Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski 1
Plan prezentacji I. Podstawowe informacje o projekcie DIADEM Firewall II. Architektura systemu III. Środowisko testowe IV. Literatura 2
I. Podstawowe informacje o projekcie DIADEM Firewall Projekt DIADEM Firewall jest projektem UE realizowanym w ramach Szóstego Programu Ramowego Projekt typu STREP zorientowanie na rozwiązanie szczegółowego problemu technicznego 3
Cel projektu DIADEM Celem projektu jest opracowanie architektury systemu rozproszonych zapór sieciowych służącej do: wykrywania i odpowiedzi na ataki odmowy usług ochrony klientów oraz dostawców usług szerokopasmowych 4
Założenia projektu DIADEM Cel projektu jest osiągany poprzez: zastosowanie istniejących oraz ulepszonych technik wykrywania ataków DDoS oparcie wykrywania ataku na rozproszonym monitoringu ruchu sieciowego odpowiadanie na ataki DDoS z wykorzystaniem rekonfiguracji elementów architektury, w tym aktualizacji reguł filtracji w zaporach sieciowych podniesienie wydajności projektowanej architektury dzięki zastosowaniu sprzętowej akceleracji przetwarzania pakietów, czy próbkowania ruchu opracowanie interfejsów pomiędzy komponentami oraz integrację nowych komponentów z zastanym sprzętem sieciowym przetestowanie opracowywanych rozwiązań oraz opracowanie przykładów zastosowań 5
II. Architektura systemu DIADEM 6
Komponenty poziomu danych Obejmują urządzenia sieciowe: Opracowane Firewall Devices (FD): Otwarta zapora ogniowa (open firewall), Szybka otwarta zapora ogniowa (open high-speed firewall) Integracja z komercyjnymi zaporami (Cisco PIX) i ruterami (Cisco 3600, 7200) 7
Open Firewall 8
Open High-Speed Firewall 9
Komponenty poziomu elementu Warstwa abstrakcji dla poziomu danych Monitoring Elements (MEs) pobieranie i eksport wybranych informacji o ruchu oraz statusie urządzeń sieciowych, konfiguracja MD Firewall Elements (FEs) wymuszanie odpowiedniej polityki odpowiedzi na atak, w tym rekonfiguracja reguł filtracji 10
Monitoring Elements 11
Firewall Elements 12
Komponenty poziomu administracji Wprowadzanie przez administratora polityk bezpieczeństwa, podejmowanie decyzji o uruchomieniu o pomiarów dla poszczególnych ataków Violation Detection (VD) wykrywanie ataków System Manager (SM) - określenie, przechowywanie i dystrybucja polityk PMA w celu ich interpretacji, generacja raportów z działania systemu 13
Violation Detection 14
Web Server Overloading Detection Module 15
System Manager 16
III. Środowisko testowe projektu DIADEM Środowiska testowe poszczególnych partnerów połączone z wykorzystaniem technologii VPN Dedykowane testbedy dla wybranych rodzajów zastosowań platformy DIADEM 17
Testowanie wpływu ataku TCP SYN flood 18
Generacja ruchu sieciowego przy użyciu ANT Agilent Network Tester - testowanie wydajnościowe urządzeń sieciowych w obrębie wyższych warstw OSI, szczególnie firewalli Symulacja ruchu pochodzącego od serwerów i klientów 19
Generacja ruchu sieciowego przy użyciu ANT 20
Generacja pakietów TCP SYN Pakiety TCP SYN są stosowane przy testowaniu wpływu ataku TCP SYN flood na szybkość nawiązywania połączeń TCP oraz średnią szybkość transferu HTTP Podstawowe parametry ruchu: postać pakietów SYN: flaga SYN, numery portów, rozmiar okna TCP, brak fragmentacji, długość pakietu IP 48 bajtów skalowana szybkość ataku TCP SYN flood: liczba klientów i serwerów, portów docelowych, pakietów kierowanych do danego portu 21
Przykładowa procedura testowa Wpływ ataku TCP SYN flood na szybkość nawiązywania połączeń TCP Ustawienie parametrów odniesienia dla warstwy transportowej i aplikacyjnej po stronie klienta oraz serwera: szybkość ataku SYN flood, liczba jednoczesnych połączeń TCP do utworzenia, liczba klientów łączących się w tym samym czasie i inne liczba jednoczesnych połączeń obsługiwanych przez serwer, rozmiar obiektu HTTP, liczba żądań GET, wersja protokołu HTTP i inne 22
Przykładowa procedura testowa Wyłączenie mechanizmów ochronny przed atakiem TCP SYN flood Generowanie połączeń TCP Weryfikacja poprawności nawiązanych połączeń TCP Powtórzenie powyższych kroków przy zastosowaniu różnych szybkości ataku SYN flood oraz włączonych mechanizmach ochrony przed atakiem 23
Przykładowe wyniki Szybkość ataku TCP SYN flood [SYN/sek] 500 5500 37500 Szybkość ustanawiania połączeń TCP [tys. sesji TCP/sek] 24,394 21,965 18,124 24
IV. Literatura Strona WWW projektu: www.diadem-firewall.org Architecture Specifications, DIADEM Firewall deliverable D5, January 2005. Testbed Specification, DIADEM Firewall deliverable D12, January 2006. Diadem Firewall: Web Server Overload Attack Detection and Response. Broadband Europe, Bordeaux France, December 2005. Oleniacz J., Kołoszczyk T.: Projekt 'DIADEM Firewall' Distributed Adaptive Security by Programmable Firewall. Krajowe Sympozjum Telekomunikacji 2004. 25
IV. Literatura - raporty D2: Initial Interfaces Specification, July 2004 D3: Attack Requirements Specification, July 2004 D4: Respense Requirements Specification, July 2004 D5: Architecture Specifications, January 2005 D6: Revised Interfaces Specification, January 2005 D7: Initial Demonstrator Specification, January 2005 D8: Initial Firewall Element Specification, July 2005 D9: Initial Violation Detection Prototype, July 2005 D10: Initial Response Management Prototype, July 2005 D11: Integrated Prototype, January 2006 D12: Testbed Specification, January 2006 26
Dziękuję za uwagę Piotr Piotrowski E-mail: P.T.Piotrowski@elka.pw.edu.pl 27