Методы анализа защищенности компьютерных сетей

NovaInfo 47, с.69-72
Опубликовано
Раздел: Технические науки
Просмотров за месяц: 0
CC BY-NC

Аннотация

Разобраны методы обеспечения сетевой и компьютерной безопасности на основе современного оборудования.

Ключевые слова

NETFLOW, МАРШРУТИЗАТОР, СЕТЕВАЯ БЕЗОПАСНОСТЬ, IPFIX

Текст научной работы

В XXI веке вопрос о сетевой и компьютерной безопасности стоит как никогда остро. Поэтому для обеспечения защиты своих данных многие полагаются на системы обнаружения вторжении и системы предотвращения вторжений. Однако, классические подход многих этих систем для сбора данных, заключается в захвате всех сетевых пакетов, которые проходят через систему, чаще всего в PCAP-формате. Но существуют многие маршрутизаторы и зонды мониторинга, которые собирают потоковые данные, как правило, в формате NetFlow [1].

NetFlow и IPFIX

NetFlow был первоначально разработан компанией Cisco Systems, мировым лидером в области сетевых решений. Многие коммутаторы и маршрутизаторы Cisco способны экспортировать записи NetFlow. Есть два широко используемых версии NetFlow - версии 5 и 9. Первая из них является собственным форматом компании Cisco, а вторая была стандартизирована как открытый протокол по IETF в 2006 году.

Поток определяется как однонаправленная последовательность пакетов с некоторыми общими свойствами, которые проходят через сетевое устройство. Эти собранные потоки экспортируется на внешнее устройство, коллектор NetFlow. Сетевые потоки высоко гранулированные, например, записи потоков включают такие детали, как IP-адреса, пакеты и байты, метки, тип службы, порты приложений, входные и выходные интерфейсы, и т.д. Таким образом, коллекция потоковых данных обеспечивает агрегированный вид сетевого трафика [4].

IPFIX. Продолжение усиления IETF приводит к унификации протоколов и приложений, которые требуют потокового измерения IP трафика. RFC 3917 определяет требования для экспорта информации о потоке трафика из маршрутизаторов, промежуточных устройств (например, брандмауэры, прокси, балансировки нагрузки, NATs), или систем измерения трафика для дальнейшей обработки приложениями, расположенными на других устройствах. Следовательно, NetFlow версии 9 компании Cisco был выбран в качестве основы для IP Flow Information Export (экспорт информации о потоках IP, сокращенно IPFIX). Там нет фиксированных свойств, таких как в NetFlow версии 5. Пользователь может гибко определять свойства, используемые для распознавания потоков.

RFC 5101, опубликованный в январе 2008 года, определяет протокол IPFIX, который служит для передачи информации о движении IP-трафика по сети.RFC 5102 определяет информационную модель для протокола IPFIX. Он используется протоколом IPFIX для кодирования измеренной информации о трафике и информацию, связанную с целом процессе. Благодаря гибкости IPFIX, RFC 5103 может ввести термин Biflow, двунаправленный поток, и описать эффективный метод для экспорта Biflows информации с использованием протокола IPFIX. Двунаправленный вид сетевого трафика может быть полезным для анализа безопасности [3].

Развитие IPFIX еще не закончено. Рабочая группа IPFIX по-прежнему работает на нескольких интернет-проектах, которые будут опубликованы в качествеRFC. Самый последний RFC был выпущен в апреле 2008 года. Он обеспечивает руководящие принципы для осуществления и использования протоколаIPFIX.

Выборка пакетов выполняется (особенно маршрутизаторами), чтобы сохранить экспортеров ресурсов NetFlow. Различают два основных типа выборки:

  • детерминированная – точно n пакетов из n выбирается,
  • случайная - каждый пакет выбирается с вероятностью 1/n.

Постоянная n называется частотой дискретизации. Например, если она установлена на 4, и устройство принимает 100 пакетов, то 25 пакетов будет проанализировано и 75 пакетов будет отброшено для анализа. Записываются только общие поля заголовка пакета, а не вся полезная нагрузка. Выборка потока – это другой тип агрегации.

Активное и неактивное значения таймаута влияют на создание потока. Активный таймаут применяется к долговечных потоков. Если поток был неактивным некоторое время, равное таймауту неактивности или был обнаружен конец потока, статистика потока экспортируется от зонда к коллектору. Коллектор представляет собой сервер, выделенный для сбора, долгосрочного хранения и анализа статистических данных потока.

Другие технологии на основе потоков

Фирменный Cisco NetFlow или открытые IETF стандарты не являются единственными потоковыми решеними. Другой промышленный стандарт был описан в RFC 3176. sFlow – это технология для мониторинга трафика в сетях передачи данных, содержащих коммутаторы и маршрутизаторы. В частности, он определяет механизмы отбора проб, реализованные в агент sFlow для мониторинга трафика, sFlow MIB для управления sFlow агентом и формат выборочных данных используемых агентом sFlow при пересылке данных на центральный коллектор данных. sFlow поддерживается Alcatel-Lucent, D-Link,Hewlett Packard, Hitachi и NEC [2].

Другие лидеры в сетевой индустрии также развивают свои собственные потоковые решения: Juniper Networks используют JFlow и Huawei Technology собственный NetStream.

В этой статье были рассмотрены несколько методов обнаружения для анализа защищенности компьютерной сети. Определенно, это далеко не полный список известных методов, а выборка методов, имеющих широкое распространение, а также интересных методов и подходов.

Читайте также

Список литературы

  1. Шарафутдинов А.Г., Наумова М.Я. Искусственный интеллект - будущее сегодня. [Текст]// NovaInfo.Ru. - 2015. Т. 2. - № 34. - С. 67-69.
  2. Шарафутдинов А.Г. Каналы реализации продукции личных подворий. [Текст]// Известия Российского государственного педагогического университета им. А.И. Герцена. - 2009. - № 119. - С. 129-132.
  3. NN48500-595. Avaya Ethernet Routing Switch 4500, 5000, 8300, 8600. IPFIX Technical Configuration Guide. 2010.
  4. Internet-Draft. F. Dressler, C. Sommer, Univ. Erlangen, G. Muenz, Univ. Tuebingen, A. Kobayashi, NTT PF Lab. IPFIX Flow Aggregation.

Цитировать

Исламов, Р.И. Методы анализа защищенности компьютерных сетей / Р.И. Исламов. — Текст : электронный // NovaInfo, 2016. — № 47. — С. 69-72. — URL: https://novainfo.ru/article/6592 (дата обращения: 19.01.2022).

Поделиться