Система защиты информационно вычислительных сетей

СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Бухарин Владимир Владимирович, Кирьянов Александр Владимирович, Стародубцев Юрий Иванович

Рассмотрен способ защиты информационно-вычислительной сети при возникновении нарушений внешнего периметра системы защиты информации, реализуемых посредством осуществления компьютерных атак . Данный способ позволяет повысить оперативность обнаружения компьютерной атаки за счет использования трассировки маршрутов передачи пакетов.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Бухарин Владимир Владимирович, Кирьянов Александр Владимирович, Стародубцев Юрий Иванович

Текст научной работы на тему «СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК»

Электронный журнал «Труды МАИ». Выпуск № 57

Способ защиты информационно-вычислительных сетей от

В.В. Бухарин, А.В. Кирьянов, Ю.И. Стародубцев

Рассмотрен способ защиты информационно-вычислительной сети при возникновении нарушений внешнего периметра системы защиты информации, реализуемых посредством осуществления компьютерных атак. Данный способ позволяет повысить оперативность обнаружения компьютерной атаки за счет использования трассировки маршрутов передачи пакетов.

защита информационно-вычислительной сети, компьютерная атака, трассировка маршрута, IP протокол.

Мировые тенденции развития в области информатизации и связи показывают, что на базе цифровых методов передачи, обработки, хранения, представления и защиты информации быстрыми темпами идет процесс взаимопроникновения и «сращивания» информационных и телекоммуникационных систем не только на уровне технологий их разработки и эксплуатации, но и их структурного и функционального объединения. Роль защиты информации на всех этапах функционирования информационно -телекоммуникационной системы остается приоритетной.

На этапе организации несанкционированного доступа к защищаемой сети, одной из задач является нарушение внешнего периметра системы защиты информации (СЗИ), реализуемое посредством применения компьютерных атак. Сетевая компьютерная атака -заранее спланированное целенаправленное воздействие на определенные объекты компьютерных сетей программными и аппаратными средствами через установление

соединения на сетевом уровне или попытки установления соединения на канальном или сетевом уровне ЭМВОС с объектом данного воздействия. Цель атаки — организация канала утечки информации, блокирование, модификация, уничтожение информационных ресурсов, блокирование СЗИ объекта.

Существуют и активно развиваются СЗИ которые реализуют различные способы защиты от компьютерных атак. Так, один из них, включает следующую последовательность действий: принимают /-й, где /=1, 2, 3. пакет сообщения из канала связи, запоминают его, принимают (/+1)-й пакет сообщения, запоминают его, выделяют и запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки [1].

Недостатком данного способа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.

Целью предлагаемого технического решения является разработка способа защиты информационно-вычислительных сетей, от компьютерных атак, обеспечивающего, повышение оперативности обнаружения компьютерной атаки на информационно-вычислительную сеть.

Реализация заявленного способа поясняется блок-схемой на рисунке 1.

Непосредственная реализация способа объясняется следующим образом:

1. Формируют массив Р для запоминания поступающих из канала связи 1Р-пакетов сообщений.

2. Формируют массивы Б, I, Т и О, для запоминания параметров выделенных из запомненных пакетов сообщений соответственно:

Б — для запоминания значений поля данных «1Р адрес назначения»;

I — для запоминания значений поля данных «1Р адрес источника»;

Т — для запоминания значений поля данных «Время жизни пакета»;

О — для запоминания значений поля данных «Опции».

В предлагаемом решении используют функции протокола 1Р, применяемые при передаче пакетов по сети. Заголовок пакета протокола 1Р, представленный на рисунке 2, содержит определенное количество полей. В полях «1Р адрес назначения» и «1Р адрес

источника» будут находиться 32-битные последовательности, определяющие логические адреса назначения и источника пакета сообщения необходимые для передачи его по ИВС.

Запоминают значения доверенных адресов получателя и отправителя пакетов сообщений в массив ,

Инициализация информационно-вычислительной сети

Измерение Т Oj , ]-1, 2. Л^ N — количество пар адресов доверенных абонентов

Осуществляют перевод информационно-вычислительной сети в режим реальной работы /=1

Рисунок 1 — Блок-схема способа защиты ИВС от компьютерных атак

Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети.

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях 1Р (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом решении используется опция — «запись маршрута» [2].

Версия Длнна ■заголовка Тип обслуживания Длина пакета

Иденпи « ж а тор Флаги (3 бита) Смещение фрагмента

Время жтнп Протокол Контрольная сумма

Рисунок 2 — Логическая характеристика протокола 1Р у4

3. Формируют массивы —эт, 1эт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:

Пэт — значений поля данных «1Р адрес назначения»;

1эт — значений поля данных «1Р адрес источника».

4. Формируют массивы Тэт, Оэт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:

Тэт — значений поля данных «Время жизни пакета»;

Оэт — значений поля данных «Опции».

5. Определяют доверенные 1Р-адреса получателя и отправителя для запоминания этих значений в массивы —эт, /эт. Под доверенными 1Р-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в массив

6. Адаптируют информационно-вычислительную сеть (рис. 3). Под адаптацией понимается работа информационно-вычислительной сети в тестовом режиме для внедрения в конкретных условиях функционирования [3].

7. Измеряют реальные значения полей данных пакета «Время жизни пакета» и «Опции» для маршрута между у-ой парой доверенных адресов получателя и отправителя пакетов сообщений, где]=\, 2. Ы , N — количество пар адресов доверенных абонентов. При

передачи пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [4].

Рисунок 3 — Схема формирования маршрута передачи пакетов сообщений в ИВС

Таким образом, после передачи пакета по сети от источника к получателю сообщения, по определенному маршруту, адреса источника и получателя (поля «1Р адрес назначения», «1Р адрес источника»), количество пройденных маршрутизаторов (поле «время жизни пакета») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значение для всех пакетов сообщений, проходящих по этому маршруту. На рисунке 4 представлен пример значений полей данных 1Р пакета после прохождения по сети связи.

Header length: 40 byres l> Differentiated services Field: OxOO (dscp 0x00: Default; ecn: 0x00) Total Length: 60 identification: 0x166b (5739)

> Flags: 0x04 (Don’t Fragment) Fragment offset: 0

Time to live: 3 Protocol: TCP (0x06)

> Header checksum: 0x734f [correct] source: LOO.O.O.2

Destination: 112.0.0.2 Options: (20 bytes) Record route (19 bytes) Pointer: 20 100.0.0.1 101.0.0.1 106.0.0.2 112.0.0.2

Рисунок 4 — Значения поля данных 1Р пакета после прохождения по сети связи Эти значения запоминают в массивах Бэт, 1эт, Тэт, Оэт. Данную процедуру повторяют для всех пар доверенных адресов Формируют таблицу 1, эталонных значений.

Эталонные значения полей данных «1Р адрес назначения», «1Р адрес источника», «Время жизни пакета» и «Опции»

IP адрес источника IP адрес назначения Время жизни Опции

Источник

Раздел III. Иинформационная

8.1. Особенности обеспечения информационной безопасности в компьютерных сетях

8.1.1. Особенности информационной безопасности в компьютерных сетях

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.

Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем – распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз – это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на

телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые – уязвимости в телекоммуникационных службах.

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих «информационной безопасности»:

• целостности данных;
• конфиденциальности данных;
• доступности данных.

• связана с невозможностью реализации этих функций.
  • локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.
  • глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сервисы, например, почтовый сервер, сервер доменных имен, web-сервер и др.
  • глобальную связанность;
  • разнородность корпоративных информационных систем;
  • распространение технологии «клиент/сервер».
  • каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);
  • каждый сервис имеет свою трактовку понятий субъекта и объекта;
  • каждый сервис имеет специфические угрозы;
  • каждый сервис нужно по-своему администрировать;
  • средства безопасности в каждый сервис нужно встраивать по-особому.

  Источник