350 руб
Журнал «Системы высокой доступности» №3 за 2013 г.
Статья в номере:
Обеспечение сетевой безопасности с помощью программно-конфигурируемых сетей
Ключевые слова: OpenFlow ПКС межсетевой экран сетевая безопасность контроль доступа
Авторы:
Д.Ю. Гамаюнов - ст. науч. сотрудник, и.о. зав. лабораторией Безопасности информационных систем факультета ВМК МГУ имени М. В. Ломоносова И.С. Платонов - программист, лаборатория Безопасности информационных систем факультета ВМК МГУ им. М.В. Ломоносова Р.Л. Смелянский - чл. корр. РАН, директор по науке Центра прикладных исследований компьютерных сетей
Аннотация:
Рассмотрена проблема контроля доступа на уровне сети и её решение с помощью программно-конфигурируемых сетей (ПКС). Предложен подход к миграции среды передачи данных с традиционной архитектуры, использующей выделенные межсетевые экраны, на сеть ПКС с переносом правил фильтрации непосредственно в среду передачи данных, представленную коммутаторами OpenFlow и контроллером ПКС. Предложенный подход позволяет максимизировать пропускную способность среды передачи данных при сохранении матрицы достижимости исходного графа сети. Алгоритмы реализованы в виде приложения для контроллера POX и поддерживают трансляцию правил МСЭ из формата Cisco Access Control List. Проведено экспериментальное исследование на действующем сегменте ПКС сети с использованием коммутаторов семейства NEC Programmable Flow.
Страницы: 85-97
Список источников

  1. Wool A. Trends in Firewall Configuration Errors: Measuring the Holes in Swiss Cheese // in IEEE Internet Computing. 2010. V. 14. P. 58-65.
  2. Al-Shaer E., Hamed H. Modeling and Management of Firewall Policies // in IEEE eTransactions on Network and Service Management. April 2004. V. 1-1.
  3. Al-Shaer E., Hamed H., Boutaba R. et al. Conflict Classification and Analysis of Distributed Firewall Policies // in IEEE Journal on Selected Areas in Communications. October 2005. V. 23. № 10.
  4. Johnson D.S. Near Optimal Bin-Packing Algorithms. Massachusetts Institute of Technology, Dept. of Mathematics. 1973.
  5. Extended Cisco ACL syntax. URL: http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note 09186a00800a5b9a.shtml
  6. Hazelhusrt S. Algorithms for Analyzing Firewall and Router Access Lists // In Technical Report TR-WitsCS-1999. Department of Computer Science, University of the Witwatersrand. July 1999.
  7. Hari B., Suri S. and Parulkar G. Detecting and Resolving Packet Filter Conflicts // In Proc. of IEEE INFOCOM-00. March 2000.
  8. Srinivasan V., Suri S., Varghese G. Packet Classification Using Tuple Space Search. In Computer ACM SIGCOMM Communication Review. October 1999.
  9. Eppstein D., Muthukrishnan S. Internet Packet Filter Management and Rectangle Geometry // In Proc. of 12-th Annual ACM-SIAM Symposium on Discrete Algorithms (SODA). January 2001.
  10. Gouda M., Liu A.Firewall design: consistency, completeness, and compactness. In Proc. of the 24th IEEE International Conference on Distributed Computing Systems. Tokyo. Japan. March 2004. P. 320-327.
  11. MayerA., Wool A., and Ziskind E. Fang: A firewall analysis engine // in Proc. of the 2000 IEEE Symposium on Security and Privacy (S&P 2000). May 2000. P. 177.
  12. Bartal Y., Mayer A., Nissim K. et al. Firmato: A novel firewall management toolkit // in ACM Transactions on Computer Systems. Nov. 2004. V. 22. № 4. P. 381 - 420.
  13. YuanL., Mai J., Su Z., Chen H. et al. FIREMAN: A Toolkit for Firewall Modeling and Analysis // in Proc. IEEE Symposium on Security and Privacy. May 2006.
  14. Tapdiya A. Firewall policy optimization and management // in Master-s thesis, Wake Forest University, Computer Science Department. 2008.
  15. GuttmanJ. Filtering Posture: Local Enforcement for Global Policies // in Proc. of 1997 IEEE Symposium on security and Privacy. May 1997.
  16. Xie G.G., Zhan J., Maltz D.A. et al. On static reachability analysis of ip networks // in INFOCOM - 05 Proc. of the 24-th Annual Joint Conference of the IEEE Computer and Communications Societies, Miami, USA. 2005. P. 2170-2183.
  17. BandhakaviS., Bhatt S., Okita C., and Rao P. Analyzing end-to-end network reachability // in IM - 09 Proc. of the 11-th IFIP/IEEE International Conference on Symposium on Integrated Network Man-agement, Long Island, USA. 2009. P. 585-590.
  18. Khakpour A.R., Liu A.X.Quantifying and Querying Network Reachability // in CDCS - 10 Proc. of the 2010 IEEE 30-th International Conference on Distributed Computing Systems, Genoa, Italy. 2010. P. 817-826.
  19. Chen F., Bruhadeshwar B., Liu A.X. A cross-domain privacy- preserving protocol for cooperative firewall optimization // in INFOCOM - 11 Proc. of the 30-th IEEE International Conference on Computer Communications, Shanghai, China. 2011. P. 2903-2911.
  20. SNAC. URL: http://www.openflow.org/wp/snac/
  21. Fulp E.W.Optimization of Network Firewall Policies using Directed Acyclical Graphs // in Proc. of IEEE Internet Management Conference. 2005.
  22. Tapdiya A., Fulp E.W.Towards Optimal Firewall Rule Ordering Utilizing Directed Acyclical Graphs // in Proc. of 18-th Internatonal Conference on. August 2009.
  23. Al-Shaer E., El-Alfy M., Selim S.Z. Dynamic Rule-ordering Optimization for High-speed Firewall Filtering // in Proc. of IEEE International Conference on Computer Systems and Applications. 2007.
  24. Packet Filter OpenBSD. URL: http://www.openbsd.org/faq/pf/
  25. POX. URL: http://www.noxrepo.org/pox/about-pox/
  26. Nec Switch. URL: http://www.nec.com/en/global/prod/pflow/images_documents/ProgrammableFlow_Switch_PF5820.pdf