Разработка системы фильтрации и защиты сетевого трафика
advertisement
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы А.А. СТАНКЕВИЧУС Научный руководитель – Е.В. МИНАЕВА, к.т.н., доцент Московский инженерно-физический институт (государственный университет) РАЗРАБОТКА СИСТЕМЫ ФИЛЬТРАЦИИ И ЗАЩИТЫ СЕТЕВОГО ТРАФИКА В операционных системах Windows ХР/2003 существует недостаток функций контроля сетевого доступа и обнаружения вторжений, что открывает их для различного рода атак. На данный момент существует ряд программно-аппаратных межсетевых экранов [1-2], позволяющих относительно надежно защитить сеть, но эти решения достаточно дороги. Многие существующие на данный момент персональные межсетевые экраны для операционной системы Windows XP/2003 не позволяют выполнять фильтрацию на основе полей заголовка протокола IPX [1-3], что делает применение клиента для сетей Novell NetWare в операционной системе Windows небезопасным. Существует потребность в персональном межсетевом экране для операционной системы Windows, позволяющем выполнять фильтрацию трафика на основе полей заголовка протокола IPX. Широкое распространение получили беспроводные сетевые технологии. Во многих сетях уже имеются беспроводные мосты и точки доступа для мобильных клиентов. При этом многие встроенные в сетевое оборудование средства обеспечения безопасности беспроводных сетей поддерживают иностранные криптографические стандарты (такие как WEP и WPA использующие алгоритм шифрования RC4), стойкость которых спорна [4-5]. На рынке ощущается нехватка в средствах беспроводной связи, реализующих защиту передаваемых данных при помощи отечественных криптографических алгоритмов. Реализация систем фильтрации трафика и обнаружения вторжений возможна в виде персональной системы, обрабатывающей только трафик, предназначенный или исходящий только от ЭВМ, на которой она установлена, либо в виде «сетевой» системы, обрабатывающей весь трафик, проходящий по сегменту сети [6]. «Сетевые» системы способны обнаруживать больший процент атак, однако персональные системы требуют в несколько раз меньшего количества системных ресурсов и не требуют установки выделенного сервера, что резко снижает стоимость и тем самым повышает доступность решения. Реализация систем защиты от сетевых атак возможна в виде «пассивной» системы обнаружения вторжений либо в виде «активной» системы ISBN 5-7262-0636-3. XIII Всероссийская научная конференция 137 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы предотвращения вторжений [7]. «Активная» система обеспечивают более высокий уровень защиты, но требуют существенно большего количества системных ресурсов чем «пассивная». «Гибридные» системы, активно предотвращающие только часть сетевых атак, представляются в сложившихся условиях оптимальным выбором. Автором данной статьи разработана система фильтрации и защиты сетевого трафика для ЭВМ под управлением операционной системы Windows XP и Windows 2003 Server. Разработанная система является персональным межсетевым экраном с «гибридной» системой обнаружения и предотвращения вторжений и возможностью шифрования сетевого трафика. Система позволяет обеспечить для каждой защищаемой ЭВМ безопасность входящего и исходящего трафика на всех закрепленных за ней сетевых интерфейсах, а так же обеспечить хорошо масштабируемую архитектуру сети. Применение разработанной системы может привести к удешевлению и упрощению реализации и управления решением безопасности в корпоративной сети. Ядро безопасности разработанной системы реализовано в виде NDISдрайвера промежуточного уровня [8] и располагается между драйвером сетевой карты и стеком протоколов - ниже, чем защищаемые приложения. Это позволяет разработанной системе закрыть все неиспользуемые порты, ограничивая таким образом доступ к NT-приложениям и сервисам операционной системы. Разработанная система позволяет осуществлять фильтрацию по полям заголовков различных сетевых протоколов, в том числе IP и IPX, а так же шифрование трафика по алгоритму ГОСТ 28147-89. Разработанный драйвер и компонент, выполняющий отображение журнала операций, включены в состав Персонального Центра Защиты, разрабатываемого в НТЦ «Атлас». Список литературы 1. Межсетевой экран "Цитадель МЭ", версия 2.0. http://www.atlasnsk.ru/VPN/citadel.shtml 2. Межсетевой экран ЗАСТАВА. http://www.zastava.ru/zastava_firewall.shtml 3. Персональный экран (ПЭ) «Блокпост – Экран 2000/XP». http://www.altx.ru/ekran.html 4. Атаки на WEP. http://www.telcon.ru/articles/analytics/1292/ 5. Vebjorn Moen, Havard Raddum, Kjell J.Hole. Weaknesses in the Temporal Key Hash of WPA. 2005, Dept. of Informatics, Univ. of Bergen. 6. Обнаружение атак, сетевой или системный уровень? Руководство по выбору технологии обнаружения атак. http://www.citforum.ru/security/internet/netsys/netsys.shtml 7. Системы защиты: фокус на комплексные решения. http://www.citforum.ru/security/articles/sec_systems/ ISBN 5-7262-0636-3. XIII Всероссийская научная конференция 138 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы 8. Реализация защиты на уровне сетевого драйвера промежуточного уровня. http://predpinimatelcd.com.ru/book/Programming/Book.PogrammingSistemSecurity/Glava%204/Index15.htm ISBN 5-7262-0636-3. XIII Всероссийская научная конференция 139
