44212

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС

Дипломная

Информатика, кибернетика и программирование

Информационные системы и технологии Информационные системы и технологии в компьютерных сетях Допущено к защите На данный момент почти все организации и предприятия используют корпоративные информационные системы. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internetтехнологиями особое внимание уделяется защите информации.

Русский

2013-11-10

364.5 KB

9 чел.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

“ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ”

Факультет компьютерных наук

Кафедра  программирования и информационных технологий

Исследование возможностей аппаратной реализации IPS/IDS на основе ПЛИС.

 Дипломная работа

230201 Информационные системы и технологии

Информационные системы и технологии в компьютерных сетях

Допущено к защите

Зав. кафедрой ____________Н.А. Тюкачев, к.ф.-м.н., доцент  __.__.20__

Студент_________________Р.И. Полянских, 5 курс, очное

Руководитель ____________А.С. Коваль, старший преподаватель

 Воронеж 2013

Оглавление

[0.1] 2.1. Анализ задачи

[0.2] На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

[0.3] Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

[0.4] Использование сетевого сканера позволяет:

[0.5] Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем.

[0.6] Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

[1]
Список литературы


Введение 

 С распространением Internet-технологий и увеличением  передаваемых объемов данных проблема защиты информационно-вычислительных ресурсов становится все более актуальной и сложно решаемой. Возникает проблема не только защиты информации, но и обеспечения безопасности информационной системы в целом. Практически все информационные системы уязвимы в той или иной мере для внешних и внутренних атак. В большинстве случаев пользователи даже не подозревают, что в их компьютере или сегменте компьютерной сети содержатся уязвимости, позволяющие недоброжелателю несанкционированно проникать в информационную систему. Реальное представление о недостатках защиты пользователи получают как правило уже после совершения взломов, проникновения вирусов или вывода из строя различных сетевых узлов. Таким образом, это одна из актуальных проблем защиты на сегодняшний день, для решения которой используется сканирование и анализ сетевого трафика.


1. Постановка задачи

Необходимо провести исследование и оценить возможность работы сетевой карты netFPGA как IPS системы.

Исследование должно включать в себя:

  •  Проведение большого количества испытаний по заданным параметрам;
  •  Построение различных графиков зависимостей;
  •  Оценка возможностей работы ПЛИС как IDS-системы.

На основе вышеизложенного сформирован следующий список этапов исследования:

  1.  Анализ работы IDS системы
  2.  Знакомство с возможностями netFPGA
  3.  Установка ПО, обеспечивающего взаимодействие карты и пользователя
  4.  Планирование эксперимента
  5.  Проведение эксперимента
  6.  Обработка полученных результатов
  7.  Вывод


2. Анализ

2.1. Анализ задачи

На данный момент почти все организации и предприятия используют корпоративные информационные системы. Со временем увеличивается число компьютерной техники, а вследствие этого и объем передаваемых данных. Становится актуальной проблема поддержания полноценной и безопасной работы системы в целом. А поскольку все системы связаны Internet-технологиями, особое внимание уделяется защите информации. Компьютерные вирусы, а также различные атаки могут вывести из строя всю систему, остановив тем самым производство на предприятии или, что ещё хуже, несанкционированно проникать к конфиденциальным данным. Последствия атаки могут быть катастрофическими, такими как безвозвратная потеря или кража особо важных данных.

Типичным решением этой проблемы является сканирование и анализ сетевого трафика, проходящего через сетевые узлы корпоративной системы. Специальные сетевые сканеры устанавливаются на сервер, через который идет обмен трафика информационной системы и сети Internet. В случае обнаружения вторжения, сканер выдаст предупреждение или же остановит несанкционированное действие.

Использование сетевого сканера позволяет:

  •  Наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении;
  •  вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети.
  •  Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.

Однако, данный подход хорош только для небольших фирм с небольшой интенсивностью трафика. А для крупных организаций такое решение уже не может обеспечить высокую скорость работы, поскольку скорость обмена данными становится больше в сотни, а то и в тысячи раз. Становится необходимым наличие мощных и разветвленных компьютерных систем. 

Анализируя поставленную задачу, можно сделать вывод о том, что необходимо поддерживать высокую скорость работы в сети и одновременно обеспечивать необходимую защиту информации. Решить такую проблему поможет анализ сетевого трафика на аппаратном уровне. Основное преимущество аппаратной реализации системы обнаружения вторжений это поддержание стабильности системы при увеличении интенсивности потока информации. При этом имеется ещё возможность получать информацию о работе сети, такие как: анализ пакетов, загруженность сетевого канала, а также отслеживание распространенных сетевых  атак, обычно зашифрованных в URL-адресной строке. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее, чем взлом аналогичных программных продуктов.
2.1. Анализ аналогов

Для анализа трафика на предмет выявления в нем различных аномалий используют системы обнаружения вторжений (IDS). В настоящий момент уже существует несколько разнообразных систем работы с сетевым трафиком, направленных на обнаружение или предотвращения вторжений. Рассмотрим и проанализируем некоторые из них.

Система обнаружения вторжений Snort

Представляет собой сетевую систему предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS). Выполняет регистрацию пакетов и в реальном времени осуществляет анализ трафика в IP сетях. Система в основном используется для предотвращения проникновения атак, если они имеют место, а также для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований.

Рис 1. Система обнаружения вторжений Snort

К основным достоинствам данной системы следует отнести:

  •  Имеет открытый исходный код
  •  Snort может работать совместно с другим программным обеспечением.

Однако есть и  недостатки:

  •  Медленное выполнение простых поисковых запросов.
  •  Не имеет аппаратной реализации.
  •  Слишком продолжительная и сложная фаза конфигурации, прежде чем она станет соответствовать заданным правилам и использоваться в рабочей сети.

Таким образом, Snort представляет собой  хорошо реализованную систему обнаружения атак, не рассчитанную на использование при большой интенсивности трафика.

 

Microsoft Forefront Threat Management Gateway (TMG) 2010

Microsoft Forefront TMG является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп.

Рис 2. Microsoft Forefront TMG

Основные достоинства данной системы:

  1.  Система проверки сети. Межсетевой экран TMG включает систему проверки сети (Network Inspection System – NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности.
  2.  Фильтрация URL . Представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.
  3.  Проверка на вредоносное ПО. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE).

Однако данный продукт не лишен недостатков:

  1.  URL фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service.
  2.  Имеет только локальную установку и не имеет аппаратной реализации.

Подводя итоги, можно сказать, что Microsoft Forefront TMG представляет собой многоуровневую систему пограничной защиты и пригоден только для локального использования. Для крупных организаций с большим количеством трафика аппаратных платформ этого продукта не существует,  следовательно, большой поток трафика может привести к отказу работы системы или пропуску пакетов данных.

На основе изложенного выше обзора популярных систем можно сделать вывод, что они удовлетворяют не всем поставленным нами требованиям, главным из которых является большая пропускная способность системы.


2.3. Анализ работы
IPS/IDS

Изучив наиболее популярные системы обнаружения/предотвращения вторжений, было обнаружено, что все вышеперечисленные системы работают по схемам, изображенным ниже.

На рисунке 3 представлена схема включения системы обнаружения вторжений IDS:

 

Рис 3. Схема работы IDS-системы

После установки соединения с интернет идет обмен данными. Проходя через маршрутизатор (Router), трафик идет на переключатель (Switch). В этом месте происходит сканирование сетевого трафика на наличие уязвимостей и различного рода атак. С увеличением интенсивности трафика происходит пропуск сканируемых пакетов с данными, однако на скорость работы это не влияет.

На рисунке 4 изображена схема включения системы предотвращения вторжений IDS:

Рис 4. Схема работы IPS-системы

После установки соединения идет обмен данными. Проходя через маршрутизатор (Router) трафик идет на переключатель (Switch) уже через систему предотвращения вторжений, где и происходит обработка трафика. После этого образуется защищенная сеть между хостами. При увеличении интенсивности трафика происходит замедление работы системы, что приводит к снижению общей пропускной способности.

Представленные схемы демонстрируют работу систем IPS/IDS в составе сети.  Подробная работа системы обнаружения вторжений представлена на рисунке 7:

Рис 5. Схема работы IPS-системы

Поступив в IPS, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров сводится к тому, чтобы из протоколов канального уровня (Ethernet, 802.11 …) «вытащить» данные сетевого и транспортного уровня (IP, TCP, UDP). Задачей препроцессоров является подготовка данных из протоколов транспортного и сетевого уровней к процессу применения правил. Грамотная настройка препроцессоров может заметно повысить производительность системы и снизить количество «мусорных» данных, попадающих в детектор. После настройки, но перед отправкой в детектор формируются “сверхпакеты”, к которым начинают применяться правила. Процесс применения правил сводится к поиску в “сверхпакете” определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение.


2.4. Анализ ПЛИС

В качестве оборудования для тестирования была выбрана сетевая плата netFPGA, как относительно недорогая, с необходимыми параметрами.

NetFPGA - это плата PCI с чипом Xilinx Virtex-II Pro 50, имеющая ОЗУ 64Мб и 4,5Мб SRAM памяти. Она оборудована четырьмя сетевыми интерфейсами. Максимальная пропускная способность такого интерфейса составляет 1Гбит/с. Далее следует программируемая вентильная матрица, которая способна обрабатывать поток, проходящий через эти интерфейсы. Таким образом, NetFPGA позволяет строить рабочие прототипы обработки сетевого трафика на высокой скорости. Она разгружает работу хост-процессора за счет использования своих аппаратных ресурсов.

Для реализации контекстного поиска в трафике с помощью данной платы её матрицу необходимо запрограммировать. Плата имеет на борту разъем JTAG для программирования и отладки чипа. Однако есть возможность сделать это через PCI, используя соответствующее ПО. Далее, программируя матрицу, мы можем добиться необходимой обработки трафика.

 
Заключение

В результате проделанной работы были выполнены следующие этапы исследования:

  •  Анализ существующих решений систем обнаружения вторжений
  •  Ознакомление с принципом работы большинства IDS-систем

Таким образом, исследование сети позволили, прежде всего, оценить защищенность сети в целом, найти слабые места, разработать методику повышения надежности и безопасности сетевых ресурсов.


Список литературы

  1.  http://netfpga.org/ - все о netFPGA и не только.
  2.  Джей Бил. и др. Snort 2.1. Обнаружение вторжений. — М.: ООО «Бином-Пресс», 2006 г. — 656 с.
  3.  Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. —Intrusion Signatures and Analysis, 2001. — 464 с.


 

А также другие работы, которые могут Вас заинтересовать

28549. Режим CBC 39 KB
  Дешифрование в режиме СВС Для получения первого блока зашифрованного сообщения используется инициализационный вектор IV для которого выполняется операция XOR с первым блоком незашифрованного сообщения. В режиме CBC при зашифровании каждая итерация алгоритма зависит от результата предыдущей итерации поэтому зашифрование сообщения не поддаётся расспараллеливанию. Однако расшифрование когда весь шифротекст уже получен можно выполнять параллельно и независимо для всех блоков сообщения см. Это дает значительный выигрыш во времени при...
28550. Режим CFB 66.5 KB
  Как и в режиме CBC здесь используется операция XOR для предыдущего блока зашифрованного текста и следующего блока незашифрованного текста. Таким образом любой блок зашифрованного текста является функцией от всего предыдущего незашифрованного текста. Для левых J битов выхода алгоритма выполняется операция XOR с первыми J битами незашифрованного текста Р1 для получения первого блока зашифрованного текста С1. При дешифровании используется аналогичная схема за исключением того что для блока получаемого зашифрованного текста выполняется...
28551. Режим шифрования с обратной связью по выходу (OFB) 52.55 KB
  Разница заключается в том что выход алгоритма в режиме OFB подается обратно в регистр тогда как в режиме CFB в регистр подается результат применения операции XOR к незашифрованному блоку и результату алгоритма см. Шифрование в режиме OFB Основное преимущество режима OFB состоит в том что если при передаче произошла ошибка то она не распространяется на следующие зашифрованные блоки и тем самым сохраняется возможность дешифрования последующих блоков. Дешифрование в режиме OFB Недостаток режима OFB заключается в том что он более уязвим к...
28552. Симметричные методы шифрования DES 63.46 KB
  Функция перестановки одна и та же для каждого раунда но подключи Ki для каждого раунда получаются разные вследствие повторяющегося сдвига битов ключа. Последовательность преобразований отдельного раунда Теперь рассмотрим последовательность преобразований используемую на каждом раунде. Создание подключей Ключ для отдельного раунда Ki состоит из 48 битов. На каждом раунде Ci и Di независимо циклически сдвигаются влево на 1 или 2 бита в зависимости от номера раунда.
28553. Примеры современных шифров проблема последнего блока DES 26.44 KB
  Альтернативой DES можно считать тройной DES IDEA а также алгоритм Rijndael принятый в качестве нового стандарта на алгоритмы симметричного шифрования. Также без ответа пока остается вопрос возможен ли криптоанализ с использованием существующих характеристик алгоритма DES. Алгоритм тройной DES В настоящее время основным недостатком DES считается маленькая длина ключа поэтому уже давно начали разрабатываться различные альтернативы этому алгоритму шифрования.
28554. Распределение ключей. Использование базовых ключей 13.15 KB
  Он заключается в доставке абоненту сети связи не полного комплекта ключей для связи со всеми другими абонентами а некоторой универсальной заготовки уникальной для каждого абонента по которой он может вычислить необходимый ему ключ. Пусть в сети связи действуют N абонентов занумеруем их от 0 до N1 и поставим каждому абоненту уникальный открытый идентификатор Yi из некоторого множества Y открытый в смысле общеизвестный. Генерация ключей для абонентов сети связи заключается в выработке N секретных ключей Xi из некоторого множества X....
28555. Использование маркантов или производных ключей 15.1 KB
  Заключается в использовании для шифрования не непосредственно ключей хранимых у абонентов а некоторых производных ключей из них получаемых. Заключается в использовании вместо ключа K двоичного вектора S полученного побитным суммированием K и случайного двоичного вектора M называемого маркантом при этом маркант передается в открытом виде отправителем получателю. Действительно использование одного и того же ключа но разных маркантов не снижает стойкости шифра. Однако этот метод обладает одним недостатком восстановление одного...
28557. Несимметричные системы шифрования и их построение 23.7 KB
  Эти системы характеризуются тем что для шифрования и для расшифрования используются разные ключи связанные между собой некоторой зависимостью. Один из ключей например ключ шифрования может быть сделан общедоступным и в этом случае проблема получения общего секретного ключа для связи отпадает. Поскольку в большинстве случаев один ключ из пары делается общедоступным такие системы получили также название криптосистем с открытым ключом. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями...