Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Transkrypt

1 Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski 1

2 Plan prezentacji I. Podstawowe informacje o projekcie DIADEM Firewall II. Architektura systemu III. Środowisko testowe IV. Literatura 2

3 I. Podstawowe informacje o projekcie DIADEM Firewall Projekt DIADEM Firewall jest projektem UE realizowanym w ramach Szóstego Programu Ramowego Projekt typu STREP zorientowanie na rozwiązanie szczegółowego problemu technicznego 3

4 Cel projektu DIADEM Celem projektu jest opracowanie architektury systemu rozproszonych zapór sieciowych służącej do: wykrywania i odpowiedzi na ataki odmowy usług ochrony klientów oraz dostawców usług szerokopasmowych 4

5 Założenia projektu DIADEM Cel projektu jest osiągany poprzez: zastosowanie istniejących oraz ulepszonych technik wykrywania ataków DDoS oparcie wykrywania ataku na rozproszonym monitoringu ruchu sieciowego odpowiadanie na ataki DDoS z wykorzystaniem rekonfiguracji elementów architektury, w tym aktualizacji reguł filtracji w zaporach sieciowych podniesienie wydajności projektowanej architektury dzięki zastosowaniu sprzętowej akceleracji przetwarzania pakietów, czy próbkowania ruchu opracowanie interfejsów pomiędzy komponentami oraz integrację nowych komponentów z zastanym sprzętem sieciowym przetestowanie opracowywanych rozwiązań oraz opracowanie przykładów zastosowań 5

6 II. Architektura systemu DIADEM 6

7 Komponenty poziomu danych Obejmują urządzenia sieciowe: Opracowane Firewall Devices (FD): Otwarta zapora ogniowa (open firewall), Szybka otwarta zapora ogniowa (open high-speed firewall) Integracja z komercyjnymi zaporami (Cisco PIX) i ruterami (Cisco 3600, 7200) 7

8 Open Firewall 8

9 Open High-Speed Firewall 9

10 Komponenty poziomu elementu Warstwa abstrakcji dla poziomu danych Monitoring Elements (MEs) pobieranie i eksport wybranych informacji o ruchu oraz statusie urządzeń sieciowych, konfiguracja MD Firewall Elements (FEs) wymuszanie odpowiedniej polityki odpowiedzi na atak, w tym rekonfiguracja reguł filtracji 10

11 Monitoring Elements 11

12 Firewall Elements 12

13 Komponenty poziomu administracji Wprowadzanie przez administratora polityk bezpieczeństwa, podejmowanie decyzji o uruchomieniu o pomiarów dla poszczególnych ataków Violation Detection (VD) wykrywanie ataków System Manager (SM) - określenie, przechowywanie i dystrybucja polityk PMA w celu ich interpretacji, generacja raportów z działania systemu 13

14 Violation Detection 14

15 Web Server Overloading Detection Module 15

16 System Manager 16

17 III. Środowisko testowe projektu DIADEM Środowiska testowe poszczególnych partnerów połączone z wykorzystaniem technologii VPN Dedykowane testbedy dla wybranych rodzajów zastosowań platformy DIADEM 17

18 Testowanie wpływu ataku TCP SYN flood 18

19 Generacja ruchu sieciowego przy użyciu ANT Agilent Network Tester - testowanie wydajnościowe urządzeń sieciowych w obrębie wyższych warstw OSI, szczególnie firewalli Symulacja ruchu pochodzącego od serwerów i klientów 19

20 Generacja ruchu sieciowego przy użyciu ANT 20

21 Generacja pakietów TCP SYN Pakiety TCP SYN są stosowane przy testowaniu wpływu ataku TCP SYN flood na szybkość nawiązywania połączeń TCP oraz średnią szybkość transferu HTTP Podstawowe parametry ruchu: postać pakietów SYN: flaga SYN, numery portów, rozmiar okna TCP, brak fragmentacji, długość pakietu IP 48 bajtów skalowana szybkość ataku TCP SYN flood: liczba klientów i serwerów, portów docelowych, pakietów kierowanych do danego portu 21

22 Przykładowa procedura testowa Wpływ ataku TCP SYN flood na szybkość nawiązywania połączeń TCP Ustawienie parametrów odniesienia dla warstwy transportowej i aplikacyjnej po stronie klienta oraz serwera: szybkość ataku SYN flood, liczba jednoczesnych połączeń TCP do utworzenia, liczba klientów łączących się w tym samym czasie i inne liczba jednoczesnych połączeń obsługiwanych przez serwer, rozmiar obiektu HTTP, liczba żądań GET, wersja protokołu HTTP i inne 22

23 Przykładowa procedura testowa Wyłączenie mechanizmów ochronny przed atakiem TCP SYN flood Generowanie połączeń TCP Weryfikacja poprawności nawiązanych połączeń TCP Powtórzenie powyższych kroków przy zastosowaniu różnych szybkości ataku SYN flood oraz włączonych mechanizmach ochrony przed atakiem 23

24 Przykładowe wyniki Szybkość ataku TCP SYN flood [SYN/sek] Szybkość ustanawiania połączeń TCP [tys. sesji TCP/sek] 24,394 21,965 18,124 24

25 IV. Literatura Strona WWW projektu: Architecture Specifications, DIADEM Firewall deliverable D5, January Testbed Specification, DIADEM Firewall deliverable D12, January Diadem Firewall: Web Server Overload Attack Detection and Response. Broadband Europe, Bordeaux France, December Oleniacz J., Kołoszczyk T.: Projekt 'DIADEM Firewall' Distributed Adaptive Security by Programmable Firewall. Krajowe Sympozjum Telekomunikacji

26 IV. Literatura - raporty D2: Initial Interfaces Specification, July 2004 D3: Attack Requirements Specification, July 2004 D4: Respense Requirements Specification, July 2004 D5: Architecture Specifications, January 2005 D6: Revised Interfaces Specification, January 2005 D7: Initial Demonstrator Specification, January 2005 D8: Initial Firewall Element Specification, July 2005 D9: Initial Violation Detection Prototype, July 2005 D10: Initial Response Management Prototype, July 2005 D11: Integrated Prototype, January 2006 D12: Testbed Specification, January

27 Dziękuję za uwagę Piotr Piotrowski 27