Главная
страница 1

УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы

И.Т. Тарасенко

Таганрогский государственный радиотехнический университет
Исследование архитектуры, механизмов обеспечения безопасности персональных межсетевых экранов
В статье рассматриваются способы взаимодействия персональных межсетевых экранов с сетевой подсистемой Windows, в том числе, компоненты режима ядра, предназначенные для контроля трафика при помощи встраивания в сетевую подсистему.
Основными методами контроля трафика, общими для большинства межсетевых экранов, являются:

  • фильтры уровня TDI;

  • IRP-хукинг уровня TDI;

  • Перехват функций NdisRegisterProtocol, NdisDeRegisterProtocol, NdisOpenAdapter, NdisCloseAdapter;

  • контроль списка зарегистрированных протоколов_ndisProtocolList.

А
рхитектура механизмов обеспечения безопасности персональных межсетевых экранов имеет вид представленный на рис. 1 и имеет два типа защиты на разных уровнях в ядре ОС:

Рис.1. Архитектура механизмов обеспечения безопасности межсетевых экранов



Перехват на уровне TDI

TDI является одним из самым высокоуровневых интерфейсов сетевой подсистемы режима ядра. Только на уровне TDI возможно получение объекта процесса, так как на всех нижележащих уровнях не существует способа получения объекта процесса, инициирующего сетевую активность, ввиду организации пула входящих и исходящих пакетов.



Установка фильтр драйвера на уровне TDI

ЭЦ получает указатели на устройства \Device\Tcp, \Device\Udp, \Device\Ip, \Device\RawIp и генерирует IRP для использования интерфейсов TDI. Таким образом, для оформления пакетов используется системный TCP/IP стек.

С помощью этого механизма в стек фильтров устройств TDI персональные межсетевые экраны встраивают свои фильтр, который имеет возможность получать, изменять и блокировать информацию, полученную как с более низких (NDIS), так и с более высоких уровней (AFD, пользовательский уровень). Только уровень TDI позволяет разделять входящий и исходящий трафик между процессами в системе, что позволяет фильтровать его в зависимости от процесса, инициировавшего сетевое событие.

Установка IRP-хуков

Метод перехвата трафика уровня TDI с установкой IRP-хуков представляет собой изменение массива обработчиков DRIVER_OBJECT.MajorFunction объекта \Driver\TCPIP и остальных объектов стека. Он является более низкоуровневым, чем метод присоединения в стеку устройства, так как итоговый IoCallDriver, выполненный предпоследним устройством элементов стека, передаст управление по адресу, указанному в массиве MajorFunction \Driver\TCPIP; иными словами, эмулируется ситуация внедрения элемента стека сразу после его заголовка.



Методы фильтрации протокольного уровня NDIS

Эти методы в межсетевых экранах сводятся к перехвату некоторого подмножества функций NDIS, которое в дальнейшем позволяет отследить регистрацию всех протоколов, установленных в операционной системе, и открытие ими сетевых интерфейсов.

Для организации корректного перехвата регистрации протоколов в системе персональные межсетевые экраны используют функции:

- NdisRegisterProtocol();

- NdisDeregisterProtocol();

- NdisOpenAdapter();

- NdisCloseAdapter().

Были исследованы следующие персональные межсетевые экраны: Symantec's Norton Personal Firewall 2006, Trend MicroT PC-cillinT Internet Security 2006, Tiny Firewall 2005, Tiny Firewall 2005 Professional, Outpost Firewall PRO, Outpost Office Firewall, ZoneAlarm Pro.




ISBN 5-7262-0711-4. XIV Всероссийская научная конференция


Смотрите также:
Исследование архитектуры, механизмов обеспечения безопасности персональных межсетевых экранов
23.31kb.
1 стр.
«Сравнительный анализ межсетевых экранов»
384.87kb.
3 стр.
Типовая инструкция по работе ответственного за обеспечение безопасности персональных данных в подразделениях аппарата Администрации Приморского края, органах исполнительной власти Приморского края
38.24kb.
1 стр.
Применение межсетевых экранов для защиты корпоративных сетей
31.33kb.
1 стр.
Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных в
227.68kb.
1 стр.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
150.02kb.
1 стр.
Формирование механизмов обеспечения безопасности в Каспийском регионе: возможное сотрудничество или столкновение интересов
170.02kb.
1 стр.
Инструкция операторам по обработке персональных данных на пэвм
211.62kb.
1 стр.
Перспективы развития локомотивных технических средств управления и обеспечения безопасности движения поездов
108.21kb.
1 стр.
Закон о безопасности в ред. Закона РФ от 25. 12. 1992 n 4235-1
154.46kb.
1 стр.
Раздел Угроза биотерроризма в современном мире
940.1kb.
5 стр.
Инструкция ответственного за организацию резервирования и восстановления программнного обеспечения и баз персональных данных
44.9kb.
1 стр.