Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС

Оглавление

Введение

1. Постановка задачи

2. Анализ

2.1 Анализ задачи

2.2 Анализ аналогов

2.3 Анализ работы IPS/IDS

2.4 Анализ ПЛИС

3. Заключение

Список литературы

Введение

С распространением Internet-технологий и увеличением передаваемых объемов данных проблема защиты информационно-вычислительных ресурсов становится все более актуальной и сложно решаемой. Возникает проблема не только защиты информации, но и обеспечения безопасности информационной системы в целом. Практически все информационные системы уязвимы в той или иной мере для внешних и внутренних атак. В большинстве случаев пользователи даже не подозревают, что в их компьютере или сегменте компьютерной сети содержатся уязвимости, позволяющие недоброжелателю несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты пользователи получают как правило уже после совершения взломов, проникновения вирусов или вывода из строя различных сетевых узлов. Таким образом, это одна из актуальных проблем защиты на сегодняшний день, для решения которой используется сканирование и анализ сетевого трафика.

1. Постановка задачи

Необходимо провести исследование и оценить возможность работы сетевой карты netFPGA как IPS системы.

Исследование должно включать в себя:

Проведение большого количества испытаний по заданным параметрам;

Построение различных графиков зависимостей;

Оценка возможностей работы ПЛИС как IDS-системы.

На основе вышеизложенного сформирован следующий список этапов исследования:

Анализ работы IDS системы

Знакомство с возможностями netFPGA

Установка ПО, обеспечивающего взаимодействие карты и пользователя

Планирование эксперимента

Проведение эксперимента

Обработка полученных результатов

Вывод

2. Анализ

2.1 Анализ задачи

На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

Использование сетевого сканера позволяет:

Наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении;

вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети.

Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.

Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем.

Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.

2.2 Анализ аналогов

Для анализа трафика на предмет выявления в нем различных аномалий используют системы обнаружения вторжений (IDS). В настоящий момент уже существует несколько разнообразных систем работы с сетевым трафиком, направленных на обнаружение или предотвращения вторжений. Рассмотрим и проанализируем некоторые из них.

Система обнаружения вторжений Snort

Представляет собой сетевую систему предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS). Выполняет регистрацию пакетов и в реальном времени осуществляет анализ трафика в IP сетях. Система в основном используется для предотвращения проникновения атак, если они имеют место, а также для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований.

Рис 1. Система обнаружения вторжений Snort

К основным достоинствам данной системы следует отнести:

Имеет открытый исходный кодможет работать совместно с другим программным обеспечением.

Однако есть и недостатки:

Медленное выполнение простых поисковых запросов.

Не имеет аппаратной реализации.

Слишком продолжительная и сложная фаза конфигурации, прежде чем она станет соответствовать заданным правилам и использоваться в рабочей сети.

Таким образом, Snort представляет собой хорошо реализованную систему обнаружения атак, не рассчитанную на использование при большой интенсивности трафика.

Microsoft Forefront Threat Management Gateway (TMG) 2010

Microsoft Forefront TMG является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп.

Рис 2. Microsoft Forefront TMG

Основные достоинства данной системы:

Система проверки сети. Межсетевой экран TMG включает систему проверки сети (Network Inspection System - NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности.

Фильтрация URL . Представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.

Проверка на вредоносное ПО. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE).

Однако данный продукт не лишен недостатков:фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service.

Имеет только локальную установку и не имеет аппаратной реализации.

Подводя итоги, можно сказать, что Microsoft Forefront TMG представляет собой многоуровневую систему пограничной защиты и пригоден только для локального использования. Для крупных организаций с большим количеством трафика аппаратных платформ этого продукта не существует, следовательно, большой поток трафика может привести к отказу работы системы или пропуску пакетов данных.

На основе изложенного выше обзора популярных систем можно сделать вывод, что они удовлетворяют не всем поставленным нами требованиям, главным из которых является большая пропускная способность системы.

2.3 Анализ работы IPS/IDS

Изучив наиболее популярные системы обнаружения/предотвращения вторжений, было обнаружено, что все вышеперечисленные системы работают по схемам, изображенным ниже.

На рисунке 3 представлена схема включения системы обнаружения вторжений IDS:

Рис 3. Схема работы IDS-системы

После установки соединения с интернет идет обмен данными. Проходя через маршрутизатор (Router), трафик идет на переключатель (Switch). В этом месте происходит сканирование сетевого трафика на наличие уязвимостей и различного рода атак. С увеличением интенсивности трафика происходит пропуск сканируемых пакетов с данными, однако на скорость работы это не влияет.

На рисунке 4 изображена схема включения системы предотвращения вторжений IDS:

Рис 4. Схема работы IPS-системы

После установки соединения идет обмен данными. Проходя через маршрутизатор (Router) трафик идет на переключатель (Switch) уже через систему предотвращения вторжений, где и происходит обработка трафика. После этого образуется защищенная сеть между хостами. При увеличении интенсивности трафика происходит замедление работы системы, что приводит к снижению общей пропускной способности.

Представленные схемы демонстрируют работу систем IPS/IDS в составе сети. Подробная работа системы обнаружения вторжений представлена на рисунке 7:

Рис 5. Схема работы IPS-системы

Поступив в IPS, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров сводится к тому, чтобы из протоколов канального уровня (Ethernet, 802.11 …) «вытащить» данные сетевого и транспортного уровня (IP, TCP, UDP). Задачей препроцессоров является подготовка данных из протоколов транспортного и сетевого уровней к процессу применения правил. Грамотная настройка препроцессоров может заметно повысить производительность системы и снизить количество «мусорных» данных, попадающих в детектор. После настройки, но перед отправкой в детектор формируются сверхпакеты, к которым начинают применяться правила. Процесс применения правил сводится к поиску в сверхпакете определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение.

2.4 Анализ ПЛИС

В качестве оборудования для тестирования была выбрана сетевая плата netFPGA, как относительно недорогая, с необходимыми параметрами.- это плата PCI с чипом Xilinx Virtex-II Pro 50, имеющая ОЗУ 64Мб и 4,5Мб SRAM памяти. Она оборудована четырьмя сетевыми интерфейсами. Максимальная пропускная способность такого интерфейса составляет 1Гбит/с. Далее следует программируемая вентильная матрица, которая способна обрабатывать поток, проходящий через эти интерфейсы. Таким образом, NetFPGA позволяет строить рабочие прототипы обработки сетевого трафика на высокой скорости. Она разгружает работу хост-процессора за счет использования своих аппаратных ресурсов.

Для реализации контекстного поиска в трафике с помощью данной платы её матрицу необходимо запрограммировать. Плата имеет на борту разъем JTAG для программирования и отладки чипа. Однако есть возможность сделать это через PCI, используя соответствующее ПО. Далее, программируя матрицу, мы можем добиться необходимой обработки трафика.

Заключение

В результате проделанной работы были выполнены следующие этапы исследования:

Анализ существующих решений систем обнаружения вторжений

Ознакомление с принципом работы большинства IDS-систем

Таким образом, исследование сети позволили, прежде всего, оценить защищенность сети в целом, найти слабые места, разработать методику повышения надежности и безопасности сетевых ресурсов.

Список литературы

сетевая карта вторжение программный

<#"justify">1.

Больше работ по теме: