Современные информационные технологии
4. Информационная безопасность
Исследование производительности систем контроля
трафика, как средств защиты информации
Володин Сергей Александрович
Тел. +380508344338; e-mail: ministr.volodin@gmail.com
Донецкий национальный технический университет
Интенсивное развитие глобальных компьютерных сетей и
появление новых технологий поиска информации привлекают все больше внимания к
сети Internet со стороны частных лиц и различных организаций. С целью избежания несанкционированного доступа к своим сетям многие
компании, подключенные к Internet, полагаются на фильтр-серверы, подключаемые к
узловым элементам сети. Однако, достигая при этом своей основной цели, пользователь фильтр-сервера сталкивается с
необходимостью выбора между удобством работы и безопасностью системы. Основная
проблема состоит в том, что предприятия стремятся обойтись как можно меньшим количеством
фильтр-серверов ради удешевления и простоты настройки. Тогда, при достаточно большом
масштабе предприятия, на каждый из фильтр-серверов приходится большая
нагрузка. Различные реализации фильтр-серверов будут по-разному проявлять себя под
нагрузкой, близкой к предельной, но все они в этом случае будут демонстрировать те или
иные отказы, и их нормальная работоспособность будет нарушена. Кроме того, даже
суммарный объем трафика не может являться критерием определения нагрузки на
систему контроля, поскольку состав этого трафика (наличие и/или преобладание в нем
тех или иных протоколов) может существенным образом влиять на систему. [1]
Таким образом, на основе вышесказанного
можно сформулировать задачи, требующие решения:
• Разработка метода измерения
допустимых нагрузок на фильтр-сервер.
• Создание подсистемы, отслеживающей
нагрузку в процессе работы фильтр-серверов.
• Исследование влияния различных
сетевых протоколов на динамическую нагрузку фильтр-серверов.
• Апробация разработанных методов на
конкретной реализации фильтр-
сервера.
Для моделирования нагрузки в локальной сети было
использовано несколько протоколов, причем при выборе была
учтена не только статистика, но и желание заказчика продукта. Для тестирования
производительности системы использовался следующий алгоритм. Система контроля
трафика
настраивалась на блокирование доступа к определенному web-ресурсу.
При этом остальные перечисленные выше протоколы также перехватывались и
анализировались системой, их блокировка не осуществлялась. Для имитации нагрузки по
каждому из перечисленных выше протоколов трафик генерировался следующим
образом:
Таблица 1 – Генерация трафика
|
HTTP |
Доступ на web-ресурсы с интенсивностью от 6 до 30
раз в секунду. |
|
SMTP |
Отсылка писем с интенсивностью от 12 до 40 сообщений
в секунду. Размер писем – от 1 Кб до 40 Кб. |
|
FTP |
Одновременная загрузка нескольких
десятков файлов в несколько потоков с сервера и на сервер. |
|
ICQ |
Отсылка сообщений с интенсивностью от 2
до 20 сообщений в секунду. |
После того, как описанная нагрузка на систему контроля
была создана, можно было приступать к анализу временных характеристик системы
контроля трафика, а точнее, отдельного фильтр-сервера.
Для этого использовалась следующая методика. На
отдельном компьютере было установлено программное обеспечение,
перехватывавшее все пакеты, проходящие в сети. Для этих целей
использовалась библиотека WinPCap и программа WinDump. С их помощью
создавался дамп всех пакетов, прошедших
в локальной сети.
Идея заключалась в том, что весь трафик, генерируемый
по протоколу HTTP, должен был быть заблокирован фильтр-сервером. В этом случае
пакет, полученный от фильтр-сервера содержал фразу «Web access has been denied»,
поэтому наличие такого пакета означало, что он успешно
заблокировал запрос. Если же пакет, являвшийся ответом на запрос, не
содержал указанной фразы, то это означало, что web-сервер успел откликнуться раньше, чем
фильтр-сервер, а, следовательно, фильтр-сервер не функционирует положенным
образом.
Для того, чтобы преобразовать полученный дамп в
численные данные, была использована библиотека JPCap.
Функциональность библиотеки была расширена разработкой дополнительного кода, который и определял
отправителя полученного ответного пакета (фильтр-сервер или web-сервер).
Дополнительный код представлял собой несколько классов, наследованных от базовых классов
библиотеки. Он осуществлял анализ данных пакета, определял адресата отправленного пакета
(web-сервер или фильтр-сервер) и вычислял параметры, специфичные для ответов
фильтр-сервера. [2]
В результате преобразования были получены следующие
численные данные, использованные при анализе результатов:
• Среднее время ответа фильтр-сервера.
• Количество ответов фильтр-сервера.
• Количество ответов web-сервера.
• Использованная пропускная способность канала связи (локальной сети).
Фильтр-сервер можно признать успешно функционирующим
при заданной
нагрузке (использованной
пропускной способности канала), если количество ответов web-сервера равно нулю. Это означало бы, что все HTTP-запросы к запрещенному web-ресурсу были успешно
заблокированы. Из экспериментов с различной нагрузкой можно получить уровень нагрузки, при
которой фильтр-сервер функционирует без отказов, и именно этот уровень нагрузки считать
максимально допустимым для заданной конфигурации оборудования. Также можно
получить приблизительную зависимость нагрузки на фильтр-сервер от протоколов,
встречающихся в локальной сети.
Полученные данные носят
рекомендательный характер и они могут служить только для начальной
оценки необходимого оборудования. Решение об
окончательной конфигурации
оборудования должно приниматься только после
тестирования в реальных
условиях.
Литература:
1. Защита информации в
компьютерных системах и сетях/ Под ред. В.Ф. Шаньгина.- М.:
Радио и связь,
1999.-328 с.
2. “SurfControl Web Filter Administrator ’s
Guide”. Available at
http://www.surfcontrol.com/general/guides/web/SCWF_AdminGuide_v45.pdf.