Автоматическая изоляция некорректных объектов КВС по информации сетевого мониторинга (X)

А.М.Терентьев

Базовые средства сетевого мониторинга, разработанные автором [15], позволяют получать достоверную информацию о функционировании объектов корпоративной вычислительной сети (КВС). Вместе с тем, как уже давно [13, 14] указывалось, пассивные методы наблюдения и контроля за сетевыми объектами в настоящее время уже не способны обеспечить эффективную защиту сетевых ресурсов от некорректно настроенных ПК, сетевых вирусов и прочих нарушений регламента работы сетевых объектов.

Общей тенденцией развития корпоративных сетей становится увеличение Интернет-трафика. Выборочные месячные данные за два последних года по КВС ЦЭМИ РАН приведены в таблице 1 (традицией подобных примеров стал сентябрь, однако в сентябре 2006г. по техническим причинам наблюдающая станция сетевого мониторинга заметное время не функционировала, поэтому для сравнения с сентябрём 2005г. взят октябрь 2006 г.). С учётом того, что выходящий в Интернет трафик в сентябре 2005г., как уже было ранее в 2003 г. [19], во многом определён вирусной активностью первой недели месяца, легко видеть, что входящий Интернет-трафик увеличился более, чем на 30%. Аналогичная постоянная тенденция наблюдалась и ранее [15].

Отметим, что приведённые в этих таблицах объёмы внутрисетевых пересылок (графа Intro-LAN отражают лишь часть реальной информации, поскольку начавшаяся в 2005г. реорганизация КВС ЦЭМИ РАН вывела из-под мониторинга значительную часть сети в виде обособленного сегмента. После обособления административно-финансового сегмента [1] в 2003 г., это уже второй сегмент, закрытый от мониторинга по внутрисетевым пересылкам. Однако, поскольку роутеры этих сегментов остаются включенными в мониторируемую часть сети, данные Интернет-трафика включают и трафик к/от этих роутеров, так что приведённые данные по Интернет-трафику аутентичны.

Таблица 1. Трафик за сентябрь 2005г. и октябрь 2006г.

Сентябрь 2005 г. [Мегабайты]

Октябрь 2006 г. [Мегабайты]

День месяца

From

To

Intro-LAN

From

To

Intro-LAN

1

957,77

537,64

232,89

1167,47

630,99

33,69

2

2398,39

9636,91

452,99

3915,88

1154,54

926,15

3

370,37

20537,37

166,12

3471,36

1292,49

389,99

4

370,40

19491,82

70,76

3433,17

1019,59

437,31

5

5119,86

15756,46

590,97

1955,65

1115,59

432,45

6

4458,89

11167,88

209,14

3472,00

998,69

282,02

7

1686,56

4248,92

349,69

382,14

723,64

35,65

8

2165,40

1058,24

381,48

331,76

701,93

68,83

9

1218,55

870,29

174,62

4631,09

1160,20

460,35

10

144,48

270,14

79,36

3319,10

1347,75

248,18

11

177,13

206,02

67,58

3475,10

950,59

247,03

12

1465,23

574,14

674,21

1800,37

601,04

273,39

13

2443,51

671,44

401,17

5277,78

778,15

295,05

14

1282,31

625,15

697,65

6050,14

472,20

68,89

15

2362,89

559,80

286,91

644,27

278,22

63,09

16

1362,32

860,37

208,54

2427,20

793,15

464,63

17

777,34

276,33

64,01

2543,36

818,37

369,55

18

179,92

229,20

98,54

4096,70

724,89

352,81

19

3921,99

847,04

427,57

2915,62

820,20

347,13

20

3358,59

704,17

310,10

4037,20

1383,45

218,06

21

2379,07

874,67

533,65

1933,63

257,82

50,58

22

2900,08

878,96

512,19

488,78

249,68

53,29

23

2167,28

1007,60

397,78

3213,67

748,56

547,37

24

470,89

454,93

83,39

2128,31

653,94

517,81

25

1349,05

648,12

76,60

4149,36

924,18

339,43

26

4853,72

1379,29

480,82

2278,89

550,87

446,30

27

6825,59

1515,85

403,43

4762,22

561,32

178,02

28

4541,68

1026,62

1212,73

4737,33

327,24

25,15

29

2921,41

1278,14

474,07

365,84

164,74

17,43

30

2856,80

1150,72

453,79

2712,81

659,33

484,28

31

 

 

 

3284,34

2431,98

418,78

Итого [Мб]

67487,47

99344,23

10572,75

89402,54

25295,33

9092,69

Для защиты КВС от внешних воздействий предусмотрен целый ряд мер, таких, как закрытые порты на маршрутизаторе Cisco [3], сплошная антивирусная проверка приходящих на официальный почтовый сервер писем, брандмауэры и антивирусные средства на рабочих станциях и серверах [11]. В то же время, сеть практически не защищена от несанкционированных воздействий изнутри, начиная от некорректной настройки ПК и до сетевых атак, вызываемых сетевыми вирусами, рассылками спама или хакерскими трюками.

Характерным примером служит ошибочная простановка сетевых настроек на привнесённом ПК, когда вместо выделенного IP-адреса был указан IP-адрес корпоративного сервера DNS. В течение нескольких часов работа всей сети была заблокирована, причём единственным ПК, который успешно выходил в Интернет и "не почувствовал" ситуации, был именно тот принесённый на полдня из дома ноутбук, который и послужил причиной паралича в работе сети.

Представлялось, что с вводом в действие сетевого коммутатора Cisco Catalyst КВС будет защищена от подобных неприятностей: разрешительный доступ по каждому порту каждому сетевому устройству по его фиксированному МАС-адресу, казалось бы, не оставил возможности несанкционированной подмены одного ПК другим. Однако, с появлением операционной системы Windows XP рядовым пользователям стала доступной возможность подмены реального МАС-адреса сетевого адаптера любым другим, который пользователь может ввести непосредственно. Естественно, с появлением подобной возможности следовало ожидать, что найдётся желающий её использовать. Так и случилось.

В этих условиях к началу 2004г. было запроектировано построение на базе сетевого мониторинга средств автоматизированной внутрисетевой защиты. Резко повысив эффективность средств мониторинга на наблюдающих станциях (НС) [21], была затем разработана мониторная программа (МП), работоспособная в Windows-среде, способная принимать оперативную информацию от НС по serial-кабелю [17]. Одновременно была модифицирована КВС ЦЭМИ РАН введением управляемого сетевого коммутатора Cisco Catalyst [16]. Таким образом, необходимые технические предпосылки разработки средств автоматизированной защиты были обеспечены.

Впоследствии была исследована возможность полуавтоматического управления сетевыми коммутаторами Cisco Catalyst [12] и построена пилот-версия программы управления, работоспособная по протоколу Telnet.

К этому моменту выяснилось, что различные версии IOS Cisco по-разному могут обеспечить изоляцию сетевых устройств. Предполагавшийся ранее к использованию простой метод подачи единой команды drop запрета приёма информации от сетевого устройства по его технологическому сетевому MAC-адресу, как выяснилось, не является универсальным [18]. Актуальной стала проблема разработки гибких настраиваемых программных средств управления сетевыми коммутаторами.

Эта проблема была решена разработкой специального языка как надстройки над Telnet-командами [18], интерпретатор с которого встроен в новую версию мониторной программы. Предполагалось создать серию эффективных процедур на указанном языке, автоматически запускаемых на МП по сигналу с НС с MAC-адресом нарушителя, для изоляции последнего.

Следует сразу сказать, что термин "изоляция" предложен не случайно. Вероятно, идеальным при обнаружении нарушения было бы отключение нарушителя от всех сетевых функций. Однако, этому есть ряд препятствий.

Во-первых, технологическая структура локальной вычислительной сети (ЛВС) ЦЭМИ РАН такова, что центром "звезды" является один сетевой коммутатор Cisco Catalyst с 24 портами, из которых 4 носят служебный характер (2 транковых, 1 мониторный, 1 резерв). В ЛВС свыше 250 устройств, так что на одном порту коммутатора находятся в среднем 15-20 сетевых объектов (рабочих станций и серверов локального назначения). Отказ приёма сетевых пакетов нарушителя, таким образом, не устранит его влияния на ПК, подключенные к тому же порту (как правило, это ПК того же этажа либо того же подразделения, где находится нарушитель), однако изолирует нарушителя от остальных 200 рабочих станций и, разумеется, от Интернета.

Во-вторых, технологические процессы, проводимые в научном институте с помощью компьютерной техники, имеют разный приоритет. Ведущиеся долговременные модельные расчеты или расчет зарплаты в определённых случаях могут быть более приоритетны, чем блокирование сетевого червя. В таких случаях сохранение доступа на соседний сетевой ПК решает проблему.


Финальная версия средств сетевого мониторинга

К моменту публикации данной работы в КВС ЦЭМИ РАН действует в составе технических средств сетевого мониторинга и аудита мониторная программа (МП), исполняющая следующие основные функции:

- получение оперативной информации о состоянии ЛВС и нарушениях в сети от наблюдающей станции (НС) по serial-соединению;

– агрегирование оперативной информации о состоянии КВС за текущий 15-минутный период отчёта НС и за последние сутки;

– установление связи по сетевому протоколу со специальной серверной программой-приложением и передача на сервер оперативной информации для её отражения на сайте;

– автоматическое исполнение процедуры изоляции сетевого нарушителя посредством исполнения соответствующей процедуры в сеансе связи с сетевым коммутатором Cisco Catalyst-2935;

- возможность исполнять нужные процедуры управления сетевым коммутатором вручную, по запросу оператора.

Рис. 1. Схема взаимодействия компонент сетевого мониторинга и аудита


Схема взаимодействия компонентов системы сетевого мониторинга и аудита отражена на рис. 1. По сравнению с предложеной на стадии начала проекта схемой, действующая отличается местом подключения ПК группы Информационной безопасности к КВС: в реальной схеме, как это видно на рисунке, коммутация выполнена через вышестоящий по отношению к управляемому сетевой коммутатор, так что команды автоматического управления всегда приходят по транковому порту и, следовательно, ненаблюдаемы ни с какого ПК ЛВС ЦЭМИ РАН.

Работа наблюдающей станции в целом, за исключением обнаружения нарушителей и передачи этой информации в МП, достаточно полно освещена в [15, 19]. Для фиксации нарушения, разработанный ранее протокол связи по serial-соединению пополнен блоком информации с МАС-адресом нарушителя. К настоящему моменту реализована фиксация только одного типа нарушений, а именно испускания сетевым объектом TCP- или UDP-пакета с невыделенным для него IP-адресом. Встроенные в МП средства автоматической связи с управляемым сетевым коммутатором Cysco Catalyst [6] при обнаружении нарушения запускают процедуру изоляции нарушителя. Предусмотрено блокирование изоляции для специально выделенных сетевых объектов – в момент написания статьи к таким относился роутер административно-финансового сегмента ЛВС ЦЭМИ РАН и ряд других сетевых ПК. После исполнения процедуры изоляции нарушителя, МП по протоколу UDP передаёт информации об изоляции нарушителя на сервер [10]. В обычном режиме, по тому же протоколу на сервер постоянно передаётся полученная от НС оперативная и агрегированная информация о состоянии ЛВС.

Рис. 2. Экран мониторной программы (полный вид)


Экран МП (рис. 2) отражает текущее время всех компонент системы сетевого мониторинга, оперативную и агрегированную информацию о состоянии ЛВС и список текущих нарушителей. В расширенном варианте экрана (после нажатия кнопки Show появляется правая часть, а сама кнопка приобретает имя Hide) доступны средства ручного управления коммутатором и отладки. Здесь же содержится ряд последних сообщений, поступивших в протокол работы (отражение их может быть заморожено щелчком мыши по этой части экрана для спокойного изучения, это фиксируется словами “Показ приостановлен” и рамкой вокруг протокола, как это видно на рис. 2).

Для ручного управления коммутатором достаточно установить флажок Manual(при этом автоматический вызов процедур изоляции будет заблокирован), выбрать из browse-списка нужную процедуру по её имени, ввести в дополнительных окнах МАС-адрес и номер порта, если это требуется, и, если введённые параметры корректны, запустить процедуру кнопкой Start. Ручное управление включается на 30 секунд, после чего флажок Manual автоматически сбрасывается. Необходимость ввода МАС-адреса и/или порта зафиксированы в описании процедуры, и оператору выдаются подсказки подсветом соответствующих окон. При вводе 16-ричных цифр МАС-адреса и 10-ных цифр номера порта исполняется контроль каждого вводимого символа, а также введённой части информации. Таким образом, технически сложное управление сетевым коммутатором сведено к легко формализуемым простым действиям в дружественной среде.

В правой верхней части экрана имеется окно, в котором можно наблюдать (по желанию оператора) текущие пакеты serial-связи с НС, UDP-связи с сервером или Telnet-команды связи с сетевым коммутатором. На рис. 2 в этом окне видны последние выполненные команды процедуры.

Экран также содержит сведения о версии каждого программного средства компонент сетевого мониторинга и сетевую информацию, используемую в UDP-протоколе. Логин, пароль и IP-адрес сетевого коммутатора на экране не отражаются в целях безопасности. Иконка глаза в левом верхнем углу экрана показывает нормальное состояние связи с НС (открытый глаз) или таймаут (закрытый).

Заключение

Работа системы сетевого мониторинга и аудита в её финальном варианте проверена на ЛВС ЦЭМИ РАН. Сетевой коммутатор Cisco Catalyst-2935, использующийся для управления локальной сетью, уверенно исполняет процедуру отсечения ПК, нарушающих правила эксплуатации сети. Созданные математические и программные средства позволяют использовать как STATIC-адреса сетевого коммутатора, так и SECURE-списки.

Вся процедура изоляции занимает менее минуты, обычно 10-15 секунд. За время эксплуатации средств разрывов связи с сетевым коммутатором во время исполнения процедур изоляции не наблюдалось.

Автору к моменту публикации данной работы неизвестны аналоги описанных программно-технических средств автоматической изоляции ПК, нарушающих правила работы в корпоративной сети.

Получение работоспособной системы, представляется, не означает завершение работ по совершенствованию средств сетевого мониторинга и аудита. Ряд вопросов решён в минимальном объёме: в данной модификации отслеживаются далеко не все типы сетевых нарушений, которые могут представлять интерес. Не исследовано управление коммутаторами, имеющими смешанный режим STATIC и SECURE-адресов по разным портам. Отсутствует работа с несколькими сетевыми коммутаторами. Имеются и другие возможные направления продолжения работ.

Вместе с тем, автор считает поставленную в начале разработки проекта задачу автоматической изоляции сетевых нарушителей успешно выполненной.


Литература
  1. Вегнер В.А., Ляпичева Н.Г., Львова А.С., Терентьев А.М. Разработка и реализация типового проекта выделенного сегмента ЛВС на примере ПК административно-финансовой группы ЦЭМИ РАН. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 88-101.
  2. Ильменский М.Д., Кочетова Н.А., Ляпичева Н.Г., Маракуев А.В., Паринов С.И., Смитиенко А.Ю., Терентьев А.М., Ушкова В.Л.. Развитие и использование информационных телекоммуникационных сетей и систем в экономических исследованиях. / В сб. "Россия в глобализирующемся мире: Политико-экономические очерки". Отв.редактор академик Д.С.Львов / - М.: Наука, 2004, с.389-397. (Рус.)
  3. Кочетова Н.А., Ляпичева Н.Г. Методы и средства защиты магистральных маршрутизаторов и серверов удаленного доступа производства Cisco Systems / Вопросы информационной безопасности узла Интернет в научных организациях. Сборник статей под ред. М.Д.Ильменского - М.: ЦЭМИ РАН, 2001. - с.10-42. (Рус.)
  4. Ляпичева Н.Г. Выбор интернет-провайдера на основе измерения трафика / Развитие и использование средств сетевого мониторинга и аудита. Вып. 3. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2006, с.36-49
  5. Ляпичева Н.Г. Информационные сервисы и обеспечение их защиты от несанкционированного доступа из Интернет / Использование и развитие современных информационных технологий в научных исследованиях. Сборник статей под ред. М.Д.Ильменского - М.: ЦЭМИ РАН, 2003, с.32-63. (Рус.)
  6. Ляпичева Н.Г., Терентьев А.М. Исследование сетевых сервисов на примере клиентского почтового протокола POP3. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 60-74.
  7. Ляпичева Н.Г. Обнаружение сетевых почтовых атак / Развитие и использование средств сетевого мониторинга и аудита. Вып. 2. Сборник статей под ред. М.Д.Ильменского - М.: ЦЭМИ РАН, 2005, с.28-39.
  8. Терентьев А.М. Автоматическая изоляция некорректных объектов КВС по информации сетевого мониторинга / Развитие и использование средств сетевого мониторинга и аудита. Вып. 3. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2006, с. 6-15.
  9. Терентьев А.М., Горбанева О.Г., Львова А.С. Адаптация антивирусного сайта к актуальным пользователям антивирусных средств / Развитие и использование средств сетевого мониторинга и аудита. Вып. 2. Сборник статей под ред. М.Д.Ильменского - М.: ЦЭМИ РАН, 2005, с.40-53.
  10. Терентьев А.М., Львова А.С. Адекватное отображение на технологическом сервере событий реального времени / Развитие и использование средств сетевого мониторинга и аудита. Вып. 3. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2006, с.50-69.
  11. Терентьев А.М. Антивирусная защита ПК в Windows 95/98/NT: Справочное пособие по антивирусным средствам ЗАО "ДиалогНаука". 2е изд. - М.: Перспектива, 2000. - 104с.: ISBN 5-86225-490-0.
  12. Терентьев А.М. Возможность полуавтоматического управления сетевыми коммутаторами Cisco Catalyst / Развитие и использование средств сетевого мониторинга и аудита. Вып. 2. Сборник статей под ред. М.Д.Ильменского - М.: ЦЭМИ РАН, 2005, с.14-27.
  13. Терентьев А.М. Задачи полноценного аудита корпоративных сетей. - <Концепции>, N1(11), 2003, с.94-95.
  14. Терентьев А.М. Информационная безопасность в крупных локальных сетях. - <Концепции>, N1(9), 2002, с. 25-30.
  15. Терентьев А.М. Методы и средства наблюдения загрузки локальных вычислительных сетей на примере ЦЭМИ РАН / Препринт #WP/2001/110 - М.: ЦЭМИ РАН, 2001. - 74 с.
  16. Терентьев А.М., Ляпичева Н.Г., Кочетова Н.А. Мониторинг корпоративной сети ЦЭМИ РАН в условиях использования коммутатора Cisco Catalyst-2924. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 75-87.
  17. Терентьев А.М. Мониторная программа как средство интеграции данных наблюдающей станции в локальной сети. / "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 2". - Сб.статей под ред. М.Д.Ильменского. - М., ЦЭМИ РАН, 2005, с.6-13, ISBN 5-8211-0365-7.
  18. Терентьев А.М. Опыт синтеза языка управления работой сетевых коммутаторов Cisco "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 3". - Сб.статей под ред. А.М.Терентьева. - М., ЦЭМИ РАН, 2006, с.16-35, ISBN 5-8211-0409-2 (978-5-8211-0409-0).
  19. Терентьев А.М. Построение и развитие системы сетевого мониторинга. "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 1". - Сб.статей под ред. А.М.Терентьева. - М., ЦЭМИ РАН, 2004, с.5-23, ISBN 5-8211-0317-7.
  20. Терентьев А.М., Львова А.С. Технология антивирусной защиты сетевых ПК с использованием специализированного сервера и ПК-сателлита. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 47-59.
  21. Терентьев А.М. Ускорение форматных преобразований в системах реального времени, реализованных на языке PowerBasic для i386+. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 24-36.
  22. Отчет "РАЗВИТИЕ И ИСПОЛЬЗОВАНИЕ ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ В ЭКОНОМИЧЕСКИХ ИССЛЕДОВАНИЯХ (заключительный)" по теме: 01.20.03.02828. Центральный экономико-математический институт, инв.№ ВНТИЦентр 0220.0 600989 - М.: ЦЭМИ РАН, 2005. - 73с. (Рус.)

(X)Работа выполнена при финансовой поддержке РФФИ, проект N 04-07-90260в

Статья опубликована в 2006 г.