Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных

Область техники, к которой относится изобретение

Предполагаемое изобретение относится к области защиты сетей передачи данных с коммутацией пакетов и, в частности, к технике фильтрации защищенных сетевых соединений, осуществляемой специализированными сетевыми устройствами, например, межсетевыми экранами.

Уровень техники

Для защиты современных цифровых сетей передачи данных, имеющих выход в сеть Интернет, обычно устанавливают шлюз-компьютер с межсетевым экраном (МЭ), который обеспечивает защиту сети (подсети) путем фильтрации по определенным правилам входящего и исходящего потока данных (трафика).

Так, известен способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями (патент РФ №2644537, приоритет от 05.07.2016 г.), в котором для защиты вычислительных сетей используют, по меньшей мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и прикладное программное обеспечение, включающее систему анализа трафика и который заключается в том, что анализ получаемых из сети потоков сетевых пакетов ведут путем последовательного проведения сначала сигнатурного анализа каждого входящего потока сетевых пакетов, потом поведенческого анализа потоков сетевых пакетов, которые не прошли классификацию по базе сигнатур, при этом все подвергнутые анализу потоки сетевых пакетов проверяют по заголовкам 7-го уровня семиуровневой модели OSI, при этом зашифрованные входящие потоки сетевых пакетов перед проведением сигнатурного анализа предварительно расшифровывают путем подмены сертификатов.

Известный способ принят за прототип.

Известный способ может обеспечить определение типа сетевого трафика для фильтрации многих сетевых протоколов.

Однако, расшифровка сетевых пакетом методом подмены сертификатов возможна не для всех сетевых протоколов и требует наличия у клиента доверенного сертификата межсетевого экрана, что можно обеспечить не всегда. Поэтому при использовании известного способа не обеспечивается определение типа трафика для зашифрованных сетевых протоколов, где подмена сертификатов невозможна, что также снижает защищенность контролируемой сети, особенно если трафик передается по запрещенным (неразрешенным) протоколам. Это является недостатком известного способа.

Раскрытие изобретения

Техническим результатом является

1) расширение возможностей контроля сетевых соединений,

2) повышение защищенности контролируемой сети передачи данных.

Для этого предлагается способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных, причем на входе вычислительной сети N, в состав которой входят компьютеры клиентов и запросы из которой должны подвергаться фильтрации, установлен шлюз-компьютер с межсетевым экраном, в котором определен запрещенный для использования сетевой протокол прикладного уровня (F) и который содержит средство контроля, выполненное с возможностью взаимодействовать по протоколу прикладного уровня (F);

устанавливать соединения по протоколу Е, защищающие протокол прикладного уровня (F);

устанавливать соединения по протоколу (Т) транспортного уровня, поверх которых устанавливаются соединения Е;

определять факт использования протокола (Е) в сетевом соединении; способ заключается в том, что

устанавливают из вычислительной сети N со стороны компьютера клиента С соединение транспортного уровня Т1 с компьютером с адресом R через шлюз-компьютер;

принимают в шлюзе-компьютере от клиента С для получателя с адресом R пакет Р, который пересылается через установленное соединение Т1 и содержит данные D;

определяют в шлюзе-компьютере с помощью средства контроля факт наличия в составе данных D запроса на установку защищенного соединения Е1;

если факт наличия запроса не установлен, то пропускают пакет Р через шлюз-компьютер;

если факт наличия запроса установлен, то выполняются следующие действия:

устанавливают с помощью средства контроля от имени шлюз-компьютера транспортное соединение Т2 с адресом назначения R;

запрашивают с помощью средства контроля от имени шлюза-компьютера через установленное соединение Т2 установку защищенного соединения Е2, аналогичного по параметрам соединению Е1;

если соединения Е2 установить не удалось, то пропускают пакет Р через шлюз-компьютер;

если соединения Е2 успешно установлено, то выполняются следующие действия:

осуществляют с помощью средства контроля взаимодействие по протоколу прикладного уровня (F) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R;

если взаимодействие по протоколу прикладного уровня (F) оказывается успешным, то блокируют пакет Р в шлюзе-компьютере.

Для реализации предложенного способа в состав МЭ должно быть включено средство контроля, выполненное с возможностью

• взаимодействовать по протоколу прикладного уровня (F) (далее - протокол F);

• устанавливать соединения по протоколу (Е) (далее - протокол Е), защищающие протокол F;

• устанавливать соединения по протоколу Т транспортного уровня, поверх которых устанавливаются соединения Е;

• определять факт использования протокола Е в сетевом соединении.

В общем случае, средство контроля может быть аппаратным, программно-аппаратным или программным. Для создания средства контроля должны быть проведены обычное проектирование и изготовление электронного блока (при выполнении в аппаратном или программно-аппаратном виде) и формирование необходимого программного обеспечения (ПО) с последующим тестированием и установкой в МЭ. Для создания средства контроля в программном виде создается только прикладное ПО, которое затем дополнительно устанавливается в составе прикладного ПО в МЭ. Создание средства контроля может осуществить специалист по проектированию и изготовлению электронной техники и/или специалист по программированию (программист) на основе знания выполняемой средством контроля функции.

Необходимо отметить, что в качестве протокола F может быть использован любой протокол прикладного уровня, который допускает инкапсуляцию в протокол Е и предусматривает процедуру подтверждения связи при установке соединения между сторонами, позволяющей убедиться в том поддерживает ли удаленная сторона данный протокол или нет.

Например, если в качестве протокола Е используется SSL, то протоколом F может являться HTTP. Он допускает инкапсуляцию в SSL и позволяет убедиться, поддерживает ли удаленная сторона данный протокол или нет. Одним из методов проверки, поддерживает ли удаленная сторона протокол HTTP версии 1.1, может быть отправка удаленной стороне запроса «GET/НТТР/1.1». Если в ответе удаленной стороны первыми символами будут «НТТР/1.1», значит, протокол HTTP версии 1.1 поддерживается.

Если в качестве протокола Е используется SSL, то в качестве протокола F, помимо HTTP, могут быть использованы, например, протоколы OpenVPN или SMTP. Однако, если в качестве протокола Е используется SSL, то протокол FTP нельзя использовать в качестве протокола F, поскольку он не допускает инкапсуляцию в протокол SSL, т.к. открывает дополнительные соединения.

Протокол Е относится к сеансовому уровню. Он предназначен для обеспечения конфиденциальности данных инкапсулированного протокола прикладного уровня через использование криптографических алгоритмов. Критериями для выбора протокола Е являются:

• совместимость протокола Е с протоколом F, т.е. протокол F должен допускать инкапсуляцию в протокол Е;

• поддержка установки защищенных соединений без аутентификации клиента.

В настоящее время для защиты протоколов прикладного уровня в сети Интернет широко распространены сеансовые протоколы TLS и SSL. Они могут применяться, в том числе, для защиты протоколов HTTP, Tor, OpenVPN и SNMP. Протоколы SSL и TLS поддерживают установку защищенных соединений без аутентификации клиента. Поэтому они могут быть выбраны в качестве протокола Е.

После создания и отладки средства контроля можно приступать непосредственно к реализации предложенного способа.

Для этого с помощью МЭ осуществляют перехват сетевых пакетов для осуществления контроля и фильтрации сетевого трафика в соответствии с заранее заданными правилами, принятыми обычным порядком для защищаемой сети.

Для осуществления способа в точке перехвата сетевых пакетов реализуется контроль сетевых пакетов, имеющих инкапсулированный протокол Т1 транспортного уровня.

Далее МЭ получает от отправителя сетевой пакет с данными в рамках анализируемого сетевого соединения. Данные извлекаются из сетевого пакета и передаются в средство контроля, выполненное с возможностью определять факт использования протокола Е в сетевом соединении. Если установлен факт использования в составе данных D защищенного протокола Е, пытаются установить с помощью средства контроля от имени шлюз-компьютера с получателем перехваченного сетевого пакета новое транспортное соединение с адресом назначения из сетевого пакета с данными D, и поверх него новое защищенное соединение по протоколу Е.

В случае успешной установки защищенного соединения, пытаются начать взаимодействие по протоколу F через установленное защищенное соединение. И если взаимодействие оказывается успешным, то исходный пакет с данными D блокируется на МЭ, в противном случае этот пакет пропускается.

Таким образом, создание и обмен данными в рамках защищенного сетевого соединения по протоколу F проходит под контролем МЭ, и отправитель сетевых пакетов не сможет взаимодействовать по защищенному протоколу F несмотря на то, что шлюз-компьютер не производил подмены сертификатов.

Так как данный способ позволяет предотвратить несанкционированное взаимодействие по защищенным протоколам даже в случае, когда невозможно произвести подмену сертификатов, то применение данного способа расширяет возможности контроля сетевых соединений.

Расширение возможностей контроля соединений позволяет обеспечить контроль тех сетевых соединений, которые без использования данного способа оставались вне контроля. Таким образом, достигается второй технический результат данного способа - повышение уровня защиты вычислительной сети.

Осуществление изобретения

Рассмотрим осуществление предложенного способа в сети с коммутацией пакетов. Это может быть, например, корпоративная сеть, имеющая выход в сеть Интернет через один основной МЭ.

В качестве МЭ используется высокопроизводительный ПАК HW1000 на базе Intel Core 2 Duo, объемом оперативной памяти 2 ГБ, объемом жесткого диска 250 Гб, с установленной ОС Linux (ядро 3.10.92) и специализированным ПО (статья и загружаемая документация по адресу: http://infotecs.ru/downloads/all/vipnet-coordinator-hw-1000.html?arrFilter_93=408821001&set_filter=Y).

В МЭ определен запрещенный для использования протокол прикладного уровня (протокол F). Например, это может быть протокол ToR (The Onion Router).

Предпочтительным является выполнение средства контроля в программном виде, для чего предварительно создается, тестируется и затем интегрируется в МЭ прикладное ПО в виде программного модуля, выполняющего функции средства контроля и наделенного следующими возможностями:

• взаимодействовать по протоколу F;

• устанавливать соединения по протоколу Е, защищающие протокол F;

• устанавливать соединения по протоколу Т транспортного уровня, поверх которых устанавливаются соединения Е;

• определять факт использования протокола Е в сетевом соединении.

Сформировать программы, выполняющие функции средства контроля, может специалист в области программирования (программист).

Анализ сетевых пакетов осуществляется модулем ядра Linux (файл xt_dpi), который обеспечивает:

• анализ сетевых пакетов на предмет используемого протокола транспортного уровня;

• блокировку или разрешение сетевого трафика;

• передачу сетевых пакетов в указанное средство контроля, и получение результатов анализа через системный интерфейс netfilter_queue ядра Linux.

Данный модуль ядра встраивается в подсистему Netfilter ядра Linux, реализующей функции МЭ, с уровнем приоритета NF_IP_PRI_SELINUX_FIRST, с целью перехвата и анализа сетевых пакетов.

В пространстве пользователя запускается указанное средство контроля. Сетевые пакеты для анализа данная программа получает через системный интерфейс netfilter_queue ядра Linux.

Модуль xt_dpi анализирует сетевые пакеты и, при обнаружении сетевого пакета от отправителя С запросом на установку соединения транспортного уровня Т1 (например, для протокола ToR это будет TCP) с компьютером с адресом R, регистрирует пакет и начинает ожидать от отправителя С сетевой пакета с данными. После получения указанного сетевого пакета Р полученные данные извлекаются и через системный интерфейс netfilter_queue ядра Linux передаются на анализ в средство контроля, которое проводит определение факта наличия в данных запроса на установку защищенного соединения Е1 по протоколу Е (например, для протокола ToR это будет TLS) в сетевом соединении.

Если установлен факт использования протокола Е, то средство контроля от имени шлюз-компьютера устанавливает транспортное соединение Т2 с адресом назначения R, через установленное соединение Т2 устанавливает защищенное соединение Е2 по протоколу Е. Если установка соединения Е2 проходит успешно, то средство контроля выполняет взаимодействие по протоколу F (в рассматриваемых примерах это будет протокол ToR) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R. Результат попытки взаимодействия передается в модуль xt_dpi через системный интерфейс netfilter_queue ядра Linux. Если результат успешный, то модуль xt_dpi генерирует сообщение подсистеме Netfilter ядра Linux о необходимости заблокировать сетевой пакет Р.

Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных, причем на входе вычислительной сети N, в состав которой входят компьютеры клиентов и запросы из которой должны подвергаться фильтрации, установлен шлюз-компьютер с межсетевым экраном, в котором определен запрещенный для использования сетевой протокол прикладного уровня (F) и который содержит средство контроля, выполненное с возможностью

взаимодействовать по протоколу прикладного уровня (F);

устанавливать соединения по протоколу Е, защищающие протокол прикладного уровня (F);

устанавливать соединения по протоколу (Т) транспортного уровня, поверх которых устанавливаются соединения Е;

определять факт использования протокола (Е) в сетевом соединении;

способ заключается в том, что

устанавливают из вычислительной сети N со стороны компьютера клиента С соединение транспортного уровня Т1 с компьютером с адресом R через шлюз-компьютер;

принимают в шлюзе-компьютере от клиента С для получателя с адресом R пакет Р, который пересылается через установленное соединение Т1 и содержит данные D;

определяют в шлюзе-компьютере с помощью средства контроля факт наличия в составе данных D запроса на установку защищенного соединения Е1;

если факт наличия запроса не установлен, то пропускают пакет Р через шлюз-компьютер;

если факт наличия запроса установлен, то выполняются следующие действия:

устанавливают с помощью средства контроля от имени шлюз-компьютера транспортное соединение Т2 с адресом назначения R;

запрашивают с помощью средства контроля от имени шлюза-компьютера через установленное соединение Т2 установку защищенного соединения Е2, аналогичного по параметрам соединению Е1;

если соединение Е2 установить не удалось, то пропускают пакет Р через шлюз-компьютер;

если соединение Е2 успешно установлено, то выполняются следующие действия:

осуществляют с помощью средства контроля взаимодействие по протоколу прикладного уровня (F) от имени шлюза-компьютера через установленное соединение Е2 с компьютером по адресу R;

если взаимодействие по протоколу прикладного уровня (F) оказывается успешным, то блокируют пакет Р в шлюзе-компьютере.