Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
лекции 2 (от него).docx
Скачиваний:
22
Добавлен:
21.11.2018
Размер:
3.38 Mб
Скачать

Основные уязвимости ГСПД

Проведённый анализ уязвимостей технологий Х.25, Frame Relay, ATM и TCP/IP показывает, что ни одна из этих технологий не имеет встроенных средств защиты от преднамеренных ВН. К основным уязвимостям рассмотренных выше технологий относятся:

  • отсутствие средств защиты от внесения в информационную сферу ГСПД уязвимостей;

  • отсутствие средств контроля целостности передаваемых сообщений в условиях ВН;

  • отсутствие средств защиты от активизации нарушителем закладок, внедрённых в информационную сферу ГСПД; отсутствие средств обеспечения конфиденциальности информации управления;

  • отсутствие средств защиты от НСД к услугам связи ГСПД; отсутствие средств защиты от НСД к информационным ресурсам и инфраструктурам узлов ГСПД и ЦУС;

  • отсутствие средств защиты от несанкционированной модификации и уничтожения информационных ресурсов и инфраструктур узлов ГСПД и ЦУС;

  • отсутствие средств защиты от нарушения работоспособности узлов ГСПД и ЦУС. Наличие большого числа уязвимостей в технологиях передачи данных ГСПД говорит о необходимости оснащения сетей, построенных на основе этих технологий, дополнительными средствами защиты от ВН.

Алгоритмы обслуживания очередей

Качество обслуживания ГСПД

В общем случае качество обслуживания (Quality of Service, QoS) ГСПД означает предоставление приложениям или пользователям ГСПД предсказуемого сервиса доставки данных, называемого также транспортным сервисом.

Предсказуемость сервиса доставки данных означает, что оператор сети может качественно оценить вероятность того, что сеть будет передавать определенный поток данных между двумя конкретными узлами в соответствии с потребностями приложения или пользователя.

Сегодня по отношению к технологиям процесса передачи данных в сетях IP, ATM и Frame Relay существует ряд технологий, способных предоставить дифференцированное качество обслуживания, базирующееся на том или другом методе классификации требований к качеству обслуживания. В качестве основных критериев классификации качества обслуживания в настоящее время используются три характеристики процесса передачи данных: относительная предсказуемость скорости передачи данных, чувствительность к задержкам пользовательских пакетов данных и чувствительность к потерям и искажениям пакетов данных. Указанным критериям классификации QoS соответствуют следующие группы параметров:

  • параметры пропускной способности: средняя, максимальная и минимальная скорости передачи данных;

  • параметры задержек: средняя и максимальная величины задержек, а также среднее и максимальное значения отклонений интервалов между пакетами данных в получаемом трафике по сравнению с отправленным;

  • параметры надежности передачи пакетов данных: процент потерянных и процент искаженных пакетов данных.

Значения рассмотренных выше параметров определяются заранее при помощи специального соглашения об уровне качества предоставляемых услуг (Service Level Agreement, SLA), которое заключается между пользователем ГСПД и оператором связи или сервис-провайдером ГСПД. Все остальные пользователи ГСПД, которые не будут иметь такого соглашения, будут использовать сервис «с наибольшим старанием» (best effort service), который подразумевает, что провайдер услуг ГСПД не даёт никаких гарантий на «качество» соединения с ГСПД и не несёт никакой ответственности за неожиданное изменение параметров передачи данных в худшую сторону.

Технология обеспечения качества обслуживания QoS реализуется в каждом из узлов ГСПД (коммутаторах, маршрутизаторах и т.д.). В основе средств поддержки QoS лежат алгоритмы обслуживания очередей, возникающих в узлах ГСПД при поступлении сообщений. Процесс формирования очереди может иметь место лишь в случае, если скорость поступления сообщений в узел ГСПД превышает скорость, с которой сообщения могут быть переданы узлом дальше по маршруту их следования. Алгоритм такого формирования предусматривает помещение всех сообщений в специальный буфер, в котором и создаётся очередь. Необходимо отметить, что в настоящее время на практике используется несколько разновидностей алгоритмов обработки очередей из сообщений. Рассмотрим каждый из них более подробно.

Алгоритм FIFO.

Алгоритм FIFO (First In - First Out) представляет собой стандартный метод обработки очередей, который поддерживается программно-аппаратным обеспечением большинства узлов ГСПД. Этот алгоритм функционирует по следующему принципу: «Первым пришёл - первым и обслужен». При его использовании все поступающие сообщения обслуживаются в порядке поступления без специальной обработки. Схема работы алгоритма FIFO отображена на рис. 12.1.

Рисунок 12.1 - Схема работы алгоритма FIFO

Основным преимуществом данного алгоритма является простота его конфигурации и реализации, а также отсутствие необходимости использования больших вычислительных ресурсов. К недостаткам же алгоритма FIFO можно отнести отсутствие возможности дифференцировать сообщения, что приводит к невозможности обеспечить заданные уровни качества обслуживания сетевого трафика разных пользователей ГСПД. Вследствие этого недостатка были разработаны другие алгоритмы обслуживания очередей, предусматривающие возможность распределения полосы пропускания в зависимости от типа поступающих сообщений.

Алгоритм приоритетного обслуживания.

Алгоритм приоритетного обслуживания очередей (Priority Queuing, PQ) подразумевает разделение всего сетевого трафика на классы и присвоение каждому классу определённого приоритета. Под приоритетом понимается классификационный признак (например, число, тип протокола, тип входного интерфейса, по которому поступает информация и т.д.), в зависимости от значимости которого сетевой трафик будет обрабатываться с более высоким или низким качеством. Приоритеты могут назначаться как в самом узле ГСПД, так и отправителем информации. Таким образом, при поступлении в узел ГСПД весь сетевой трафик разбивается на несколько очередей с разными приоритетами. При этом обслуживание менее приоритетных очередей начинается только после того, как будут освобождены все очереди с более высокими приоритетами. Схематично алгоритм приоритетного обслуживания изображён на рис. 12.2.

Отображённая на рис. 12.2 схема работы алгоритма приоритетного обслуживания показывает, что весь входной трафик, поступающий в узел ГСПД, разделяется на три очереди с низким, средним и высоким приоритетом. Первоначально обрабатываются сообщения, находящиеся в третьей очереди, имеющей высокий приоритет, после чего узел ГСПД переходит к обслуживанию второй очереди. Только после этого начинается обработка сообщений первой очереди.

Рисунок 12.2 - Схема работы алгоритма приоритетного обслуживания

Основным преимуществом данного алгоритма является возможность приоритезации сетевого трафика по определённым классификационным признакам. Однако необходимо подчеркнуть, что данный алгоритм предоставляет высокоприоритетному трафику абсолютное преимущество. Отрицательной же стороной здесь является то, что в условиях высокой интенсивности трафика очереди с низкими приоритетами могут остаться вообще не обработанными. Таким образом, недостатком алгоритма приоритетного обслуживания является невозможность предсказать уровень качества обслуживания очередей с более низкими приоритетами. Именно поэтому этот алгоритм был назван неравноправным (unfair), поскольку при его использовании одни потоки доминируют над другими. В связи с этим был предложен новый алгоритм взвешенного равноправного обслуживания очередей. Остановимся на нём более подробно.

Алгоритм взвешенного равноправного обслуживания.

Алгоритм взвешенного равноправного обслуживания (Weighted Fairy Queuing, WFQ) представляет собой адаптивную схему, согласно которой все типы трафика должны получать определённый процент пропускной способности. Этот процент полосы пропускания зависит от весового коэффициента, присваиваемого каждому из классов трафика. Рассмотрим алгоритм взвешенного равноправного обслуживания на конкретном примере. Пусть весь входной трафик, поступающий в узел ГСПД, разделяется на четыре очереди, каждой из которых присваиваются следующие весовые коэффициенты: 0.2, 0.2, 0.2 и 0.4. Это означает, что при перегрузке первая очередь узла ГСПД получит 20% полосы пропускания, вторая - 20%, третья - 20%, а четвёртая - 40%. Такое процентное разделение общей пропускной способности узла достигается за счёт циклической обработки очередей, при этом в каждом цикле из каждой очереди извлекается тот объём информации, который соответствует весу данной очереди. Схематически алгоритм взвешенного равноправного обслуживания отображён на рис. 12.3.

Необходимо также отметить, что алгоритм присвоения весовых коэффициентов зависит от конкретной схемы реализации процесса передачи данных.

Рисунок 12.3 - Схема работы алгоритма взвешенного равноправного обслуживания

Алгоритм обслуживания очередей на базе классов.

При использовании алгоритма обслуживания очередей на базе классов весь входной сетевой трафик разбивается на несколько очередей, каждая из которых ассоциируется с определённым классом обслуживания. При этом каждый класс может быть реализован при помощи различных алгоритмов, таких как алгоритм FIFO, алгоритм приоритетного обслуживания и алгоритм взвешенного равноправного обслуживания.

Весьма важно будет подчеркнуть, что методы обеспечения качества обслуживания по-разному реализуются в различных сетевых технологиях. Поэтому целесообразно рассмотреть особенности реализации механизмов QoS в глобальных ГСПД, построенных на базе технологий Frame Relay, ATM и TCP/IP.

Технология обеспечения качества обслуживания в IP-сетях

Возможность обеспечения качества обслуживания в IP-сетях была предусмотрена при стандартизации четвёртой версии протокола IP. Стандарт RFC 791, описывающий IP-протокол, опубликованный в сентябре 1981 г., содержал описание однобайтового поля заголовка IP-пакета «Тип сервиса» (Type of Service, ToS), значения которого давали возможность обеспечения различного качества обслуживания передаваемого пакета. Первые три бита этого поля заголовка определяли восемь уровней приоритета пакета данных, а биты с номерами 3, 4 и 5 - различные классы качества обслуживания, описание которых приведено в табл. 13.1.

Биты с номерами 6 и 7 были зарезервированы для дальнейшего использования. В июле 1992 г. вышел новый стандарт RFC 1349, в котором первые три бита поля ToS оставались неизменными, а вместо трёх битов классов качества обслуживания стали использоваться четыре. Тем не менее разработанные к тому времени механизмы обеспечения качества обслуживания не получили широкого распространения. Этот факт вынудил рабочую группу по проектированию Интернет-технологий IETF (Internet Engineering Task Force) инициировать новые исследования по обеспечению качества услуг, предоставляемых в IP-сетях.

Таблица 13.1. Классы качества обслуживания

Номер бита

Значение

Описание

3

0

Нормальный уровень задержки передаваемых пакетов данных

1

Низкий уровень задержки передаваемых пакетов данных

4

0

Нормальный уровень пропускной способности

1

Низкий уровень пропускной способности

5

0

Нормальный уровень надёжности передачи пакетов данных

1

Низкий уровень надёжности передачи пакетов данных

Результатом этих исследований явилась разработка трёх новых технологий обеспечения качества обслуживания:

  • технология интегрированных услуг (Integrated Services, IntServ) или протокол резервирования ресурсов RSVP (Resource ReSerVation Protocol);

  • технология дифференцированных услуг (Differentiated Services, DiffServ);

  • технология мультипротокольной коммутации меток (Multiprotocol Label Switching, MPLS).

Технология интегрированных услуг.

Технология интегрированных услуг базируется на использовании протокола резервирования ресурсов RSVP, который был впервые описан в стандарте RFC 2205, опубликованном в сентябре 1997 г. Протокол RSVP относится к уровню межсетевого взаимодействия стека протоколов TCP/IP. Информационной единицей этого протокола является пакет данных. Алгоритм работы протокола RSVP можно представить в виде следующей последовательности действий.

  1. Отправитель информации посылает адресату специальный пакет данных RSVP, содержащий команду PATH, в котором он указывает параметры качества обслуживания (скорость передачи данных и величину задержки). Такие параметры входят в так называемую спецификацию сетевого трафика (Traffic specification, TSpec). Каждый маршрутизатор, в котором реализована поддержка протокола RSVP, после получения команды PATH, фиксирует адрес маршрутизатора, от которого он получил эту команду, и передаёт его следующему.

  2. После получения пакета данных с командой PATH адресат направляет получателю новый пакет данных, содержащий команду RESV, предназначенный для резервирования ресурсов, необходимых для обеспечения требуемого качества обслуживания передаваемых данных. Формируемый пакет данных, помимо спецификации трафика TSpec, включает в себя спецификацию запроса (Request Specification, RSpec) и спецификацию фильтра (Filter Specification). В спецификации запроса отправитель определяет свои параметры качества обслуживания, а в спецификации фильтра - характеристики типов пакетов данных, для которых необходимо обеспечить качество обслуживания.

  3. После того как маршрутизаторы, в которых реализован протокол RSVP, получают пакет данных RSVP с командой RESV, они проверяют, имеется ли у них достаточное количество ресурсов для поддержания требуемого уровня качества обслуживания, а также проверяют, имеет ли пользователь, отправивший пакет данных, право на резервирование этих ресурсов. Для этого в маршрутизаторах используются две службы: служба контроля ресурсов (admission control) и служба управления политикой безопасности (policy control). В случае, если в результате одной из проверок будет выявлена нехватка ресурсов маршрутизатора или невозможность предоставления доступа к его ресурсам, то маршрутизатор отсылает назад терминальному оборудованию пользователя сообщение об ошибке. В противном случае маршрутизатор пересылает пакет данных RSVP следующему маршрутизатору.

  4. После того, как последний маршрутизатор получает пакет данных RSVP с командой RESV, он отсылает подтверждающий пакет данных RSVP пользователю, который инициировал процедуру определения значений параметров качества обслуживания при помощи протокола RSVP.

  5. После выполнения рассмотренных выше операций пользователи могут начать обмениваться данными с установленным уровнем качества обслуживания.

Схематично алгоритм работы протокола RSVP изображён на рисунке 13.1.

Основные параметры, входящие в спецификацию трафика TSpec и в спецификацию запроса, включают в себя:

  • среднюю скорость передачи пакетов данных между отправителем и получателем;

  • допустимое превышение скорости передачи пакетов данных;

  • максимальная и минимальная длина пакетов данных, пересылаемых между отправителем и получателем.

Технология обеспечения качества обслуживания в сетях Frame Relay

Технология сетей Frame Relay была разработана в 1990-х годах в качестве замены устаревшей сетевой архитектуры Х.25. Сети Frame Relay, также как и ATM-сети, ориентированы на создание виртуальных каналов передачи информации. Frame Relay, в отличие от IP-сетей, имеют встроенные средства обеспечения качества обслуживания сетевого трафика. Параметры качества услуг, предоставляемые сетью, оговариваются на этапе Установления соединения между пользователем и ГСПД. Качество обслуживания в сетях Frame Relay базируется на трёх основных параметрах,

описание которых приведено в табл. 13.5.

Таблица 13.5. Параметры качества обслуживания сетей Frame Relay

Наименование параметра

Описание параметра

CIR (Committed Information Rate)

Скорость передачи данных пользователя в ГСПД.

Bc

(Committed Burst Size)

Максимальное количество байт, которое может быть передано пользователем в ГСПД за единицу времени Т.

Be

(Excess Burst Size)

Допустимое превышение объёма информации, которое может быть передано пользователем в ГСПД за единицу времени Т.

В случае, если объём переданных пользователем данных не превышает величины Вс, то кадры доходят до адресата не претерпевая никаких изменений. В случае же, если общее количество переданных байт превысило величину Вс+Ве, то кадр пользователя отбрасывается. Если же общий их объём находится в диапазоне от Вс до Вс+Ве, то в кадрах устанавливается специальный флаг DE (Discard Eligibility). Установка этого флага в единицу означает, что при возникновении перегрузок в сети Frame Relay вероятность удаления этого кадра достаточно велика и сеть не несёт ответственности за его корректную доставку. Такой механизм позволяет предотвратить возникновение перегрузок в ГСПД и обеспечить стабильную скорость передачи кадров пользователей сети.

В отличие от сетей с асинхронной передачей информации, сети Frame Relay не могут обеспечить гарантии по задержкам, возникающим в процессе передачи данных, а также не могут контролировать долю потерянных или искажённых кадров.

Рисунок 13.1 – Схема установления заданных значений параметров качества

обслуживания посредством протокола RSVP

Необходимо также отметить, что команды, содержащиеся в пакетах данных, сформированных при помощи протокола RSVP, могут передаваться через маршрутизаторы, в которых не реализована поддержка этого протокола. В этом случае при прохождении пакетов данных через такие маршрутизаторы уровень качества предоставляемых услуг на этом сегменте ГСПД остаётся непредсказуемым.

Недостатками рассмотренного протокола RSVP являются сложность в его реализации и высокие требования к программно-аппаратным ресурсам маршрутизаторов, реализующим этот протокол. Такие требования вызваны тем, что маршрутизатор должен одновременно хранить информацию обо всех соединениях, установленных при помощи протокола RSVP. Для обеспечения качества обслуживания на участках IP-сети с высокой интенсивностью сетевого трафика была разработана технология дифференцированных услуг.

Технология дифференцированных услуг.

Технология дифференцированных услуг предоставляет более простой и эффективный метод приоритезации сетевого трафика и обеспечения качества обслуживания. В отличие от протокола RSVP технология дифференцированных услуг не предполагает предварительного резервирования ресурсов в маршрутизаторах для пакетов данных, передаваемых между отправителем и получателем. Вместо этого технология дифференцирует сетевой трафик на определённое число заранее заданных классов, в соответствии с которыми и осуществляется обработка пакетов данных. Процедура разделения трафика на классы осуществляется на основе кодов дифференцированных услуг (Differentiated Services Codepoint, DSCP), содержащихся в однобайтовом поле «Тип сервиса» заголовка IP-пакета. Кодовые значения дифференцированных услуг, в свою очередь, делятся на коды селектора классов обслуживания и на коды приоритета пакета данных. Структура поля «Тип сервиса» изображена на рис. 13.2.

Рисунок 13.2 - Структура поля «Тип сервиса»

В настоящее время в рамках технологии дифференцированных услуг существует две службы обеспечения качества обслуживания, характеристики которых приведены ниже.

1. Служба высокоприоритетной передачи данных (Expedited Forwarding). Данная служба предполагает обеспечение наиболее качественных характеристик передачи данных в ГСПД, таких как минимальная задержка при передаче данных, обеспечение наибольшей скорости передачи и т.д. Для службы высокоприоритетной передачи данных код селектора класса должен иметь значение 101, а код приоритета должен быть равен ПО. При помощи такой службы могут быть реализованы так называемые «виртуальные выделенные каналы связи».

2. Служба гарантированной передачи данных (Assured Forwarding), которая предусматривает наличие различных уровней качества обслуживания в ГСПД. Для этого используется четыре класса сетевого трафика, каждый из которых может иметь три уровня приоритета: низкий, средний и высокий. Полный перечень кодовых значений, соответствующих различным классам и уровням приоритета, приведён в табл. 13.2.

Таблица 13.2. Список кодовых значений службы гарантированной передачи данных

Класс 1

Класс 2

Класс 3

Класс 4

Низкий уровень приоритета

001010

010010

011010

100010

Средний уровень приоритета

001100

010100

011100

100100

Высокий уровень приоритета

001110

010110

011110

100110

Как правило, обе рассмотренные выше службы обеспечения качества обслуживания используются совместно. Для этого большая часть пропускной способности каналов связи ГСПД выделяется под службу высокоприоритетной передачи данных, а оставшиеся ресурсы распределяются между различными классами трафика службы гарантированной передачи данных. Необходимо также отметить, что при передаче в ГСПД трафика, не принадлежащего ни к одной из выше названных служб и не требующего специальной обработки, код дифференцированных услуг для него должен быть равен нулю.

Основным преимуществом рассмотренной выше технологии дифференцированных услуг является её простота реализации. Так, при использовании протокола резервирования ресурсов RSVP маршрутизаторы должны хранить большое число параметров качества обслуживания для различных соединений, установленных при помощи протокола RSVP, расходуя при этом большое количество программно-аппаратных ресурсов. При реализации же технологии дифференцированных услуг маршрутизаторы хранят только параметры обслуживания фиксированного количества типов сетевого трафика, которое определяется кодами дифференцированных услуг. Поэтому технология дифференцированных услуг в основном применяется на магистральных участках IP-сети с высокой интенсивностью трафика, где большое количество потоков данных не позволяет эффективно использовать протокол RSVP. Помимо рассмотренной технологии дифференцированных услуг, на участках ГСПД с высокой интенсивностью сетевого трафика может также использоваться технология мульти-протокольной коммутация меток, описание которой приведено ниже.

Технология мультипротокольной коммутации меток.

Технология мультипротокольной коммутации меток (Multiprotocol Label Switch, MPLS) была разработана рабочей группой IETF на базе технологий IP Switching, ARIS и Cell Switch Router компаний Cisco Systems, IBM и Toshiba соответственно. ГСПД, построенная на базе технологии MPLS, состоит из маршрутизаторов коммутации меток (Label Switch Router, LSR-маршрутизаторы), выполняющих различные операции с так называемыми «числовыми метками», присоединёнными к передаваемым IP-пакетам. При поступлении IP-пакета в первый LSR-маршрутизатор, к пакету данных, к нему добавляется 20-битовая числовая метка, после чего IP-пакет передаётся следующему LSR-маршрутизатору. Значение метки может формироваться на базе IP-адресов, содержащихся в поступающих IP-пакетах, или же на базе любой другой информации. После того, как на очередном шаге LSR-маршрутизатор получит IP-пакет с меткой, он использует значение метки для того, чтобы по специальной таблице определить адрес следующего LSR-маршрутизатора, необходимый для дальнейшей передачи IP-пакета, а также новое значение метки. Такой механизм передачи IP-пакетов значительно упрощает процедуру обработки пакетов данных в маршрутизаторах, поскольку маршрутизация выполняется не на базе 32-битовых IP-адресов, а на основе 20-битовых значений меток. IP-пакеты, передаваемые по одному маршруту, могут быть объединены в логические группы, называемые классами эквивалентной пересылки (Forwarding Equivalence Class, FEC). Этот механизм также позволяет снизить затраты ресурсов маршрутизаторов на обработку передаваемых IP-пакетов, поскольку маршрутизаторам для определения дальнейшего маршрута передачи всех пакетов всего определённого класса эквивалентной пересылки достаточно будет лишь проанализировать первый пакет, входящий в этот класс. Маршрут, по которому передаются IP-пакеты LSR-маршрутизаторами, называется маршрутом коммутируемых меток (Label Switched Path, LSP). Метки, назначаемые LSR-маршрутизаторами, могут иметь сложную стекообразную структуру, что позволяет создавать маршруты передачи пакетов внутри маршрутов. Структура содержимого метки отражена на рис. 13.3.

Значение метки

(20 бит)

Зарезервировано для дальнейшего использования (3 бита)

Признак завершения стека меток

(1 бит)

Время жизни метки

(8 бит)

Рисунок 13.3 - Структура содержимого метки

Процедура распределения значений меток среди LSR-маршрутизаторов реализуется при помощи протокола распределения меток (Label Distribution Protocol, LDP), который выступает в роли протокола маршрутизации.

Как правило, рассмотренные выше технологии обеспечения качества обслуживания в IP-сетях используются не каждая в отдельности, а в комбинированном режиме. Так, технология мультипротокольной коммутации меток MPLS и технология дифференцированных услуг обычно применяются на участках ГСПД с высокой интенсивностью сетевого трафика, в то время как протокол резервирования ресурсов RSVP используется в сегментах ГСПД с невысоким уровнем нагрузки.

Рассмотренные выше основные методы и средства обеспечения качества услуг, предоставляемых в IP-сетях, позволяют перейти к описанию технологий, выполняющих аналогичные функции в АТМ-сетях.

Технология обеспечения качества обслуживания в АТМ-сетях

В процессе разработки технологии ATM (Asynchronous Transfer Mode) в неё были заложены определённые возможности по обеспечению качества обслуживания сетевого трафика. Передача данных в АТМ-сетях осуществляется по коммутируемым или постоянным виртуальным соединениям. Определение значений параметров качества обслуживания передаваемых данных осуществляется на этапе установления виртуальных соединений. Все данные, передаваемые в ATM-сети, разделены на пять различных классов, описание которых приведено в табл. 13.3.

Для каждого из рассмотренных классов трафика устанавливается набор параметров, определяющих конкретные качественные характеристики передачи данных в ATM-сети. Описание таких параметров приведено в табл. 13.4.

Таблица 13.3 - Классы трафика АТМ-сети

Класс трафика

Описание

А

Трафик, относящийся к данному классу, характеризуется постоянной битовой скоростью передачи (Constant Bit Rate, CBR), занимает небольшую часть пропускной способности каналов связи ГСПД, обладает чувствительностью к задержкам и неустойчив к потерям ячеек при передаче. Примером трафика класса А служит передача аудиоданных

B

Данные класса В характеризуются переменной битовой скоростью передачи (Variable Bit Rate, VBR) и предназначены для использования в приложениях, работающих в реальном режиме времени. Для трафика этого класса задержка при передаче информации должна быть минимальной. Примером трафика класса В служит передача сжатой видеоинформации

C

Трафик класса С также характеризуется переменной битовой скоростью передачи VBR, но предназначен для приложений, не работающих в реальном времени. В отличие от данных класса В, для данного трафика значение задержки при передаче информации не является критическим. Примером трафика класса С может служить воспроизведение видеофайла

D

Трафик класса D разделяется на два подкласса: подкласс неопределённой битовой скорости передачи (Unspecified Bit Rate, UBR) и подкласс доступной скорости передачи (Available Bit Rate, ABR). Для трафика подкласса UBR сеть ATM не даёт никаких гарантий по скорости и целостности доставки данных. Подкласс ABR аналогичен UBR, за исключением того, что для трафика этого класса предусмотрены средства контроля целостности передаваемых данных

Таблица 13.4 - Параметры трафика АТМ-сети

Наименование параметра

Описание параметра

CLR (Cell Loss Ratio)

Определяет процент потери данных в процессе передачи

CTD (Cell Transfer Delay)

Фиксирует временную задержку в передаче данных

CDV (Cell Delay Variation)

Определяет допустимые вариации значений задержек, возникших в процессе данных

PCR (Peak Cell Rate)

Устанавливает максимальную или пиковую скорость передачи данных

SCR (Sustained Cell Rate)

Определяет усреднённую скорость данных

MCR (Minimum Cell Rate)

Определяет минимальную скорость передачи данных

Цели и задачи обеспечения информационной безопасности ГСПД

Под обеспечением качества обслуживания ГСПД в условиях возможных ВН на ее информационную сферу ([QoS]ВН) понимается обеспечение средствами ГСПД гарантируемой совокупности измеряемых и регулируемых качественных характеристик функционирования ГСПД, характеризующей заданный (согласованный) уровень информационной безопасности ГСПД.

Предназначенные для работы в основном в условиях случайных отказов и сбоев классические технологии QoS, как показали приведенные нами исследования, не обеспечивают гарантированных качественных характеристик процесса передачи данных пользователя в условиях преднамеренных воздействий на информационную сферу ГСПД, а следовательно, должны быть трансформированы (или дополнены) новыми технологиями обеспечения качества обслуживания и защиты процесса передачи данных в условиях информационных ВН на информационную сферу ГСПД.

В качестве одной из таких технологий часто называют технологию «виртуальной частной сети» (Virtual Private Network, VPN), под которой понимают достаточно широкий круг технологий, обеспечивающих безопасную и качественную связь в пределах выделенной группы (защищаемой ассоциации) пользователей ГСПД. В большом числе работ к основным задачам технологии VPN относят обеспечение в ГСПД гарантированного качества обслуживания пользовательских данных, а также защиту их от возможного несанкционированного доступа или разрушения.

На рис. 14.1 представлено два варианта организации VPN, в первом из которых управление функциями обеспечения защиты VPN, связанными в основном, с формированием, распределением и хранением ключей шифрования, реализацией технологии защиты и принятия решения в той или иной ситуации, берет на себя сам пользователь или администратор безопасности ЛВС, а во втором - эти функции берет на себя сервис-провайдер ГСПД.

Рисунок 14.1 - Модели организации защиты VPN

Совершенно очевидно, что в этих условиях задачу поддержания гарантируемого качества обслуживания в СПД эти продукты не решают и не могут решить, ибо поддерживать требуемое качество обслуживания ГСПД для отдельных протоколов передачи пользовательских данных могут только операторы ГСПД. Имеющиеся же на отечественном рынке VPN продукты обеспечивают лишь защиту информации пользователей, содержащейся в переданных через ГСПД данных, от ее утечки и контроль верности переданных через ГСПД пакетов данных.

Достижение целей обеспечения ИБ ГСПД требует решения ряда задач (табл. 14.1) по созданию и внедрению в ГСПД средств защиты, объединенных под общим управлением Центра управления безопасностью (ЦУБ) ГСПД в систему обеспечения информационной безопасности (СОИБ), ориентированную на следующие направления в организации защиты информационной сферы ГСПД (рис. 14.2.):

  • осуществление действий, направленных на предотвращение ВН (первый рубеж защиты);

  • осуществление действий по обнаружению последствий от «прорвавшихся» через первый рубеж защиты непредотвращенных ВН для принятия мер по локализации места (ВН) и ликвидации наиболее опасных последствий ВН (второй рубеж защиты).

Рисунок 14.2 – Модель процесса обеспечения информационной безопасности ГСПД

Таблица 14.1 – Задачи обеспечения информационной безопасности ГСПД

1. Предотвращение ВН

2. Обнаружение

последствий от

непредотвращенных ВН

3. Локализация места ВН и восстановление нарушенного

роцесса

функционирования

1.1. На технологическом этапе

1.2. На этапе эксплуатации

1.1.1. Внедрение безопасных технологий в производство и ввод в эксплуатацию аппаратно-программных средств связи ГСПД

1.1.2. Проведение спец работ при внедрении в эксплуатацию в ГСПД зарубежных аппаратно-программных средств связи

1.1.3. Тестирование механизмов безопасности и верификация описания архитектуры ГСПД на соответствие политики безопасности ГСПД

1.1.4. Разработка документации, отражающей политику безопасности ГСПД

1.2.1. Защита от НСД к информационной сфере ГСПД по различным каналам доступа

1.2.2. Обнаружение и ликвидация атак нарушителя на информационную сферу ГСПД

1.2.3. Защита от атак нарушителя, направленных на активизацию закладок в ГСПД

1.2.4. Антивирусная защита информационной сферы ГСПД

1.2.5. Защита информации информационной сферы ГСПД от возможности ее несанкционированного получения нарушителем

1.2.6. Выявление тайных каналов доступа и передачи информации, например от «троянского коня»

2.1. Мониторинг сети

2.2. Контроль качественных характеристик процессов функционирования ГСПД и обнаружение последствий ВН

2.3. Контроль обеспечиваемых характеристик безопасности информации системы управления ГСПД

2.4. Контроль характеристик функционирования и безопасности комплекса средств защиты ГСПД

3.1. Разработка ситуационных планов дествий администратор безопасности в условиях возможных ВН

3.2. Сбор информации и проведение работ по локализации места ВН

3.3. Создание и поддержание необходимого резерва технических средств и каналов связи

3.4. Создание и поддержание в горячем резерве «надежного канала» передачи информации

3.5. Восстановление нарушенных характеристик процесса функционирования ГСПД, в частности, процесса передачи данных пользователя

Таким образом, наряду с задачей предотвращения ВН, свойственной проблеме защиты информации от НСД, должное место в решении проблемы обеспечения ИБ ГСПД должны занять:

  • организация в процессе функционирования ГСПД контроля интегральных (отображающих многие возможные непредотвращенные последствия ВН на информационную сферу ГСПД) качественных характеристик процесса передачи данных пользователей, например таких характеристик качества передачи данных, как целостность и подлинность, и

  • своевременное решение вопросов локализации места ВН и ликвидации последствий ВН (восстановления нарушенного процесса передачи данных).

В целом обеспечение ИБ ГСПД должно достигаться комплексным использованием всей совокупности организационных, технических, программных и криптографических методов защиты информационной сферы ГСПД, а также осуществлением непрерывного встроенного контроля за эффективностью реализованных мер по обеспечению ИБ ГСПД.

Требования по качественному обслуживанию приложений

Выбор параметров качества обслуживания, которые должна обеспечить ГСПД в условиях возможных информационных ВН на ее информационную сферу, зависит от потребностей определенных защищаемых ассоциаций пользователей по отношению к определенным приложениям.

Для того чтобы обеспечить качественное обслуживание всех приложений:

  • ГСПД должна обладать в первую очередь высокой пропускной способностью и возможностью оперативно перераспределять свои ресурсы дифференцированно по пользователям и приложениям в зависимости как от первоначально заданного набора критериев, так и значений текущих параметров качественных характеристик процесса передачи данных, полученных службой мониторинга ГСПД в процессе ее функционирования;

  • администратор безопасности ГСПД должен иметь возможность совместно с оператором ГСПД централизованно воздействовать на распределение ресурсов сети, настраивая параметры политики безопасности, а сетевые устройства совместно со встроенными в их структуру агентами безопасности - автоматически воспринимать правила политики безопасности и согласованно их отрабатывать;

  • СОИБ ГСПД должна контролировать правильность передачи в сети пакетов данных пользователей и системы управления и своевременно реагировать на появление в сети пакетов данных с ошибками;

  • администратор безопасности ГСПД должен своевременно определять факт возможного блокирования процесса передачи данных и оперативно отрабатывать совместно с оператором ГСПД задачу локализации места воздействия нарушителя и ликвидации последствия ВН;

  • ГСПД должна не только безошибочно и надежно передавать полезный трафик своих пользователей, но и не пропускать полностью или частично (в определенной части сети) нежелательный трафик, т.е. выполнять его фильтрацию. Критерии нежелательности трафика устанавливаются как по умолчанию, так и по желанию администратора безопасности ГСПД (например, для отсечения избыточного трафика в целях избежания перегрузок в сети);

  • для дифференцированного обслуживания пользователей ГСПД должна их надежно аутентифицировать, чтобы убедиться, что нужное качество обслуживания достается пользователю или группе пользователей в соответствии с выполняемыми ими служебными обязанностями;

  • решая задачу аутентификации пользователей, сеть одновременно должна решать и задачу защиты своих информационных ресурсов от информационных ВН, возможно содержащихся в передаваемых через сеть пакетах данных любых, даже лояльных (надежных) пользователей. В качестве примера таких ВН следует указать на сообщения (команды), направленные на задействование «закладок», содержащихся в информационной сфере узлов ГСПД, и различные «вирусы»;

  • ГСПД должна гарантировать не только быструю и без потерь доставку пользовательских пакетов к месту назначения, но и при необходимости обеспечить доставку этих пакетов только аутентифицированному пользователю. При этом другие пользователи не должны иметь возможности доступа к этим данным ни по пути следования, ни при хранении их в конечных узлах. Такая защита данных необходима для многих приложений;

  • в основу концепции управления СОИБ ГСПД должен быть положен принцип централизованного/распределенного управления модели «агент-менеджер», который предполагает, что в рамках СОИБ ГСПД управление ИБ осуществляет администратор безопасности (менеджер) СОИБ ГСПД на базе ЦУБ СОИБ ГСПД, а все остальные средства и механизмы защиты службы контроля качества, процесса передачи данных, включающие в свой состав агентов безопасности, должны готовить и выдавать (в том числе и по запросу ЦУБ) соответствующую (определяемую соответствующими требованиями) информацию администратору безопасности СОИБ ГСПД.

Задачи администратора безопасности СОИБ ГСПД и оператора связи

Платформа администрирования администратора безопасности СОИБ ГСПД должна иметь следующие компоненты:

  • средства защищенного распределения ключей шифрования между механизмами защиты СОИБ ГСПД;

  • средства ведения протоколов вхождения пользователей в ГСПД, попыток вхождения и других событий, связанных с ИБ ГСПД;

  • согласованный защищенный интерфейс администратора безопасности с механизмами защиты и агентами безопасности, обеспечивающий идентификацию и аутентификацию администратора безопасности при удаленном доступе;

  • средства контроля основных качественных характеристик процессов функционирования ГСПД;

  • средства распределенного управления механизмами защиты и контроля в ГСПД;

  • средства анализа данных, сосредоточивающихся в средствах распределенного управления и контроля (у агентов безопасности);

  • функции защищенного управления и контроля механизмами защиты и контроля;

  • средства защищенного обмена информацией между администратором и агентами безопасности;

  • средства контроля за соблюдением ИБ и реагирования на возможные нарушения ИБ в системе сервис-провайдера;

  • средства восстановления, обеспечивающие возможность организационного восстановления (на базе заранее предусмотренного резерва аппаратно-программных средств и каналов связи) нарушенного процесса передачи данных пользователя.

Основным методом, обеспечивающим возможность администратору безопасности ГСПД измерять и отслеживать характеристики ИБ ГСПД, является постоянный мониторинг процесса передачи данных с помощью специальных механизмов обнаружения ВН, механизмов обнаружения последствий ВН, механизмов тестирования и др. На основе данных, полученных в результате мониторинга процесса передачи данных, администратор безопасности ГСПД сможет выявить характер ВН (объект воздействия, периодичность ВН, характер последствия ВН, возможное развитие событий и др.) и выработать решение о локализации места ВН и о проведении совместно с оператором ГСПД мероприятий по ликвидации последствий ВН и поддержанию качественных характеристик работы ГСПД, базируясь как на технологии транспортного сервиса, присущей используемой в ГСПД технологии процесса передачи данных, так и на специально введенной в ГСПД технологии, обеспечивающей определенное качество обслуживания в условиях преднамеренных ВН (например, технологии, базирующейся на использовании секретных резервных каналов связи и сегментов сети). ГСПД должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.

Ответственность за создание СОИБ ГСПД, обеспечивающей качество обслуживания [QoS]BН и включающей в качестве элементов СОИБ и механизмы обеспечения QoS в ГСПД, должна быть возложена на оператора связи ГСПД, с возможностью предоставления пользователям (по их запросу) определенных платных услуг ИБ; ответственность за подобный сервис в глобальных сетях связи (сетях, объединяющих несколько сетей передачи данных со своими операторами) должна быть возложена на транснационального оператора связи (оператора, ответственного за взаимодействие определенных сетей связи).

Гарантируемое операторами ГСПД интегральное качество обслуживания пользователя в условиях возможных информационных ВН на информационную сферу ГСПД может быть представлено несколькими уровнями ИБ. Качество обслуживания на соответствующем уровне ИБ и его оплата должны стать теми критериями, которые определят «тягу» пользователей (клиентов) к ГСПД соответствующего оператора связи или сервис-провайдера.

Гарантируемое операторами ГСПД качество обслуживания пользователя в условиях возможных информационных ВН на информационную сферу ГСПД может быть представлено несколькими уровнями ИБ, каждый из которых должен обеспечивать:

  • определенные требования к ИБ, сертифицируемые и контролируемые соответствующими компетентными организациями;

  • определенные качественные характеристики восстановления нарушенного процесса передачи данных, такие, например, как время восстановления прерванного процесса передачи данных, время реакции службы на активные действия «закладок» или на те или иные последствия ВН.

Возможные подходы к решению проблемы обеспечения информационной безопасности процесса передачи данных в гспд

В зависимости от характера разработки ГСПД возможны три конструктивных подхода к решению проблемы обеспечения ИБ процесса передачи данных в ГСПД.

  1. ГСПД создается изначально, в защищенном исполнении. В такой ГСПД уже на стадии проектирования для каждого сервиса (информационной сферы его обеспечивающего) должны предусматриваться (закладываться) определенные защищенные протоколы, интерфейсы, процессы и процедуры, имеющие в своем составе механизмы защиты, объединяемые СОИБ, обеспечивающей требуемые характеристики защищенности сервисов и уменьшающие до приемлемого уровня их уязвимость от воздействий нарушителя (рис. 15.1).

Рисунок 15.1 - Глобальная сеть передачи данных (TCP/IP) с СОИБ типа 1

  1. Защищаемая ГСПД создается путем объединения объектов (маршрутизаторов, центра управления сетью и др.), отдельные из которых уже реализуют свои функции с использованием определенных механизмов защиты, а аппаратно-программное обеспечение других допускает определенные изменения с целью встраивания дополнительных механизмов защиты. В таких ГСПД для обеспечения ИБ процессов функционирования требуется, как правило, введение (встраивание) определенной архитектурной и функциональной избыточности, представленной СОИБ, реализующей возлагаемые на нее функции защиты от возможности активизации нарушителем угроз ИБ ГСПД, согласованные и увязанные с функциями, протоколами и интерфейсами ГСПД.

  1. ГСПД создана и функционирует как целостная система с возможностью, быть может, минимального изменения отдельных параметров процесса функционирования. Для обеспечения защиты отдельных процессов функционирования ГСПД от тех или иных угроз ИБ ГСПД СОИБ в таких условиях реализуется с помощью дополнительно наложенных (на средства ГСПД) аппаратно-программных средств СОИБ (СПБ-А, СПБ-С и СПБ-М), осуществляющих функции защиты без изменения функций, выполняемых существующими объектами (компонентами) ГСПД, но, быть может, с незначительными изменениями некоторых (допускающих изменения) параметров процессов передачи данных (рис. 15.2).

Естественно, что для каждого из рассмотренных подходов возможны различные технологии по реализации тех или иных функций защиты и различные архитектуры СОИБ ГСПД, создаваемые как в интересах всех пользователей ГСПД, так и интересах выделенной группы пользователей.

Рисунок 15.2 - Глобальная сеть передачи данных (TCP/IP) с СОИБ типа 2

Технология ЗАО «РНТ» защиты процесса передачи данных в ГСПД

Наиболее приемлемой отечественной технологией обеспечения защиты процесса передачи данных в условиях возможных воздействий нарушителя на информационную сферу ГСПД, с точки зрения эффективности ее использования при создании СОИБ ГСПД в соответствии с рассмотренными выше подходами, является технология ЗАО «РНТ», направленная на:

  • обеспечение защиты информационной сферы объектов ГСПД от возможных удаленных атак нарушителя по каналам доступа пользователей к ГСПД;

  • обеспечение защиты ГСПД от несанкционированного доступа (по каналам связи) к предоставляемым ГСПД услугам связи;

  • обеспечение контроля верности передаваемых в ГСПД пакетов данных (по отношению к преднамеренно осуществляемой нарушителем (внутри сети) модификации передаваемых пакетов данных);

  • локализацию места (участка сети) воздействия нарушителя;

  • своевременное выявление (определение) на основе собираемой информации о модификации передаваемых данных состояния блокирования процесса передачи данных с принятием соответствующих мер по восстановлению нарушенного процесса передачи данных.

Механизмы защиты и способы обеспечения информационной

безопасности ГСПД

Нижепредставленная технология обеспечения ИБ ГСПД предназначена для использования в ГСПД, оснащенных зарубежными средствами связи, не позволяющими использовать их программное обеспечение для решения дополнительных задач защиты.

В соответствии с указанной технологией защиты задача создания СОИБ ГСПД, использующей технологию передачи данных TCP/IP, состоит в разработке и создании базового сетевого процессора безопасности (СПБ), включающего структуру агента безопасности и реализующего на сетевом уровне эталонной модели ВОС протокол защиты (шифрования/расшифрования, выработки имитационной вставки и ее верификации) пакетов данных с использованием алгоритма криптографического преобразования пакетов данных в соответствии с ГОСТ 28147-89, и средств централизованного управления и ЦУБ, обеспечивающих для определенных взаимодействующих пользователей ГСПД за счет формирования и распределения ключей шифрования и соответствующей настройки СПБ возможность реализации функций отдельных видов СПБ: абонентского СПБ (СПБ-А), сетевого (СПБ-С) и магистрального СПБ (СПБ-М).

Наряду с решаемой СПБ на сетевом уровне ЭМВОС задачей контроля целостности и подлинности передаваемых пакетов данных в любой точке установленного маршрута прохождения пакетов данных между двумя пользователями ГСПД, с помощью этих же средств могут быть реализованы такие задачи, как защита от несанкционированного доступа пользователей в ГСПД, защита информационной сферы ГСПД от воздействий нарушителя информационным оружием по каналам связи, в том числе и по каналам связи пользователей, взаимодействующих через ГСПД с другими сетями связи, например с сетью Internet, контроль времени прохождения пакета данных, контроль целостности пакетов данных, содержащих информацию управления, при их передаче из центра управления сетью к сетевым элементам ГСПД и обратно, и др. (рис. 16.1).

Рисунок 16.1, а – Архитектура СОИБ ГСПД на базе СПБ

Основным методом, обеспечивающим возможность администратору безопасности СОИБ ГСПД измерять и отслеживать характеристики безопасности процесса передачи данных пользователя по установленным соединениям ГСПД в условиях возможных ВН является постоянный мониторинг этих соединений с помощью специальных механизмов обнаружения ВН, механизмов обнаружения последствий ВН, механизмов тестирования и др., встраиваемых в СОИБ ГСПД.

Рисунок 16.1, б – Схема организации СОИБ в ГСПД

На основе данных, полученных в результате мониторинга процесса передачи данных, администратор безопасности СОИБ ГСПД выявляет характер ВН (объект воздействия, периодичность ВН, характер последствия ВН, возможное развитие событий и др.) и вырабатывает решение о локализации места ВН и о проведении совместно с оператором ГСПД мероприятий по ликвидации последствий ВН и поддержанию качественных характеристик работы ГСПД, базируясь как на технологии транспортного сервиса, присущей используемой в ГСПД технологии процесса передачи данных, так и на специально введенной в ГСПД технологии, обеспечивающей определенное качество обслуживания в условиях преднамеренных ВН (например, технологии, базирующейся на использовании секретных резервных каналов связи и сегментов сети).

Сетевые средства защиты

Функции СПБ по отношению к рис. 15.1, 15.2 и 16.1 рассмотрены ниже на примере использования в ГСПД технологии IP.

Абонентский сетевой процессор безопасности (СПБ-А), устанавливаемый («врезаемый») в канал связи либо на охраняемой территории пользователя на выходе ПК или ЛВС, либо на входе маршрутизатора ГСПД, осуществляет на сетевом уровне ЭМВОС следующие функции защиты:

а) при поступлении пакета данных из LAN (от пользователя) в СПБ-Ai для его передачи принимающему пользователю:

  • считывание в принятом пакете IP-адресов передающего и принимающего пользователей;

  • определение подлинности передающего пользователя;

  • формирование на основе IP-адресов передающего и принимающего пользователей IP-адреса передающего СПБ- Ai и IP-адреса принимающего СПБ-Aj;

  • выбор из памяти Пш СПБ-Ai ключа шифрования KAiAj, соответствующего IP-адресам передающего СПБ- Ai и принимающего СПБ-Aj;

  • шифрование по ГОСТ 28147-89г. пакета данных в соответствии с ключом шифрования KAiaj;

  • инкапсуляция зашифрованного пакета в новый пакет с IP-адресами передающего СПБ-Ai и принимающего СПБ-Aj;

  • формирование по ГОСТ 28147-89 для инкапсулированного пакета данных имитационной вставки длины m двоичных символов на ключе формирования имитовставки , который является одинаковым (для данного СПБ - отправителя) во всех СПБ-С и СПБ-М и выбирается из памяти Пи данного СПБ по IP-адресу СПБ-отправителя;

  • добавление имитационной вставки к инкапсулированному пакету данных;

  • регистрация у агента безопасности СПБ-Аi информации о зашифрованном и переданном пакете данных.

б) при поступлении пакета данных в СГГБ-Aj из СПБ-С для его передачи в LAN или конкретному пользователю:

  • выбор из памяти Пи СПБ-Ai ключа формирования имитоставки ;

  • верификация имитационной вставки на ключе ;

  • выбор из памяти Пш ключа шифрования KAiAj, соответствующего IP-адресам СПБ-Ai отправителя и СПБ-Aj получателя;

  • расшифрование пакета данных (в случае положительного решения по верификации имитационной вставки) на ключе KAiAj, и выдача расшифрованного пакета данных принимающему пользователю или в LAN в соответствии с IP-адресом принимающего пользователя;

  • стирание принятого пакета данных в случае отрицательного результата верификации имитационной вставки;

  • регистрация у агента безопасности СПБ-Aj сообщения об отрицательном результате верификации имитационной вставки для последующего его передачи в ЦУБ.

Сетевой процессор безопасности (СПБ-С), устанавливаемый («врезаемый») в канал связи на входе (выходе) в порт маршрутизатора ГСПД, осуществляет на сетевом уровне ЭМВОС следующие функции защиты:

  • прием в буфер пакета данных, принимаемого из СПБ-Ai или из маршрутизатора ГСПД, на порту которого «сидит» данный СПБ-Cj;

  • выбор из памяти Пи СПБ-Cj в соответствии с IP-адресом передающего СПБ-Аi ключа формирования имитационной вставки;

  • верификацию в соответствии с ГОСТ 28147-89 и выбранным ключом формирования имитационной вставки имитационной вставки в принятом пакете данных;

  • при положительной верификации имитационной вставки организуется передача содержащегося в буфере СПБ-Cj пакета данных в IP-адрес принимающего пользователя;

  • при отрицательном результате верификации имитационной вставки содержащийся в буфере пакет данных стирается с фиксированием факта стирания у агента безопасности СПБ-Сj;

  • регистрацию у агента безопасности СПБ-Cj всей информации о принимаемых пакетах данных с периодической ее обработкой и отсылкой в ЦУБ ГСПД.

Магистральный сетевой процессор безопасности (СПБ-М), устанавливаемый («врезаемый») в магистральный канал связи (канал, соединяющий маршрутизаторы) на входе в порт маршрутизатора, осуществляет на сетевом уровне ЭМВОС следующие функции защиты:

а) при поступлении пакета данных из «своего» маршрутизатора, т.е. маршрутизатора, на входе в порт которого «сидит» данный СПБ-М:

  • анализ IP-адреса передающего и принимающего пользователей (субъектов);

  • если IP-адрес передающего пользователя (субъекта) не совпадает с IP-адресом «своего» маршрутизатора, то функции СПБ-М совпадают с вышеперечисленными функциями СПБ-С;

  • если IP-адрес передающего пользователя (субъекта) совпадает с IP-адресом маршрутизатора, на порту которого «сидит» данный СПБ-М, то функции СПБ-М совпадают с вышеперечисленными функциями СПБ-Ai(а) при условии выбора из памяти Пи и Пш ключей шифрования и формирования имитовставки, соответствующих IP-адресу данного СПБ-М;

  • если IP-адрес принимающего пользователя совпадает с IP-адресом данного СПБ-Mj, то функции СПБ-Mj совпадают с вышеприведенными функциями СПБ-Ai(б) с условием передачи расшифрованного на ключе KAiMj пакета данных своему агенту безопасности;

б) при поступлении в СПБ-М пакета данных из магистрального канала связи:

  • анализ IP-адреса передающего и принимающего пользователей (субъектов);

  • если IP-адрес принимающего пользователя (субъекта) не совпадает с IP-адресом данного СПБ-М, то функции СПБ-М совпадают с вышеприведенными функциями СПБ-Cj;

  • если IP-адрес принимающего пользователя (субъекта) в принятом пакете данных совпадает с IP-адресом данного СПБ-М, то функции СПБ-М совпадают с вышеприведенными функциями СПБ-Аi(б) с условием передачи расшифрованного на ключе KAiMj пакета данных своему агенту безопасности или в маршрутизатор в соответствии с IP-адресами расшифрованного пакета данных.

Центр управления безопасностью (ЦУБ), осуществляющий функции формирования и защищенного распределения ключей шифрования по СПБ ГСПД в соответствии с защищаемыми сетевыми адресами (IP-адресами) пользователей и объектов ГСПД, их защищенного аудита и мониторинга, локализации места воздействия нарушителя, подготовки решения администратору безопасности по ликвидации совместно с оператором центра управления ГСПД последствия воздействия нарушителя. ЦУБ на основе получаемой от агентов безопасности СПБ информации формирует решения администратору безопасности о путях ликвидации последствий воздействия нарушителя. Число и характер «путей» определяется в первую очередь средствами резерва, созданного в ГСПД для обеспечения возможности восстановления прерванного процесса передачи данных. Это может быть осуществлено, например, с помощью выделенных коммутируемых телефонных каналов связи (обеспечивающих передачу пакетов данных при значительно меньшей общей скорости передачи).

Основные технические характеристики сетевых процессоров безопасности

Основными техническими характеристиками (ТХ) СПБ и его модификаций в соответствии с решаемыми задачами защиты должны быть: набор поддерживаемых сетевых протоколов, набор поддерживаемых сетевых интерфейсов локальных и глобальных сетей, реализуемый протокол защиты пакетов данных с набором реализуемых способов (стандартов) криптографического преобразования данных и производительность. При этом соответствующие «наборы» определяются, исходя из:

а) минимально необходимого числа вариантов возможного применения СПБ (первая стадия разработки);

б) максимально необходимого числа возможных вариантов применения СПБ (вторая стадия разработки).

Указанные «наборы» в соответствии с существующими в стране технологиями локальных и глобальных сетей связи должны соответствовать:

  • перечню поддерживаемых сетевых протоколов - IP, IPX, Apple Talk, DEC net и др.;

  • перечню поддерживаемых интерфейсов, реализующих физические и канальные протоколы глобальных технологий Х.25, Frame Relay, ISDN, сетей ATM, SDH, а также протокол канального уровня РРР;

  • перечню поддерживаемых интерфейсов, реализующих физические и канальные протоколы для локальных сетей Ethernet, Fast Ethernet и др.;

  • перечню интерфейсов последовательных линий RS 232, RS 449/422 и др.;

• перечню интерфейсов с цифровыми каналами Т1/Е1, ТЗ/ЕЗ, например, HSSI-интерфейсом (стандартом G-703), работающим в синхронном режиме и поддерживающем передачу данных в диапазоне от 300 кбит/сек до 52 мбайт/сек, или стандартам G.707 - G.709 для подключения каналам SDH, работающим в диапазоне 155 мбит/с - 2 гбит/с.

Время шифрования и выработки имитационной вставки не должно существенно снижать скорость поступления данных в диапазоне 100 мбит/с-1 гбит/с.

В СПБ ГСПД, реализующей стек TCP/IP, должны быть встроены (в виде отдельного модуля) так называемые SNMP-агенты с соответствующими IP-адресами, управляемые централизованно из ЦУБ с помощью защищенных пакетов данных, содержащих команды протокола управления SNMP. В соответствии с этим ЦУБ сети должен содержать стек протоколов TCP/IP, иметь свой IP-адрес и выполнять операции по конфигурированию IP-адресов СПБ. Встроенные агенты СПБ должны собирать информацию о состоянии контролируемых точек СПБ и хранить ее в так называемой базе данных управляющей информации (MIB). В этой же базе должно быть предусмотрено и место хранения ключей шифрования, поступающих из ЦУБа по защищенным каналам связи.

Эта база должна иметь стандартную структуру, что позволяло бы ЦУБ сети запрашивать у агентов безопасности значения стандартных переменных базы MIB. В базе MIB могут храниться не только ключи шифрования, передаваемые из ЦУБ, но и данные о состоянии СПБ, и управляемая информация, воздействующая на СПБ, например, с целью изменения его конфигурации.

Агент безопасности, встроенный в СПБ, должен взаимодействовать с ЦУБ по защищенному протоколу, обеспечивающему защиту передаваемых данных управления и ключей шифрования от несанкционированных воздействий нарушителя.

Основные технические характеристики ЦУБ определяются (при разработке ЦУБ) числом СПБ, находящихся под управлением ЦУБ, числом и характером решаемых задач по контролю процесса передачи данных, используемым протоколом формирования и распределения ключей шифрования и пр.

Способы реализации технологии ЗАО «РНТ»

В зависимости от требований безопасности процесса передачи данных в ГСПД, т. е. совокупности подлежащих решению задач защиты процесса передачи данных от воздействий нарушителя информационным оружием на информационную сферу ГСПД, или, другими словами, в зависимости от целей защиты ГСПД от наиболее опасных угроз информационной безопасности возможны различные варианты комплектования вышеперечисленных средств защиты сети и реализуемых ими функций защиты.

Общее количество используемых в системе защиты сети (системе обеспечения информационной безопасности ГСПД) СПБ определяется числом защищаемых ассоциаций пользователей, по отношению к которому обеспечивается защита процесса передачи данных, числом пользователей, входящих в каждую защищаемую ассоциацию пользователей, а точнее числом СПБ-А, используемых по каждому порту доступа пользователей в ГСПД, числом СПБ-А и СПБ-С, используемых по каждому порту доступа в ГСПД, и числом СПБ-М, используемых в ГСПД.

Рассмотрим несколько вариантов требований безопасности и соответствующих им архитектур СОИБ ГСПД, реализующей на сетевом уровне протокол IP.

Вариант 1.

Рассмотрим совокупность требований ИБ ГСПД, основными из которых являются:

а) обеспечение обнаружения факта модификации, ложного повтора и уничтожения нарушителем передаваемых через ГСПД пакетов данных пользователей, входящих в защищенную ассоциацию пользователей, и пакетов данных, содержащих информацию управления в соответствии с протоколом SNMP стека TCP/IP;

б) обеспечение защиты ГСПД от несанкционированного доступа нарушителя по каналам доступа пользователей, входящих в защищаемую ассоциацию пользователей, к представляемым услугам передачи данных;

в) обеспечение защиты от вскрытия информации, содержащейся в передаваемых через ГСПД пакетах данных пользователей;

г) обеспечение своевременной и адекватной реакции ГСПД на попытку нарушителя нарушить процесс передачи данных с возможностью локализации места воздействия нарушителя и ликвидации последствий его воздействия.

Архитектура СОИБ ГСПД, реализующая указанные требования, проиллюстрирована на (рис. 16.2), на котором по отношению к каждому арендуемому пользователем порту ГСПД в абонентскую линию доступа ГСПД «врезаются»: СПБ-Аi, устанавливаемый на контролируемой территории пользователя (ПК или ЛВС), СПБ-Сi, устанавливаемый на входе в порт доступа маршрутизатора ГСПД, и СПБ-М, устанавливаемый («врезаемый») в магистральные каналы связи. Все средства защиты сети ГСПД находятся под общим управлением ЦУБ СОИБ ГСПД.

Рисунок 16.2 - Структура СОИБ ГСПД (вариант 1)

Вариант 2.

Рассмотрим совокупность требований ИБ ГСПД, основными из которых является обеспечение защиты информационной сферы ГСПД от ВН информационным оружием на информационную сферу ГСПД по каналам связи пользователей, взаимодействующих через ГСПД между собой и с сетью Internet.

В этом варианте СПБ-С «врезаются» в линии связи непосредственно у портов абонентского доступа маршрутизаторов ГСПД (рис. 16.3.), а в качестве функции защиты на сетевом уровне модели ВОС используется операция шифрования всех пакетов данных, поступающих от пользователя и из сети Internet, с добавлением заголовка с IP-адресами передающего и принимающего пользователей и операция расшифрования всех пакетов данных, поступающих из ГСПД к пользователям и в сеть Internet.

ЦУБ в этом варианте реализует лишь функцию распределения ключей шифрования по СПБ-С. При этом либо каждому СПБ-Сi, i=l,2,...,N, выделяется Т ключей шифрования по числу возможных пар взаимодействующих пользователей, IP-адреса которых могут содержаться в передаваемых через СПБ- Сi пакетах данных, либо (при неизвестных априори IP-адресах взаимодействующих пользователей) ключ шифрования/расшифрования для всех взаимодействующих СПБ- Сi, i=l,2,...,N, может выбираться один.

Вариант 3.

Реализация в СПБ требований по обеспечению контроля целостности передаваемых пакетов данных пользователей и пакетов данных, содержащих информацию системы управления ГСПД, может быть достигнута архитектурой СОИБ, представленной на рис. 16.4.

Рисунок 16.3 - ГСПД с СОИБ (вариант 2)

Рисунок 16.4 - Структура СОИБ ГСПД (вариант 3)

Особенности решения задачи обеспечения информационной безопасности ГСПД

Решение в полном объеме сформулированной задачи обеспечения ИБ ГСПД, не имеющей заранее предусмотренных (встроенных в средства связи ГСПД) средств контроля качественных характеристик процесса передачи данных, требует по отношению к каждой ГСПД больших экономических затрат. В то же время необходимость надежного осуществления ГСПД своих транспортных функций по передаче данных пользователей через ГСПД в условиях возможных ВН информационным оружием на информационную сферу ГСПД является достаточно актуальной задачей для многих «критичных пользователей» ГСПД.

Под «критичными пользователями» понимаются пользователи, передаваемые данные которых требуют в соответствии с указами Президента РФ, законами РФ и другими подзаконными документами защиты из-за вероятности нанесения соответствующей организации ущерба и его величины в случае, если вследствие не обнаруживаемого ГСПД изменения или разрушения передаваемых в ГСПД данных произойдет блокирование передачи данных на критичный для этих пользователей период времени.

В связи с этим возможна постановка и решение задачи обеспечения защиты процесса передачи данных в ГСПД в интересах определенной выделенной группы пользователей, что позволило бы решить вопрос защиты процесса передачи данных этих пользователей от возможности его блокирования вследствие преднамеренных воздействий нарушителя информационным оружием на информационную сферу ГСПД. При этом СОИБ ГСПД, включающая службы и механизмы защиты, нацеленные на решение задач обеспечения ИБ по отношению к определенным пользователям ГСПД, будет, во-первых, обеспечивать решение поставленных задач по отношению к заданным угрозам ИБ ГСПД, а, во-вторых, должна будет обеспечить возможность развития, наращивания механизмов защиты, изменения степени защищенности ГСПД с увеличением как числа служб обеспечения информационной безопасности по защите от новых угроз ИБ ГСПД, так и числа пользователей, требующих предоставление тех или иных услуг информационной безопасности, в частности, контроля за качественными характеристиками процесса передачи данных в пределах ГСПД с принятием необходимых и своевременных мер восстановления нарушенного процесса передачи данных.

В этом случае каждая из служб СОИБ ГСПД будет обеспечивать предоставление заранее определенным пользователям ГСПД (по их запросу) услуги, связанной с обеспечением контроля качества и защиты процесса передачи данных (КК ЗППД) этих пользователей от возможности его блокирования вследствие информационных ВН на информационную сферу ГСПД. При этом создание службы КК ЗППД определенной группы пользователей, предполагает выделение (создание) в рамках ГСПД защищаемого (контролируемого механизмами защиты администратора безопасности ГСПД) фрагмента (выделенного защищаемого фрагмента - ВЗФ) передачи данных этих пользователей при иерархической стратегии объединения других групп пользователей в рамках единого (распределенного или централизованного) центра управления безопасностью (ЦУБ) СОИБ ВЗФ ГСПД. Это позволит обеспечить модульность и масштабируемость структуры СОИБ ГСПД, необходимые, прежде всего, в части минимизации начальных затрат оператора ГСПД, простоты наращивания объема и мощности защиты (обеспечения ИБ) ГСПД путем добавления новых, затребованных другими группами пользователей, служб КК ЗППД по отношению к новым ВЗФ ГСПД и соответствующих им механизмам защиты вплоть до создания службы КК ЗППД для всех ее пользователей в общей СОИБ ГСПД.

Механизм обнаружения и предотвращения воздействий нарушителя

на информационную сферу ГСПД

СОИБ ГСПД, построенная на базе вышерассмотренных ГСПД, не обеспечивает защиты от воздействий нарушителя, исходящих от внедренных в средства связи «закладок», «вирусов» и т.д. (ВН-3), что может привести к реализации следующих последствий ВН-3:

  • нарушению конфиденциальности информационной сферы узлов ГСПД:

  • НСД к информации, хранимой в узлах ГСПД;

  • НСД к программному обеспечению узлов ГСПД.

  • нарушению целостности информационной сферы узлов ГСПД:

  • несанкционированное модифицирование программного обеспечения узла ГСПД;

  • несанкционированное уничтожение программного обеспечения узла ГСПД;

  • несанкционированное модифицирование информации, хранимой в узлах ГСПД;

  • несанкционированное уничтожение информации, хранимой в узлах ГСПД;

  • внесение заведомо ложной информации в узлы ГСПД.

• нарушение доступности информационной сферы узлов ГСПД:

  • отказ в доступе к узлу ГСПД;

  • нарушение работоспособности узла ГСПД.

• нарушению конфиденциальности информационной сферы ЦУС:

  • НСД к информации, хранимой в ЦУС;

  • НСД к программному обеспечению ЦУС.

• нарушению целостности информационной сферы ЦУС:

  • несанкционированное модифицирование программного обеспечения ЦУС;

  • несанкционированное уничтожение программного обеспечения ЦУС;

  • несанкционированное модифицирование информации, хранимой в ЦУС;

  • несанкционированное уничтожение информации, хранимой в ЦУС;

  • внесение заведомо ложной информации в ЦУС.

• нарушению доступности информационной сферы ЦУС:

  • отказ в доступе к ЦУС;

  • нарушение работоспособности ЦУС.

Для устранения возможности реализации рассмотренных последствий ВН СОИБ ГСПД может быть оснащена механизмами обнаружения и предотвращения ВН-3.

Для обнаружения ВН-3 необходимо оснастить СПБ-М и СПБ-С СОИБ ГСПД двумя дополнительными компонентами: сенсорами и анализаторами. В этом случае СПБ-М будет обеспечивать защиту узлов ГСПД, а СПБ-С - защиту ЦУБ и ЦУС. Рассмотрим функции сенсоров и анализаторов более подробно.

Функции сенсоров и анализаторов

Сенсоры выполняют функции формирования банка данных, содержащего сведения об информации, передаваемой в ГСПД. На основе содержимого созданного банка данных анализатор проводит процедуру обнаружения ВН. Данные, на основе которых осуществляется обнаружение включают в себя информацию о пакетах данных, передаваемых в ГСПД, а именно: дату и время прохождения пакета данных, длину пакета данных, содержимое заголовка пакета данных, количество пакетов данных и т.д. Например, для IP-сетей сенсор должен регистрировать следующую информацию:

  • время и дата получения пакета данных;

  • длину заголовка пакета данных;

  • длину поля данных пакета;

  • IP-адрес получателя пакета данных;

  • IP-адрес отправителя пакета данных;

  • номер порта отправителя информации;

  • номер порта получателя информации;

  • тип протокола;

  • дополнительную информацию о протоколах транспортного уровня (номер подтверждения и порядковый номер пакета в протоколе TCP и др.);

  • дополнительную информацию о протоколах прикладного уровня (протоколы управления маршрутизацией, протоколы управления сетевыми ресурсами и т.д.);

  • порядковый номер пакета.

Такая информация может быть извлечена из пакетов данных, проходящих через СПБ-М, либо получена посредством анализа журналов аудита узлов ГСПД. Однако, программное обеспечение большинства фирм, производящих маршрутизаторы, коммутаторы, мультиплексоры и другие узлы ГСПД, является закрытым продуктом, что не позволяет добавлять к нему дополнительные программные модули для извлечения информации о текущем состоянии работы ГСПД. Поэтому, сенсоры МСБ должны извлекать требуемую информацию из пакетов данных, проходящих через МСБ. После занесения в банк, данных информации о перехваченных пакетах, информация из банка данных поступает на вход анализатора СПБ-М.

Анализаторы СПБ-М предназначены для обработки информации, помещённой в журнал аудита безопасности сенсорами СПБ-М. На основе этой информации анализатор строит предположения о проводимых в ГСПД ВН-3. Как отмечалось, обнаружение ВН-3 может осуществляться двумя методами: методом анализа информации на базе профилей работы ГСПД и методом анализа информации на базе сигнатур ВН. СПБ-М должен реализовывать гибридный метод анализа, т.е. одновременно должны использоваться оба метода анализа информации, извлечённой из банка данных, сформированного сенсорами. Именно гибридный метод анализа информации позволяет наиболее эффективно обнаруживать ВН-3. В случае, если анализатор СПБ-М обнаружит ВН-3, то информация о ВН должна быть немедленно передана в ЦУБ администратору безопасности. Помимо описания обнаруженного ВН в ЦУБ должна быть передана часть записей банка данных, относящаяся к обнаруженному ВН.

Информация, занесённая сенсорами в банк данных, должна обрабатываться анализатором СПБ-М только в том случае, если эта информация предназначена для узла ГСПД, безопасность которого обеспечивает СПБ-М. Особенности работы анализаторов СПБ-М проиллюстрируем на примере сегмента ГСПД, изображённого на рис. 17.1.

Анализаторы СПБ-М1 и СПБ-М2 должны будут обрабатывать только зарегистрированную в журнале аудита информацию, которая предназначается для СПБ-М1. В то же время анализаторы СПБ-М3 и СПБ-М4 должны будут обрабатывать только информацию, предназначенную для СПБ-М2.

Рисунок 17.1 - Структура СОИБ ГСПД

Обработка информации сенсоров может осуществляться СПБ-М на сетевом, транспортном и прикладном уровнях модели ВОС. На сетевом уровне модели ВОС должны анализироваться параметры протоколов IP и ICMP. На транспортном уровне анализу подлежат параметры протоколов TCP и UDP. На прикладном уровне модели ВОС должны анализироваться параметры протоколов маршрутизации (например, параметры протоколов RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System - Intermediate System) и BGP (Border Gateway Protocol)) и протоколов управления объектами ГСПД (например, протоколы SNMP (Simple Network Management Protocol), CMIP (Common Management Information Protocol)). Поскольку анализироваться должно не всё содержимое пакетов данных, а только параметры рассмотренных выше протоколов, то такое ограничение на объём анализируемой информации позволяет минимизировать время, необходимое для обработки поступающей в анализатор информации. За счёт этого влияние на общую производительность ГСПД будет минимальным.

Анализаторы и сенсоры, которыми должны быть оснащены СПБ-С СОИБ для обеспечения информационной безопасности ЦУБ и ЦУС, выполняют те же функции, что и сенсоры и анализаторы СПБ-М.

Механизм предотвращения последствий ВН-3 реализуется при помощи включения в состав СПБ-М специального блока фильтрования пакетов данных, который функционирует по следующему алгоритму. В случае, если анализатор СПБ-М обнаружит ВН-3, реализуемое определённым пакетом или последовательностью пакетов данных, то анализатор СПБ-М даёт блоку фильтрования команду удаления этих пакетов данных из общего информационного потока. В случае, если содержимое пакета данных не представляет опасности для ИБ ГСПД, блок фильтрования передаёт его дальше по маршруту его следования. Таким образом, удаляя пакеты данных, которые представляют угрозу возможности реализации опасного последствия ВН, СПБ-М не даёт возможности нарушителю реализовать ВН-3. Схематично алгоритм предотвращения последствий ВН-3 изображён на рис. 17.2.

Блок фильтрования представляет собой простейший триггер, который разрешает или запрещает дальнейшее прохождение пакета в зависимости от результата работы анализатора.

Рассмотренные выше функции обнаружения и предотвращения реализации ВН-3 могут быть реализованы в СПБ-М и СПБ-С посредством внесения дополнительных программных модулей. Такие модули могут быть написаны на любом языке программирования, в рамках которого можно организовать доступ к низкоуровневым функциям сетевого адаптера. В качестве примера интерфейса прикладного программирования, при помощи которого можно получить прямой доступ к функциям адаптера, можно привести интерфейс WINPCAP. При использовании этого интерфейса программные модули, отвечающие за обнаружение и предотвращение ВН-3, могут быть написаны на языках программирования C++ или Object Pascal. В качестве технологии формирования банка данных, создаваемого сенсорами МСБ и ССБ, могут быть использованы системы управления базами данных Oracle, MS SQL Server, Sybase и др. Функции чтения и записи информации в банк данных, содержащий сведения о пакетах данных, передаваемых в ГСПД, могут быть выполнены при помощи структурированного языка запросов SQL. В качестве интерфейсов доступа к банку данных могут выступать интерфейсы ODBC, ADO и OLEDB. Процедура обнаружения ВН может быть описана в рамках алгоритмического языка, что также позволяет реализовать функции обнаружения на любом из перечисленных выше языков программирования. Выбор конкретного языка программирования зависит от типа ОС, в рамках которой функционирует СПБ-М и СПБ-С.

Рисунок 17.2 - Алгоритм предотвращения реализации воздействий нарушителя

Для того, чтобы задержки, возникающие при обработке пакетов сенсорами и анализаторами СОИБ, были минимальными необходимо оснастить СПБ-М и СПБ-С аппаратными ресурсами с большой вычислительной мощностью.

Необходимо также отметить, что после успешного обнаружения и предотвращения ВН необходимо проведение процедуры локализации и устранения источника ВН. Эта задача не входит в состав функций сенсоров и анализаторов СПБ-М и СПБ-С и её выполнение должно быть возложено на ЦУБ. Она может быть выполнена на базе информации, полученной из журналов аудита СПБ-А, СПБ-С и СПБ-М.