Моделирование защищенных каналов телекоммуникаций с использованием средств виртуализации

В настоящее время вопросы контроля информационной безопасности сетевых устройств и серверов имеют большое значение. Сеть является первым барьером защиты, поэтому при построении и эксплуатации сетей необходим контроль уязвимостей в конфигурации устройств, а также уязвимостей программного обеспечения.

Тестирование сетей и выявление уязвимостей дает возможность предварительного усиления защиты сети и серверной части. Важным вопросом информационной безопасности является настройка защищенных каналов связи путем шифрования информационных и служебных передаваемых данных, а также проверки целостности принятых данных.

Рис. 1. Обобщенная структурная схема комплекса

Основа комплекса

Учитывая важность вышесказанных факторов, необходимо отметить, что важны и новые методы обучения студентов. Разработан программно-аппаратный комплекс по изучению и моделированию защищенных каналов связи. В состав комплекса входит эмулятор сетей GNS3 [1], система виртуализации VirtualBox [2], маршрутизаторы с ОС Vyatta [3], 6 маршрутизаторов Cisco серии 2800, 6 коммутаторов Cisco Catalyst 2900, сервер c ОС Ubuntu Server, рабочие ПК с ОС Ubuntu, ПК для анализа трафика с ОС KaliLinux, программа мониторинга и анализа трафика Wireshark [4].

Совокупность программных и аппаратных средств образуют универсальный комплекс, позволяющий моделировать и настраивать различные схемы передачи трафика по принципу «Клиент-Сеть-Сервер» как на реальном оборудовании, так и с помощью средств виртуализации. В дальнейшем к настроенным схемам передачи трафика можно применять различные методы защиты информации, например такие, как фильтрация трафика и шифрование каналов передачи: организация VPN по схемам

«сеть-сеть», «хост-сеть», «хост-хост», организация TSL/SSL шифрования.

Принцип построения модели «Клиент-Сеть-Сервер» позволяет изучать протоколы сетевого уровня, при настройке части «Сеть», и протоколы верхних уровней, при настройке части «Клиент-Сервер», а также анализировать закономерности работы этих протоколов. Анализ передаваемого трафика служит основой для исследования и сравнения процессов, происходящих в каналах передачи информации, как использующих защиту, так и без нее.

Эмулятор сетей GNS3 в совокупности с системой виртуализации VirtualBox образуют основу платформы для виртуального моделирования, возможности которой ограничены системными ресурсами используемого ПК. Общая структурная схема построения модели на основе комплекса представлена на рис. 1.

Программа Wireshark [4; 10] широко распространенный инструмент для захвата и анализа трафика. Входит в состав ОС KaliLinux либо может быть установлена на любые другие ОС. Программа имеет возможность детального рассмотрения структуры пакета, что делает его мощным средством для перехвата и анализа трафика. Анализ трафика происходит локально на хо сте либо подключаясь в интере сующие места, например с помощью коммутатора с настроенным зеркалированием портов.

Для более углубленного изучения и анализа безопасности моделируемой схемы используется ОС KaliLinux, которая позволяет тестировать ее компоненты на предмет возможных атак и выявлять причину их возникновения. Эти знания помогают в дальнейшем устранять выявленные уязвимости.

Рис. 2. Структурная схема модели для передачи FTP-трафика комплекса

В качестве первого примера рассмотрим сеть передачи данных по протоколу FTP c шифрованием по каналу VPN и без шифрования с открытым каналом передачи. Для этого построена модель, показанная на рис. 2. В качестве маршрутизаторов R1 и R2 используются программные маршрутизаторы с ОС Vyatta 6.6, основанные на ОС Linux. В качестве серверов используется ОС Ubuntu Server 14.04 [5-6]. Для мониторинга трафика использована ОС Kali Linux cо встроенным анализатором трафика Wireshark. На коммутаторах используется зеркалирование портов или используются хабы. Таким образом, комплекс построен на базе свободно распространяемого ПО.

Примеры использования

Рассмотрим два примера по использованию возможностей применения моделирования:

– организация шифрованного соединения для FTP-трафика и показание эффективности шифрования;

– моделирование DOS-атаки с использованием утилит для взлома.

При настройке сети для маршрутизации использован протокол OSPF [3; 7-8], между маршрутизаторами R1 и R2 создан туннель

IPSec [9]. На ОС Ubuntu Server установлена и настроена утилита vsFTPd [5], реализующая FTP-сервер. На FTP-сервере с шифрованием установлена и настроена утилита vsFTPd в комплексе с криптографическим пакетом для шифрования OpenSSL. Таким образом, сконфигурирован сервер с шифрованием FTP-данных по протоколу SSL [9]. Также для шифрования данных может быть использован и протокол TLS [9].

Для анализа передаваемого по сети трафика выполнены следующие действия:

– запущен Wireshark на ПК для анализа трафика;

– сделан FTP-запрос получения файла с ПК клиента на FTP-сервер. На FTP-сервер заранее помещены тестируемые файлы, например, изображения;

– анализ трафика, перехваченного ПК2 между маршрутизаторами R1 и R2, свидетельствует о том, что данные FTP-сессии недо ступ-ны для извлечения;

– ПК1 перехватывает FTP-сессию и данные, передаваемые между клиентом и сервером. С помощью опций Analyze > Follow TCP Stream Wireshark легко обнаруживает открытую FTP-сессию.

Приведенные данные позволяют рассмотреть процесс инициализации сессии и передачу файла:

– передаваемый файл полностью соответствует файлу, заранее помещенному на FTP-сервер;

– проделаны аналогичные действия при запросе на FTP-сервер с шифрованием;

– перехваченные данные будут зашифрованы с помощью протокола SSL, что не исключит, но значительно затруднит их извлечение.

Приведенный пример наглядно показывает методику анализа трафика, используемого в комплексе, а также эффективность применения защищенных соединений и их важность в телекоммуникационных сетях.

Follow TCP Stream

Stream Content

220 (vsFTPd 3.0.2)

USER alex

331 Please specify the password.

PASS 1234

230 Login successful.

SYST '

215 UNIX Type: L8

CWD /

250 Directory successfully changed.

PORT 192, 168,0,6, 13C|E 79

200 PORT command sud^ssful. Consider using PASV.

LIST

150 Here comes the directory listing.

226 Directory send OK. TYPE I

200 Switching to Binary mode.

PORT 192,168,0,6,141,230

200 PORT command successful. Consider using PASV.

226 Transfer complete.

QUIT

221 Goodbye.

Entire conversation (577 bytes)

Найти Сохранить как Печать ASCII EBCDIC Hex Dump C Arrays О Raw

Справка

Filter Out This Stream          Закрыть

Рис. 3. Перехваченный FTP-запрос

Рис. 4. Пакеты с FTP-данными (FTP-DATA)

Рассмотрим пример моделирования DOS-атаки. На рис . 5 показана схема сети, позволяющая смоделировать данную атаку. Сеть настраивается на протоколе маршрутизации OSPF [3; 7-8]. Сервер Server1 представляет собой хост, на который производится DOS-атака и который реализован на OC Ubuntu Server c запущенным сервером Apache Server [11]. Таким образом, открыт доступ по HTTP [9] (см. порт 80). Хост PC2 является узлом, с которого производится атака, реализованный на ОС Kali Linux c установленными утилитами Slowloris[12] и Torshammer [13]. Хост PC1 является узлом мониторинга трафика с установленной программой Wireshark. Маршрутизатор R1 является шлюзом перед Server1, который реализован с помощью образа ОС Cisco ASA с настроенными функциями защиты от DOS-атак.

Рис. 5. Структурная схема моделирования DOS-атаки

Утилита Slowloris заставляет атакуемый сервер обслуживать большое количество открытых соединений путем непрерывной отправки незавершенных HTTP-запросов. В результате все потоки заняты обработкой запросов. Данная атака основана на уязвимости самих серверов и трудноразличима среди другого трафика. Особенно уязвимыми считаются серверы Apache.

Torshammer является утилитой, которая реализует уязвимость серверов к медленным POST-запросам. Медленные запросы основаны на генерации POST-запросов, которые затем долго дополняются, обычно посимвольно. В результате рабочие потоки зависают. Данная атака основана на уязвимости самого протокола HTTP. Данной уязвимости подвержены почти все серверы, и атака на ее основе тоже трудноразличима среди другого трафика.

Рассматриваемые атаки являются крайне опасными для серверов. Позволяют выбивать малые и средние сайты из рабочего состояния в считанные минуты, используя один компьютер. Запустив данные утилиты на хосте PC2, можно убедиться, что сервер Server1 пришел в неработоспособное состояние, то есть DOS-атака успешно реализована. Маршрутизатор R1, выполняющий роль межсетевого экрана, не эффективен против такого рода атак.

Таким образом, данные атаки невозможно предотвратить на уровне сети. Обнаружить такие атаки можно лишь с помощью систем мониторинга реального времени. Поэтому решение данных проблем неоднозначно. Одним из методов является установка на серверы специального ПО, контролирующего количество соединений и сбрасывающего зависшие через определенные промежутки времени. Еще одно решение защиты основано на правильной настройке менеджера тайм-аутов.

Сервер Apache защищается от атак медленного чтения за счет установки расширения Mod_security [14]. Но и данное решение не обеспечивает полной защиты. Mod_Security – модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль подобен IDS системе, которую часто используют для анализа сетевого трафика, за исключением того, что Mod_security работает только на HTTP уровне. Суще ствуют и другие программные средства для защиты серверов от такого рода атак.

Заключение

Использование комплекса не ограничивается данными примерами. Комплекс предоставляет широкий спектр по изучению конфигурации сетей и серверов, конфигурации и тестирования защищенных соединений, моделированию различного рода атак и разработке соответствующих мер защиты от них.