RU2695983C1 - Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных - Google Patents

Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных Download PDF

Info

Publication number
RU2695983C1
RU2695983C1 RU2018126029A RU2018126029A RU2695983C1 RU 2695983 C1 RU2695983 C1 RU 2695983C1 RU 2018126029 A RU2018126029 A RU 2018126029A RU 2018126029 A RU2018126029 A RU 2018126029A RU 2695983 C1 RU2695983 C1 RU 2695983C1
Authority
RU
Russia
Prior art keywords
connection
protocol
network
established
computer
Prior art date
Application number
RU2018126029A
Other languages
English (en)
Inventor
Виталий Сергеевич Минко
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2018126029A priority Critical patent/RU2695983C1/ru
Application granted granted Critical
Publication of RU2695983C1 publication Critical patent/RU2695983C1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L29/02

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к технике фильтрации защищенных сетевых соединений. Технический результат - расширение контроля сетевых соединений и повышение защищенности контролируемой сети передачи данных. Данный способ определяет запрещенный для использования сетевой протокол прикладного уровня (F), а также обеспечивает взаимодействие по протоколу (F); установление соединений по протоколам Е; по протоколу (Т) транспортного уровня; определение факта использования протокола (Е) в сетевом соединении; установление соединения транспортного уровня Т1 с компьютером с адресом R; прием от клиента С для получателя с адресом R пакета Р, который пересылается через установленное соединение Т1 и содержит данные D; определение факта наличия в составе данных D запроса на установку защищенного соединения Е1; если факт наличия запроса не установлен, то пропускают пакет Р; если факт наличия запроса установлен, то устанавливают транспортное соединение Т2 с адресом назначения R; запрашивают через Т2 установку защищенного соединения Е2; если соединение Е2 установить не удалось, то пропускают пакет Р; если соединение Е2 установлено, то осуществляют взаимодействие по протоколу (F) с компьютером по адресу R; если взаимодействие по протоколу (F) оказывается успешным, то блокируют пакет Р.

Description

Область техники, к которой относится изобретение
Предполагаемое изобретение относится к области защиты сетей передачи данных с коммутацией пакетов и, в частности, к технике фильтрации защищенных сетевых соединений, осуществляемой специализированными сетевыми устройствами, например, межсетевыми экранами.
Уровень техники
Для защиты современных цифровых сетей передачи данных, имеющих выход в сеть Интернет, обычно устанавливают шлюз-компьютер с межсетевым экраном (МЭ), который обеспечивает защиту сети (подсети) путем фильтрации по определенным правилам входящего и исходящего потока данных (трафика).
Так, известен способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями (патент РФ №2644537, приоритет от 05.07.2016 г.), в котором для защиты вычислительных сетей используют, по меньшей мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и прикладное программное обеспечение, включающее систему анализа трафика и который заключается в том, что анализ получаемых из сети потоков сетевых пакетов ведут путем последовательного проведения сначала сигнатурного анализа каждого входящего потока сетевых пакетов, потом поведенческого анализа потоков сетевых пакетов, которые не прошли классификацию по базе сигнатур, при этом все подвергнутые анализу потоки сетевых пакетов проверяют по заголовкам 7-го уровня семиуровневой модели OSI, при этом зашифрованные входящие потоки сетевых пакетов перед проведением сигнатурного анализа предварительно расшифровывают путем подмены сертификатов.
Известный способ принят за прототип.
Известный способ может обеспечить определение типа сетевого трафика для фильтрации многих сетевых протоколов.
Однако, расшифровка сетевых пакетом методом подмены сертификатов возможна не для всех сетевых протоколов и требует наличия у клиента доверенного сертификата межсетевого экрана, что можно обеспечить не всегда. Поэтому при использовании известного способа не обеспечивается определение типа трафика для зашифрованных сетевых протоколов, где подмена сертификатов невозможна, что также снижает защищенность контролируемой сети, особенно если трафик передается по запрещенным (неразрешенным) протоколам. Это является недостатком известного способа.
Раскрытие изобретения
Техническим результатом является
1) расширение возможностей контроля сетевых соединений,
2) повышение защищенности контролируемой сети передачи данных.
Для этого предлагается способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных, причем на входе вычислительной сети N, в состав которой входят компьютеры клиентов и запросы из которой должны подвергаться фильтрации, установлен шлюз-компьютер с межсетевым экраном, в котором определен запрещенный для использования сетевой протокол прикладного уровня (F) и который содержит средство контроля, выполненное с возможностью взаимодействовать по протоколу прикладного уровня (F);
устанавливать соединения по протоколу Е, защищающие протокол прикладного уровня (F);
устанавливать соединения по протоколу (Т) транспортного уровня, поверх которых устанавливаются соединения Е;
определять факт использования протокола (Е) в сетевом соединении; способ заключается в том, что
устанавливают из вычислительной сети N со стороны компьютера клиента С соединение транспортного уровня Т1 с компьютером с адресом R через шлюз-компьютер;
принимают в шлюзе-компьютере от клиента С для получателя с адресом R пакет Р, который пересылается через установленное соединение Т1 и содержит данные D;
определяют в шлюзе-компьютере с помощью средства контроля факт наличия в составе данных D запроса на установку защищенного соединения Е1;
если факт наличия запроса не установлен, то пропускают пакет Р через шлюз-компьютер;
если факт наличия запроса установлен, то выполняются следующие действия:
устанавливают с помощью средства контроля от имени шлюз-компьютера транспортное соединение Т2 с адресом назначения R;
запрашивают с помощью средства контроля от имени шлюза-компьютера через установленное соединение Т2 установку защищенного соединения Е2, аналогичного по параметрам соединению Е1;
если соединения Е2 установить не удалось, то пропускают пакет Р через шлюз-компьютер;
если соединения Е2 успешно установлено, то выполняются следующие действия:
осуществляют с помощью средства контроля взаимодействие по протоколу прикладного уровня (F) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R;
если взаимодействие по протоколу прикладного уровня (F) оказывается успешным, то блокируют пакет Р в шлюзе-компьютере.
Для реализации предложенного способа в состав МЭ должно быть включено средство контроля, выполненное с возможностью
• взаимодействовать по протоколу прикладного уровня (F) (далее - протокол F);
• устанавливать соединения по протоколу (Е) (далее - протокол Е), защищающие протокол F;
• устанавливать соединения по протоколу Т транспортного уровня, поверх которых устанавливаются соединения Е;
• определять факт использования протокола Е в сетевом соединении.
В общем случае, средство контроля может быть аппаратным, программно-аппаратным или программным. Для создания средства контроля должны быть проведены обычное проектирование и изготовление электронного блока (при выполнении в аппаратном или программно-аппаратном виде) и формирование необходимого программного обеспечения (ПО) с последующим тестированием и установкой в МЭ. Для создания средства контроля в программном виде создается только прикладное ПО, которое затем дополнительно устанавливается в составе прикладного ПО в МЭ. Создание средства контроля может осуществить специалист по проектированию и изготовлению электронной техники и/или специалист по программированию (программист) на основе знания выполняемой средством контроля функции.
Необходимо отметить, что в качестве протокола F может быть использован любой протокол прикладного уровня, который допускает инкапсуляцию в протокол Е и предусматривает процедуру подтверждения связи при установке соединения между сторонами, позволяющей убедиться в том поддерживает ли удаленная сторона данный протокол или нет.
Например, если в качестве протокола Е используется SSL, то протоколом F может являться HTTP. Он допускает инкапсуляцию в SSL и позволяет убедиться, поддерживает ли удаленная сторона данный протокол или нет. Одним из методов проверки, поддерживает ли удаленная сторона протокол HTTP версии 1.1, может быть отправка удаленной стороне запроса «GET/НТТР/1.1». Если в ответе удаленной стороны первыми символами будут «НТТР/1.1», значит, протокол HTTP версии 1.1 поддерживается.
Если в качестве протокола Е используется SSL, то в качестве протокола F, помимо HTTP, могут быть использованы, например, протоколы OpenVPN или SMTP. Однако, если в качестве протокола Е используется SSL, то протокол FTP нельзя использовать в качестве протокола F, поскольку он не допускает инкапсуляцию в протокол SSL, т.к. открывает дополнительные соединения.
Протокол Е относится к сеансовому уровню. Он предназначен для обеспечения конфиденциальности данных инкапсулированного протокола прикладного уровня через использование криптографических алгоритмов. Критериями для выбора протокола Е являются:
• совместимость протокола Е с протоколом F, т.е. протокол F должен допускать инкапсуляцию в протокол Е;
• поддержка установки защищенных соединений без аутентификации клиента.
В настоящее время для защиты протоколов прикладного уровня в сети Интернет широко распространены сеансовые протоколы TLS и SSL. Они могут применяться, в том числе, для защиты протоколов HTTP, Tor, OpenVPN и SNMP. Протоколы SSL и TLS поддерживают установку защищенных соединений без аутентификации клиента. Поэтому они могут быть выбраны в качестве протокола Е.
После создания и отладки средства контроля можно приступать непосредственно к реализации предложенного способа.
Для этого с помощью МЭ осуществляют перехват сетевых пакетов для осуществления контроля и фильтрации сетевого трафика в соответствии с заранее заданными правилами, принятыми обычным порядком для защищаемой сети.
Для осуществления способа в точке перехвата сетевых пакетов реализуется контроль сетевых пакетов, имеющих инкапсулированный протокол Т1 транспортного уровня.
Далее МЭ получает от отправителя сетевой пакет с данными в рамках анализируемого сетевого соединения. Данные извлекаются из сетевого пакета и передаются в средство контроля, выполненное с возможностью определять факт использования протокола Е в сетевом соединении. Если установлен факт использования в составе данных D защищенного протокола Е, пытаются установить с помощью средства контроля от имени шлюз-компьютера с получателем перехваченного сетевого пакета новое транспортное соединение с адресом назначения из сетевого пакета с данными D, и поверх него новое защищенное соединение по протоколу Е.
В случае успешной установки защищенного соединения, пытаются начать взаимодействие по протоколу F через установленное защищенное соединение. И если взаимодействие оказывается успешным, то исходный пакет с данными D блокируется на МЭ, в противном случае этот пакет пропускается.
Таким образом, создание и обмен данными в рамках защищенного сетевого соединения по протоколу F проходит под контролем МЭ, и отправитель сетевых пакетов не сможет взаимодействовать по защищенному протоколу F несмотря на то, что шлюз-компьютер не производил подмены сертификатов.
Так как данный способ позволяет предотвратить несанкционированное взаимодействие по защищенным протоколам даже в случае, когда невозможно произвести подмену сертификатов, то применение данного способа расширяет возможности контроля сетевых соединений.
Расширение возможностей контроля соединений позволяет обеспечить контроль тех сетевых соединений, которые без использования данного способа оставались вне контроля. Таким образом, достигается второй технический результат данного способа - повышение уровня защиты вычислительной сети.
Осуществление изобретения
Рассмотрим осуществление предложенного способа в сети с коммутацией пакетов. Это может быть, например, корпоративная сеть, имеющая выход в сеть Интернет через один основной МЭ.
В качестве МЭ используется высокопроизводительный ПАК HW1000 на базе Intel Core 2 Duo, объемом оперативной памяти 2 ГБ, объемом жесткого диска 250 Гб, с установленной ОС Linux (ядро 3.10.92) и специализированным ПО (статья и загружаемая документация по адресу: http://infotecs.ru/downloads/all/vipnet-coordinator-hw-1000.html?arrFilter_93=408821001&set_filter=Y).
В МЭ определен запрещенный для использования протокол прикладного уровня (протокол F). Например, это может быть протокол ToR (The Onion Router).
Предпочтительным является выполнение средства контроля в программном виде, для чего предварительно создается, тестируется и затем интегрируется в МЭ прикладное ПО в виде программного модуля, выполняющего функции средства контроля и наделенного следующими возможностями:
• взаимодействовать по протоколу F;
• устанавливать соединения по протоколу Е, защищающие протокол F;
• устанавливать соединения по протоколу Т транспортного уровня, поверх которых устанавливаются соединения Е;
• определять факт использования протокола Е в сетевом соединении.
Сформировать программы, выполняющие функции средства контроля, может специалист в области программирования (программист).
Анализ сетевых пакетов осуществляется модулем ядра Linux (файл xt_dpi), который обеспечивает:
• анализ сетевых пакетов на предмет используемого протокола транспортного уровня;
• блокировку или разрешение сетевого трафика;
• передачу сетевых пакетов в указанное средство контроля, и получение результатов анализа через системный интерфейс netfilter_queue ядра Linux.
Данный модуль ядра встраивается в подсистему Netfilter ядра Linux, реализующей функции МЭ, с уровнем приоритета NF_IP_PRI_SELINUX_FIRST, с целью перехвата и анализа сетевых пакетов.
В пространстве пользователя запускается указанное средство контроля. Сетевые пакеты для анализа данная программа получает через системный интерфейс netfilter_queue ядра Linux.
Модуль xt_dpi анализирует сетевые пакеты и, при обнаружении сетевого пакета от отправителя С запросом на установку соединения транспортного уровня Т1 (например, для протокола ToR это будет TCP) с компьютером с адресом R, регистрирует пакет и начинает ожидать от отправителя С сетевой пакета с данными. После получения указанного сетевого пакета Р полученные данные извлекаются и через системный интерфейс netfilter_queue ядра Linux передаются на анализ в средство контроля, которое проводит определение факта наличия в данных запроса на установку защищенного соединения Е1 по протоколу Е (например, для протокола ToR это будет TLS) в сетевом соединении.
Если установлен факт использования протокола Е, то средство контроля от имени шлюз-компьютера устанавливает транспортное соединение Т2 с адресом назначения R, через установленное соединение Т2 устанавливает защищенное соединение Е2 по протоколу Е. Если установка соединения Е2 проходит успешно, то средство контроля выполняет взаимодействие по протоколу F (в рассматриваемых примерах это будет протокол ToR) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R. Результат попытки взаимодействия передается в модуль xt_dpi через системный интерфейс netfilter_queue ядра Linux. Если результат успешный, то модуль xt_dpi генерирует сообщение подсистеме Netfilter ядра Linux о необходимости заблокировать сетевой пакет Р.

Claims (17)

  1. Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных, причем на входе вычислительной сети N, в состав которой входят компьютеры клиентов и запросы из которой должны подвергаться фильтрации, установлен шлюз-компьютер с межсетевым экраном, в котором определен запрещенный для использования сетевой протокол прикладного уровня (F) и который содержит средство контроля, выполненное с возможностью
  2. взаимодействовать по протоколу прикладного уровня (F);
  3. устанавливать соединения по протоколу Е, защищающие протокол прикладного уровня (F);
  4. устанавливать соединения по протоколу (Т) транспортного уровня, поверх которых устанавливаются соединения Е;
  5. определять факт использования протокола (Е) в сетевом соединении;
  6. способ заключается в том, что
  7. устанавливают из вычислительной сети N со стороны компьютера клиента С соединение транспортного уровня Т1 с компьютером с адресом R через шлюз-компьютер;
  8. принимают в шлюзе-компьютере от клиента С для получателя с адресом R пакет Р, который пересылается через установленное соединение Т1 и содержит данные D;
  9. определяют в шлюзе-компьютере с помощью средства контроля факт наличия в составе данных D запроса на установку защищенного соединения Е1;
  10. если факт наличия запроса не установлен, то пропускают пакет Р через шлюз-компьютер;
  11. если факт наличия запроса установлен, то выполняются следующие действия:
  12. устанавливают с помощью средства контроля от имени шлюз-компьютера транспортное соединение Т2 с адресом назначения R;
  13. запрашивают с помощью средства контроля от имени шлюза-компьютера через установленное соединение Т2 установку защищенного соединения Е2, аналогичного по параметрам соединению Е1;
  14. если соединение Е2 установить не удалось, то пропускают пакет Р через шлюз-компьютер;
  15. если соединение Е2 успешно установлено, то выполняются следующие действия:
  16. осуществляют с помощью средства контроля взаимодействие по протоколу прикладного уровня (F) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R;
  17. если взаимодействие по протоколу прикладного уровня (F) оказывается успешным, то блокируют пакет Р в шлюзе-компьютере.
RU2018126029A 2018-07-16 2018-07-16 Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных RU2695983C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018126029A RU2695983C1 (ru) 2018-07-16 2018-07-16 Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018126029A RU2695983C1 (ru) 2018-07-16 2018-07-16 Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных

Publications (1)

Publication Number Publication Date
RU2695983C1 true RU2695983C1 (ru) 2019-07-29

Family

ID=67586861

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018126029A RU2695983C1 (ru) 2018-07-16 2018-07-16 Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных

Country Status (1)

Country Link
RU (1) RU2695983C1 (ru)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070089171A1 (en) * 2003-12-30 2007-04-19 Leeor Aharon Universal worm catcher
RU2306599C1 (ru) * 2006-04-26 2007-09-20 Военная академия связи Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети
US20070242658A1 (en) * 2006-04-13 2007-10-18 Evercom Systems, Inc. Unauthorized call activity detection and prevention systems and methods for a voice over internet protocol environment
US7702806B2 (en) * 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
US8806607B2 (en) * 2008-08-12 2014-08-12 Verizon Patent And Licensing Inc. Unauthorized data transfer detection and prevention
US9621579B2 (en) * 2014-11-21 2017-04-11 Symantec Corporation Systems and methods for protecting against unauthorized network intrusions
RU2644537C2 (ru) * 2016-07-05 2018-02-12 Общество с ограниченной ответственностью "Айдеко" Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7702806B2 (en) * 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
US20070089171A1 (en) * 2003-12-30 2007-04-19 Leeor Aharon Universal worm catcher
US20070242658A1 (en) * 2006-04-13 2007-10-18 Evercom Systems, Inc. Unauthorized call activity detection and prevention systems and methods for a voice over internet protocol environment
RU2306599C1 (ru) * 2006-04-26 2007-09-20 Военная академия связи Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети
US8806607B2 (en) * 2008-08-12 2014-08-12 Verizon Patent And Licensing Inc. Unauthorized data transfer detection and prevention
US9621579B2 (en) * 2014-11-21 2017-04-11 Symantec Corporation Systems and methods for protecting against unauthorized network intrusions
RU2644537C2 (ru) * 2016-07-05 2018-02-12 Общество с ограниченной ответственностью "Айдеко" Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб

Similar Documents

Publication Publication Date Title
US12003485B2 (en) Outbound/inbound lateral traffic punting based on process risk
US11632396B2 (en) Policy enforcement using host information profile
US10652210B2 (en) System and method for redirected firewall discovery in a network environment
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US9843593B2 (en) Detecting encrypted tunneling traffic
US8590035B2 (en) Network firewall host application identification and authentication
US7313618B2 (en) Network architecture using firewalls
US8800024B2 (en) System and method for host-initiated firewall discovery in a network environment
US11595385B2 (en) Secure controlled access to protected resources
JP2006134312A (ja) IPsecを使ってネットワーク検疫を提供するシステムおよび方法
KR20140130114A (ko) 호스트 및 게이트웨이를 인터로킹하기 위한 시스템 및 방법
CN111295640B (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
RU2695983C1 (ru) Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных
RU2648949C1 (ru) Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
CN118300899B (zh) 授权通信方法、装置、计算机设备及存储介质
EP3720081A1 (en) System and method for processing a software application on a port
Deverick A Framework for Active Firewalls