44212

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС

Дипломная

Информатика, кибернетика и программирование

Информационные системы и технологии Информационные системы и технологии в компьютерных сетях Допущено к защите На данный момент почти все организации и предприятия используют корпоративные информационные системы. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internetтехнологиями особое внимание уделяется защите информации.

Русский

2013-11-10

364.5 KB

8 чел.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

“ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ”

Факультет компьютерных наук

Кафедра  программирования и информационных технологий

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС.

 Дипломная работа

230201 Информационные системы и технологии

Информационные системы и технологии в компьютерных сетях

Допущено к защите

Зав. кафедрой ____________Н.А. Тюкачев, к.ф.-м.н., доцент  __.__.20__

Студент_________________Р.И. Полянских, 5 курс, очное

Руководитель ____________А.С. Коваль, старший преподаватель

 Воронеж 2013

Оглавление

[0.1] 2.1. Анализ задачи

[0.2] На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

[0.3] Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

[0.4] Использование сетевого сканера позволяет:

[0.5] Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем.

[0.6] Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

[1]
Список литературы


Введение 

 С распространением Internet-технологий и увеличением  передаваемых объемов данных проблема защиты информационно-вычислительных ресурсов становится все более актуальной и сложно решаемой. Возникает проблема не только защиты информации, но и обеспечения безопасности информационной системы в целом. Практически все информационные системы уязвимы в той или иной мере для внешних и внутренних атак. В большинстве случаев пользователи даже не подозревают, что в их компьютере или сегменте компьютерной сети содержатся уязвимости, позволяющие недоброжелателю несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты пользователи получают как правило уже после совершения взломов, проникновения вирусов или вывода из строя различных сетевых узлов. Таким образом, это одна из актуальных проблем защиты на сегодняшний день, для решения которой используется сканирование и анализ сетевого трафика.


1. Постановка задачи

Необходимо провести исследование и оценить возможность работы сетевой карты netFPGA как IPS системы.

Исследование должно включать в себя:

  •  Проведение большого количества испытаний по заданным параметрам;
  •  Построение различных графиков зависимостей;
  •  Оценка возможностей работы ПЛИС как IDS-системы.

На основе вышеизложенного сформирован следующий список этапов исследования:

  1.  Анализ работы IDS системы
  2.  Знакомство с возможностями netFPGA
  3.  Установка ПО, обеспечивающего взаимодействие карты и пользователя
  4.  Планирование эксперимента
  5.  Проведение эксперимента
  6.  Обработка полученных результатов
  7.  Вывод


2. Анализ

2.1. Анализ задачи

На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

Использование сетевого сканера позволяет:

  •  Наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении;
  •  вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети.
  •  Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.

Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем. 

Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

Для анализа трафика на предмет выявления в нем различных аномалий используют системы обнаружения вторжений (IDS). В настоящий момент уже существует несколько разнообразных систем работы с сетевым трафиком, направленных на обнаружение или предотвращения вторжений. Рассмотрим и проанализируем некоторые из них.

Система обнаружения вторжений Snort

Представляет собой сетевую систему предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS). Выполняет регистрацию пакетов и в реальном времени осуществляет анализ трафика в IP сетях. Система в основном используется для предотвращения проникновения атак, если они имеют место, а также для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований.

Рис 1. Система обнаружения вторжений Snort

К основным достоинствам данной системы следует отнести:

  •  Имеет открытый исходный код
  •  Snort может работать совместно с другим программным обеспечением.

Однако есть и  недостатки:

  •  Медленное выполнение простых поисковых запросов.
  •  Не имеет аппаратной реализации.
  •  Слишком продолжительная и сложная фаза конфигурации, прежде чем она станет соответствовать заданным правилам и использоваться в рабочей сети.

Таким образом, Snort представляет собой  хорошо реализованную систему обнаружения атак, не рассчитанную на использование при большой интенсивности трафика.

 

Microsoft Forefront Threat Management Gateway (TMG) 2010

Microsoft Forefront TMG является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп.

Рис 2. Microsoft Forefront TMG

Основные достоинства данной системы:

  1.  Система проверки сети. Межсетевой экран TMG включает систему проверки сети (Network Inspection System – NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности.
  2.  Фильтрация URL . Представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.
  3.  Проверка на вредоносное ПО. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE).

Однако данный продукт не лишен недостатков:

  1.  URL фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service.
  2.  Имеет только локальную установку и не имеет аппаратной реализации.

Подводя итоги, можно сказать, что Microsoft Forefront TMG представляет собой многоуровневую систему пограничной защиты и пригоден только для локального использования. Для крупных организаций с большим количеством трафика аппаратных платформ этого продукта не существует,  следовательно, большой поток трафика может привести к отказу работы системы или пропуску пакетов данных.

На основе изложенного выше обзора популярных систем можно сделать вывод, что они удовлетворяют не всем поставленным нами требованиям, главным из которых является большая пропускная способность системы.


2.3. Анализ работы
IPS/IDS

Изучив наиболее популярные системы обнаружения/предотвращения вторжений, было обнаружено, что все вышеперечисленные системы работают по схемам, изображенным ниже.

На рисунке 3 представлена схема включения системы обнаружения вторжений IDS:

 

Рис 3. Схема работы IDS-системы

После установки соединения с интернет идет обмен данными. Проходя через маршрутизатор (Router), трафик идет на переключатель (Switch). В этом месте происходит сканирование сетевого трафика на наличие уязвимостей и различного рода атак. С увеличением интенсивности трафика происходит пропуск сканируемых пакетов с данными, однако на скорость работы это не влияет.

На рисунке 4 изображена схема включения системы предотвращения вторжений IDS:

Рис 4. Схема работы IPS-системы

После установки соединения идет обмен данными. Проходя через маршрутизатор (Router) трафик идет на переключатель (Switch) уже через систему предотвращения вторжений, где и происходит обработка трафика. После этого образуется защищенная сеть между хостами. При увеличении интенсивности трафика происходит замедление работы системы, что приводит к снижению общей пропускной способности.

Представленные схемы демонстрируют работу систем IPS/IDS в составе сети.  Подробная работа системы обнаружения вторжений представлена на рисунке 7:

Рис 5. Схема работы IPS-системы

Поступив в IPS, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров сводится к тому, чтобы из протоколов канального уровня (Ethernet, 802.11 …) «вытащить» данные сетевого и транспортного уровня (IP, TCP, UDP). Задачей препроцессоров является подготовка данных из протоколов транспортного и сетевого уровней к процессу применения правил. Грамотная настройка препроцессоров может заметно повысить производительность системы и снизить количество «мусорных» данных, попадающих в детектор. После настройки, но перед отправкой в детектор формируются “сверхпакеты”, к которым начинают применяться правила. Процесс применения правил сводится к поиску в “сверхпакете” определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение.


2.4. Анализ ПЛИС

В качестве оборудования для тестирования была выбрана сетевая плата netFPGA, как относительно недорогая, с необходимыми параметрами.

NetFPGA - это плата PCI с чипом Xilinx Virtex-II Pro 50, имеющая ОЗУ 64Мб и 4,5Мб SRAM памяти. Она оборудована четырьмя сетевыми интерфейсами. Максимальная пропускная способность такого интерфейса составляет 1Гбит/с. Далее следует программируемая вентильная матрица, которая способна обрабатывать поток, проходящий через эти интерфейсы. Таким образом, NetFPGA позволяет строить рабочие прототипы обработки сетевого трафика на высокой скорости. Она разгружает работу хост-процессора за счет использования своих аппаратных ресурсов.

Для реализации контекстного поиска в трафике с помощью данной платы её матрицу необходимо запрограммировать. Плата имеет на борту разъем JTAG для программирования и отладки чипа. Однако есть возможность сделать это через PCI, используя соответствующее ПО. Далее, программируя матрицу, мы можем добиться необходимой обработки трафика.

 
Заключение

В результате проделанной работы были выполнены следующие этапы исследования:

  •  Анализ существующих решений систем обнаружения вторжений
  •  Ознакомление с принципом работы большинства IDS-систем

Таким образом, исследование сети позволили, прежде всего, оценить защищенность сети в целом, найти слабые места, разработать методику повышения надежности и безопасности сетевых ресурсов.


Список литературы

  1.  http://netfpga.org/ - все о netFPGA и не только.
  2.  Джей Бил. и др. Snort 2.1. Обнаружение вторжений. — М.: ООО «Бином-Пресс», 2006 г. — 656 с.
  3.  Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. —Intrusion Signatures and Analysis, 2001. — 464 с.


 

А также другие работы, которые могут Вас заинтересовать

53365. Ігри на матеріалі економічної термінології, спрямовані на збагачення активного словника та вдосконалення культури мовлення учнів 179 KB
  Методична порада. Для проведення ігор діти класу ділиться на гомогенні або гетерогенні групи. Обирається в кожній групі лідер. Завдання ігрової вправи виконують усі разом, доповідають про виконання тільки лідери. Вимпелом переможця нагороджується та група, яка першою за відведений час виконає правильно завдання.
53367. Ігрові хвилинки на уроках музики 48.5 KB
  Мета даної публікації не заглиблюючись у наукові аспекти теорії гри надати педагогові реальну допомогу на шляху впровадження ігрових форм у навчальновиховний процес. Дуже подобаються школярам варіанти психологічних ігрових вправ після проведення яких бажано аналізувати та обговорювати результати отримані під час гри.Кожній дитині надати можливість для виходу її емоцій після чого бажано алізувати та обговорювати результати отримані...
53368. Ігрові технології на уроках 39.5 KB
  Шіллер наприклад стверджував що античні ігри божественні і можуть служити ідеалом будьяких інших видів дозвілля людини. У Древньому Китаї святкові ігри відкривав імператор і сам у них брав участь. Складність визначається різноманіттям форм гри способів участі в ній партнером та алгоритмами проведення гри.
53369. Объемное моделирование и конструирование из бумаги. Игрушки из бумажных полосок 172.5 KB
  Игрушки из бумажных полосок Вид урока Урок беседа Тип урока Урок изучения нового материала Студенты преподаватели Айрапетова Мария Сергеевна Гусева Анна Павловна Ершова Дарья Дмитриевна Максимова Марина Вадимовна Государственный социальный заказ Во исполнение Закона Российской Федерации Об образовании. Добиваться: применения различных форм методов средств технологий при проведении образовательного урока; установления взаимодействия с различными субъектами образовательного процесса. Технологическая карта урока Триединые...
53370. Розвиток слухової уваги, слухової пам’яті та фонематичного сприймання у дітей дошкільного віку 68 KB
  Діти стають у коло непомітно для ведучого вони передають за спиною один одному дзвіночок. Логопед розрає дітям ведмедиків з зображенням цих предметів потім за ширмою озвучує ці предмети а діти повинні відгадати який ведмедик шумить. Дидактична гра Хто кличе Діти по черзі називають ім’я ведучого який стоїть до них спиною. Потім гра ускладнюється і діти кличуть ведучого: Ау то голосно то тихо в залежності від того що скаже логопед: Далеко пішли у ліс Близько пішли у ліс.
53371. Учет косвенных расходов в составе себестоимости продукции. Синтетический учёт движения нематериальных активов 22.77 KB
  Косвенные затраты — затраты, которые, в отличие от прямых затрат, не могут быть непосредственно отнесены на себестоимость одного конкретного вида продукции. Косвенные затраты относятся одновременно ко всем видам продукции и распределяются между ними условно: общепроизводственные и общехозяйственные расходы, часть расходов на продажу и др
53372. Дидактические игры как средство активизации учащихся при изучении таблицы умножения 52.5 KB
  Хочу рассказать о некоторых дидактических математических играх, которые я использую на уроках с целью активизации учащихся при формировании вычислительных навыков. Навык, как известно, приобретается в результате многократных повторений одних и тех же операций. Чтобы избежать однообразия в шлифовке табличных случаев умножения и деления, провожу упражнения в игровой, занимательной форме.
53373. Роль ігор-драматизацій в навчанні дошкільників англійської мови 97 KB
  Всі етапи роботи з казкою здійснюються разом з дітьми. Ініціативу розподілу ролей я надаю малечі (за бажанням), разом з тим, тактовно корегую їх вибір, адже дітям з низьким або середнім рівнем розвитку бажано надати роль, яка є невеличкою за обсягом, не дуже складною та не містить у собі тих мовних структур, які викликають труднощі у дитини (зокрема це стосується звуковимови), щоб не зникло бажання приймати участь у виставі.