Автоматический межсетевой экран



Автоматический межсетевой экран
Автоматический межсетевой экран

 


Владельцы патента RU 2580004:

Михайлов Андрей Витальевич (RU)

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа. Технический результат, достигаемый в изобретении, заключается в получении возможности сегментировать ВС без необходимости переконфигурирования узлов сети, переконфигурирования МЭ и формирования правил фильтрации. Указанный технический результат достигается следующими конструктивными особенностями и алгоритмом фильтрации трафика. Автоматический межсетевой экран, представляет собой совокупность аппаратных и программных средств, содержит, по меньшей мере, два сетевых интерфейса, позволяет фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов, при этом содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика. 2 ил.

 

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа.

Типовая процедура внедрения МЭ состоит из ряда этапов, включающих переконфигурирование сетевых настроек узлов ВС, настройку сетевых параметров интерфейсов МЭ, формирование правил фильтрации и т.д. Сама процедура довольно трудоемкая и требует от специалистов как наличия административных привилегий доступа в ВС, так и специальных знаний в области информационной безопасности.

В то же время МЭ применяются, зачастую, для решения одной и той же типовой задачи - сегментирования ВС на две части: доверенную и недоверенную, при котором транзит трафика между обеими частями осуществляется через МЭ, осуществляющий фильтрацию, направленную на защиту узлов доверенной части от несанкционированных подключений со стороны узлов недоверенной части.

В настоящее время существует потребность в максимально простых МЭ, которые бы обеспечивали приемлемый уровень безопасности при решении типовой задачи сегментирования с минимальными усилиями, затрачиваемыми на их внедрение.

В существующем уровне техники наиболее простым во внедрении типом МЭ являются персональные МЭ, устанавливаемые на узлы в виде дополнительного программного обеспечения. Существуют операционные системы (ОС), которые после своей установки автоматически активируют встроенный МЭ, препятствующий несанкционированным подключениям к узлу. В то же время данные МЭ имеют ряд существенных недостатков:

1) для своей настройки они требуют наличия административных привилегий доступа на защищаемом узле и поэтому не могут быть настроены пользователями, не обладающими такими привилегиями;

2) они не гарантируют защиту от вредоносного программного обеспечения (компьютерных вирусов, троянских коней и т.д.), которое, будучи запущенным на защищаемом узле, может существенно противодействовать работе МЭ вплоть до их нейтрализации;

3) некоторые персональные МЭ могут быть не санкционированно отключены администраторами ВС и не могут использоваться для защиты от лиц, имеющих административные привилегии доступа.

Другими видами МЭ, которые позволяют частично упростить процедуру внедрения, являются аппаратно-программные МЭ шлюзового типа, работающие без назначения своим интерфейсам сетевых адресов и являющиеся наиболее близкими аналогами данного изобретения.

Так известны «Вычислительная сеть с межсетевым экраном и межсетевой экран», выбранные в качестве аналога 1 (патент РФ №2214623 от 29.12.2000 г.), где МЭ для локальных ВС содержит, по меньшей мере, два сетевых интерфейса для пакетной коммутации данных между сегментами ВС, выполняемой в соответствии с программой фильтрации пакетов. МЭ после обработки пакета в соответствии с правилами фильтрации сохраняет без изменений информацию о физическом и логическом адресах отправителя каждого из пакетов, содержащуюся в их заголовках. Программа управления не назначает сетевым интерфейсам логических адресов и не передает в связанные с ними сетевые сегменты информацию об их физических адресах. Чтобы обеспечить внесение изменений в правила фильтрации, МЭ содержит специальный интерфейс управления, причем любые изменения параметров фильтрации могут осуществляться исключительно через интерфейс управления.

Недостаток прототипа заключается в том, что МЭ (по патенту РФ №2214623) для функционирования требует формирования правил фильтрации, кроме того, управление самим МЭ невозможно без выделения специально для этой цели управляющего интерфейса.

Известно также «Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP - межсетевой экран без операционной системы (варианты)», выбранное в качестве аналога 2 (патент РФ на полезную модель №53222 от 20.12.2005 г.), состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IP пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.

По второму варианту выполнения устройства (ПМ №53222) - модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).

По третьему варианту выполнения устройства (ПМ №53222) - модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

Недостаток аналога 2 заключается в том, что устройство, по любому варианту выполнения (по патенту РФ №53222) способно выполнять фильтрацию только по заранее определенному набору IP-адресов, что не позволяет ему выполнять фильтрацию трафика между узлами, адреса которых не были известны на момент его конфигурирования.

Известны «Система и способ выборочной изоляции компьютера от компьютерной сети» (System and method for selectively isolating a computer from a computer network), описанные в патенте US 8375226 от 18.09.2007 г., выбранные в качестве аналога 3. Система и способ обеспечения межсетевого экранирования, не допускающего несанкционированного доступа к компьютеру через ВС, со стороны не авторизованных пользователей. Система и способ включают в себя блок переключателей, позволяющих подключать и отключать компьютер от ВС. Блок переключателей управляется потоками данных генерируемых компьютером. Если компьютер передает информацию в ВС, или запрашивает информацию от одного из узлов сети, блок переключателей подключает компьютер к сети до тех пор, пока компьютер не передаст блок данных либо пока не получит данные согласно ранее сделанному запросу, после этого набор переключателей отключает компьютер от сети.

Недостаток аналога 3 заключается в том, что система и способ (по патенту US №8375226), не обеспечивают защиту от несанкционированного доступа со стороны не авторизованных пользователей в момент, когда компьютер ведет обмен трафиком с ВС, защита реализуется только на периоды отсутствия сетевой активности.

Прототипом, т.е. наиболее близким к заявленному изобретению аналогом является аналог 1.

Заявленное изобретение решает техническую задачу получения средства защиты информации для ВС, при внедрении и использовании которого по назначению требуется минимум специальных знаний и навыков.

Технический результат, достигаемый в заявленном изобретении, заключается в получении возможности сегментировать ВС без необходимости переконфигурирования узлов сети, переконфигурирования МЭ и формирования правил фильтрации.

Указанный технический результат достигается следующими конструктивными особенностями и алгоритмом фильтрации трафика. Конструктивно МЭ состоит из: процессора, оперативной памяти, энергонезависимой памяти, системной шины и сетевых интерфейсов.

Все сетевые интерфейсы МЭ логически отнесены к интерфейсам доверенного сегмента (далее доверенные интерфейсы) или интерфейсам недоверенного сегмента (далее недоверенные интерфейсы). Процедура логического отнесения интерфейса к тому или иному типу производится на этапе создания МЭ. Типы интерфейсов указаны на приборной панели МЭ.

Устройство поясняется схемой, где на фиг.1 представлена структурная схема МЭ, где 1 - процессор, 2 - оперативная память, 3 - энергонезависимая память, 4 - системная шина, 5 - сетевые интерфейсы. На фиг. 2 представлена приборная панель МЭ, на которой изображены 5 - сетевые интерфейсы с указанием их типов.

Источником питания (на схеме не показан) МЭ может являться блок питания, подключаемый к электрической сети, либо один из сетевых интерфейсов, реализующий прием электропитания по технологии Power over Ethernet (стандарт IEEE 802.3af-2003, http://standards.ieee.org/findstds/standard/802.3af-2003.html).

Фильтрация сетевого трафика осуществляется процессором, работающим под управлением программы фильтрации, загружаемой из энергонезависимой памяти в оперативную память, в момент включения устройства. Программа фильтрации реализует следующий алгоритм.

Алгоритм фильтрации сетевого трафика базируется на алгоритме работы прозрачного моста, описанного в стандарте IEEE 802.1D (http://standards.ieee.org/fmdstds/standard/802.1D-2004.html), за исключением того, что производится определение направления транзита трафика, его последующая маркировка и многоуровневая фильтрация по полученным меткам.

Определение направления транзита трафика и его маркировка осуществляется по следующему алгоритму:

1. Получив кадр данных на одном из интерфейсов и определив по алгоритму прозрачного моста целевой интерфейс, МЭ определяет типы интерфейсов:

а) если интерфейс источник является доверенным, а интерфейс назначения недоверенным, то трафик маркируется как «ИЗНУТРИ»;

б) если интерфейсы источника и назначения относятся к одному типу, то трафик маркируется как «ЗОНАЛЬНЫЙ».

2. Если трафик имеет широковещательный адрес назначения, то его метка заменяется на «ШИРОКОВЕЩАТЕЛЬНЫЙ».

Фильтрация трафика проводится на канальном, сетевом и транспортном уровне (по модели ISO OSI, ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ. БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ. Часть 1. Базовая модель). Для совершения транзита трафик должен успешно преодолеть фильтры на всех уровнях.

Фильтрация на канальном уровне производится по алгоритму:

1. Разрешать прохождение известных протоколов сетевого уровня и протоколов разрешения адресов.

2. Разрешать прохождение любых протоколов для трафика, помеченного как «ЗОНАЛЬНЫЙ».

3. Блокировать все остальное.

Пройдя фильтрацию канального уровня, трафик подвергается фильтрации на сетевом и транспортном уровне по алгоритму:

1. Пропускать весь трафик по уже установленным соединениям.

2. Пропускать весь трафик с меткой «ЗОНАЛЬНЫЙ».

3. Пропускать весь трафик с меткой «ИЗНУТРИ».

4. Пропускать весь трафик с меткой «ШИРОКОВЕЩАТЕЛЬНЫЙ».

5. Пропускать весь трафик с групповыми адресами.

6. Блокировать все остальное.

Такая схема фильтрации позволяет инициировать соединения между любыми узлами ВС в одинаковом сегменте, между узлами доверенного сегмента и внешнего сегмента, а также пропускать групповой и широковещательный трафик.

В заявленном МЭ не требуется назначения сетевых адресов интерфейсам МЭ, поскольку МЭ функционирует как коммутатор. Данный факт также позволяет подсоединять к одному интерфейсу МЭ не только один узел непосредственно, а целую группу узлов, подключенных через промежуточный коммутатор или концентратор. Функционирование МЭ также не зависит от сетевых адресов узлов ВС, поскольку фильтрация производится на базе анализа состояния телекоммуникационных протоколов с учетом направления транзита трафика, определяемого на базе меток, получаемых в зависимости от типов входного и выходного интерфейсов. МЭ не требует также формирования правил фильтрации, поскольку алгоритм фильтрации позволяет выполнять типовую задачу сегментирования без необходимости каких-либо настроек, более того МЭ может вообще не содержать интерфейса управления, что существенно повышает его устойчивость к несанкционированному переконфигурированию.

Внедрение и использование МЭ по назначению может осуществляться специалистами с минимальной квалификацией, поскольку управление режимом фильтрации осуществляется фактически путем коммутации узлов ВС к тому или иному интерфейсу МЭ.

Межсетевой экран, представляющий совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов, отличающийся тем, что содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровне.



 

Похожие патенты:

Изобретение относится к области геофизики и может быть использовано при регистрации сейсмических данных. Заявлена сейсмическая регистрирующая система.

Изобретение относится к вычислительной технике. Технический результат заключается в осуществлении коммутации компьютера с одной или несколькими компьютерными сетями через внешнее устройство, программное обеспечение которого, включающее пользовательский интерфейс, устанавливается на компьютере.

Изобретение относится к системе связи. Технический результат изобретения заключается в эффективном совместном обмене информацией при работе множества устройств управления.

Изобретение относится к сетевым системам. Технический результат заключается в повышении скорости передачи данных в сети.

Изобретение относится к средствам маршрутизации. Технический результат заключается в снижении частоты обработки таблицы потоков.

Изобретение относится к области средств передачи информации в виде пакетов. Техническим результатом является уменьшение энергопотребления, а также обеспечение гарантированной доставки данных.

Изобретение относится к способам оперативного управления потоками данных и предназначено для контроля состояния сети и построения плана распределения потоков данных в сетях с коммутацией пакетов в условиях высокой неоднородности каналов и динамических структурных изменений сети.

Изобретение относится к способам и устройству выполнения процесса очистки в порте сетевого коммутатора. Технический результат заключается в повышении быстродействия очистки в сетевом коммутаторе.

Изобретение относится к области осуществления связи в компьютерных системах. Технический результат - обеспечение уменьшения потребления ресурсов компьютерной системы за счет реализации оптимальной маршрутизации.

Изобретение относится к сетям связи. Технический результат заключается в повышении безопасности передачи данных внутри сети.

Изобретение относится к области вычислительной техники и может быть использовано для построения параллельных вычислительных систем. Техническим результатом является уменьшение задержки передачи данных и повышение числа коммутируемых абонентов сети. Устройство состоит из двух каскадов, первый из которых состоит из N коммутаторов r×2r с 3r дуплексными портами, а второй каскад состоит из 2N коммутаторов r×r с r дуплексными портами, причем r портов всех коммутаторов первого каскада образуют R=N×r внешних портов устройства, первые r портов из 2r внутренних портов коммутаторов 1-го каскада соединены с r портами первых N коммутаторов 2-го каскада, а вторые r портов из 2r внутренних портов коммутаторов 1-го каскада соединены с r портами вторых N коммутаторов хребта в соответствии с одной и той же таблицей соединения, удовлетворяющей условию N=2(r-1)+1. Таблица межкаскадных соединений имеет N строк и r столбцов, в ячейке ij которой указан номер коммутатора 1-го каскада, который соединен с i-м коммутатором хребта через j-е порты каждого из них. 2 з.п. ф-лы, 6 ил., 8 табл.

Изобретение относится к области электросвязи и может быть использовано в сетях передачи данных для фильтрации и маршрутизации фрагментированных дейтаграмм Интернет-протокола. Технический результат заключается в повышении эффективности системы защиты от DDoS-атак. Указанный технический результат достигается применением изменяющегося во времени критерия фильтрации, в качестве которого используется по меньшей мере один из следующих параметров: IР-адрес источника, IР-адрес получателя, маска подсети, порт источника, порт получателя, диапазон портов источника, диапазон портов получателя, номер протокола, тип обслуживания для IP версии 4 (IPv4), класс трафика для IP версии 6 (IPv6), метка потока для IPv6, индекс параметра безопасности IPSec (SPI), общая длина IР-дейтаграммы или их комбинация. 5 ил.

Изобретение относится к области связи. Технический результат - уменьшение количества записей, хранимых в узле связи, и уменьшение нагрузки на устройство управления в сети централизованного управления. Для этого осуществляющее связь устройство содержит первую таблицу с первой записью с условием соответствия, которое включает в себя, по меньшей мере, адрес получателя и соотнесено с получателем вывода пакета, соответствующего условию соответствия; вторую таблицу со второй записью с предварительно определенным условием соответствия; блок изучения получателя, который регистрирует набор из источника и порта приема принятого пакета в качестве условия соответствия и получателя вывода, соответственно, в первой таблице; и блок обработки пакета, который пересылает пакет получателю вывода, определенному в первой таблице, когда запись, имеющая условие соответствия, соответствующее принятому пакету, найдена в каждой из первой и второй таблиц. Блок обработки пакета широковещательно передает принятый пакет согласно третьей записи, когда запись, имеющая условие соответствия, соответствующее принятому пакету, не найдена. 5 н. и 5 з.п. ф-лы, 9 ил.

Изобретение относится к области связи и, в частности, к обеспечению уведомления о полосе пропускания пользователя. С использованием настоящего изобретения пользователь может явно знать о том, что текущее неудовлетворительное восприятие услуги вызвано несоответствием между состоянием полосы пропускания пользователя и текущим требованием к полосе пропускания услуги, и также может принять подходящие меры для анализа и решения проблемы. Изобретение раскрывает способ, который включает в себя: выявление сетевой стороной доступной полосы пропускания пользователя и требования к полосе пропускания услуги, используемой в настоящее время упомянутым пользователем, сравнение упомянутой сетевой стороной доступной полосы пропускания упомянутого пользователя и требования к полосе пропускания услуги, используемой в настоящее время упомянутым пользователем, и уведомление упомянутой сетевой стороной упомянутого пользователя о состоянии полосы пропускания согласно результату сравнения. 2 н. и 6 з.п. ф-лы, 8 ил.

Изобретение относится к технологиям связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых вычисляют сквозной маршрут для недавно добавленной службы в соответствии с топологией сети и ограничением длины волны и выделяют длину волны для маршрута; вычисляют рабочие характеристики каждой существующей службы и рабочие характеристики недавно добавленной службы в сети в соответствии с информацией о физическом искажении, собранной в сети, причем информация о физическом искажении включает в себя эталонный спектр усиления каждого оптического усилителя в сети; и выполняют проверку на искажение рабочих характеристик каждой службы, и выполняют выбор маршрута для недавно добавленной службы в соответствии с результатом проверки на искажение. 2 н. и 9 з.п. ф-лы, 5 ил.

Изобретение относится к системам управления связью. Технический результат заключается в повышении скорости передачи данных. Система содержит: коммутационный узел, сконфигурированный с возможностью осуществлять обработку каждого из принимаемых пакетов на основе записи потока, задающей правило и действие для того, чтобы единообразно управлять пакетами; и сервер управления, сконфигурированный с возможностью задавать запись потока в таблице потоков коммутационного узла, при этом коммутационный узел содержит: средство для соединения множества процессоров; средство для выполнения обработки передачи для распределения нагрузки из множества расширенных сетевых интерфейсов во множество процессоров и выполнения высокоскоростной обработки пакетов через многопроцессорную обработку посредством использования множества процессоров; и средство для конфигурирования таблицы потоков большого размера в коммутационном узле. 4 н. и 6 з.п. ф-лы, 15 ил.

Изобретение относится к устройствам управления в сети. Технический результат заключается в повышении безопасности передачи данных. Сеть содержит: первый узел, управляемый устройством управления централизованным образом; и второй узел, хранящий, в течение предварительно определенного периода времени, записи, в каждой из которых, на основании адреса источника принятого пакета, его собственный порт и информация об адресе(ах) узла, на который можно пересылать пакеты из порта, связаны друг с другом, и выполняющий пересылку пакетов путем ссылки на группу записей, и определяющий порт, соответствующий месту назначения пакета, причем упомянутое устройство управления выдает команду первому узлу, соединенному со вторым узлом (узлами), передавать пакет определения места назначения. 3 н. и 4 з.п. ф-лы, 10 ил.

Изобретение относится к технике связи и может использоваться в системах беспроводной связи. Технический результат состоит в предотвращении перегрузки устройства при передаче в сетях связи. Для этого в устройстве сетевой связи обработка передачи и отбрасывания реализуется для каждого кадра передачи, имеющего приоритет, и ограничение полосы пропускания выполняется, чтобы предотвращать перегрузку устройства получения передачи. В частности, корзина предоставляется для каждого приоритета, и добавляются маркеры количеством, определенным на основе приоритета. Кроме того, перед оценкой корзины предоставляется одна совместно используемая корзина. Все маркеры, существующие в корзине, предоставленной для каждого приоритета, переносятся в совместно используемую корзину для каждого постоянного периода. Маркеры, выходящие за пределы емкости совместно используемой корзины, отбрасываются. Все кадры равным образом оцениваются и передаются, вне зависимости от приоритета каждого из кадров, пока маркер присутствует в совместно используемой корзине. Когда маркер не присутствует в совместно используемой корзине, выполняется переключение на избирательное ограничение полосы пропускания, и каждая корзина приоритетов оценивается. Корзина, соответствующая приоритету кадра, проверяется, и когда маркер присутствует, выполняется обработка передачи кадра. Когда маркер не присутствует, выполняется обработка отбрасывания кадра. 3 н. и 6 з.п. ф-лы, 11 ил.

Изобретение относится к системам связи. Технический результат заключается в уменьшении нагрузки на шлюз пересылки и устройства управления. Такой результат достигается тем, что терминал, осуществляющий связь с сетью, включающей в себя устройство пересылки для пересылки пакета и устройство управления для управления устройством пересылки в соответствии с запросом от устройства пересылки, содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления, блок хранения, который хранит принятое правило обработки, и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. 7 н. и 23 з.п. ф-лы, 24 ил.

Изобретение относится к управлению сетевыми устройствами в сети. Технический результат заключается в повышении скорости передачи данных. Способ содержит: определение первого пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль первичного дерева сети, и определение второго пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль вторичного дерева сети, причем первый путь и второй путь показывают избыточность по отношению друг к другу; прием в сетевом узле данных многоадресной передачи от общего сетевого узла источника через первый путь; инициацию, посредством сетевого узла, приема данных многоадресной передачи от общего сетевого узла источника через второй путь, если сетевой узел обнаруживает сбой первого пути, причем первичное дерево сети и вторичное дерево сети реализуются как максимально избыточные деревья. 9 н. и 13 з.п. ф-лы, 12 ил.
Наверх