Министерство образования и науки Российской Федерации

_________________

САНКТ-ПЕТЕРБУРГСКИЙ

ГОСУДАРСТВЕННЫЙ ПОЛИТЕХНИЧЕСКИЙ

УНИВЕРСИТЕТ

__________________________________________________________

, ,

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Межсетевое экранирование.

Разграничение доступа на прикладном уровне

Учебное пособие

УДК 004.7:004.942(075.8)

ББК 32.973.202

, , Заборовский и средства защиты компьютерной информации. Межсетевое экранирование. Разграничение доступа на прикладном уровне. СПб: Изд-во СПбГПУ, 2012. 80 c.

Учебное пособие является логическим продолжением пособия «Методы и средства защиты компьютерной информации. Межсетевое экранирование».

В нем рассматриваются вопросы управления сетевым доступом на прикладном уровне. В пособии анализируются особенности реализации как традиционных протоколов (http, ftp, smtp), так и современных сервисов (icq, skype, bittorrent) с точки зрения возможности их гибкой фильтрации.

Изложенный в пособии теоретический материал сопровождается методическими материалами по лабораторному практикуму на базе учебного класса кафедры «Телематика» СПбГПУ с использованием межсетевых экранов ССПТ-2.

Практические задания в учебном пособии предназначены для освоения материала студентами старших курсов специальности «Вычислительные машины, комплексы, системы и сети».

Табл. __. Ил. __. Библиогр. назв.: 2.

Печатается по решению редакционно-издательского совета Санкт-Петербургского государственного политехнического университета.

НЕ нашли? Не то? Что вы ищете?

© Санкт-Петербургский государственный

политехнический университет, 2012

©, ,

, , 2012

Оглавление

Введение………………………………………………………………………...3

1 Определение и анализ структур прикладных протоколов для организации гибкой фильтрации……………………………......................…………………5

1.1 Определение структур прикладных протоколов……….………………...5

1.2 Анализ прикладных протоколов………………………….……………...10

1.2.1 Традиционные протоколы прикладного уровня………………………10

1.2.1.1 HTTP…………………………………………………………….10

1.2.1.2 FTP………………………………………………………………19

1.2.1.3 SMTP…………………………………………….………………26

1.2.2 Особенности построения современных протоколов и возможности их гибкой фильтрации……………………………………………………………34

1.2.2.1 Структура и фильтрация ICQ (протокол OSCAR)……………34

1.2.2.2 Структура и фильтрация BitTorrent…………………………...41

1.2.2.3 Структура и фильтрация Skype………………………………..49

2 Принцип функционирования ССПТ-2 в режиме фильтрации прикладного

уровня………………………………………………………………………….54

2.1 Режим управления сессиями и фильтрация прикладного уровня…….54

2.2 Методика создания правил для фильтрации трафика приложений……59

3 Гибкая фильтрация трафика протоколов прикладного уровня средствами МЭ ССПТ-2……………………………………………………………………62

3.1 Фильтрация трафика протокола HTTP……………………………….....63

3.1.1 Обеспечение доступа к WEB-сайтам (пропуск трафика протокола HTTP)……………………………..……………………………………………63

3.1.2 Обеспечение доступа к веб-сайтам из «белого списка»……………..65

3.1.3 Обеспечение блокировки WEB-сайтов из «чёрного списка»………..69

3.2 Фильтрация трафика протокола OSCAR………………………………..72

3.2.1 Блокировка ICQ (запрет трафика протокола OSCAR)…………….....72

3.2.2 Блокировка входящих/исходящих ICQ-сообщений…………………..73

3.2.3 Блокировка пользователей по ICQ-номерам………………………….75

Заключение…………………………………………………………………….78

Список литературы……………………………………………………………79

Введение

Разграничение доступа (фильтрация) на прикладном уровне может рассматриваться с различных точек зрения.

Основной критерий — насколько гибкой (эффективной) оказывается фильтрация. Самое простое решение — режим «разрешить - запретить» работу сетевого приложения. В этом случае не учитываются пользователи, режимы работы, передаваемая информация. Либо весь трафик приложения блокируется, либо пропускается.

Более «глубокий» анализ позволяет учитывать режимы работы приложений, осуществлять блокировку отдельных пользователей и отдельных типов данных.

И, наконец, полная контентная фильтрация даёт возможность осуществлять фильтрацию по любому параметру приложения, в том числе по передаваемым словам и фразам с учётом их кодировок.

Самая первая задача, которую нужно решить — идентификация приложения по его трафику в промежуточной точке.

Самый старый и простой способ — фильтрация по номерам портов транспортного уровня. Однако этот способ ненадёжен, т. к. сетевой администратор или само приложение может перенастроить номера используемых портов. А это значит, что применять только этот способ недостаточно и, следовательно, необходимо выявлять признаки прикладных протоколов вне зависимости от того, какие порты используются приложением.

Для этого можно использовать анализ заголовков протоколов прикладного уровня, характерные для конкретных протоколов сигнатуры (байтовые последовательности). Нужно отметить, что идентификация традиционных протоколов (приложений), таких как http (web), ftp, smtp, pop3 и др. не вызывает особых затруднений. В тоже время идентификация трафика skype, icq, современных пиринговых файлообменных систем представляет собой нетривиальную задачу, так как они специально разрабатывались с учетом возможности маскировки и обхода систем фильтрации.

После идентификации сетевого приложения (прикладного протокола) можно приступать к решению задачи разграничения доступа (фильтрации). Как уже было отмечено, гибкость фильтрации может быть различной. Задача полной блокировки сетевого приложения — самая простая, а вот фильтрация с учетом конкретного пользователя, разрешённых (запрещённых) режимов, операций, типов данных требует выявления конкретных признаков (сигнатур).

Для обеспечения фильтрации на прикладном уровне используются два различных метода. Первый из них, обеспечивающий полную фильтрацию, – это использование промежуточных прокси-серверов. На прокси-сервере полностью собирается любая передаваемая информация. Следовательно, это позволяет её полностью проанализировать и свободно указывать любые параметры передаваемых данных в качестве признаков фильтрации. Однако этот способ имеет ряд недостатков – необходимость создания индивидуального прокси-сервера для каждого прикладного протокола и высокие временные затраты на обработку и анализ передаваемой информации.

Второй метод – это сигнатурный анализ пакетов с раскрытием информации, содержащейся в пакете (при этом анализируются не только заголовки, но и поля данных), и сопоставлением определённых байтовых данных приложениям. Именно этот метод реализован в межсетевом экране ССПТ-2 и позволяет достичь такого уровня фильтрации, при котором можно контролировать работу различных приложений, их отдельные параметры и функции. Этот метод не позволяет полностью анализировать трафик приложений, так как информация анализируется «попакетно», но обеспечивает достаточное быстродействие, характерное для МЭ пакетного типа.

В пособии рассмотрены и проанализированы с точки зрения возможности гибкой фильтрации различные протоколы прикладного уровня, как «традиционные» (http, ftp, smtp) так и относительно новые, реализующие такие сетевые сервисы как skype, icq, p2p.

1 Определение и анализ структур прикладных протоколов для организации гибкой фильтрации

1.1 Определение структур прикладных протоколов

Идентификация приложений методом сигнатурного анализа трафика – это определение признаков прикладных протоколов (а именно, характерных байтовых последовательностей), их сопоставление с функциональными режимами работы приложения и выявление в промежуточной точке.

Данный метод позволяет надёжно и гибко (эффективно) контролировать работу сетевых приложений. Надёжность обеспечивается однозначным соответствием найденных признаков протокола отдельным функциям сетевого приложения. Каждый параметр, функция или режим работы приложения соотносится с уникальной байтовой последовательностью. Управляя передачей этих последовательностей, мы контролируем работу приложения, его отдельные настройки и параметры, тем самым обеспечивая гибкость (эффективность).

Этот способ фильтрации прикладных протоколов более эффективен и надёжен в сравнении со способом блокировки по номерам портов, используемых приложением. Современные сетевые приложения способны самостоятельно или при участии администратора (или обычного пользователя) перенастраивать номера портов. Однако изменение внутренней структуры протокола (буквально – бинарных данных о размерах, значениях и смещениях его заголовков, полей данных и т. д.) доступно только для непосредственных разработчиков. Эффективность решений, полученных методом сигнатурного анализа, напрямую зависит от их соответствия текущей спецификации рассматриваемого протокола в каждом конкретном случае. Стоит отметить, что способ фильтрации на основе байтовых последовательностей не исключает блокировку по номерам портов, а лишь дополняет и конкретизирует этот способ.

В понятие гибкой (эффективной) сигнатурной фильтрации нами включается принятие решения о пропуске/удалении пакетов на основе выявления и идентификации:

·  отдельных команд приложения;

·  отдельных пользователей приложения;

·  передаваемых типов данных;

·  байтовых последовательностей в формате структуры пакета;

·  связей между полями пакета;

·  связей между полями нескольких пакетов в рамках сессии.

Полной и универсальной реализации этих положений на данный момент не существует. Такая ограниченность связана с постоянным ростом множества прикладных протоколов, техническим эволюционированием их внутренней структуры в сторону динамических систем со взаимосвязанными параметрами.

Идентификация «традиционных» прикладных протоколов и приложений, таких как http (протокол web-доступа), ftp (протокол передачи файлов), smtp, pop3 (протоколы электронной почты) и др. не вызывает особых затруднений, о чём будет сказано позже. Проблемы возникают с наиболее сложными и разнообразными структурами протоколов, условно выделенных в группу «современные» прикладные протоколы. Предельный интерес среди них представляют протоколы систем мгновенной передачи сообщений (im-приложения), пиринговых файлообменных сетей (p2p-приложения) и современной ip-телефонии (voip-приложения). Информация об особенностях работы протоколов этих систем отсутствует в открытом доступе и зачастую является коммерческой тайной (как, например, skype). Фактически, это проприетарные и закрытые протоколы со сложной внутренней структурой (многоуровневой системой шифрования, использованием собственных исполняемых файлов с антиотладочными особенностями, высоким уровнем маскирования своего трафика). Характерной особенностью этих протоколов является их регулярная модификация: появление новых версий протоколов, учитывающих новейшие решения в области фильтрации трафика и адаптированных для обхода существующих средств разграничения доступа.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13