основываясь на IP-адресе отправителя и получателя, номере порта отправителя и получателя и используемом протоколе. Когда пакет удовлетворяет условиям правила, то выполняется указанное в правиле действие. Оно может быть: allow, deny.
Целью данной статьи является разработка средства анализа конфигурации межсетевого экрана с инспекцией состояний. Входные данные – файл со списком правил. Требуется представить анализ политики безопасности в информативной графической форме, а также выявить противоречивости, которые присутствуют в правилах. В статье представляется алгоритм визуализации политики безопасности, программа, которая отображает результат действия правил межсетевых экранов на все возможные пакеты. Для отображения результата в легко обозримой форме вводится понятие области эквивалентности.
Нашей задачей является программа, которая в удобной графической форме отобразит результаты действия правил на пакеты, а также выявит противоречия между правилами. Одной из проблем является большое число измерений. Как отмечалось выше, в правиле указываются следующие параметры: IP-адрес источника, IP-адрес назначения, порт источника, порт назначения, протокол.

1. Cheswick W., Bellovin S., Rubin A. Firewalls and Internet Security: Repelling the Wily Hacker. 2^nd ed. Addison Wesley Professional, 2003. 464 p.
2. FreeBSD Handbook. Available at: http://www.freebsd.org/doc/handbook/, accessed 01.05.2015.
3. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин A.A. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. 2012. № 2. С. 57-68.
4. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008. 8 с.
5. Полубелова О.В., Котенко И.В. Верификация правил фильтрации с временными характеристиками методом "проверки на модели" // Труды СПИИРАН. 2012. Вып. 3 (22). С .113-138.
6. Al-Shaer E., Hamed H., Boutaba R., Hasan M. Conflict classification and analysis of distributed firewall policies // IEEE Journal on Selected Areas in Communications. 2005. Vol. 23, no. 10. P. 2069-2084. DOI: 10.1109/JSAC.2005.854119
7. Al-Shaer E., Marrero W., El-Atawy A., Elbadawi K. Network Configuration in A Box: Towards End-to-End Verification of Network Reachability and Security // 17th IEEE International Conference on Network Protocols (ICNP). IEEE Publ., 2009. P. 123-132. DOI: 10.1109/ICNP.2009.5339690
8. Bartal Y., Mayer A.J., Nissim K., Wool A. Firmato: A novel firewall managment toolkit // ACM Transactions on Computer Systems. 2004. Vol. 22, no. 4. C. 381-420. DOI: 10.1145/1035582.1035583
9. Gouda M.G., Liu A.X. A model of stateful firewalls and its properties // Proceedings of the IEEE International Conference on Dependable Systems and Networks (DSN'05), Japan, June 2005. IEEE Publ., 2005. P. 128-137. DOI: 10.1109/DSN.2005.9
10. IETF Policy Framework (policy) Working Group // The Internet Engineering Task Force (IETF®): website. Available at: http://www.ietf.org/html.charters/policy-charter.html, accessed 01.05.2015.
11. Liu A.X., Gouda M.G, Ma H.H., HH. Ngu A. Firewall Queries // Principles of Distributed Systems. OPODIS 2004 / ed. by T. Higashino. Springer Berlin Heidelberg , 2005. P. 197-212. (Ser. Lecture Notes in Computer Science; vol. 3544.). DOI: 10.1007/11516798_15