автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.12, диссертация на тему:Инструментальные средства проектирования виртуальных защищенных сетей на базе протоколов IPSec и IKE

ВВЕДЕНИЕ.

Общая характеристика работы.

Структура диссертации и взаимосвязь отдельных глав.

1. ТЕХНОЛОГИИ ВИРТУАЛЬНЫХ ЗАЩИЩЕННЫХ СЕТЕЙ (ВЗС).

1.1. Основные понятия ВЗС.

1.1.1. ВЗС и физические топологии.

1.1.2. ВЗС и уровни ISO/OSI модели.

1.1.3. Фильтрация трафика.

1.1.3.1. Межсетевые экраны.

Общая характеристика работы.

Диссертационная работа посвящена разработке методов автоматизированного проектирования конфигураций узлов виртуальных защищенных сетей и средств поддержки процесса проектирования в целях сокращения сроков проектирования и устранения ошибок, связанных со сложностью конфигурирования сети вручную.

В работе показано, что проектирование защищенной сети является сложным трудоемким процессом, требующим от разработчика глубоких и детальных знаний об используемых протоколах защиты трафика, средствах защиты и администрировании локальных сетей. Для успешного решения задачи проектирования защищенной сети необходимо определить политику сетевой безопасности, в рамках которой руководство организации и администратор сети определяют объекты защиты, и требования к уровню их защиты. В работе предложена структурная модель описания политики сетевой безопасности и язык описания конфигурации (LSP-язык) [14], на основе которых осуществляется процесс автоматизированного проектирования конфигурации узла виртуальной защищенной сети (КУВЗС). Разработан компилятор LSP-языка в байт-код и устойчивый к ошибкам времени выполнения интерпретатор байт-кода [12]. Полученные в работе результаты были использованы в семействе средств защиты сетевого трафика «Trusted Agent».

Актуальность работы. Потребность в надежной передаче конфиденциальной информации по открытым сетям связи стала одной из насущных потребностей в современном деловом мире. Эта потребность постоянно стимулируется развитием Интернет, как дешевой глобальной среды передачи данных [20]. Использование средств защиты сетевого трафика совместно с публичными сервисами, предоставляемыми открытыми сетями и прежде всего Интернетом, позволяет: организовать защищенный доступ удаленных сотрудников к информационным ресурсам их организации

48]; использовать дешевые Интернет-коммуникации для передачи данных между подразделениями; использовать системы компьютерной телефонии [1, 20] и т.д.

Разработчик системы информационной безопасности прежде всего должен четко представлять себе эту систему на концептуальном уровне, чтобы правильно определить основные приоритеты ее построения и взаимосвязи между отдельными компонентами.

На первом этапе развития защищенной корпоративной сети устанавливаются рабочие станции и используются штатные средства защиты операционных систем (ОС), устройства аутентификации пользователя, ! средства защиты от несанкционированного доступа, средства шифрования прикладного уровня [34, 68] и т.п. На втором этапе развития отдельные рабочие станции объединяются в локальные сети, устанавливаются выделенные серверы и организуется выход из локальной сети в Интернет.

На этом этапе применяются средства защиты сетевых ОС, средства разграничения доступа к разделяемым ресурсам, серверы аутентификации пользователей, межсетевые экраны, ргоху-серверы и т.п. Средства защиты второго уровня значительно сложнее, что отражается на их стоимости и трудоемкости установки, настройки и сопровождения.

Третий этап развития корпоративной сети состоит в объединении локальных сетей нескольких подразделений организации в единую ! корпоративную сеть с использованием в качестве коммуникационной среды публичных сетей, включая и Интернет [1]. При этом безопасность обмена информацией обеспечивается применением технологий виртуальной защищенной сети (ВЗС, VPN, Virtual Private Network) [26], которые составляют основу подсистемы информационной безопасности корпоративной сети. Технологии ВЗС, как правило глубоко интегрированы в средства защиты первого и второго уровней, а защищенные ВЗС-каналы, которые связывают маршрутизаторы доступа, межсетевые экраны и рабочие станции, составляют скелет подсистемы информационной безопасности сети.

Построение системы безопасности корпоративной сети представляет собой организационно-техническую задачу, в которой от решения организационных вопросов зависит надежность функционирования, состав и сложность реализации технических средств. В результате решения организационных вопросов формируется политика безопасности сети [29], которая определяет состав защищаемых объектов и требования к уровню их защиты. На основе утвержденной политики сетевой безопасности определяются средства, применяемые для защиты объектов сети. Как было отмечено выше, набор этих средств достаточно широк и разнообразен, что предъявляет к квалификации разработчика системы безопасности очень высокие требования и, к сожалению, оставляет место для возможных ошибок в конфигурировании средств защиты.

Необходимость в автоматизации управления программным обеспечением и устройствами, обеспечивающими защиту сети, не оставляет сомнений. Однако, сравнительная новизна данного направления и отсутствие общепринятых стандартов на описание политики сетевой безопасности (в том числе, конфигурации отдельных устройств) не позволили еще создать каких-либо эталонов для разработчиков. Возможность автоматизации конфигурирования присутствует только в нескольких программных продуктах. К сожалению, последние не являются универсальными, каждое решение хорошо подходит только для определенной конфигурации сети.

Таким образом, автоматизация процесса конфигурирования средств защиты корпоративной сети, в частности, виртуальных защищенных сетей является актуальной задачей. Для решения этой задачи необходима формализованная модель описания политики сетевой безопасности, язык или языки описания конфигураций для отдельных узлов сети и средства автоматического преобразования описания политики в правила защиты и конфигурацию применяемых средств защиты.

Целью диссертационной работы является разработка метода автоматизированного проектирования конфигураций для программного обеспечения, реализующего виртуальные защищенные сети, и средств поддержки процесса проектирования.

Основные задачи исследования:

1) провести общий анализ технологий защиты информации в корпоративных сетях;

2) на основании результатов общего анализа разработать структурную модель описания политики сетевой безопасности;

3) разработать язык описания конфигурации узла виртуальной защищенной сети, как основу для автоматизированного автоматизированного преобразования политики сетевой безопасности корпоративной сети в конфигурации узлов ВЗС;

4) разработать структуру (байт-код) внутреннего представления процедур фильтрации сетевого трафика и устойчивый к ошибкам интерпретатор байт-кода;

5) провести оценку быстродействия разработанного интерпретатора.

Методы исследования. Для решения поставленной задачи использовались математический аппарат теории множеств, теории графов, теории алгоритмов и теории формальных грамматик. Основные результаты проверены в результате промышленной эксплуатации программного комплекса.

Научная новизна работы.

1. Проведен общий анализ современных технологий, используемых для защиты корпоративных сетей.

2. Разработана структурная модель для описания политики сетевой безопасности, учитывающая специфику современных протоколов защиты информации в вычислительных сетях.

3. Разработан синтаксис языка описания конфигурации узла виртуальной защищенной сети, вошедший в систему защиты сетевого трафика «Trusted Agent» и используемый как основа для автоматизированного конфигурирования ПО защиты сетевого объекта.

4. На основе описания сетевой политики безопасности разработан алгоритм автоматизированного формирования конфигураций программного обеспечения защиты сетевого объекта.

Практическая значимость диссертационной работы заключается в том, что полученные в ней результаты позволяют упростить процесс конфигурирования виртуальной защищенной сети и создают основу для разработки полномасштабной системы автоматизированного проектирования системы защиты корпоративной сети.

Внедрение результатов.

Основные результаты получены автором на кафедре «Проектирование и конструирование интегральных микросхем» Московского государственного института электронной техники (МГИЭТ) и предприятии «ТВС Лимитед». На основании полученных автором результатов LSP-язык и подсистема расширенной фильтрации применяется в системах защиты сетевого трафика «Застава» («Trusted Agent»), распространяемой компанией "ЭЛВИС-ПЛЮС".

Достоверность полученных результатов подтверждается:

1) экспериментальным тестированием разработанных подсистем;

2) коммерческой эксплуатацией разработанных подсистем в составе системы защиты сетевого трафика «Застава» на следующих предприятиях: Центральный Банк РФ, ОАО НК «Лукойл» и его дочерних предприятиях, РАО «ЕЭС России» и его дочерних предприятиях, Государственная Корпорация «АРКО», ОАО «Русский Алюминий», ГУП «АВПК Сухой», ЮНИКОРБанк и др.

3) актом о том, что результаты диссертационной работы использованы в проектно-конструкторской деятельности организации ОАО «ЭЛВИС-ПЛЮС» при разработке и установке систем сетевой защиты информации, от 2002 года.

Личный вклад автора.

Основными из полученных автором результатов, являются:

1) структурная модель описания политики сетевой безопасности;

2) синтаксис языка описания конфигурации узла виртуальной защищенной сети;

3) структура байт-кода для внутреннего представления процедур расширенной фильтрации сетевого трафика;

4) алгоритмы и реализация устойчивого к ошибкам интерпретатора процедур расширенной фильтрации;

5) экспериментальное исследование характеристик интерпретатора;

6) разработка подсистемы расширенной фильтрации в составе системы защиты сетевого трафика;

7) эвристические алгоритмы анализа структуры описания политики сетевой безопасности.

Положения, выносимые на защиту:

1) структурная модель описания политики сетевой безопасности;

2) алгоритм преобразования описания политики сетевой безопасности сети в конфигурацию ПО защиты сетевого объекта;

3) синтаксис языка описания конфигурации узла ВЗС;

4) устойчивый к ошибкам времени выполнения интерпретатор процедур расширенной фильтрации;

Апробация работы.

Основные научные положения и практические результаты диссертационной работы обсуждались на заседаниях кафедры «ПКИМС» МИЭТ, на научно-технических совещаниях компании «ТВС Лимитед», докладывались на 5 всероссийских конференциях. Некоторые ранее разработанные компоненты в составе системы защиты представлялись на международной выставке «International Internet Associate Symposium 1997» в Берлине и тестировались на рабочих семинарах серии "VPN Interproperability Workshop".

Публикации.

Материалы, отражающие основное содержание работы, опубликованы в статье журнала «Известия Вузов» и 5 научных докладах всероссийских научно-технических конференций.

Структура диссертации и взаимосвязь отдельных глав.

Диссертация изложена на 137 страницах основного текста, состоит из введения, 4 глав, заключения, списка литературы из 68 наименований и 4 приложений, содержит 17 рисунков и 17 таблиц.

Основные результаты, полученные в диссертационной работе, следующие:

1. Проведен анализ подходов к построению корпоративных защищенных сетей. При этом учтены особенности современных протоколов криптографической защиты сетевого трафика, протоколов обмена ключами и архитектурные решения, применяемые при построении защищенных сетей. В результате обосновано, что сложная задача построения корпоративной защищенной сети должна решаться с применением методов автоматизации проектирования, опирающихся на модель корпоративной политики сетевой безопасности и язык описания конфигураций узлов виртуальной защищенной сети.

2. Разработана формальная модель описания политики безопасности виртуальной защищенной сети, состоящая из центрального описания политики сети и множества конфигураций для отдельных узлов сети. Предложенный подход к описанию политики сетевой безопасности позволяет применять на верхнем уровне типовые сценарии защиты, освобождая разработчика системы безопасности от необходимости определять множество параметров используемых протоколов защиты, и автоматически преобразовывать описание верхнего уровня в конфигурации для конкретных сетевых объектов. На основе разработанной модели предложен обобщенный алгоритм преобразования описания политики сетевой безопасности в конфигурацию для узла сети.

3. Сформулированы требования к языку описания конфигурации узла виртуальной защищенной сети, на основе которых предложена двухуровневая структура и формализован синтаксис LSP-языка, являющегося основой для автоматизированного формирования КУВЗС. Предложенный подход позволяет использовать разные грамматики контекстно-свободного класса для двух частей КУВЗС, наиболее подходящие для своей задачи (описания конфигурации защищенных соединений и описания алгоритмов фильтрации). При этом обеспечивается возможность разработки подпрограмм фильтрации на LSP-языке и использование их независимо от локальных настроек и адресов конкретного компьютера в сети.

4. Разработана подсистема расширенной фильтрации, составляющая ядро системы защиты сетевого трафика. Разработан интерпретируемый байт-код для представления модулей расширенной фильтрации и реализован устойчивый к ошибкам интерпретатор модулей фильтрации. Проведена оптимизация интерпретатора, которая привела к увеличению его производительности на 30-40%, что подтверждается результатами тестирования.

5. Предложены алгоритмы для объединения одинаковых структур и устранения лишних правил в описании КУВЗС, применение которых позволяет сократить объем конфигурации, ускорить поиск правил фильграции и выявить потенциальные ошибки в описании КУВЗС.

Полученные результаты, в частности, язык описания конфигурации узла виртуальной защищенной сети применяется в серии пакетов "Застава 3" ("Trusted Agent"); компилятор и интерпретатор подпрограмм расширенной фильтрации вошли в состав пакетов "Застава 2" и "Застава 3".

В качестве направления для дальнейшего исследования может быть предложены разработка языка для описания политики безопасности сети и усовершенствование алгоритмов преобразования ОСПБ в конфигурации программного обеспечения защиты сети, учитывающих особенности конкретных реализаций протоколов и современные расширения стандартов. В частности, распространение протоколов IPv6 [38] в сети Интернет потребует существенных доработок многих существующих систем защиты сетей и, как следствие, средств для их конфигурирования.

СПИСОК ОСНОВНЫХ СОКРАЩЕНИЙ

ВЗС Виртуальная Защищенная Сеть

КУВЗС Конфигурация Узла Виртуальной Защищенной Сети ОС Операционная Система

ОСПБ Описание Сетевой Политики Безопасности АН Authentication Header, протокол IPsec для проверки целостности данных

ESP Encapsulating Security Payload, протокол IPsec для проверки целостности и шифрации данных ICMP Internet Control Message Protocol, протокол обмена служебными сообщениями для IP IKE Internet Key Exchange, протокол обмена ключами для IPsec

IP Internet Protocol, стандартный протокол Интернет версии 4

IPsec Internet Protocol security, стандартные протоколы криптографической защиты Интернет (ESP, АН) IPv6 Internet Protocol version 6, протокол Интернет версии 6

LAN Local Area Network, локальная сеть

LSP Local Security Policy, локальная политика безопасности

PKI Public Key Infrastructure, структура обеспечивающая управление криптографическими ключами и цифровыми сертификатами SIM Security Information Management, управление сетевой безопасностью

SNMP Simple Network Management Protocol, протокол управления сетевыми устройствами TCP Transmission Control Protocol, протокол, обеспечивающий надежную передачу данных по IP TLS Transport Layer Security, сетевой протокол криптографической защиты, работающий на уровне приложений UDP User Datagram Protocol, простейший протокол обмена пакетами

ЗАКЛЮЧЕНИЕ.

1. Березин Андрей. Модернизация с прицелом на защиту. - Сетевой журнал. -2001. - № 2. - http://www.setevoi.ru

2. Братчиков И.Л. Синтаксис языков программирования. Наука 1975. -232с.

3. Вайнгартен Ф. Трансляция языков программирования. Издательство Мир 1977.- 190с

4. Вирт. Н. Программирование на языке Модула-2. М.: Мир, 1987. - 224с.

5. Галатенко В., Трифоленков И. Введение в безопасность в Internet.// Материалы конференции "Internet Россия '96". -http://www.mivlgu.murom.ru/page/radio/archiv/cd/internet/iinet96/14.htm

6. Голышко А.В. Интернет для корпоративного пользователя. Проблема доступа. // Технологии и средства связи. 1999. - №5. - стр. 12-16.

7. Дмитриев И.И. Как защитить корпоративную сеть. Технологии и средства связи. №5 1999. - сс 88-89

8. Дмитриев И.И., Т.Т.Рындина Т.Т., Сахаров И.Т. Критерии выбора межсетевых экранов. // Технологии и средства связи. 1999. - №4 - С.82-86.

9. Евстигнеев В.А. Применение теории графов в программировании. Наука. Главная редакция физико-математической литературы, 1985 - 352 с.

10. Корнилов К.А. Компилятор для правил обработки сетевого трафика. // Микроэлектроника и информатика 2002. Девятая всероссийская межвузовская научно-техническая конференция студентов и аспирантов: тезисы докладов. МИЭТ, 2002. - С. 152.

11. Корнилов К.А. Межсетевой экран для реализации протоколов IPsec. // Микроэлектроника и информатика 2000. Седьмая всероссийская межвузовская научно-техническая конференция студентов и аспирантов: тезисы докладов. МИЭТ, 2000. - С. 146.

12. Корнилов К.А. Отказоустойчивый интерпретатор для фильтрации сетевого трафика. // Радиоэлектроника, электротехника и энергетика.

13. Восьмая международная научно-техническая конференция студентов и аспирантов. Тезисы докладов. Том 1. МЭИ 2002. - С.322.

14. Корнилов К.А. Язык для конфигурирования межсетевых экранов и реализаций IPsec. // Известия Вузов. Электроника. 2002. (принята к публикации).

15. Корнилов К.А. Язык описания конфигурации узла виртуальной защищенной сети. // Микроэлектроника и информатика 2001. Восьмая всероссийская межвузовская научно-техническая конференция студентов и аспирантов: тезисы докладов. МИЭТ, 2001. - С.243.

16. Крылов П.В., Корнилов К.А. Общая схема авторизации доступа на основе цифровых сертификатов. // Микроэлектроника и информатика 99. Всероссийская межвузовская научно-техническая конференция студентов и аспирантов: тезисы докладов. МИЭТ, 1999. - С. 197.

17. Льюис Ф., Розенкранц Д., Стирнз Р. Тероретические основы проектирования компиляторов. Издательство Мир, 1979. - 654с.

18. Морриси П. Семь межсетевых экранов масштаба предприятия. // Сети и системы связи. 1999. - №2. - http://www.ccc.ru/magazine/depot/9902.

19. Непли Э., Платт Р. Программирование на языке Модула-2. М.: Радио и связь, 1989.-304с.

20. Сергей Нестеров. Межсетевые экраны: надежная защита стоит дорого. // Журнал Мир Интернет. 1999 - № 9 (36).http ://www. iworld.ru/magazine/index.phtml?do=shownumber&m=25159057

21. Родионов Д.Е. Сравнительный обзор программного обеспечения защищенной IP-телефонии. // Компьютерная телефония. 1999. - №1. - С. 68-70.

22. Руководящий Докумнет. Средства вычислительной техники межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. http://www.infotecs.ru/gtc/Newversion/RDsredstva.htm

23. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК Пресс, 2002. - 656с.

24. Abelson, Н. Structure and Interpretation of Computer Programs.- MIT Press, 1996. 657p.

25. Bergin Thomas J., Gibson Richard G. The History of Programming Languages II. - ACM Press, 1995

26. Bloch, J. Effective Java Programming Language Guide.- Addison-Wesley, 2001.- 252p.

27. Brenton, Chris. Mastering Network Security. SYBEX, 1999.

28. Building Internet Firewalls / Elizabeth D.Zwicky, Simon Cooper, D.Brent Chapman, Deborah Russel. O'Reilly 2000.

29. Chirillo, John. Hack Attacks Encyclopedia. A complete history of hacks, cracks, phreaks, and spies over time. John Wiley & Sons, Inc., 2001.

30. Curry David A. UNIX System Security. A Guide for Users and System Administrators. Addison-Wesley, 1992.

31. Common Information Model (CIM) Specification. / Distributed Management Task Force. 1999. - http://www.dmtf.org

32. Extended Authentication within IKE (XAUTH) / S. Beaulieu, R. Pereira (Cisco Systems). internet draft draft-beaulieu-ike-xauth-01 .txt - 2001.

33. Ford Warwick, Baum Michael S. Secure electronic commerce: building the infrastructure for digital signatures and encryption. Prentice-Hall PTR, 1997.

34. FreeS/WAN documentation. http://www.freeswan.org

35. Garfinkel, Simson. PGP: Pretty Good Privacy. O'Reilly & Associates, 1995. -393p.

36. Garfinkel, Simson, Spafford, Gene. Practical UNIX & INTERNET security. -O'Reilly & Associates, 1996. 97 lp

37. Graham, P. ANSI Common LISP.- Prentice Hall, 1995.- 432p.

38. Grune D., Jacobs C. Parsing Techniques. A Practical Guide. Vrije Universiteit, Amsterdam.

39. Huitema, C. Ipv6: The New Internet Protocol. Prentice Hall, 1998.

40. Internet Security Professinal Reference. / Derec Atkins, Paul Buis, Chris Hare, Robcii Kelley, Carey Nachenberg, Anthony B. Nelson, Paul Phillips, Tim Ritchey, William Steen -New Riders Publishing, 1996. 908p.

41. IPsec Network & Policy model / Distributed Management Task Force, Network Workgroup. // DMTF2001 Developer's Conference. 2001

42. ISAKMP & IKE Extension Methods / T.Kivinen (SSH Communications Security). Internet draft draft-ietf-ipsec-ike-ext-meth-04.txt - 2000.

43. L2TP: Implementation and Operation (The Addison-Wesley Networking Basics Series).- Addison-Wesley, 1999.- 304p.

44. Lindholm Т., Yellin F. The Java(TM) Virtual Machine Specification.-Addison-Wesley, 1999.-473p.

45. Markham T. "Internet Security Protocol". // Dr. Dobb's Journal. 1997. - June.

46. Maximum Linux Security. A Hacker's Guide to Protecting Your Internet Site and Network. Sams.Net, 2000.

47. Maximum Security. A Hacker's Guide to Protecting Your Internet Site and Network. Sams.Net, 1997.

48. McClain, Garry R. Open Systems Interconnection Handbook. Multiscience Press, 1991.- 393p.

49. Muchnick, Steven S. Advanced compiler design and implementation. Morgan Kaufmann Publishers, 1997. - 856p.

50. Pfleeger Charles P. Security In Computing. 1997. - 574p.

51. RFC768, User Datagram Protocol. / Postel J. Information Sciences Institute, University of Southern California, 1980.

52. RFC791, Internet protocol, DARPA Internet program protocol specification. / Postel J. Information Sciences Institute, University of Southern California, 1981.

53. RFC792, Internet control message protocol, DARPA Internet program protocol specification. / Postel J. Information Sciences Institute, University of Southern California, 1981.

54. RFC793, Transmission Control Protocol, DARPA Internet program protocol specification. / Postel J. Information Sciences Institute, University of Southern California, 1981.

55. RFC2401, Security Architecture for the Internet Protocol / S.Kent, BBN Corp, R. Atkinson, @Home Network. 1998.

56. RFC2402, IP Authentication Header. / S.Kent (BBN Corp), R.Atkinson (@Home Network). 1998.

57. RFC2406, IP Encapsulating Security Payload (ESP). / S.Kent (BBN Corp), R. Atkinson (@Home Network). 1998.

58. RFC2409, The Internet Key Exchange (IKE) / D.Harkins, D.Carrel. 1998.

59. RFC2246, The TLS Protocol Version 1.0. / T. Dierks (Certicom), C.Allen (Certicom). 1999.

60. RFC2661, Layer Two Tunneling Protocol (L2TP) / Townsley, W., Valencia, A., Rubens, A., Pall, G., Zorn, G., and Palter, B. 1999.

61. Sidel Scott. Command, Contain, Control. // Журнал Information Security -2002. Январь.http://www.infosecuritymag.com/2002/jan/featurescommand.shtml

62. Stallings, William. Cryptography and network security. Principles and practice. Prentice-Hall PTR, 1999. - 569p.

63. Stevens, Richard W. UNIX Network Programming Volume 1. Prentice-Hall PTR, 1997.

64. Vennrs, B. Inside The Java Virtual Machine.- Mc-Graw Hill, 2000.-624p.

65. VPN-1 Pro Enterprise Management. http://www.checkpoint.com

66. Wayner, Peter. Digital Copyright Protection. Academic Press, 1997.

67. Wexelblat, Richard L. History of Programming Languages. Academic Press, 1981.

68. Zimmerman, Phillip. PGP User's Guide. - Builder, Colo., 1994.