Структура параллельного VPN

ГНЦ ЦНИИ РТК
А.П. Лубанец
В.С. Заборовский
Концепция кластера
информационной
безопасности
Параллельные VPN-шлюз
и анализатор сетевого
трафика
г. Нижний Новгород
26 ноября 2002 года
2
Содержание
Постановка задачи обеспечения ИБ в
современных ИС и пути ее решения
 Концепция кластера информационной
безопасности
 Параллельный VPN-шлюз
 Параллельный
анализатор сетевого
трафика
 Выводы
 Перспективы развития

3
Аспекты обеспечения ИБ в
современных ИС
Аспект обеспечения
Производительность
Фильтрация
Желательно
Анализ трафика
Критично
Обнаружение атак
Критично
Криптография
Критично
Инспекция пакетов
Критично
4
Концепция разработки технических
средств для обеспечения ИБ
Базовая
предпосылка:
Задачи управления и обеспечения ИБ
обладают
иерархической
структурой,
характеризуются
распределенность
и
внутренним параллелизмом
Положение 1
Передача данных и управляющих воздействий
происходит
по
разным
(физическим
и
логическим) каналам
Положение 2
Устройства
защиты,
не
являющиеся
источниками или приемниками пакетов (МЭ,
IDS, анализаторы), могут не иметь адресов (IP,
MAC)
Положение 3
Для масштабирования
производительности
технические средства обеспечения ИБ строятся
на базе кластеров
5
Технические требования к средствам
обеспечения ИБ
Масштабируемость
 Производительность
 Надежность
 Использование
стандартов
(стеки
протоколов,
сетевые
интерфейсы,
криптографические алгоритмы)
 Разделение управляющего и рабочего
контура


Сетевые стелс-технологии
(патентованная технология ЦНИИ РТК)
6
Преимущества использования
кластерных технологий
 Масштабируемость
 Производительность
 Надежность
 Использование
стандартов (стеки
протоколов, сетевые
интерфейсы)
 Разделение управляющего и
рабочего контура
7
Концепция кластера информационной
безопасности (КИБ)

Масштабирование технических средств
 использование
централизованного
высокопроизводительного ресурса
 кластеризация подобных устройств


Обеспечение
комплексной
ИБ
(универсальность КИБ)
Использование
специализированных
сетевых
процессоров
(технические
средства, позволяющие обрабатывать
сетевые транзакции, не обнаруживая себя
в сети)
8
Масштабирование в рамках концепции
КИБ
Централизованный
ресурс
Кластеризация
Кластер
Ведущий
Ведомый
VPN-шлюз 2
...
VPN-шлюз N
UPS
Магистраль
VPN-шлюз 1
VPN-шлюз
Ведомый
Магистраль
9
Обеспечение комплексной ИБ
в КИБ
 Межсетевые экраны (МЭ)
 VPN-шлюзы
 Системы обнаружения
вторжений (IDS)
 Анализаторы лог-файлов МЭ
 Инспекция пакетов с учетом
протокола (stateful inspection)
10
Специализированные сетевые
процессоры
Ввод
Программный
канал - стек
TCP/IP
Ядро ОС
Системные вызовы
Вывод
Программный
канал - стек
TCP/IP
Прикладные процессы
.
Базовые команды – посылка/прием/удаление пакетов (put, get, del)
Пакет – совокупность заголовка и данных
Структура - данные могут быть пакетом
коллектор
Общая структура
сетевого процессора
(СП)
СП
управление
база
эмиттер
11
Реализация технических средств
обеспечения ИБ в соответствие с
концепцией КИБ
Пилотные образцы компонентов КИБ:
 Параллельный анализатор логфайлов МЭ
Конвертация лог-файлов межсетевых
экранов и визуализация процессов
происходящих в сети.
 Параллельный VPN-шлюз
Организация шифрованных туннелей в
соответствии с парадигмой виртуальных
частных сетей (VPN).
12
Технические требования к реализации
параллельного VPN-шлюза
Масштабируемая за счет
использования централизованного
масштабируемого ресурса
архитектура
 Модульная структура
 Использование стандартов
(межсетевое взаимодействие, языки
программирования,
криптографические алгоритмы)

13
Выполнение требований
к реализации параллельного VPNшлюза



Использование в качестве масштабируемого
централизованного
ресурса
сетевого
высокопроизводительного
параллельного
кластера с распределенной памятью (MPICH
1.2.3, рабочий контур Gigabit Ethernet, контур
управления и доступа к дисковому массиву –
Fast Ethernet)
VPN-шлюз состоит из следующих модулей:
сетевой
процессор,
планировщик
и
вычислительное ядро
Использование стандартов: TCP/IP, ANSI C,
MPI 1.1, POSIX.1b; криптоалгоритмы ГОСТ
14
Структура параллельного VPNшлюза
MPI-кластер
(вычислительное ядро)
Библиотека
примитивов
MPI
Параллельное
вычислительное
ядро
Библиотека
криптографических функций
Планировщик
1) Взаимодействие с
сетевым
процессором и ядром
2) Монитор ресурсов
Планировщик
3) Блок управления и
контроля состояния
VPN-каналов
Сетевой
процессор
1) Прозрачное
взаимодействие со
средой передачи
пакетов
Сетевой
процессор
2) Взаимодействие с
планировщиком
15
Вычислительное ядро
параллельного VPN-шлюза






Явный параллелизм: структурный (теория
групповых коммуникаций) и физический (MPI)
Масштабируемость (свойство кластера)
Интероперабельность
(межплатформенное
взаимодействие)
Мобильность (межплатформенный перенос)
Функциональная простота (функционально
конечные группы процессов, оперирование
пакетами определенного формата)
Инвариантность по отношению к данным
16
Структура вычислительного ядра
параллельного VPN-шлюза
Группа
координатора
Прием и
распределение
пакетов
Координатор
Рабочая группа
1) Генерация базиса и
ключей
2) Процедура
восстановления
Группа
сборщика
Проверка
пакетов и
передача
Сборщик
3) Процедура
шифрования
Процесс-исполнитель 1
Запросы от
планировщика
(пакеты на
обработку)
...
Процесс-исполнитель N
Ответы
планировщику
(обработанные
пакеты)
17
Тестирование параллельного VPNшлюза
Исследованы следующие характеристики:
 Зависимость
производительности
от
вычислительной мощности кластера
 Сравнение
двух подходов передачи
данных: с записью в сетевую память и без
таковой
 Накладные расходы на использование
параллельной среды выполнения MPICH
18
Результаты тестирования
параллельного VPN-шлюза



Линейный рост производительности кластера
(в среднем 50% на каждый узел; предельный
70%; 300% для пяти узлов) => VPN-шлюзы
заданной производительности
Незначительные временные затраты на
параллельную с обработкой запись на
устройства сетевой памяти => анализаторы
трафика, IDS, сетевые сенсоры
Накладные расходы на использование
параллельной среды выполнения MPICH не
имеют
существенного
значения
для
низколатентной среды
19
Технические требования к реализации
параллельного анализатора
 Масштабируемая
архитектура (использование
кластеризации)
 Модульная структура
 Использование стандартов на
межсетевое взаимодействие и
языки программирования
20



Выполнение требований
к реализации параллельного
анализатора
Масштабирование путем кластеризации
однотипных устройств, каждое из
которых в автономном режиме является
самодостаточным устройством
Анализатор состоит из следующих
модулей:
СУБД,
планировщик,
конверторы и сервер сетевой памяти
(NAS-сервер)
Использование стандартов: TCP/IP и
ANSI С
21
Структура параллельного
анализатора
Масштабируемая часть
Кластер
NFS
Конвертер
Сервер
визуализации
NFS
Планировщик
NFS
МЭ
МЭ
МЭ
NAS
Сервер СУБД
Станция
управления
22
Тестирование параллельного
анализатора
Автономное устройство
 Кластер устройств в конфигурации:
 4 конвертера
 1 управляющий узел
 Совмещенный сервер (сервер СУБД,
сетевой
памяти
NAS,
сервер
визуализации)

23
Результаты тестирования
параллельного анализатора
В качестве нагрузки использовалась лог-файлы
от межсетевого экрана в корпоративном
сегменте из нескольких десятков рабочих
станций. Скорость поступления лог-файлов в
среднем 100 Кбайт/сек.
Конвертирование лог файлов на параллельной
анализаторе указанной конфигурации
производилось в 15 раз быстрее по сравнению с
автономным устройством.
24
ВЫВОДЫ



Свойство внутреннего параллелизма обработки
сетевого трафика позволяет производить его
обработку на параллельных вычислительных
кластерах
Для обработки можно использовать как уже
имеющиеся кластеры с разделяемой памятью
(опытные образцы устройств), так и
специализированные (серийные устройства)
С помощью технологий кластеризации возможно
повышение как производительности, так и
надежности устройств, входящих в состав КИБ
25
Проблемы современных систем
обеспечения ИБ





Сложность инфрастуктуры: сетевой, данных и
приложений
Список уязвимостей сетевого оборудования,
программного обеспечения постоянно растет
Вероятность проведения успешной атаки при
наличии времени и усердия
Сложность конфигурации средств защиты требует
от администратора безопасности высокой
квалификации
Современные средства защиты способны лишь
блокировать атаку, но ни предотвратить, ни
выявить последствия
26
Перспективное применение кластерных
технологий в системах обеспечения ИБ
Решение проблемы:
 Защита в реальном времени
 Адаптация средств защиты к меняющимся
условиям инфраструктуры
 Реализация безопасности на этапах
подготовки атаки, во время и на этапе
завершения
Применение технологии активного
аудита или адаптивного управления
безопасностью
27
Активный аудит (адаптивное
управление безопасностью)
Состав системы:
 Средства анализа защищенности и
поиска уязвимости объектов
информационной системы
 Средства обнаружения и анализа атак
 Средства адаптации и управления
настройками средств защиты в режиме
реального времени при изменении
инфраструктуры или атаках
ГНЦ ЦНИИ РТК
Контактная
информация
Адрес: 194064, СанктПетербург, Тихорецкий пр., 21
Тел.: (812) 552-0660
Факс: (812) 552-4512
[email protected]
www.rtc.ru
г. Нижний Новгород
26 ноября 2002 года