ГНЦ ЦНИИ РТК А.П. Лубанец В.С. Заборовский Концепция кластера информационной безопасности Параллельные VPN-шлюз и анализатор сетевого трафика г. Нижний Новгород 26 ноября 2002 года 2 Содержание Постановка задачи обеспечения ИБ в современных ИС и пути ее решения Концепция кластера информационной безопасности Параллельный VPN-шлюз Параллельный анализатор сетевого трафика Выводы Перспективы развития 3 Аспекты обеспечения ИБ в современных ИС Аспект обеспечения Производительность Фильтрация Желательно Анализ трафика Критично Обнаружение атак Критично Криптография Критично Инспекция пакетов Критично 4 Концепция разработки технических средств для обеспечения ИБ Базовая предпосылка: Задачи управления и обеспечения ИБ обладают иерархической структурой, характеризуются распределенность и внутренним параллелизмом Положение 1 Передача данных и управляющих воздействий происходит по разным (физическим и логическим) каналам Положение 2 Устройства защиты, не являющиеся источниками или приемниками пакетов (МЭ, IDS, анализаторы), могут не иметь адресов (IP, MAC) Положение 3 Для масштабирования производительности технические средства обеспечения ИБ строятся на базе кластеров 5 Технические требования к средствам обеспечения ИБ Масштабируемость Производительность Надежность Использование стандартов (стеки протоколов, сетевые интерфейсы, криптографические алгоритмы) Разделение управляющего и рабочего контура Сетевые стелс-технологии (патентованная технология ЦНИИ РТК) 6 Преимущества использования кластерных технологий Масштабируемость Производительность Надежность Использование стандартов (стеки протоколов, сетевые интерфейсы) Разделение управляющего и рабочего контура 7 Концепция кластера информационной безопасности (КИБ) Масштабирование технических средств использование централизованного высокопроизводительного ресурса кластеризация подобных устройств Обеспечение комплексной ИБ (универсальность КИБ) Использование специализированных сетевых процессоров (технические средства, позволяющие обрабатывать сетевые транзакции, не обнаруживая себя в сети) 8 Масштабирование в рамках концепции КИБ Централизованный ресурс Кластеризация Кластер Ведущий Ведомый VPN-шлюз 2 ... VPN-шлюз N UPS Магистраль VPN-шлюз 1 VPN-шлюз Ведомый Магистраль 9 Обеспечение комплексной ИБ в КИБ Межсетевые экраны (МЭ) VPN-шлюзы Системы обнаружения вторжений (IDS) Анализаторы лог-файлов МЭ Инспекция пакетов с учетом протокола (stateful inspection) 10 Специализированные сетевые процессоры Ввод Программный канал - стек TCP/IP Ядро ОС Системные вызовы Вывод Программный канал - стек TCP/IP Прикладные процессы . Базовые команды – посылка/прием/удаление пакетов (put, get, del) Пакет – совокупность заголовка и данных Структура - данные могут быть пакетом коллектор Общая структура сетевого процессора (СП) СП управление база эмиттер 11 Реализация технических средств обеспечения ИБ в соответствие с концепцией КИБ Пилотные образцы компонентов КИБ: Параллельный анализатор логфайлов МЭ Конвертация лог-файлов межсетевых экранов и визуализация процессов происходящих в сети. Параллельный VPN-шлюз Организация шифрованных туннелей в соответствии с парадигмой виртуальных частных сетей (VPN). 12 Технические требования к реализации параллельного VPN-шлюза Масштабируемая за счет использования централизованного масштабируемого ресурса архитектура Модульная структура Использование стандартов (межсетевое взаимодействие, языки программирования, криптографические алгоритмы) 13 Выполнение требований к реализации параллельного VPNшлюза Использование в качестве масштабируемого централизованного ресурса сетевого высокопроизводительного параллельного кластера с распределенной памятью (MPICH 1.2.3, рабочий контур Gigabit Ethernet, контур управления и доступа к дисковому массиву – Fast Ethernet) VPN-шлюз состоит из следующих модулей: сетевой процессор, планировщик и вычислительное ядро Использование стандартов: TCP/IP, ANSI C, MPI 1.1, POSIX.1b; криптоалгоритмы ГОСТ 14 Структура параллельного VPNшлюза MPI-кластер (вычислительное ядро) Библиотека примитивов MPI Параллельное вычислительное ядро Библиотека криптографических функций Планировщик 1) Взаимодействие с сетевым процессором и ядром 2) Монитор ресурсов Планировщик 3) Блок управления и контроля состояния VPN-каналов Сетевой процессор 1) Прозрачное взаимодействие со средой передачи пакетов Сетевой процессор 2) Взаимодействие с планировщиком 15 Вычислительное ядро параллельного VPN-шлюза Явный параллелизм: структурный (теория групповых коммуникаций) и физический (MPI) Масштабируемость (свойство кластера) Интероперабельность (межплатформенное взаимодействие) Мобильность (межплатформенный перенос) Функциональная простота (функционально конечные группы процессов, оперирование пакетами определенного формата) Инвариантность по отношению к данным 16 Структура вычислительного ядра параллельного VPN-шлюза Группа координатора Прием и распределение пакетов Координатор Рабочая группа 1) Генерация базиса и ключей 2) Процедура восстановления Группа сборщика Проверка пакетов и передача Сборщик 3) Процедура шифрования Процесс-исполнитель 1 Запросы от планировщика (пакеты на обработку) ... Процесс-исполнитель N Ответы планировщику (обработанные пакеты) 17 Тестирование параллельного VPNшлюза Исследованы следующие характеристики: Зависимость производительности от вычислительной мощности кластера Сравнение двух подходов передачи данных: с записью в сетевую память и без таковой Накладные расходы на использование параллельной среды выполнения MPICH 18 Результаты тестирования параллельного VPN-шлюза Линейный рост производительности кластера (в среднем 50% на каждый узел; предельный 70%; 300% для пяти узлов) => VPN-шлюзы заданной производительности Незначительные временные затраты на параллельную с обработкой запись на устройства сетевой памяти => анализаторы трафика, IDS, сетевые сенсоры Накладные расходы на использование параллельной среды выполнения MPICH не имеют существенного значения для низколатентной среды 19 Технические требования к реализации параллельного анализатора Масштабируемая архитектура (использование кластеризации) Модульная структура Использование стандартов на межсетевое взаимодействие и языки программирования 20 Выполнение требований к реализации параллельного анализатора Масштабирование путем кластеризации однотипных устройств, каждое из которых в автономном режиме является самодостаточным устройством Анализатор состоит из следующих модулей: СУБД, планировщик, конверторы и сервер сетевой памяти (NAS-сервер) Использование стандартов: TCP/IP и ANSI С 21 Структура параллельного анализатора Масштабируемая часть Кластер NFS Конвертер Сервер визуализации NFS Планировщик NFS МЭ МЭ МЭ NAS Сервер СУБД Станция управления 22 Тестирование параллельного анализатора Автономное устройство Кластер устройств в конфигурации: 4 конвертера 1 управляющий узел Совмещенный сервер (сервер СУБД, сетевой памяти NAS, сервер визуализации) 23 Результаты тестирования параллельного анализатора В качестве нагрузки использовалась лог-файлы от межсетевого экрана в корпоративном сегменте из нескольких десятков рабочих станций. Скорость поступления лог-файлов в среднем 100 Кбайт/сек. Конвертирование лог файлов на параллельной анализаторе указанной конфигурации производилось в 15 раз быстрее по сравнению с автономным устройством. 24 ВЫВОДЫ Свойство внутреннего параллелизма обработки сетевого трафика позволяет производить его обработку на параллельных вычислительных кластерах Для обработки можно использовать как уже имеющиеся кластеры с разделяемой памятью (опытные образцы устройств), так и специализированные (серийные устройства) С помощью технологий кластеризации возможно повышение как производительности, так и надежности устройств, входящих в состав КИБ 25 Проблемы современных систем обеспечения ИБ Сложность инфрастуктуры: сетевой, данных и приложений Список уязвимостей сетевого оборудования, программного обеспечения постоянно растет Вероятность проведения успешной атаки при наличии времени и усердия Сложность конфигурации средств защиты требует от администратора безопасности высокой квалификации Современные средства защиты способны лишь блокировать атаку, но ни предотвратить, ни выявить последствия 26 Перспективное применение кластерных технологий в системах обеспечения ИБ Решение проблемы: Защита в реальном времени Адаптация средств защиты к меняющимся условиям инфраструктуры Реализация безопасности на этапах подготовки атаки, во время и на этапе завершения Применение технологии активного аудита или адаптивного управления безопасностью 27 Активный аудит (адаптивное управление безопасностью) Состав системы: Средства анализа защищенности и поиска уязвимости объектов информационной системы Средства обнаружения и анализа атак Средства адаптации и управления настройками средств защиты в режиме реального времени при изменении инфраструктуры или атаках ГНЦ ЦНИИ РТК Контактная информация Адрес: 194064, СанктПетербург, Тихорецкий пр., 21 Тел.: (812) 552-0660 Факс: (812) 552-4512 alexandre@loubanets.spb.ru www.rtc.ru г. Нижний Новгород 26 ноября 2002 года