RU2667805C1 - Способ работы межсетевого экрана - Google Patents

Способ работы межсетевого экрана Download PDF

Info

Publication number
RU2667805C1
RU2667805C1 RU2017143804A RU2017143804A RU2667805C1 RU 2667805 C1 RU2667805 C1 RU 2667805C1 RU 2017143804 A RU2017143804 A RU 2017143804A RU 2017143804 A RU2017143804 A RU 2017143804A RU 2667805 C1 RU2667805 C1 RU 2667805C1
Authority
RU
Russia
Prior art keywords
network
packet
module
address
proxy module
Prior art date
Application number
RU2017143804A
Other languages
English (en)
Inventor
Алексей Юрьевич Оладько
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2017143804A priority Critical patent/RU2667805C1/ru
Application granted granted Critical
Publication of RU2667805C1 publication Critical patent/RU2667805C1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к способу работы межсетевого экрана. Техническим результатом является повышение защищенности вычислительной сети. Принимают от отправителя с адресом для получателя с адресом сетевой пакет. Если сетевой пакет имеет номер инкапсулированного протокола транспортного уровня, соответствующий номеру протокола UDP, и содержит данные, то выполняют следующие действия: выполняют пакетную фильтрацию для сетевого пакета; определяют с помощью модуля контроля факт использования в составе данных протокола прикладного уровня из множества. Если факт использования установлен, то выполняют следующие действия: заменяют в сетевом пакете адрес получателя на адрес прокси-модуля в модуле сетевой трансляции адресов; выполняют фильтрацию сетевого потока в прокси-модуле; обрабатывают данные в прокси-модуле.

Description

Область техники, к которой относится изобретение
Предполагаемое изобретение относится к области защиты сетей передачи данных с коммутацией пакетов и может быть использовано для повышения защищенности сетей.
Уровень техники
Для защиты современных цифровых сетей передачи данных, имеющих выход в сеть Интернет, обычно устанавливают шлюз-компьютер с межсетевым экраном (МЭ), который обеспечивает защиту сети (подсети) путем фильтрации по определенным правилам входящего и исходящего потока данных (трафика). Эффективность защиты зависит от подбора правил и условий их применения.
Так, известен способ защиты вычислительной сети путем применения механизма Proxy Network Address Translation (патент США №7266604, приоритет от 31.03.2000 г.), в котором для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном (МЭ), устанавливаемый на каналах связи защищаемой сети с другими сетями, и который содержит прокси-модуль и модуль сетевой трансляции адресов (Network Address Translation, NAT). В модуле NAT производится преобразование адресов назначения в сетевых пакетах, исходящих от клиента и предназначенных для сервера. Модуль NAT перенаправляет пакеты в прокси-модуль. В прокси-модуле выполняется фильтрация сетевого потока данных.
Способ содержит следующие этапы:
• получают сетевой пакет от компьютера в защищаемой сети к серверу во внешней сети;
• заменяют в модуле NAT в пакете адрес назначения на адрес прокси-модуля;
• выполняют в прокси-модуле следующие действия:
Figure 00000001
создают сокет для соединения с клиентом;
Figure 00000001
создают сокет для соединения с сервером, если данный сокет не был создан ранее;
Figure 00000001
создают сокет для виртуального соединения, позволяющего осуществлять взаимодействие между сокетом для соединения с клиентом и сокетом для соединения с сервером;
Figure 00000001
осуществляют фильтрацию сетевого потока данных, передаваемого между клиентом и сервером.
Известный способ принят за прототип.
Известный способ может обеспечить фильтрацию сетевого потока данных, которая, как правило, более функциональная, чем пакетная фильтрация, и при этом не требуется, чтобы специальное программное обеспечение было установлено у клиентов.
Однако, при использовании известного способа не обеспечивается возможность фильтрации потока данных в прокси-модуле только для заданного списка протоколов прикладного уровня и не обеспечивается возможность пакетной фильтрации, что является недостатком и снижает защищенность вычислительной сети.
Раскрытие изобретения
Техническим результатом является повышение защищенности вычислительной сети.
Заявленный результат достигается за счет применения способа работы межсетевого экрана, причем на входе защищаемой вычислительной сети установлен шлюз-компьютер с межсетевым экраном, в котором определено множество А протоколов прикладного уровня, для которых необходимо проводить фильтрацию сетевого потока данных, при этом межсетевой экран выполнен с возможностью проводить пакетную фильтрацию и содержит
• операционную систему,
• модуль сетевой трансляции адресов,
• прокси-модуль, имеющий внутренний адрес PR1 и сформированные правила фильтрацию сетевого потока данных для защищаемой сети,
• модуль контроля, выполненное с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня,
• модуль создания сокета ТСР соединения по одному пакету, без проведения процедуры трехэтапного установления ТСР соединения, при этом дескриптор указанного пакета при формировании его с помощью операционной системы содержит, по меньшей мере, следующую информацию:
Figure 00000001
указатель на данные D пакета;
Figure 00000001
флаг, указывающий, что пакет был перенаправлен на прокси-модуль;
Figure 00000001
идентификатор протокола прикладного уровня; способ заключается в том, что
• принимают от отправителя с адресом S1 для получателя с адресом R1 сетевой пакет Р1;
• если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номеру протокола UDP, и содержит данные D, то выполняют следующие действия:
Figure 00000001
выполняют пакетную фильтрацию для сетевого пакета Р1;
Figure 00000001
определяют с помощью модуля контроля факт использования в составе данных D протокола прикладного уровня из множества А;
Figure 00000001
если факт использования установлен, то выполняют следующие действия:
Figure 00000002
заменяют в сетевом пакете Р1 адрес получателя R1 на адрес прокси-модуля PR1 в модуле сетевой трансляции адресов;
Figure 00000002
выполняют фильтрацию сетевого потока в прокси-модуле;
Figure 00000002
обрабатывают данные D в прокси-модуле;
Figure 00000002
если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номер протокола ТСР, и либо установленный флаг SYN, либо установленные флаги SYN и ACK, либо установленный флаг ACK, обозначающий завершение процедуры установления ТСР сессии, то выполняют пакетную фильтрацию;
• если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номер протокола ТСР, и содержит данные D, то выполняют следующие действия:
Figure 00000001
выполняют для сетевого пакета Р1 пакетную фильтрацию;
Figure 00000001
определяют с помощью модуля контроля факт использования в составе данных D протокола прикладного уровня из множества А;
Figure 00000001
если факт использования установлен, то выполняют следующие действия:
Figure 00000003
станавливают в дескрипторе флаг, указывающий, что сетевой пакет будет перенаправлен на прокси-модуль;
Figure 00000003
заменяют в сетевом пакете Р1 адрес получателя R1 на адрес прокси-модуля PR1 в модуле сетевой трансляции адресов;
Figure 00000003
если в дескрипторе установлен флаг, указывающий, что сетевой пакет был перенаправлен на прокси-модуль, то создают сокет ТСР соединения для связи отправителя с адресом S1 с прокси-модулем с адресом PR1 в модуле создания сокета ТСР соединения по одному пакету, без проведения процедуры трехэтапного установления ТСР соединения;
Figure 00000003
выполняют фильтрацию сетевого потока в прокси-модуле;
Figure 00000003
обрабатывают данные D в прокси-модуле. иначе выполняют пакетную фильтрацию.
Для реализации предложенного способа в состав МЭ должны быть включены модуль контроля, выполненный с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня, и прокси-модуль. В общем случае, указанные модули могут быть аппаратными, программно-аппаратными или программными. Для создания указанных модулей должно быть проведено обычное проектирование и изготовлении электронного блока (при выполнении в аппаратном или программно-аппаратном виде) и формирование необходимого программного обеспечения (ПО) с последующим тестированием и установкой в МЭ. Для создания модуля контроля и прокси-модуля в программном виде создается только прикладное ПО, которое затем дополнительно устанавливается в составе прикладного ПО в МЭ. Создание данных модулей может осуществить специалист по проектированию и изготовлению электронной техники и/или специалист по программированию (программист) на основе знания выполняемой средством контроля функции.
Можно отметить, что модуль создания сокета ТСР соединения по одному пакету, без проведения процедуры трехэтапного установления ТСР соединения, вполне может быть создан, поскольку создается именно сокет при приеме одного (первого) пакета, а не соединение ТСР в целом.
После создания и отладки модуля контроля и прокси-модуля можно приступать непосредственно к реализации предложенного способа.
Для этого с помощью МЭ осуществляют перехват сетевых пакетов для осуществления контроля и фильтрации сетевого трафика в соответствии с заранее заданными правилами, принятыми обычным порядком для защищаемой сети. Для осуществления способа в точке перехвата сетевых пакетов реализуется контроль сетевых пакетов, который включает в себя пакетную фильтрацию и извлечение данных из сетевого пакета и передачу этих данных в модуль контроля, выполненный с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня. Если установлен факт использования в составе данных Б протокола прикладного уровня из множества А, то принимается решение о перенаправлении сетевого соединения с помощью модуля сетевой трансляции адресов в прокси-модуль. В прокси-модуле осуществляется обработка данных прикладного протокола, включающая в себя фильтрацию сетевого потока данных.
Таким образом, к сетевым пакетам сетевого и транспортного уровня применяется пакетная фильтрация, а к данным, обмен которыми ведется в рамках сетевого соединения по протоколу прикладного уровня из множества А, применяется фильтрация сетевого потока данных.
В результате обеспечивается защита вычислительной сети от несанкционированной передачи информации, так как данный способ позволяет выделить множество А протоколов прикладного уровня, для которых должна быть применена как фильтрация сетевого потока данных, так и пакетная фильтрация на сетевом и транспортном уровнях.
Осуществление изобретения
Рассмотрим осуществление предложенного способа в сети с коммутацией пакетов. Это может быть, например, корпоративная сеть, имеющая выход в сеть Интернет через один основной МЭ.
В качестве МЭ может быть использован высокопроизводительный программно-аппаратный комплекс (ПАК) типа HW1000 на базе Intel Core 2 Duo, объемом оперативной памяти 2 ГБ, объемом жесткого диска 250 Гб, с установленной ОС Linux (ядро 3.10.92) и специализированным ПО (статья и загружаемая документация по адресу:
http://infotecs.ru/downloads/all/vipnet-coordinator-hw-1000.html?arrFilter_93=408821001&set_filter=Y).
Предпочтительным является выполнение модуля контроля в программном виде, для чего предварительно создается, тестируется и затем инсталлируется в МЭ прикладное ПО в виде программного модуля, выполняющего функции модуля контроля и способного выполнять определение используемого в сетевом соединении протокола прикладного уровня.
В МЭ также определяется множество А разрешенных для использования протоколов прикладного уровня. Например, во множество А могут входить следующие протоколы прикладного уровня: Adobe Connect, AFP, AVI, DHCP, DHCP, DHCP v6, Diameter, Direct Connect, DNS, НТТР, IPsec, Kerberos, Microsoft Dynamics NAV, Modbus, MySQL, NetBIOS, OpenFlow, OpenVPN, Opera Mini, Oracle Database, Poi-son Ivy, РОР, PostgreSQL, SAP, Skype, SSH, SSL, Telnet, VPN-X, WAP-WSP, ХВОХ, XDCC, XDMCP, ХМРР. и др.
В качестве прокси-модуля, выполняющего фильтрацию сетевого потока данных, может быть использовано ПО Squid.
В качестве модуля сетевой трансляции адресов может быть использован модуль ядра Linux nf_nat.ko, входящий в состав подсистемы Netfilter ядра Linux.
В качестве модуля создания сокета ТСР соединения по одному пакету, без проведения процедуры трехэтапного установления ТСР соединения, может быть использована подсистема ядра syncookies.
В качестве дескриптора сетевого пакета используется структура sk_buff, определенная в ядре Linux.
Анализ сетевых пакетов осуществляется модулем ядра Linux (файл xt_dpi_dnat.ko), который обеспечивает:
• пакетную фильтрацию;
• передачу сетевых пакетов в средство контроля, выполненное с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня, и получение результатов анализа через системный интерфейс netfilter_queue ядра Linux;
• перенаправление сетевого пакета в модуль ядра nf_nat.ko и установку в структуре sk_buff флага, указывающего, что пакет был перенаправлен на прокси-модуль.
Модуль ядра xt_dpi_dnat.ko встраивается в подсистему Netfilter ядра Linux, реализующей функции МЭ, с уровнем приоритета NF_IP_PRI_SELINUX_FIRST, с целью перехвата и анализа транзитных сетевых пакетов.
В пространстве пользователя запускается средство контроля, выполненное с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня. Сетевые пакеты для анализа данная программа получает через системный интерфейс netfilter_queue ядра Linux.
Модуль xt_dpi_dnat.ko осуществляет пакетную фильтрацию и извлекает из сетевого пакета данные прикладного уровня. Извлеченные данные через системный интерфейс netfilter_queue ядра Linux передаются на анализ в средство контроля, которое проводит определение используемого в сетевом соединении протокола прикладного уровня. Полученный результат передается в модуль xt_dpi через системный интерфейс netfilter_queue ядра Linux.
Если установлен факт использования протокола прикладного уровня, к которому должна быть применена фильтрация сетевого потока данных, то модуль xt_dpi_dnat.ko устанавливает в структуре sk_buff специальный флаг, указывающий, что данный пакет перенаправлен на прокси-модуль и перенаправляет сетевой пакет в модуль сетевой трансляции адресов nf_nat.ko.
Модуль сетевой трансляции адресов nf_nat.ko заменяет в обрабатываемом пакете адрес получателя на адрес прокси-модуля.
В случае использования протокола транспортного уровня ТСР данный сетевой пакет поступает на обработку в подсистему ядра syncookies, которая при наличии в структуре sk_buff специального флага, указывающего, что данный пакет перенаправлен в прокси-модуль, создает сокет ТСР соединения по одному пакету, без проведения процедуры трехэтапного установления ТСР соединения.
В прокси-модуле осуществляется обработка данных соединения, включающая в себя фильтрацию сетевого потока данных.

Claims (27)

  1. Способ работы межсетевого экрана, причем для межсетевого экрана определено множество А протоколов прикладного уровня, для которых необходимо проводить фильтрацию сетевого потока данных, при этом межсетевой экран выполнен с возможностью проводить пакетную фильтрацию и содержит
  2. операционную систему,
  3. модуль сетевой трансляции адресов,
  4. прокси-модуль, имеющий внутренний адрес PR1 и сформированные правила фильтрации сетевого потока данных для защищаемой сети,
  5. модуль контроля, выполненный с возможностью проводить определение используемого в сетевом соединении протокола прикладного уровня,
  6. модуль создания сокета TCP соединения по одному пакету, без проведения процедуры трехэтапного установления TCP соединения, при этом дескриптор указанного пакета при формировании его с помощью операционной системы содержит, по меньшей мере, следующую информацию:
  7. указатель на данные D пакета;
  8. флаг, указывающий, что пакет был перенаправлен на прокси-модуль;
  9. идентификатор протокола прикладного уровня; способ заключается в том, что
  10. принимают от отправителя с адресом S1 для получателя с адресом R1 сетевой пакет Р1;
  11. если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номеру протокола UDP, и содержит данные D, то выполняют следующие действия:
  12. выполняют пакетную фильтрацию для сетевого пакета Р1;
  13. определяют с помощью модуля контроля факт использования в составе данных D протокола прикладного уровня из множества А;
  14. если факт использования установлен, то выполняют следующие действия:
  15. заменяют в сетевом пакете Р1 адрес получателя R1 на адрес прокси-модуля PR1 в модуле сетевой трансляции адресов;
  16. выполняют фильтрацию сетевого потока данных в прокси-модуле; обрабатывают данные D в прокси-модуле;
  17. если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номер протокола TCP, и либо установленный флаг SYN, либо установленные флаги SYN и АСК, либо установленный флаг АСК, обозначающий завершение процедуры установления TCP сессии, то выполняют пакетную фильтрацию;
  18. если сетевой пакет Р1 имеет номер инкапсулированного протокола транспортного уровня, соответствующий номер протокола TCP, и содержит данные D, то выполняют следующие действия:
  19. выполняют для сетевого пакета Р1 пакетную фильтрацию;
  20. определяют с помощью модуля контроля факт использования в составе данных D протокола прикладного уровня из множества А;
  21. если факт использования установлен, то выполняют следующие действия:
  22. устанавливают в дескрипторе флаг, указывающий, что сетевой пакет будет перенаправлен на прокси-модуль;
  23. заменяют в сетевом пакете Р1 адрес получателя R1 на адрес прокси-модуля PR1 в модуле сетевой трансляции адресов;
  24. если в дескрипторе установлен флаг, указывающий, что сетевой пакет был перенаправлен на прокси-модуль, то создают сокет TCP соединения для связи отправителя с адресом S1 с прокси-модулем с адресом PR1 в модуле создания сокета TCP соединения по одному пакету, без проведения процедуры трехэтапного установления TCP соединения;
  25. выполняют фильтрацию сетевого потока данных в прокси-модуле;
  26. обрабатывают данные D в прокси-модуле;
  27. иначе выполняют пакетную фильтрацию.
RU2017143804A 2017-12-14 2017-12-14 Способ работы межсетевого экрана RU2667805C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017143804A RU2667805C1 (ru) 2017-12-14 2017-12-14 Способ работы межсетевого экрана

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017143804A RU2667805C1 (ru) 2017-12-14 2017-12-14 Способ работы межсетевого экрана

Publications (1)

Publication Number Publication Date
RU2667805C1 true RU2667805C1 (ru) 2018-09-24

Family

ID=63669088

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017143804A RU2667805C1 (ru) 2017-12-14 2017-12-14 Способ работы межсетевого экрана

Country Status (1)

Country Link
RU (1) RU2667805C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120955A1 (en) * 1999-01-29 2003-06-26 Lucent Technologies Inc. Method and apparatus for managing a firewall
US6795870B1 (en) * 2000-04-13 2004-09-21 International Business Machines Corporation Method and system for network processor scheduler
US7266604B1 (en) * 2000-03-31 2007-09-04 Microsoft Corporation Proxy network address translation
RU2517411C1 (ru) * 2012-10-24 2014-05-27 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ управления соединениями в межсетевом экране

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120955A1 (en) * 1999-01-29 2003-06-26 Lucent Technologies Inc. Method and apparatus for managing a firewall
US7266604B1 (en) * 2000-03-31 2007-09-04 Microsoft Corporation Proxy network address translation
US6795870B1 (en) * 2000-04-13 2004-09-21 International Business Machines Corporation Method and system for network processor scheduler
RU2517411C1 (ru) * 2012-10-24 2014-05-27 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ управления соединениями в межсетевом экране

Similar Documents

Publication Publication Date Title
US11824879B2 (en) Rule-based network-threat detection for encrypted communications
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US10142372B2 (en) Methods and systems for protecting a secured network
US10931797B2 (en) Correlating packets in communications networks
US8683573B2 (en) Detection of rogue client-agnostic nat device tunnels
EP3767921A1 (en) Filtering network data transfers
WO2013173429A1 (en) Transport layer security traffic control using service name identification
KR20230018457A (ko) 모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리
WO2020214660A1 (en) Efficient protection for a virtual private network
RU2667805C1 (ru) Способ работы межсетевого экрана
RU2648949C1 (ru) Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
EP2860911B1 (en) Method and device for classifying encrypted data flows between at least one web client and at least one web server
RU2679227C1 (ru) Способ работы межсетевого экрана
RU2695983C1 (ru) Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных