44212

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС

Дипломная

Информатика, кибернетика и программирование

Информационные системы и технологии Информационные системы и технологии в компьютерных сетях Допущено к защите На данный момент почти все организации и предприятия используют корпоративные информационные системы. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internetтехнологиями особое внимание уделяется защите информации.

Русский

2013-11-10

364.5 KB

8 чел.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

“ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ”

Факультет компьютерных наук

Кафедра  программирования и информационных технологий

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС.

 Дипломная работа

230201 Информационные системы и технологии

Информационные системы и технологии в компьютерных сетях

Допущено к защите

Зав. кафедрой ____________Н.А. Тюкачев, к.ф.-м.н., доцент  __.__.20__

Студент_________________Р.И. Полянских, 5 курс, очное

Руководитель ____________А.С. Коваль, старший преподаватель

 Воронеж 2013

Оглавление

[0.1] 2.1. Анализ задачи

[0.2] На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

[0.3] Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

[0.4] Использование сетевого сканера позволяет:

[0.5] Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем.

[0.6] Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

[1]
Список литературы


Введение 

 С распространением Internet-технологий и увеличением  передаваемых объемов данных проблема защиты информационно-вычислительных ресурсов становится все более актуальной и сложно решаемой. Возникает проблема не только защиты информации, но и обеспечения безопасности информационной системы в целом. Практически все информационные системы уязвимы в той или иной мере для внешних и внутренних атак. В большинстве случаев пользователи даже не подозревают, что в их компьютере или сегменте компьютерной сети содержатся уязвимости, позволяющие недоброжелателю несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты пользователи получают как правило уже после совершения взломов, проникновения вирусов или вывода из строя различных сетевых узлов. Таким образом, это одна из актуальных проблем защиты на сегодняшний день, для решения которой используется сканирование и анализ сетевого трафика.


1. Постановка задачи

Необходимо провести исследование и оценить возможность работы сетевой карты netFPGA как IPS системы.

Исследование должно включать в себя:

  •  Проведение большого количества испытаний по заданным параметрам;
  •  Построение различных графиков зависимостей;
  •  Оценка возможностей работы ПЛИС как IDS-системы.

На основе вышеизложенного сформирован следующий список этапов исследования:

  1.  Анализ работы IDS системы
  2.  Знакомство с возможностями netFPGA
  3.  Установка ПО, обеспечивающего взаимодействие карты и пользователя
  4.  Планирование эксперимента
  5.  Проведение эксперимента
  6.  Обработка полученных результатов
  7.  Вывод


2. Анализ

2.1. Анализ задачи

На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

Использование сетевого сканера позволяет:

  •  Наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении;
  •  вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети.
  •  Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.

Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем. 

Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

Для анализа трафика на предмет выявления в нем различных аномалий используют системы обнаружения вторжений (IDS). В настоящий момент уже существует несколько разнообразных систем работы с сетевым трафиком, направленных на обнаружение или предотвращения вторжений. Рассмотрим и проанализируем некоторые из них.

Система обнаружения вторжений Snort

Представляет собой сетевую систему предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS). Выполняет регистрацию пакетов и в реальном времени осуществляет анализ трафика в IP сетях. Система в основном используется для предотвращения проникновения атак, если они имеют место, а также для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований.

Рис 1. Система обнаружения вторжений Snort

К основным достоинствам данной системы следует отнести:

  •  Имеет открытый исходный код
  •  Snort может работать совместно с другим программным обеспечением.

Однако есть и  недостатки:

  •  Медленное выполнение простых поисковых запросов.
  •  Не имеет аппаратной реализации.
  •  Слишком продолжительная и сложная фаза конфигурации, прежде чем она станет соответствовать заданным правилам и использоваться в рабочей сети.

Таким образом, Snort представляет собой  хорошо реализованную систему обнаружения атак, не рассчитанную на использование при большой интенсивности трафика.

 

Microsoft Forefront Threat Management Gateway (TMG) 2010

Microsoft Forefront TMG является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп.

Рис 2. Microsoft Forefront TMG

Основные достоинства данной системы:

  1.  Система проверки сети. Межсетевой экран TMG включает систему проверки сети (Network Inspection System – NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности.
  2.  Фильтрация URL . Представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.
  3.  Проверка на вредоносное ПО. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE).

Однако данный продукт не лишен недостатков:

  1.  URL фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service.
  2.  Имеет только локальную установку и не имеет аппаратной реализации.

Подводя итоги, можно сказать, что Microsoft Forefront TMG представляет собой многоуровневую систему пограничной защиты и пригоден только для локального использования. Для крупных организаций с большим количеством трафика аппаратных платформ этого продукта не существует,  следовательно, большой поток трафика может привести к отказу работы системы или пропуску пакетов данных.

На основе изложенного выше обзора популярных систем можно сделать вывод, что они удовлетворяют не всем поставленным нами требованиям, главным из которых является большая пропускная способность системы.


2.3. Анализ работы
IPS/IDS

Изучив наиболее популярные системы обнаружения/предотвращения вторжений, было обнаружено, что все вышеперечисленные системы работают по схемам, изображенным ниже.

На рисунке 3 представлена схема включения системы обнаружения вторжений IDS:

 

Рис 3. Схема работы IDS-системы

После установки соединения с интернет идет обмен данными. Проходя через маршрутизатор (Router), трафик идет на переключатель (Switch). В этом месте происходит сканирование сетевого трафика на наличие уязвимостей и различного рода атак. С увеличением интенсивности трафика происходит пропуск сканируемых пакетов с данными, однако на скорость работы это не влияет.

На рисунке 4 изображена схема включения системы предотвращения вторжений IDS:

Рис 4. Схема работы IPS-системы

После установки соединения идет обмен данными. Проходя через маршрутизатор (Router) трафик идет на переключатель (Switch) уже через систему предотвращения вторжений, где и происходит обработка трафика. После этого образуется защищенная сеть между хостами. При увеличении интенсивности трафика происходит замедление работы системы, что приводит к снижению общей пропускной способности.

Представленные схемы демонстрируют работу систем IPS/IDS в составе сети.  Подробная работа системы обнаружения вторжений представлена на рисунке 7:

Рис 5. Схема работы IPS-системы

Поступив в IPS, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров сводится к тому, чтобы из протоколов канального уровня (Ethernet, 802.11 …) «вытащить» данные сетевого и транспортного уровня (IP, TCP, UDP). Задачей препроцессоров является подготовка данных из протоколов транспортного и сетевого уровней к процессу применения правил. Грамотная настройка препроцессоров может заметно повысить производительность системы и снизить количество «мусорных» данных, попадающих в детектор. После настройки, но перед отправкой в детектор формируются “сверхпакеты”, к которым начинают применяться правила. Процесс применения правил сводится к поиску в “сверхпакете” определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение.


2.4. Анализ ПЛИС

В качестве оборудования для тестирования была выбрана сетевая плата netFPGA, как относительно недорогая, с необходимыми параметрами.

NetFPGA - это плата PCI с чипом Xilinx Virtex-II Pro 50, имеющая ОЗУ 64Мб и 4,5Мб SRAM памяти. Она оборудована четырьмя сетевыми интерфейсами. Максимальная пропускная способность такого интерфейса составляет 1Гбит/с. Далее следует программируемая вентильная матрица, которая способна обрабатывать поток, проходящий через эти интерфейсы. Таким образом, NetFPGA позволяет строить рабочие прототипы обработки сетевого трафика на высокой скорости. Она разгружает работу хост-процессора за счет использования своих аппаратных ресурсов.

Для реализации контекстного поиска в трафике с помощью данной платы её матрицу необходимо запрограммировать. Плата имеет на борту разъем JTAG для программирования и отладки чипа. Однако есть возможность сделать это через PCI, используя соответствующее ПО. Далее, программируя матрицу, мы можем добиться необходимой обработки трафика.

 
Заключение

В результате проделанной работы были выполнены следующие этапы исследования:

  •  Анализ существующих решений систем обнаружения вторжений
  •  Ознакомление с принципом работы большинства IDS-систем

Таким образом, исследование сети позволили, прежде всего, оценить защищенность сети в целом, найти слабые места, разработать методику повышения надежности и безопасности сетевых ресурсов.


Список литературы

  1.  http://netfpga.org/ - все о netFPGA и не только.
  2.  Джей Бил. и др. Snort 2.1. Обнаружение вторжений. — М.: ООО «Бином-Пресс», 2006 г. — 656 с.
  3.  Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. —Intrusion Signatures and Analysis, 2001. — 464 с.


 

А также другие работы, которые могут Вас заинтересовать

58066. Сприйняття мистецтва. Імпресіонізм. Відтворення дійсності у стилі імпресіонізм. Зображення на площині. Відтворення святкового настрою. Творча робота «Ялинка на майдані» 91.5 KB
  Мета: ознайомити учнів зі стилем мистецтва імпресіонізм з творчістю художників імпресіоністів; учити спостерігати вплив світла на зміну кольорів; формувати вміння передавати світло тіньові явища відповідно до змін часу доби та пори року...
58067. Доброта творит чудеса 72.5 KB
  Цель урока: Способствовать воспитанию в детях добрых человеческих взаимоотношений, отзывчивости и милосердия к окружающим, друг к другу.
58068. Анімалістичний жанр у живопису. Знайомство з творчістю М.Приймаченко. Створення етюду-малюнку пташки на кольоровому тлі: «Снігур» 126.5 KB
  Мета: Навчальна: розширювати знання учнів про анімалістичний жанр, продовжувати вчити малювати птахів, ознайомити учнів з творчістю видатної української художниці М.Приймаченко. Розвивальна: розвивати творчі здібності, фантазію, мислення, уяву.
58069. Формування корисних і шкідливих звичок 75 KB
  Учні повинні: Знати: різницю між корисними та шкідливими звичками; вплив корисних шкідливих звичок на здоров’я. Уміти: наводити приклади впливу шкідливих звичок підлітків на здоров’я; сказати Ні і відмовитися від пропозиції випитизакурити тощо.
58070. Види архітектури за призначенням. Житлова архітектура. “Ескіз власного будинку” 49 KB
  Види архітектури за призначенням. Основні поняття: стилі архітектури: античний середньовічний мусульманський китайський та японський новітніх часів; елементи архітектури: фасад колона арка дах вікно балкон сходи.
58071. Вивчення маленьких прелюдій Й.С. Баха як обовязкова частина поліфонічного репертуару в молодших і середніх класах ДМШ 90.5 KB
  Серед багатьох сотень, створених композитором вокальних, вокально-інструментальних, інструментальних творів, є дуже великі, масштабні твори, такі як: меси, хорали, оркестрові сюїти, органні токати, клавірні концерти, цикл ДТК...
58072. музичний образ поліфонія фуга; зосередити увагу учнів на особливостях будови й розвитку поліфонічног. 39 KB
  Мета: розширити та поглибити знання учнів про творчість Й.С.Баха; закріпити визначення термінів і понять: «музичний образ», «поліфонія», «фуга»; зосередити увагу учнів на особливостях будови й розвитку поліфонічного твору; надати уявлення про інструмент-оркестр – орган...
58073. Музика і мистецтво слова. Байки, зміст яких пов’язаний із музикою 112 KB
  МЕТА: на новому літературному (байки І. Крилова) і музичному (Квартет № 2 О. Бородіна) матеріалі довести нерозривний звязок літератури та музики на підставі: розвитку навичок аналізу, спостереження, узагальнення; розуміння ролі засобів художньої виразності у створенні художнього образу...
58074. Звук и буква «С» в словах. Использование интерактивных методов в логопедическом сопровождении 57.5 KB
  Развивать фонематический слух и фонематическое восприятие; уточнить артикуляцию звука с; уметь соотносить его с буквой; обогащать и активизировать словарный запас, совершенствовать звуковой анализ слов.