RU2580004C2 - Автоматический межсетевой экран - Google Patents

Автоматический межсетевой экран Download PDF

Info

Publication number
RU2580004C2
RU2580004C2 RU2014108627/08A RU2014108627A RU2580004C2 RU 2580004 C2 RU2580004 C2 RU 2580004C2 RU 2014108627/08 A RU2014108627/08 A RU 2014108627/08A RU 2014108627 A RU2014108627 A RU 2014108627A RU 2580004 C2 RU2580004 C2 RU 2580004C2
Authority
RU
Russia
Prior art keywords
network
traffic
filtering
interfaces
transit
Prior art date
Application number
RU2014108627/08A
Other languages
English (en)
Other versions
RU2014108627A (ru
Inventor
Андрей Витальевич Михайлов
Original Assignee
Андрей Витальевич Михайлов
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Андрей Витальевич Михайлов filed Critical Андрей Витальевич Михайлов
Priority to RU2014108627/08A priority Critical patent/RU2580004C2/ru
Publication of RU2014108627A publication Critical patent/RU2014108627A/ru
Application granted granted Critical
Publication of RU2580004C2 publication Critical patent/RU2580004C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • H04L2012/6443Network Node Interface, e.g. Routing, Path finding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа. Технический результат, достигаемый в изобретении, заключается в получении возможности сегментировать ВС без необходимости переконфигурирования узлов сети, переконфигурирования МЭ и формирования правил фильтрации. Указанный технический результат достигается следующими конструктивными особенностями и алгоритмом фильтрации трафика. Автоматический межсетевой экран, представляет собой совокупность аппаратных и программных средств, содержит, по меньшей мере, два сетевых интерфейса, позволяет фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов, при этом содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика. 2 ил.

Description

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа.
Типовая процедура внедрения МЭ состоит из ряда этапов, включающих переконфигурирование сетевых настроек узлов ВС, настройку сетевых параметров интерфейсов МЭ, формирование правил фильтрации и т.д. Сама процедура довольно трудоемкая и требует от специалистов как наличия административных привилегий доступа в ВС, так и специальных знаний в области информационной безопасности.
В то же время МЭ применяются, зачастую, для решения одной и той же типовой задачи - сегментирования ВС на две части: доверенную и недоверенную, при котором транзит трафика между обеими частями осуществляется через МЭ, осуществляющий фильтрацию, направленную на защиту узлов доверенной части от несанкционированных подключений со стороны узлов недоверенной части.
В настоящее время существует потребность в максимально простых МЭ, которые бы обеспечивали приемлемый уровень безопасности при решении типовой задачи сегментирования с минимальными усилиями, затрачиваемыми на их внедрение.
В существующем уровне техники наиболее простым во внедрении типом МЭ являются персональные МЭ, устанавливаемые на узлы в виде дополнительного программного обеспечения. Существуют операционные системы (ОС), которые после своей установки автоматически активируют встроенный МЭ, препятствующий несанкционированным подключениям к узлу. В то же время данные МЭ имеют ряд существенных недостатков:
1) для своей настройки они требуют наличия административных привилегий доступа на защищаемом узле и поэтому не могут быть настроены пользователями, не обладающими такими привилегиями;
2) они не гарантируют защиту от вредоносного программного обеспечения (компьютерных вирусов, троянских коней и т.д.), которое, будучи запущенным на защищаемом узле, может существенно противодействовать работе МЭ вплоть до их нейтрализации;
3) некоторые персональные МЭ могут быть не санкционированно отключены администраторами ВС и не могут использоваться для защиты от лиц, имеющих административные привилегии доступа.
Другими видами МЭ, которые позволяют частично упростить процедуру внедрения, являются аппаратно-программные МЭ шлюзового типа, работающие без назначения своим интерфейсам сетевых адресов и являющиеся наиболее близкими аналогами данного изобретения.
Так известны «Вычислительная сеть с межсетевым экраном и межсетевой экран», выбранные в качестве аналога 1 (патент РФ №2214623 от 29.12.2000 г.), где МЭ для локальных ВС содержит, по меньшей мере, два сетевых интерфейса для пакетной коммутации данных между сегментами ВС, выполняемой в соответствии с программой фильтрации пакетов. МЭ после обработки пакета в соответствии с правилами фильтрации сохраняет без изменений информацию о физическом и логическом адресах отправителя каждого из пакетов, содержащуюся в их заголовках. Программа управления не назначает сетевым интерфейсам логических адресов и не передает в связанные с ними сетевые сегменты информацию об их физических адресах. Чтобы обеспечить внесение изменений в правила фильтрации, МЭ содержит специальный интерфейс управления, причем любые изменения параметров фильтрации могут осуществляться исключительно через интерфейс управления.
Недостаток прототипа заключается в том, что МЭ (по патенту РФ №2214623) для функционирования требует формирования правил фильтрации, кроме того, управление самим МЭ невозможно без выделения специально для этой цели управляющего интерфейса.
Известно также «Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP - межсетевой экран без операционной системы (варианты)», выбранное в качестве аналога 2 (патент РФ на полезную модель №53222 от 20.12.2005 г.), состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IP пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.
По второму варианту выполнения устройства (ПМ №53222) - модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).
По третьему варианту выполнения устройства (ПМ №53222) - модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.
Недостаток аналога 2 заключается в том, что устройство, по любому варианту выполнения (по патенту РФ №53222) способно выполнять фильтрацию только по заранее определенному набору IP-адресов, что не позволяет ему выполнять фильтрацию трафика между узлами, адреса которых не были известны на момент его конфигурирования.
Известны «Система и способ выборочной изоляции компьютера от компьютерной сети» (System and method for selectively isolating a computer from a computer network), описанные в патенте US 8375226 от 18.09.2007 г., выбранные в качестве аналога 3. Система и способ обеспечения межсетевого экранирования, не допускающего несанкционированного доступа к компьютеру через ВС, со стороны не авторизованных пользователей. Система и способ включают в себя блок переключателей, позволяющих подключать и отключать компьютер от ВС. Блок переключателей управляется потоками данных генерируемых компьютером. Если компьютер передает информацию в ВС, или запрашивает информацию от одного из узлов сети, блок переключателей подключает компьютер к сети до тех пор, пока компьютер не передаст блок данных либо пока не получит данные согласно ранее сделанному запросу, после этого набор переключателей отключает компьютер от сети.
Недостаток аналога 3 заключается в том, что система и способ (по патенту US №8375226), не обеспечивают защиту от несанкционированного доступа со стороны не авторизованных пользователей в момент, когда компьютер ведет обмен трафиком с ВС, защита реализуется только на периоды отсутствия сетевой активности.
Прототипом, т.е. наиболее близким к заявленному изобретению аналогом является аналог 1.
Заявленное изобретение решает техническую задачу получения средства защиты информации для ВС, при внедрении и использовании которого по назначению требуется минимум специальных знаний и навыков.
Технический результат, достигаемый в заявленном изобретении, заключается в получении возможности сегментировать ВС без необходимости переконфигурирования узлов сети, переконфигурирования МЭ и формирования правил фильтрации.
Указанный технический результат достигается следующими конструктивными особенностями и алгоритмом фильтрации трафика. Конструктивно МЭ состоит из: процессора, оперативной памяти, энергонезависимой памяти, системной шины и сетевых интерфейсов.
Все сетевые интерфейсы МЭ логически отнесены к интерфейсам доверенного сегмента (далее доверенные интерфейсы) или интерфейсам недоверенного сегмента (далее недоверенные интерфейсы). Процедура логического отнесения интерфейса к тому или иному типу производится на этапе создания МЭ. Типы интерфейсов указаны на приборной панели МЭ.
Устройство поясняется схемой, где на фиг.1 представлена структурная схема МЭ, где 1 - процессор, 2 - оперативная память, 3 - энергонезависимая память, 4 - системная шина, 5 - сетевые интерфейсы. На фиг. 2 представлена приборная панель МЭ, на которой изображены 5 - сетевые интерфейсы с указанием их типов.
Источником питания (на схеме не показан) МЭ может являться блок питания, подключаемый к электрической сети, либо один из сетевых интерфейсов, реализующий прием электропитания по технологии Power over Ethernet (стандарт IEEE 802.3af-2003, http://standards.ieee.org/findstds/standard/802.3af-2003.html).
Фильтрация сетевого трафика осуществляется процессором, работающим под управлением программы фильтрации, загружаемой из энергонезависимой памяти в оперативную память, в момент включения устройства. Программа фильтрации реализует следующий алгоритм.
Алгоритм фильтрации сетевого трафика базируется на алгоритме работы прозрачного моста, описанного в стандарте IEEE 802.1D (http://standards.ieee.org/fmdstds/standard/802.1D-2004.html), за исключением того, что производится определение направления транзита трафика, его последующая маркировка и многоуровневая фильтрация по полученным меткам.
Определение направления транзита трафика и его маркировка осуществляется по следующему алгоритму:
1. Получив кадр данных на одном из интерфейсов и определив по алгоритму прозрачного моста целевой интерфейс, МЭ определяет типы интерфейсов:
а) если интерфейс источник является доверенным, а интерфейс назначения недоверенным, то трафик маркируется как «ИЗНУТРИ»;
б) если интерфейсы источника и назначения относятся к одному типу, то трафик маркируется как «ЗОНАЛЬНЫЙ».
2. Если трафик имеет широковещательный адрес назначения, то его метка заменяется на «ШИРОКОВЕЩАТЕЛЬНЫЙ».
Фильтрация трафика проводится на канальном, сетевом и транспортном уровне (по модели ISO OSI, ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ. БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ. Часть 1. Базовая модель). Для совершения транзита трафик должен успешно преодолеть фильтры на всех уровнях.
Фильтрация на канальном уровне производится по алгоритму:
1. Разрешать прохождение известных протоколов сетевого уровня и протоколов разрешения адресов.
2. Разрешать прохождение любых протоколов для трафика, помеченного как «ЗОНАЛЬНЫЙ».
3. Блокировать все остальное.
Пройдя фильтрацию канального уровня, трафик подвергается фильтрации на сетевом и транспортном уровне по алгоритму:
1. Пропускать весь трафик по уже установленным соединениям.
2. Пропускать весь трафик с меткой «ЗОНАЛЬНЫЙ».
3. Пропускать весь трафик с меткой «ИЗНУТРИ».
4. Пропускать весь трафик с меткой «ШИРОКОВЕЩАТЕЛЬНЫЙ».
5. Пропускать весь трафик с групповыми адресами.
6. Блокировать все остальное.
Такая схема фильтрации позволяет инициировать соединения между любыми узлами ВС в одинаковом сегменте, между узлами доверенного сегмента и внешнего сегмента, а также пропускать групповой и широковещательный трафик.
В заявленном МЭ не требуется назначения сетевых адресов интерфейсам МЭ, поскольку МЭ функционирует как коммутатор. Данный факт также позволяет подсоединять к одному интерфейсу МЭ не только один узел непосредственно, а целую группу узлов, подключенных через промежуточный коммутатор или концентратор. Функционирование МЭ также не зависит от сетевых адресов узлов ВС, поскольку фильтрация производится на базе анализа состояния телекоммуникационных протоколов с учетом направления транзита трафика, определяемого на базе меток, получаемых в зависимости от типов входного и выходного интерфейсов. МЭ не требует также формирования правил фильтрации, поскольку алгоритм фильтрации позволяет выполнять типовую задачу сегментирования без необходимости каких-либо настроек, более того МЭ может вообще не содержать интерфейса управления, что существенно повышает его устойчивость к несанкционированному переконфигурированию.
Внедрение и использование МЭ по назначению может осуществляться специалистами с минимальной квалификацией, поскольку управление режимом фильтрации осуществляется фактически путем коммутации узлов ВС к тому или иному интерфейсу МЭ.

Claims (1)

  1. Межсетевой экран, представляющий совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов, отличающийся тем, что содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровне.
RU2014108627/08A 2014-03-06 2014-03-06 Автоматический межсетевой экран RU2580004C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014108627/08A RU2580004C2 (ru) 2014-03-06 2014-03-06 Автоматический межсетевой экран

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014108627/08A RU2580004C2 (ru) 2014-03-06 2014-03-06 Автоматический межсетевой экран

Publications (2)

Publication Number Publication Date
RU2014108627A RU2014108627A (ru) 2015-09-20
RU2580004C2 true RU2580004C2 (ru) 2016-04-10

Family

ID=54147393

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014108627/08A RU2580004C2 (ru) 2014-03-06 2014-03-06 Автоматический межсетевой экран

Country Status (1)

Country Link
RU (1) RU2580004C2 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU181257U1 (ru) * 2017-12-27 2018-07-06 Общество с ограниченной ответственностью "АСП Лабс" Межсетевой экран на основе кластеризации данных
RU2735968C1 (ru) * 2017-06-30 2020-11-11 Сименс Мобилити Гмбх Способ и устройство для передачи данных между первой коммуникационной сетью первой рельсовой транспортной единицы и второй коммуникационной сетью второй рельсовой транспортной единицы

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2697698C2 (ru) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Способ обработки сетевого трафика с использованием межсетевого экранирования

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5951649A (en) * 1994-03-22 1999-09-14 Cabletron Systems, Inc. Network interconnecting apparatus having a separate forwarding engine object at each interface
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US8375226B1 (en) * 2002-11-20 2013-02-12 Raymond Brandl System and method for selectively isolating a computer from a computer network
US8514866B1 (en) * 2005-07-29 2013-08-20 Juniper Networks, Inc. Filtering traffic based on associated forwarding equivalence classes

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5951649A (en) * 1994-03-22 1999-09-14 Cabletron Systems, Inc. Network interconnecting apparatus having a separate forwarding engine object at each interface
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US8375226B1 (en) * 2002-11-20 2013-02-12 Raymond Brandl System and method for selectively isolating a computer from a computer network
US8514866B1 (en) * 2005-07-29 2013-08-20 Juniper Networks, Inc. Filtering traffic based on associated forwarding equivalence classes

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2735968C1 (ru) * 2017-06-30 2020-11-11 Сименс Мобилити Гмбх Способ и устройство для передачи данных между первой коммуникационной сетью первой рельсовой транспортной единицы и второй коммуникационной сетью второй рельсовой транспортной единицы
RU181257U1 (ru) * 2017-12-27 2018-07-06 Общество с ограниченной ответственностью "АСП Лабс" Межсетевой экран на основе кластеризации данных

Also Published As

Publication number Publication date
RU2014108627A (ru) 2015-09-20

Similar Documents

Publication Publication Date Title
CN109565500B (zh) 按需安全性架构
US8001610B1 (en) Network defense system utilizing endpoint health indicators and user identity
ES2702097T3 (es) Sistema y servicio de cortafuegos basado en la nube
EP2091199B1 (en) Network security module for ethernet-receiving industrial control devices
CN108259226B (zh) 网络接口设备管理方法与装置
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
US20080267179A1 (en) Packet processing
US10193890B2 (en) Communication apparatus to manage whitelist information
CN109804610B (zh) 限制具有网络功能的设备的数据流量传输的方法和系统
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
US10721209B2 (en) Timing management in a large firewall cluster
CN104205751A (zh) 网络系统、控制器和分组认证方法
US9462001B2 (en) Computer network access control
EP3525407B1 (en) Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment
JP6737610B2 (ja) 通信装置
US10305879B2 (en) Restricting fake multicast service announcements
US11792194B2 (en) Microsegmentation for serverless computing
CN105743843A (zh) 一种防止报文攻击的处理方法及装置
Okhravi et al. Data diodes in support of trustworthy cyber infrastructure
US20220201041A1 (en) Administrative policy override in microsegmentation
RU2580004C2 (ru) Автоматический межсетевой экран
US10021070B2 (en) Method and apparatus for federated firewall security
Shukhman et al. Development of network security tools for enterprise software-defined networks
Al-Zewairi et al. An experimental software defined security controller for software defined network
US10785115B2 (en) Allocating enforcement of a segmentation policy between host and network devices