44212

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС

Дипломная

Информатика, кибернетика и программирование

Информационные системы и технологии Информационные системы и технологии в компьютерных сетях Допущено к защите На данный момент почти все организации и предприятия используют корпоративные информационные системы. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internetтехнологиями особое внимание уделяется защите информации.

Русский

2013-11-10

364.5 KB

7 чел.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

“ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ”

Факультет компьютерных наук

Кафедра  программирования и информационных технологий

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС.

 Дипломная работа

230201 Информационные системы и технологии

Информационные системы и технологии в компьютерных сетях

Допущено к защите

Зав. кафедрой ____________Н.А. Тюкачев, к.ф.-м.н., доцент  __.__.20__

Студент_________________Р.И. Полянских, 5 курс, очное

Руководитель ____________А.С. Коваль, старший преподаватель

 Воронеж 2013

Оглавление

[0.1] 2.1. Анализ задачи

[0.2] На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

[0.3] Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

[0.4] Использование сетевого сканера позволяет:

[0.5] Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем.

[0.6] Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

[1]
Список литературы


Введение 

 С распространением Internet-технологий и увеличением  передаваемых объемов данных проблема защиты информационно-вычислительных ресурсов становится все более актуальной и сложно решаемой. Возникает проблема не только защиты информации, но и обеспечения безопасности информационной системы в целом. Практически все информационные системы уязвимы в той или иной мере для внешних и внутренних атак. В большинстве случаев пользователи даже не подозревают, что в их компьютере или сегменте компьютерной сети содержатся уязвимости, позволяющие недоброжелателю несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты пользователи получают как правило уже после совершения взломов, проникновения вирусов или вывода из строя различных сетевых узлов. Таким образом, это одна из актуальных проблем защиты на сегодняшний день, для решения которой используется сканирование и анализ сетевого трафика.


1. Постановка задачи

Необходимо провести исследование и оценить возможность работы сетевой карты netFPGA как IPS системы.

Исследование должно включать в себя:

  •  Проведение большого количества испытаний по заданным параметрам;
  •  Построение различных графиков зависимостей;
  •  Оценка возможностей работы ПЛИС как IDS-системы.

На основе вышеизложенного сформирован следующий список этапов исследования:

  1.  Анализ работы IDS системы
  2.  Знакомство с возможностями netFPGA
  3.  Установка ПО, обеспечивающего взаимодействие карты и пользователя
  4.  Планирование эксперимента
  5.  Проведение эксперимента
  6.  Обработка полученных результатов
  7.  Вывод


2. Анализ

2.1. Анализ задачи

На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

Использование сетевого сканера позволяет:

  •  Наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении;
  •  вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети.
  •  Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.

Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем. 

Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

Для анализа трафика на предмет выявления в нем различных аномалий используют системы обнаружения вторжений (IDS). В настоящий момент уже существует несколько разнообразных систем работы с сетевым трафиком, направленных на обнаружение или предотвращения вторжений. Рассмотрим и проанализируем некоторые из них.

Система обнаружения вторжений Snort

Представляет собой сетевую систему предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS). Выполняет регистрацию пакетов и в реальном времени осуществляет анализ трафика в IP сетях. Система в основном используется для предотвращения проникновения атак, если они имеют место, а также для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований.

Рис 1. Система обнаружения вторжений Snort

К основным достоинствам данной системы следует отнести:

  •  Имеет открытый исходный код
  •  Snort может работать совместно с другим программным обеспечением.

Однако есть и  недостатки:

  •  Медленное выполнение простых поисковых запросов.
  •  Не имеет аппаратной реализации.
  •  Слишком продолжительная и сложная фаза конфигурации, прежде чем она станет соответствовать заданным правилам и использоваться в рабочей сети.

Таким образом, Snort представляет собой  хорошо реализованную систему обнаружения атак, не рассчитанную на использование при большой интенсивности трафика.

 

Microsoft Forefront Threat Management Gateway (TMG) 2010

Microsoft Forefront TMG является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп.

Рис 2. Microsoft Forefront TMG

Основные достоинства данной системы:

  1.  Система проверки сети. Межсетевой экран TMG включает систему проверки сети (Network Inspection System – NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности.
  2.  Фильтрация URL . Представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.
  3.  Проверка на вредоносное ПО. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE).

Однако данный продукт не лишен недостатков:

  1.  URL фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service.
  2.  Имеет только локальную установку и не имеет аппаратной реализации.

Подводя итоги, можно сказать, что Microsoft Forefront TMG представляет собой многоуровневую систему пограничной защиты и пригоден только для локального использования. Для крупных организаций с большим количеством трафика аппаратных платформ этого продукта не существует,  следовательно, большой поток трафика может привести к отказу работы системы или пропуску пакетов данных.

На основе изложенного выше обзора популярных систем можно сделать вывод, что они удовлетворяют не всем поставленным нами требованиям, главным из которых является большая пропускная способность системы.


2.3. Анализ работы
IPS/IDS

Изучив наиболее популярные системы обнаружения/предотвращения вторжений, было обнаружено, что все вышеперечисленные системы работают по схемам, изображенным ниже.

На рисунке 3 представлена схема включения системы обнаружения вторжений IDS:

 

Рис 3. Схема работы IDS-системы

После установки соединения с интернет идет обмен данными. Проходя через маршрутизатор (Router), трафик идет на переключатель (Switch). В этом месте происходит сканирование сетевого трафика на наличие уязвимостей и различного рода атак. С увеличением интенсивности трафика происходит пропуск сканируемых пакетов с данными, однако на скорость работы это не влияет.

На рисунке 4 изображена схема включения системы предотвращения вторжений IDS:

Рис 4. Схема работы IPS-системы

После установки соединения идет обмен данными. Проходя через маршрутизатор (Router) трафик идет на переключатель (Switch) уже через систему предотвращения вторжений, где и происходит обработка трафика. После этого образуется защищенная сеть между хостами. При увеличении интенсивности трафика происходит замедление работы системы, что приводит к снижению общей пропускной способности.

Представленные схемы демонстрируют работу систем IPS/IDS в составе сети.  Подробная работа системы обнаружения вторжений представлена на рисунке 7:

Рис 5. Схема работы IPS-системы

Поступив в IPS, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров сводится к тому, чтобы из протоколов канального уровня (Ethernet, 802.11 …) «вытащить» данные сетевого и транспортного уровня (IP, TCP, UDP). Задачей препроцессоров является подготовка данных из протоколов транспортного и сетевого уровней к процессу применения правил. Грамотная настройка препроцессоров может заметно повысить производительность системы и снизить количество «мусорных» данных, попадающих в детектор. После настройки, но перед отправкой в детектор формируются “сверхпакеты”, к которым начинают применяться правила. Процесс применения правил сводится к поиску в “сверхпакете” определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение.


2.4. Анализ ПЛИС

В качестве оборудования для тестирования была выбрана сетевая плата netFPGA, как относительно недорогая, с необходимыми параметрами.

NetFPGA - это плата PCI с чипом Xilinx Virtex-II Pro 50, имеющая ОЗУ 64Мб и 4,5Мб SRAM памяти. Она оборудована четырьмя сетевыми интерфейсами. Максимальная пропускная способность такого интерфейса составляет 1Гбит/с. Далее следует программируемая вентильная матрица, которая способна обрабатывать поток, проходящий через эти интерфейсы. Таким образом, NetFPGA позволяет строить рабочие прототипы обработки сетевого трафика на высокой скорости. Она разгружает работу хост-процессора за счет использования своих аппаратных ресурсов.

Для реализации контекстного поиска в трафике с помощью данной платы её матрицу необходимо запрограммировать. Плата имеет на борту разъем JTAG для программирования и отладки чипа. Однако есть возможность сделать это через PCI, используя соответствующее ПО. Далее, программируя матрицу, мы можем добиться необходимой обработки трафика.

 
Заключение

В результате проделанной работы были выполнены следующие этапы исследования:

  •  Анализ существующих решений систем обнаружения вторжений
  •  Ознакомление с принципом работы большинства IDS-систем

Таким образом, исследование сети позволили, прежде всего, оценить защищенность сети в целом, найти слабые места, разработать методику повышения надежности и безопасности сетевых ресурсов.


Список литературы

  1.  http://netfpga.org/ - все о netFPGA и не только.
  2.  Джей Бил. и др. Snort 2.1. Обнаружение вторжений. — М.: ООО «Бином-Пресс», 2006 г. — 656 с.
  3.  Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. —Intrusion Signatures and Analysis, 2001. — 464 с.


 

А также другие работы, которые могут Вас заинтересовать

73225. Введение в экономику предприятий транспорта 1.3 MB
  Материальное производство включает: Промышленность; Сельское и лесное хозяйство; Грузовой транспорт; Связь обслуживающая материальное производство; Строительство; Торговля; Общественное питание; Информационно-вычислительное обслуживание и др. В процессе работы транспорта не создается новая продукция а осуществляется перемещение грузов пассажиров с одного пункта в другой. В процессе перевозок грузов с ними не происходят не физические не химические изменения а происходит лишь изменение их местонахождения по отношению к...
73226. Основные фонды предприятий транспорта 899.56 KB
  Классификация основных фондов предприятия По роли в производственном процессе: Активные: машины и оборудование силовые машины измерительные прибор вычислительная техника инструмент Пассивные: здания строения сооружения передаточные устройства транспорт пх инвентарь. Для производственных предприятий в том числе и предприятий транспорта типичный состав основных фондов следующий: Здания и строения административные здания производственные строения склады и т. Племенной скот Соотношение отдельных групп основных фондов в их общем...
73227. Оборотные средства предприятий 951.72 KB
  Фонды обращения – это средства производства непосредственно обслуживающие стадию реализации продукции. подготовка новых видов производства арендная плата подписка К фондам обращения относятся средства обслуживающие процесс реализации продукции: Готовая продукция на складе Товары отгруженные заказчикам но еще не оплаченные ими товары в пути Средства в расчетах Денежные средства в кассе предприятия и на счетах в банках. Норматив оборотных средств– то объем ресурсов в денежном выражении которые предназначены для формирования...
73228. Поняття й види джерел права. Джерела та форми права 30.56 KB
  Джерела та форми права. Поняття й види джерел права. Джерело форма права це способи зовнішнього вираження і закріплення норм права що виходять від держави і які мають загальнообовязкове значення.
73229. ДЕРЖАВНІ ТА НАЦІОНАЛЬНІ УКРАЇНСЬКІ СИМВОЛИ 88.5 KB
  Обладнання: карта України; зображення українського державного прапора та гербатризуба; малюнки із зображеннями калини віночка писанки рослинсимволів тощо; ватманський аркуш з кросвордом Україна; аудіоапаратура; свічка. Бучин ської Моя Україна. Приспів: Є на світі моя країна де червона цвіте калина Гори ріки і полонини це моя Україна. Є на світі одна країна найчарівніша як перлина В моїм серці вона єдина це моя Україна.
73230. МЕНЕДЖМЕНТ ПРОФЕСІЙНОЇ ДІЯЛЬНОСТІ 1.04 MB
  Для проведення маркетингових досліджень керівництвом підприємства прийнято рішення про проведення діагностичних опитувань (інтерв’ю) потенційних споживачів продукції. Аналіз вибірки зі 100 перехожих дозволив отримати дані щодо кількості перехожих, що з’являлись з відповідним інтервалом, кількості перехожих, що дали згоду на участь у опитуванні, та тривалості проведення одного інтерв’ю
73231. Обучение детей младшего школьного возраста анализу произведений изобразительного искусства 178.5 KB
  Тогда как именно знакомство со структурой художественного произведения и с законами восприятия искусства должно актуализировать исследовательскую позицию учащегося благодаря которой он сможет самостоятельно постигнуть смысл живописного или графического произведения освоить способы художественного мышления. Однако при обращении к произведениям искусства учитель чаще всего выступает в качестве всезнающего лектора ученик же в качестве пассивного зрителя и слушателя. До сих пор не существует технологий и методик благодаря которым учащиеся...
73232. Разработка международной стратегии продвижения товара 749.5 KB
  Теоретический анализ разработки международной стратегии продвижения товара; исследование особенностей международных стратегий ВЭД предприятий; анализ финансовой, хозяйственной, внешнеэкономической и маркетинговой деятельности предприятия; разработка стратегии выхода предприятия на зарубежный рынок.
73233. АНТРОПОЦЕНТРИЧЕСКАЯ ОЦЕНКА МОРАЛЬНОЙ РАСПУЩЕННОСТИ В СОВРЕМЕННОМ АНГЛИЙСКОМ ЯЗЫКЕ 36.85 KB
  Семантическая структура языка являет собой языковое воплощение всех нюансов восприятия действительности его носителями всех представлений и переживаний присущих народу создавшему язык. Поэтому каждый язык это своеобразное зеркало отражающее определённое видение мира неповторимое мироощущение народа сотворившего его сегментацию внутреннего и внешнего мира представленную отдельными структурами и...