МОДЕЛИРОВАНИЕ ЗАЩИЩЕННЫХ КАНАЛОВ ТЕЛЕКОММУНИКАЦИЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВИРТУАЛИЗАЦИИ

Полный текст

Введение В настоящее время вопросы контроля информационной безопасности сетевых устройств и серверов имеют большое значение. Сеть является первым барьером защиты, поэтому при построении и эксплуатации сетей необходим контроль уязвимостей в конфигурации устройств, а также уязвимостей программного обеспечения. Тестирование сетей и выявление уязвимостей дает возможность предварительного усиления защиты сети и серверной части. Важным вопросом информационной безопасности является настройка защищенных каналов связи путем шифрования информационных и служебных передаваемых данных, а также проверки целостности принятых данных. Рис. 1. Обобщенная структурная схема комплекса . Основа комплекса Учитывая важность вышесказанных факторов, необходимо отметить, что важны и новые методы обучения студентов. Разработан программно-аппаратный комплекс по изучению и моделированию защищенных каналов связи. В состав комплекса входит эмулятор сетей GNS3 [1], система виртуализации VirtualBox [2], маршрутизаторы с ОС Vyatta [3], 6 маршрутизаторов Cisco серии 2800, 6 коммутаторов Cisco Catalyst 2900, сервер c ОС Ubuntu Server, рабочие ПК с ОС Ubuntu, ПК для анализа трафика с ОС KaliLinux, программа мониторинга и анализа трафика Wireshark [4]. Совокупность программных и аппаратных средств образуют универсальный комплекс, позволяющий моделировать и настраивать различные схемы передачи трафика по принципу «Клиент-Сеть-Сервер» как на реальном оборудовании, так и с помощью средств виртуализации. В дальнейшем к настроенным схемам передачи трафика можно применять различные методы защиты информации, например, такие как фильтрация трафика и шифрование каналов передачи: организация VPN по схемам «сеть-сеть», «хост-сеть», «хост-хост», организация TSL/SSL шифрования. Принцип построения модели «Клиент-Сеть-Сервер» позволяет изучать протоколы сетевого уровня, при настройке части «Сеть», и протоколы верхних уровней, при настройке части «Клиент-Сервер», а также анализировать закономерности работы этих протоколов. Анализ передаваемого трафика служит основой для исследования и сравнения процессов, происходящих в каналах передачи информации, как использующих защиту, так и без нее. Эмулятор сетей GNS3 в совокупности с системой виртуализации VirtualBox образуют основу платформы для виртуального моделирования, возможности которой ограничены системными ресурсами используемого ПК. Общая структурная схема построения модели на основе комплекса представлена на рис. 1. Программа Wireshark [4; 10] широко распространенный инструмент для захвата и анализа трафика. Входит в состав ОС KaliLinux, либо может быть установлена на любые другие ОС. Программа имеет возможность детального рассмотрения структуры пакета, что делает его мощным средством для перехвата и анализа трафика. Анализ трафика происходит локально на хосте, либо подключаясь в интересующие места, например, с помощью коммутатора с настроенным зеркалированием портов. Для более углубленного изучения и анализа безопасности моделируемой схемы используется ОС KaliLinux, которая позволяет тестировать ее компоненты на предмет возможных атак и выявлять причину их возникновения. Эти знания помогают в дальнейшем устранять выявленные уязвимости. Рис. 2. Структурная схема модели для передачи FTP-трафика комплекса В качестве первого примера рассмотрим сеть передачи данных по протоколу FTP c шифрованием по каналу VPN и без шифрования с открытым каналом передачи. Для этого построена модель, показанная на рис. 2. В качестве маршрутизаторов R1 и R2 используются программные маршрутизаторы с ОС Vyatta 6.6, основанные на ОС Linux. В качестве серверов используется ОС Ubuntu Server 14.04 [5-6]. Для мониторинга трафика использована ОС Kali Linux cо встроенным анализатором трафика Wireshark. На коммутаторах используется зеркалирование портов или используются хабы. Таким образом, комплекс построен на базе свободно распространяемого ПО. Примеры использования Рассмотрим два примера по использованию возможностей применения моделирования: - организация шифрованного соединения для FTP трафика и показание эффективности шифрования; - моделирование DOS-атаки с использованием утилит для взлома. При настройке сети для маршрутизации использован протокол OSPF [3; 7-8], между маршрутизаторами R1 и R2 создан туннель IPSec [9]. На ОС Ubuntu Server установлена и настроена утилита vsFTPd [5], реализующая FTP сервер. На FTP сервере с шифрованием установлена и настроена утилита vsFTPd в комплексе с криптографическим пакетом для шифрования OpenSSL. Таким образом, сконфигурирован сервер с шифрованием FTP данных по протоколу SSL [9]. Также для шифрования данных может быть использован и протокол TLS [9]. Для анализа передаваемого по сети трафика выполнены следующие действия: - запущен Wireshark на ПК для анализа трафика; - сделан FTP запрос получения файла с ПК клиента на FTP сервер. На FTP сервер заранее помещены тестируемые файлы, например, изображения; - анализ трафика, перехваченного ПК2 между маршрутизаторами R1 и R2, свидетельствует о том, что данные FTP сессии недоступны для извлечения; - ПК1 перехватывает FTP сессию и данные, передаваемые между клиентом и сервером. С помощью опций Analyze > Follow TCP Stream Wireshark легко обнаруживает открытую FTP сессию. На рис. 3 изображен пример перехваченной FTP сессии. Перехвачены управляющие команды протокола FTP, имя пользователя (USER alex), пароль пользователя (PASS 1234), передаваемый файл (PETR image_for_test.png). Рис. 3. Перехваченный FTP-запрос. Приведенные данные позволяют рассмотреть процесс инициализации сессии и передачу файла: - ниже пакета с запросом на передачу PETR, найден пакет FTP-DATA (см. рис. 4) и с помощью опций Analyze > Follow TCP Stream > Save сохранен передаваемый файл (image_for_test.png); - передаваемый файл полностью соответствует файлу, заранее помещенному на FTP сервер; - проделаны аналогичные действия при запросе на FTP сервер с шифрованием; - перехваченные данные будут зашифрованы с помощью протокола SSL, что не исключит, но значительно затруднит их извлечение. Приведенный пример наглядно показывает методику анализа трафика, используемого в комплексе, а также эффективность применения защищенных соединений и их важность в телекоммуникационных сетях. Рис. 4. Пакеты с FTP-данными (FTP-DATA). Рассмотрим пример моделирования DOS-атаки. На рис. 5 показана схема сети, позволяющая смоделировать данную атаку. Сеть настраивается на протоколе маршрутизации OSPF [3; 7-8]. Сервер Server1 представляет собой хост, на который производится DOS-атака и который реализован на OC Ubuntu Server c запущенным сервером Apache Server [11]. Таким образом, открыт доступ по HTTP [9] (см. порт 80). Хост PC2 является узлом, с которого производится атака, реализованный на ОС Kali Linux c установленными утилитами Slowloris[12] и Torshammer [13]. Хост PC1 является узлом мониторинга трафика с установленной программой Wireshark. Маршрутизатор R1 является шлюзом перед Server1, который реализован с помощью образа ОС Cisco ASA с настроенными функциями защиты от DOS-атак. Рис. 5. Структурная схема моделирования DOS-атаки Утилита Slowloris заставляет атакуемый сервер обслуживать большое количество открытых соединений путем непрерывной отправки незавершенных HTTP-запросов. В результате все потоки заняты обработкой запросов. Данная атака основана на уязвимости самих серверов и трудноразличима среди другого трафика. Особенно уязвимыми считаются серверы Apache. Torshammer является утилитой, которая реализует уязвимость серверов к медленным POST-запросам. Медленные запросы основаны на генерации POST-запросов, которые затем долго дополняются, обычно посимвольно. В результате рабочие потоки зависают. Данная атака основана на уязвимости самого протокола HTTP. Данной уязвимости подвержены почти все серверы и атака на ее основе тоже трудноразличима среди другого трафика. Рассматриваемые атаки являются крайне опасными для серверов. Позволяют выбивать малые и средние сайты из рабочего состояния в считанные минуты, используя один компьютер. Запустив данные утилиты на хосте PC2, можно убедиться, что сервер Server1 пришел в неработоспособное состояние, то есть DOS-атака успешно реализована. Маршрутизатор R1, выполняющий роль межсетевого экрана, не эффективен против такого рода атак. Таким образом, данные атаки невозможно предотвратить на уровне сети. Обнаружить такие атаки можно лишь с помощью систем мониторинга реального времени. Поэтому решение данных проблем неоднозначно. Одним из методов является установка на серверы специального ПО, контролирующего количество соединений и сбрасывающих зависшие через определенные промежутки времени. Еще одно решение защиты основано на правильной настройке менеджера тайм-аутов. Сервер Apache защищается от атак медленного чтения за счет установки расширения Mod_security [14]. Но и данное решение не обеспечивает полной защиты. Mod_Security - модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль подобен IDS системе, которую часто используют для анализа сетевого трафика, за исключением того, что Mod_security работает только на HTTP уровне. Существуют и другие программные средства для защиты серверов от такого рода атак. Заключение Использование комплекса не ограничивается данными примерами. Комплекс предоставляет широкий спектр по изучению конфигурации сетей и серверов, конфигурации и тестирования защищенных соединений, моделированию различного рода атак и разработке соответствующих мер защиты от них.

Об авторах

Николай Николаевич Васин

Поволжский государственный университет телекоммуникаций и информатики

Email: vasin@psuti.ru

Александр Алексеевич Ирбахтин

Поволжский государственный университет телекоммуникаций и информатики

Email: irbahtinsanek@mail.ru

Список литературы

Дополнительные файлы