Другие журналы

научное издание МГТУ им. Н.Э. Баумана

НАУКА и ОБРАЗОВАНИЕ

Издатель ФГБОУ ВПО "МГТУ им. Н.Э. Баумана". Эл № ФС 77 - 48211.  ISSN 1994-0408

Формальная модель анализа ошибок конфигурирования межсетевых экранов

# 06, июнь 2015
DOI: 10.7463/0615.0778576
Файл статьи: SE-BMSTU...o328.pdf (1693.32Кб)
автор: Мьо Т. Т.

УДК 004.413

Россия,  МГТУ им. Н.Э. Баумана

Сетевой экран или брандмауэр – широко известное средство защиты сетей. Для того, чтобы обеспечить требуемую защиту, брандмауэр должен быть соответствующим образом настроен, или как говорят, конфигурирован. К сожалению, конфигурирование может быть сопряжено с ошибками, которые делают даже опытные администраторы, что приводит к снижению уровня защиты сети и проникновению в сеть нежелательных пакетов.
Сеть может подвергаться различным угрозам и атакам. Один из механизмов, которые примен1297яются для обеспечения безопасности сети – межсетевой экран.
Межсетевой экран – это элемент сети, который контролирует прохождение пакетов через границы защищаемой сети, основываясь на политике безопасности. Политика безопасности представляет собой список правил.
Пакетные фильтры работают в режиме без инспекции состояния: они исследуют пакеты как независимые объекты. Правила имеют вид: (условие, действие). Межсетевой экран анализирует входящий трафик, основываясь на IP-адресе отправителя и получателя, номере порта отправителя и получателя и используемом протоколе. Когда пакет удовлетворяет условиям правила, то выполняется указанное в правиле действие. Оно может быть: allow, deny.
Целью данной статьи является разработка средства анализа конфигурации межсетевого экрана с инспекцией состояний. Входные данные – файл со списком правил. Требуется представить анализ политики безопасности в информативной графической форме, а также выявить противоречивости, которые присутствуют в правилах. В статье представляется алгоритм визуализации политики безопасности, программа, которая отображает результат действия правил межсетевых экранов на все возможные пакеты. Для отображения результата в легко обозримой форме вводится понятие области эквивалентности.
Нашей задачей является программа, которая в удобной графической форме отобразит результаты действия правил на пакеты, а также выявит противоречия между правилами. Одной из проблем является большое число измерений. Как отмечалось выше, в правиле указываются следующие параметры: IP-адрес источника, IP-адрес назначения, порт источника, порт назначения, протокол.

Список литературы
  1. Cheswick W., Bellovin S., Rubin A. Firewalls and Internet Security: Repelling the Wily Hacker. 2nd ed. Addison Wesley Professional, 2003. 464 p.
  2. FreeBSD Handbook. Available at: http://www.freebsd.org/doc/handbook/, accessed 01.05.2015.
  3. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин A.A. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. 2012. № 2. С. 57-68.
  4. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008. 8 с.
  5. Полубелова О.В., Котенко И.В. Верификация правил фильтрации с временными характеристиками методом "проверки на модели" // Труды СПИИРАН. 2012. Вып. 3 (22). С .113-138.
  6. Al-Shaer E., Hamed H., Boutaba R., Hasan M. Conflict classification and analysis of distributed firewall policies // IEEE Journal on Selected Areas in Communications. 2005. Vol. 23, no. 10. P. 2069-2084. DOI: 10.1109/JSAC.2005.854119
  7. Al-Shaer E., Marrero W., El-Atawy A., Elbadawi K. Network Configuration in A Box: Towards End-to-End Verification of Network Reachability and Security // 17th IEEE International Conference on Network Protocols (ICNP). IEEE Publ., 2009. P. 123-132. DOI: 10.1109/ICNP.2009.5339690
  8. Bartal Y., Mayer A.J., Nissim K., Wool A. Firmato: A novel firewall managment toolkit // ACM Transactions on Computer Systems. 2004. Vol. 22, no. 4. C. 381-420. DOI: 10.1145/1035582.1035583
  9. Gouda M.G., Liu A.X. A model of stateful firewalls and its properties // Proceedings of the IEEE International Conference on Dependable Systems and Networks (DSN'05), Japan, June 2005. IEEE Publ., 2005. P. 128-137. DOI: 10.1109/DSN.2005.9
  10. IETF Policy Framework (policy) Working Group // The Internet Engineering Task Force (IETF®): website. Available at: http://www.ietf.org/html.charters/policy-charter.html, accessed 01.05.2015.
  11. Liu A.X., Gouda M.G, Ma H.H., HH. Ngu A. Firewall Queries // Principles of Distributed Systems. OPODIS 2004 / ed. by T. Higashino. Springer Berlin Heidelberg , 2005. P. 197-212. (Ser. Lecture Notes in Computer Science; vol. 3544.). DOI: 10.1007/11516798_15
Поделиться:
 
ПОИСК
 
elibrary crossref ulrichsweb neicon rusycon
 
ЮБИЛЕИ
ФОТОРЕПОРТАЖИ
 
СОБЫТИЯ
 
НОВОСТНАЯ ЛЕНТА
18.12.2017
С 21 по 24 ноября 2017г. в МГТУ им. Н.Э. Баумана прошла XII Всероссийская инновационная молодежная научно-инженерная выставка «Политехника», посвященная 170-летию со дня рождения Н.Е. Жуковского в рамках Всероссийского инновационного молодежного научно-инженерного форума «Политехника».

11.10.2017
XII Всероссийская инновационная молодежная научно-инженерная выставка «ПОЛИТЕХНИКА», посвященная 170-летию со дня рождения Н.Е. Жуковского 21–24 ноября 2017 года г. Москва

25.05.2017
C 15 по 17 мая 2017г. в МГТУ им. Н.Э. Баумана прошел III этап (Всероссийский) Всероссийской студенческой олимпиады по физике (в технических вузах).

25.04.2017
С 12 по 14 апреля в МГТУ им. Н.Э. Баумана прошел Всероссийский этап Всероссийской олимпиады по безопасности жизнедеятельности.

4.04.2017
С 14 по 16 марта 2017г. в МГТУ им. Н.Э. Баумана прошел III (Всероссийский) тур Всероссийской студенческой олимпиады по иностранному языку (английский в технических вузах).




Авторы
Пресс-релизы
Библиотека
Конференции
Выставки
О проекте
Rambler's Top100
Телефон: +7 (915) 336-07-65 (строго: среда; пятница c 11-00 до 17-00)
  RSS
© 2003-2018 «Наука и образование»
Перепечатка материалов журнала без согласования с редакцией запрещена
 Тел.: +7 (915) 336-07-65 (строго: среда; пятница c 11-00 до 17-00)