- •Аспекты и актуальность информационной безопасности гспд
- •Воздействия нарушителей (вн), виды нсд к гспд
- •Технологии передачи данных в гспд
- •1. Дейтаграммная служба
- •2. Виртуальные соединения
- •Задачи обеспечения информационной безопасности гспд
- •Характеристики защищенности информационной сферы гспд
- •Уязвимость гспд и ее проявления
- •Технологические и эксплуатационные уязвимости
- •Пути внесения уязвимостей
- •Субъекты нарушителей на информационную сферу (ис)
- •Модель воздействий нарушителя на технологическом уровне
- •Модель воздействий нарушителя на эксплуатационном уровне
- •Виды вн, нарушающие конфиденциальность информационной сферы
- •Способы реализации вн, нарушающих конфиденциальность ис
- •Виды вн, нарушающие целостность ис
- •Способы реализации вн, нарушающих целостность ис
- •Виды вн доступности ис
- •Способы реализации вн доступности ис
- •Классификация воздействий нарушителя на информационную сферу гспд
- •Угрозы информационной безопасности гспд, последствия вн, риски, ущерб от вн
- •Общее описание технологии х.25
- •Физический уровень стека протоколов технологии х.25
- •Канальный уровень стека протоколов технологии х.25
- •Воздействия нарушителя на канальном уровне стека протоколов сети х.25
- •Пакетный уровень стека протоколов технологии х.25
- •Общее описание технологии Frame Relay
- •Физический уровень технологии fr
- •Канальный уровень стека протоколов технологии fr
- •Сетевой уровень стека протоколов технологии fr
- •Общее описание технологии atm
- •Физический уровень стека протоколов технологии atm
- •Уровень атм стека протоколов технологии атм
- •Уровень адаптации стека протоколов технологии атм
- •Транспортный, сеансовый, представительский и прикладной уровни стека протоколов технологии atm
- •Краткие сведения о технологии tcp/ip
- •Уровень межсетевого взаимодействия стека протоколов технологии tcp/ip
- •Транспортный уровень стека протоколов системы управления ip-cemu
- •Прикладной уровень стека протоколов системы управления ip-cemu
Сетевой уровень стека протоколов технологии fr
Рассмотрим особенности протокола Q.933 на примере установления коммутируемого виртуального соединения между терминальным оборудованием пользователей. Обозначим одно терминальное оборудование пользователя через DTE А, а другое - через DTE В.
На первом этапе терминальное оборудование пользователя DTE A формирует запрос на установление коммутируемого виртуального соединения. Для этого DTE А отправляет в КП А, к которому оно подключено, пакет данных SETUP, который содержит следующие основные параметры: адреса терминального оборудования пользователей DTE А и DTE В (схема адресации в сетях Frame Relay осуществляется в соответствии с рекомендациями МСЭ-Т Х.121), параметры качества обслуживания кадров данных, передаваемых в рамках коммутируемого виртуального соединения и др.
DTE А ---------------------- SETUP ---------------------> Коммутатор пакетов А
После получения пакета данных SETUP, КП А, к которому подключено терминальное оборудование пользователя DTE А, посылает этому оборудованию пакет CALL PROCEEDING, в котором указывает номер устанавливаемого коммутируемого виртуального соединения DLCI.
Коммутатор пакетов А ------------------- CALL PROCEEDING -----------------------> DTE A
Если КП А располагает ресурсами, запрашиваемыми для устанавливаемого коммутируемого виртуального соединения, то он передаёт пакет данных SETUP следующему КП. В случае, если все КП на пути следования пакета данных SETUP могут обеспечить требуемое качество обслуживания кадров данных, то этот пакет в конечном итоге поступает в терминальное оборудование пользователя DTE В. В процессе прохождения пакета данных SETUP через сеть Frame Relay на сетевом уровне каждого из КП, через который проходит пакет данных, осуществляется настройка значений идентификаторов устанавливаемого коммутируемого виртуального соединения, используемых в дальнейшем для коммутации кадров данных LAPF.
Получив пакет данных SETUP, терминальное оборудование пользователя DTE В отсылает в DTE А пакет данных CONNECT, подтверждающий факт установления коммутируемого виртуального соединения.
DTE В ------------------- CONNECT --------------------> DTE A
После получения пакета данных CONNECT терминальное оборудование пользователя DTE А завершает процедуру установления коммутируемого виртуального соединения путём отправки в терминальное оборудование DTE В пакета данных CONNECT ACKNOWLEDGE.
DTE --------------- ACONNECT ACKNOWLEDGE ----------------> DTE В
Далее процедура установления коммутируемого виртуального соединения завершается и терминальное оборудование пользователей DTE А и DTE В могут совершать обмен данными по установленному соединению.
Для закрытия коммутируемого виртуального соединения терминальное оборудование пользователя DTE А или DTE В должно отправить в КП, к которому оно подключено, пакет данных DISCONNECT. После этого все КП, которые составляют данное закрываемое коммутируемое виртуальное соединение, освобождают свои ресурсы и оборудование DTE А и DTE В получают от соответствующих КП пакет данных RELEASE. Получив пакет данных RELEASE, терминальное оборудование каждого из пользователей должно подтвердить закрытие коммутируемого виртуального соединения путём отправки в КП А и КП В пакета данных RELEASE COMPLETE. На этом процедура закрытия коммутируемого виртуального соединения завершается.
Воздействия нарушителя на сетевом уровне стека протоколов сети Frame Relay
ВН, реализуемые на сетевом уровне стека сети Frame Relay, направлены на активизацию уязвимостей протокола Q.933. Для реализации воздействий этого типа нарушителю необходимо получить доступ к информационной сфере сети Frame Relay и иметь возможность формировать и получать доступ к кадрам данных LAPD, в поля данных которых вкладываются пакеты данных Q.933. Примеры ВН, реализуемых на сетевом уровне стека протоколов сети Frame Relay и приводящих к блокированию процесса передачи сообщений пользователя, приведены ниже.
Воздействия нарушителя, направленные на блокирование процесса передачи сообщений пользователя при помощи пакетов данных RELEASE
Нарушитель может блокировать процесс передачи сообщений пользователя по коммутируемому виртуальному соединению путём формирования серии пакетов данных RELEASE, которые применяются для закрытия соединения. После получения такой последовательности пакетов данных КП или терминальное оборудование пользователей закрывают существующее коммутируемое виртуальное соединение. Последствием периодического формирования нарушителем таких воздействий является блокирование дальнейшего процесса установления коммутируемого виртуального соединения, приводящее к блокированию процесса передачи сообщений пользователя по этому соединению.
Воздействия нарушителя, направленные на блокирование доступа к ЦУС по коммутируемому виртуальному соединению
Нарушитель может блокировать доступ к ЦУС путём формирования серии запросов на создание коммутируемых виртуальных соединений при помощи пакетов данных SETUP. При этом в качестве адресов отправителя нарушитель указывает в пакетах данных SETUP различные адреса терминального оборудования пользователей сети Frame Relay. Поскольку стандартная длина идентификатора виртуального соединения составляет 10 бит, то максимальное количество коммутируемых виртуальных соединений, которые можно установить с ЦУС, составляет 1024. Таким образом, после того как число запросов, отосланных в ЦУС, превысит число 1024, к ЦУС больше нельзя будет получить доступ при помощи нового коммутируемого виртуального соединения.
Воздействия нарушителя, направленные на активизацию «закладок»
«Закладки», внедрённые в информационную сферу сети Frame Relay, могут быть активизированы путём формирования специальных команд, вложенных в пакеты данных. Команды активизации могут быть заложены нарушителем в любой из типов пакетов данных, используемых на сетевом уровне. Последствия активизации «закладок» при помощи команд, содержащихся в пакетах данных, аналогичны последствиям активизации «закладок» посредством команд, вложенных в кадры данных LAPF (см. выше).
Примеры последствий ВН, связанных с периодическим нарушением целостности передаваемых пакетов данных и приводящих к блокированию процесса передачи сообщений пользователя, приведены ниже.
Воздействия нарушителя, реализуемые путём модификации адресов отправителя и получателя пакетов данных
Передача пакетов данных SETUP, CALL PROCEEDING, CONNECT ACKNOWLEDGE и CONNECT осуществляется в соответствии с адресами, содержащимися в полях этих пакетов. Искажение нарушителем значений адресов отправителя и получателя хотя бы одного из перечисленных пакетов данных приведёт к невозможности установления коммутируемого виртуального соединения между терминальным оборудованием пользователей. Для того чтобы факт несанкционированного искажения пакета данных не был обнаружен в КП сети Frame Relay, нарушитель должен заново вычислить и записать контрольную сумму кадра данных LAPF, содержащего пакет данных. Последствием блокирования процесса установления коммутируемого виртуального соединения является блокирование процесса передачи по этому соединению сообщений пользователя.
Воздействия нарушителя, реализуемые путём удаления пакетов данных
Блокирование процесса передачи сообщений пользователя может осуществляться нарушителем путём блокирования процесса установления коммутируемого виртуального соединения между терминальным оборудованием пользователей посредством удаления хотя бы одного пакета данных, необходимого для установления коммутируемого виртуального соединения. В число таких пакетов данных входят пакеты SETUP, CALL PROCEEDING, CONNECT и CONNECT ACKNOWLEDGE.