Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

• Введение 3
• 1. Обоснование необходимости разработки алгоритмов оценивания безопасности маршрутов следования информации в сети. 5
• 1.1 Сетевые технологии. Стек TCP/IP. 5
• 1.2 Маршрутизация. Протоколы маршрутизации. Маршрутизация в неоднородный сетях. 14
• 1.3 Проблемы безопасности сети передачи данных. 22
• 1.4 Постановка задачи 24
• Выводы по разделу 25
• 2. Анализ известных способов выбора безопасного маршрута передачи данных в сети. 27
• 2.1 Способ продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP. 27
• 2.2 Способ корректировки маршрутов в сети передачи данных. 27
• 2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети. 28
• Выводы по разделу: 29
• 3. Построение алгоритмов решения задачи выбора безопасного маршрута передачи данных 30
• 3.1 Первый вариант алгоритма безопасной маршрутизации 31
• 3.2 Второй вариант алгоритма безопасной маршрутизации 44
• 3.3 Третий вариант алгоритма безопасной маршрутизации 50
• 3.4 Четвертый вариант алгоритма безопасной маршрутизации 56
• 3.5 Пятый вариант алгоритма безопасной маршрутизации 62
• Выводы по разделу 67
• 4. Технико-экономическое обоснование 68
• 4.1 Концепция экономического обоснования проведенной работы. 68
• 4.2 Cвойства научно-технического продукта. 69
• 4.3 Трудоемкость и календарный план выполнения 70
• 4.4 Смета затрат 74
• 4.5 Комплексная оценка эффективности проведенной работы 80
• 5. Интеллектуальная собственность. 82
• 5.1 Общие положения защиты интеллектуальной собственности 82
• 5.2 Технические секреты производства 83
• 5.3 Результат разработки 83
• 5.4 Лицензионный договор о предоставлении права использования алгоритма 85
• Заключение 92
• Список литературы 93
• ВВЕДЕНИЕ
• информация алгоритм безопасность интеллектуальный
• Проблема информационной безопасности, в связи с очень высокими темпами развития отрасли IT, все больше волнует не только все общество, но и каждого человека в отдельности. Множество аспектов повседневной жизни переносится на просторы интернета. Основной функцией, которого, является передача данных и зачастую это данные, требующие определенного уровня обеспечения безопасности.
• В современном мире, где развитие технологий идет огромными шагами вперед и мир постепенно переходит к информационному обществу, необходимо понимать, что информационная безопасность является неотъемлемой частью всего комплекса информационных технологий. И для полноценной работы нужно, чтобы область информационной безопасности развивалась в том же темпе, что и вся отрасль в целом.
• Развитие компьютерных сетей, а особенно сети Интернет, кардинально повлияло не только на сферу IT, но и практически на весь современный мир. Наличие огромного количества конфиденциальной информации, различные бизнес-процессы, происходящие в сети, все это привело к увеличению ценности информации, как ресурса, а «информационная среда» постепенно становится новой средой обитания человека. Что в свою очередь привлекло злоумышленников, целью которых стало заполучить, изменить или просто уничтожить важный информационный ресурс.
• Любая современная организация, подключившись к сети Интернет, увеличивает, таким образом, свою производительность, появляются много новых возможностей, но вместе с тем и увеличивается риск, связанный с попаданием важной информации в третьи руки. Это же приводит к необходимости совершенствовать методы обеспечения сохранности информации.
• В наше время существует много различных способов получения несанкционированного доступа к данным. Злоумышленник способен определить топологию и структуру системы, производителя оборудования, на котором работает выбранная цель, версию программного обеспечения и другие технические характеристики. И чем больше информации он будет иметь о «жертве», тем легче впоследствии ему будет завладеть важными для нас данными. Также существуют множество программных и технических способов перехвата информационных пакетов прямо во время их передачи. Бороться со всем этим, становиться все сложнее в связи с тем, что тенденции построения систем обработки информации с применением сетей передачи данных приводит к появлению особенностей обеспечения безопасности информационного обмена, так как при росте числа узлов и каналов связи возникает новое множество возможных маршрутов следования информации в сети.
• А решить данную проблему, и тем самым повысить общий показатель безопасности всей системы, поможет управление маршрутами передачи данных между абонентами сети.
• 1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ ОЦЕНИВАНИЯ БЕЗОПАСНОСТИ МАРШРУТОВ СЛЕДОВАНИЯ ИНФОРМАЦИИ В СЕТИ

1.1 Сетевые технологии. Стек TCP/IP

Сегодня стек TCP/IP используется как в глобальных, так и в локальных сетях. Этот стек имеет иерархическую структуру, в которой определено 4 уровня (Рис.1.2.1).

Рис. 1.1.1 Иерархическая структура стека TCP/IP

Прикладной уровень содержит все службы, предоставляемые системой пользовательским приложениям. В стеке TCP/IP накоплено большое количество служб и протоколов прикладного уровня. Среди них такие протоколы, как:

· FTP (File Transfer Protocol) -- протокол передачи файлов;

· TFTP (Trivial FTP) -- простой протокол передачи файлов;

· Telnet -- протокол эмуляции удаленного терминала;

· SMTP (Simple Mail Transfer Protocol) -- простой почтовый протокол;

· SNMP (Simple Network Management Protocol) -- простой протокол управления сетью;

· HTTP (HyperText Transfer Protocol) -- гипертекстовый транспортный протокол и т. д.

Транспортный уровень стека TCP/IP расположен сразу под прикладным уровнем и предоставляет ему два типа сервиса.

· Гарантированную доставку обеспечивает протокол управления передачей (Transmission Control Protocol, TCP);

· Доставку по возможности, или с максимальными условиями, обеспечивает протокол пользовательский дейтограмм (User Datagram Protocol, UDP).

Протокол TCP для обеспечения надежной доставки данных, предусматривает установление логического соединения, что позволяет ему нумеровать пакеты, подтверждать их прием квитанциями, при потере организовывать повторные передачи, распознавать и уничтожать дубликаты, доставлять прикладному уровню пакеты в том порядке, в котором они были отправлены. Это позволяет осуществлять обмен в дуплексном режиме.

Второй протокол этого уровня, UDP, является простейшим дейтаграммным протоколом, который используется тогда, когда задача надежного обмена данными либо вообще не ставится, либо решается средствами более высокого уровня - прикладным уровнем или пользовательскими приложениями. [14]

В функции протоколов транспортного уровня входит исполнение роли связующего звена между соседними с ним прикладным и сетевым уровнями.

Прикладной уровень дает транспортному уровню задание на передачу данных с тем или иным качеством прикладному уровню-получателю. Находящийся на ступень ниже сетевой уровень протоколы TCP и UDP рассматривают как своего рода инструмент, не очень надежный, но способный перемещать пакет в свободном и рискованном путешествии по составной сети.

Сетевой уровень, называется также уровнем Интернета. Он является основой всего протокола TCP/IP.

Основополагающим протоколом сетевого уровня является межсетевой протокол (Internet Protocol, IP). В его задачу входит передача пакета между маршрутизаторами пока не будет достигнута конечная сеть назначения. Протокол IP - это дейтаграммный протокол, работающий без установления соединений по принципу доставки с максимальными усилиями. Такой тип сетевого сервиса называют также «ненадежным».

К сетевому уровню TCP/IP часто относят протоколы, выполняющие вспомогательные функции по отношению к IP. Это, прежде всего, протоколы маршрутизации RIP и OSPF, предназначенные для изучения топологии сети, определения маршрутов и составления таблиц маршрутизации, на основании которых протокол IP перемещает пакеты в нужном направлении. По этой же причине к сетевому уровню могут быть отнесены протокол межсетевых управляющих сообщений (Internet Control Message Protocol, ICMP), предназначенный для передачи маршрутизатором источнику сведений об ошибках, возникших при передаче пакета, и некоторые другие протоколы.

У уровня сетевых интерфейсов задача существенно проще - он отвечает только за организацию взаимодействия с подсетями разных технологий, входящими в составную сеть.

Задачу организации интерфейса между технологией TCP/IP и любой другой технологией промежуточной сети упрощенно можно свести к двум задачам:

· упаковка (инкапсуляция) IP-пакета в единицу передаваемых данных промежуточной сети;

· преобразование сетевых адресов в адреса технологии данной промежуточной сети.

В стеке протоколов TCP/IP этот уровень не регламентируется. Он отвечает за прием дейтаграмм и их передачу по конкретной сети. Для каждого типа сетей должны быть разработаны соответствующие интерфейсные средства. Например, к таким средствам относится протокол инкапсуляции IP-пакетов в кадры Ethernet (по документу RFC 1042).

Каждый коммуникационный протокол оперирует некоторой единицей передаваемых данных. В стеке TCP/IP за многие годы его существования образовалась устоявшаяся терминология в этой области (Рис. 1.1.2)

Рис. 1.1.2 Название протокольных единиц данных в TCP/IP

Потоком данных, информационным потоком, или просто потоком, называют данные, поступающие от приложений на вход протоколов транспортного уровня -- TCP и UDP.

Протокол TCP нарезает из потока данных сегменты.

Единицу данных протокола UDP часто называют дейтаграммой, или датаграммой. Дейтаграмма - это общее название для единиц данных, которыми оперируют протоколы без установления соединений. К таким протоколам относится и протокол IP, поэтому его единицу данных иногда тоже называют дейтаграммой, хотя достаточно часто используется и другой термин - пакет.

Единицы данных, в которые упаковываются IP-пакеты для их последующей передачи через сети составной сети, принято называть также кадрами или фреймами.

IP-пакет состоит из полей заголовка и данных (рис 1.1.3).

Рис. 1.1.3 Структура заголовка IP-пакета

Поле номер версии занимает 4 бита и идентифицирует версию протокола IP. Сейчас повсеместно используется версия 4 (IPv4), хотя чаще встречается и новая версия (IPv6).

Значение длины заголовка IP-пакета также занимает 4 бита и измеряется в 32 - битных словах. Обычно заголовок имеет длину в 20 байт (пять 32 - битных слов), но при добавлении некоторой служебной информации это значение может быть увеличено за счет дополнительных байтов в поле параметров. Наибольшая длина заголовка составляет 60 байт.

Поле тип сервиса занимает 8 бит и содержит:

· Три бита PR, указывающие приоритет пакета (0 - нормальный; 7 - самый высокий). Значение этого поля может приниматься во внимание маршрутизаторами.

· Биты D, T и R используются протоколами маршрутизации. Они задают критерий выбора маршрута. D=1 - указывает на необходимость минимизации задержки при доставке данного пакета. T=1 - показывает на желательность максимизации пропускной способности. R=1 - указывает на необходимость обеспечения максимальной надежности доставки. Два последних бита в этом поле зарезервированы.

Поле общая длина занимает 2 байта - это общая длина в байтах заголовка и поля данных. Максимальная длина составляет 65535 байт. При передаче по разным сетям длина пакета выбирается исходя из размера внутренней области кадра. На рисунке показано такое размещение для сети Ethernet. По стандарту все устройства сети Интернет должны быть готовы принимать дейтаграммы длиной 576 байт.

Передача дейтаграммы в кадре называется инкапсуляцией. Длина пакета выбирается с учетом максимальной длины кадра протокола нижнего уровня, несущего IP-пакеты. Для сети Ethernet - это 1500 байт.

Идентификатор пакета занимает 2 байта и служит для распознавания пакетов образовавшихся путем деления на части (фрагментации) исходного пакета. Все части одного пакета должны иметь одинаковые значения этого поля.

Поле флаги содержит признаки, связанные с фрагментацией. Бит DF (Do not Fragment) = 1 запрещает маршрутизатору фрагментировать данный пакет. Бит MF (More Fragments) = 1 указывает на то, что данный пакет является промежуточным (не последним) фрагментом. Третий бит зарезервирован.

Поле смещения фрагмента занимает 13 бит и задает смещение в байтах поля данных этого фрагмента относительно начала поля данных исходного (не фрагментированного) пакета. Используется при сборке/разборке фрагментов пакетов. Смещение должно быть кратно 8 байт.

Поле время жизни (Time to live, TTL) занимает один байт и используется для задания предельного срока в течении которого пакет может перемещаться в сети. Время жизни измеряется в секундах и задается источником. По истечению секунды пребывания пакета на маршрутизаторе из его общего времени вычитается эта секунда. Секунда отнимается даже в том случае, если пакет был обработан маршрутизатором меньше чем за секунду. Так как современные маршрутизаторы редко обрабатывают пакет дольше, чем за одну секунду, то время жизни можно интерпретировать как максимально разрешенное количество транзитных узлов, через которые может пройти пакет. Если значение поля время жизни становиться нулевым, то пакет уничтожается.

Поле протокола верхнего уровня занимает один байт и содержит идентификатор, указывающий, какому протоколу верхнего уровня принадлежит информация, размещенная в поле данных пакета. Например, 6 означает, что в пакете находится сообщение протокола TCP, 17 - протокола UDP, 1- протокола ICMP.

Контрольная сумма заголовка занимает 2 байта и рассчитывается только по заголовку. Поскольку некоторые поля заголовка меняют свое значение в процессе передачи пакета по сети (например, поле времени жизни), контрольная сумма проверяется и повторно рассчитывается на каждом маршрутизаторе и конечном узле как дополнение к сумме всех 16 - битных слов заголовка. При вычислении контрольной суммы значение самого поля контрольной суммы устанавливается в нуль. Если контрольная сумма неверна, то пакет отбрасывается, как только обнаруживается ошибка.

Поля IP-адресов источника и приемника имеют одинаковую длину - 32 бита.

Поле параметров является не обязательным и используется обычно только при отладке сети. Это поле состоит из нескольких подполей одного из восьми предопределенных типов. В этих подполях можно указывать точный маршрут, регистрировать проходимые пакетом маршрутизаторы, помещать данные системы безопасности или временные отметки.

Так как число подполей в поле параметров может быть произвольным, то в конце заголовка должно быть добавлено несколько нулевых байтов для выравнивания заголовка пакета по 32-битной границе.[14]

Каждый раз, когда пакет направляется адресату через составную сеть, в его заголовке указывается IP-адрес узла назначения. В заголовке IP-пакета для хранения IP-адресов отправителя и получателя отводятся два поля, каждое имеет фиксированную длину 4 байта (32 бита). IP-адрес состоит из двух логических частей - номера сети и номера узла в сети.

Наиболее распространенной формой представления IP-адреса является запись в виде четырех чисел, представляющих значения каждого байта в десятичной форме и разделенных точками, например:

128.10.2.30

Этот же адрес может быть представлен в двоичном формате:

10000000 00001010 00000010 00011110

А также в шестнадцатеричном формате:

80.0A.02.1D

Существует пять классов IP-адресов.

· В адресах класса А под идентификатор номера сети отводится 1 байт, а остальные 3 байта интерпретируется как номер узла сети. Сетей класса А сравнительно немного, но зато количество узлов может достигать 2²⁴ или 16777 216 узлов.

· В адресах класса В под номер сети и под номер узла отводится по 2 байта. Сетей класса В больше, чем сетей класса А, а размеры их меньше. Максимальное количество узлов в сетях класса В составляет 2¹⁶ (65 536).

· В адресах класса С под номер сети отводится 3 байта, а под номер узла 1 байт. Сети класса С наиболее распространены, и наименьшее максимальное число узлов в них равно 2⁸ (256).

· Для сетей класса D задается групповой адрес multicast. Пакет будут получать все члены группы, которым присвоен такой адрес.

· Адреса класса А зарезервированы для будущих применений.

Представление IP-адреса не предусматривает специального разграничительного знака между номером сети и номером узла. Для того чтобы маршрутизатор мог определить, какая часть из 32 бит, отведенных под IP-адрес, относиться к номеру сети, а какая к номеру узла широко распространен механизм масок.

Маска - это число, применяемое в паре с IP-адресом, причем двоичная запись маски содержит непрерывную последовательность единиц в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. Граница между последовательностями единиц и нулей в маске соответствует границе между номером сети и номером узла в IP-адресе.

Снабжая каждый IP-адрес маской, можно отказаться от понятий классов адресов и сделать более гибкой систему адресации.

Но, так как людям гораздо удобнее пользоваться символическими именами в дальнейшем была внедрена доменная иерархическая система имен, допускающая произвольное количество составных частей. Иерархия доменных имен аналогична иерархии имен файлов, принятой во многих популярных файловых системах. [14]

Рис. 1.1.4 Пространство доменных имен

Дерево имен начинается с корня, обозначаемого точкой. Затем идет старшая по старшинству символьная часть имени, вторая по старшинству символьная часть имени и так далее. Младшая часть имени соответствует конечному узлу. Запись доменного имени начинается с самой младшей составляющей и заканчивается самой старшей. Совокупность имен, у которых несколько старших составных частей совпадают, образуют домен имен. Так, например, имена mail.ru, eltech.ru, gov.spb.ru входят в домен ru. Другим примером является домен SPB из представленного на рис примера в него входят S1.spb.ru, S2.spb.ru. Образованные домены S1.spb.ru и S2.spb.ru являются поддоменами домена spb.ru. В каждом домене и поддомене обеспечивается уникальность имен следующего уровня иерархии, таким образом, вся система имен будет состоять из уникальных имен.

Корневой домен управляется центральными органами Интернета, в частности организацией ICANN (Internet Corporation for Assigned Names and Numbers). Домены верхнего уровня назначаются для каждой страны, а также для различных типов организаций. Был разработан международный стандарт ISO 3166, которому должны следовать имена этих доменов. Для обозначения стран используют трехбуквенные и двухбуквенные аббревиатуры, например ru (Россия), us (США), ua (Украина), а для различных типов организаций следующие обозначения:

· com -коммерческие организации

· edu - образовательные

· org - некоммерческие организации

· net -сетевые организации

· gov - правительственные организации

Доменная система имен реализована в Интернете, но она может работать и как автономная система имен в любой крупной корпоративной сети, которая хотя и использует стек TCP/IP, никак не связана с Интернетом.[14]

1.2 Маршрутизация. Протоколы маршрутизации. Маршрутизация в неоднородный сетях

Важным понятием при передаче пакетов данных в сети является понятие маршрут. Маршрут описывается последовательностью сетей (или маршрутизаторов), через которые должен пройти пакет, чтобы попасть к адресату.

Интернет - это множество сетей связанных с помощью маршрутизаторов. Когда пакет послан от адресата к получателю, он, вероятно, проходит несколько маршрутизаторов, пока не достигнет маршрутизатора, закрепленного за сетью получателя пакета.

В задачу маршрутизатора входит определить:

· К какой сети он должен передать пакет

· По какому пути

Определение маршрута передачи пакета сложная задача, особенно когда топология сети такая, что между двумя абонентами сети существует несколько параллельных маршрутов. В этом случае чаще всего выбирают наиболее оптимальный по определенному критерию маршрут. В качестве критерия может выступать пропускная способность или загруженность каналов связи; надежность каналов связи и транзитных узлов, но чаще всего критерием служит количество промежуточных транзитных узлов.

Таким образом, оптимальный маршрут определяется на основании информации о конфигурации сети в текущий момент, которая имеется у устройства, и на основании выбранного критерия отбора маршрута. Полученная в конечном итоге информация используется для составления таблиц маршрутизации.

Таблица маршрутизации - электронная таблица, состоящая из сетевых маршрутов, и предназначена для определения наиболее оптимального пути передачи пакетов.

Существуют способы передачи данных, которые не требуют наличие таблиц маршрутизации на маршрутизаторах.

· Лавинная маршрутизация - каждый маршрутизатор пересылает данные всем своим соседним узлам, кроме того от которого пакет изначально был получен. Однако использование данного способа не рационально, так как очень расточительно используется пропускная способность сети.

· Маршрутизация от источника - особенность данного способа заключается в том, что отправитель помещает в пакет информацию о том, какие маршрутизаторы должны участвовать в передаче пакета по пути к сети назначения. На основе этой информации каждый маршрутизатор считывает адрес следующего и если тот является его соседом, то передает пакет ему для дальней передачи. В данном способе возникает вопрос, как отправитель будет точно определять весь маршрут следования пакета через сеть. Это может производить администратор вручную либо вычисляться автоматически, но тогда возникает потребность в постоянном информировании о топологии и состоянии сети.[14]

Тем не менее, большинство протоколов маршрутизации нацелено на создание таблиц маршрутизации.

Выбор рационального маршрута может осуществляться на основании различных критериев. Сегодня в IP-сетях применяются протоколы маршрутизации, в которых маршрут выбирается по критерию кратчайшего расстояния. При этом расстояние измеряется в различных метриках. Метрика - это условная стоимость передачи по сети. Полное измерение конкретного маршрута равно сумме метрик сетей, которые включают в себя маршрут. Маршрутизатор выбирает маршрут с наименьшей метрикой. Метрика назначается для интерфейса сети в зависимости от типа протокола. Чаще всего используется простейшая метрика - количество маршрутизаторов, которые необходимо преодолеть пакету до сети назначения.

Протоколы маршрутизации должны обеспечивать согласованность таблиц маршрутизации на всех маршрутизаторах сети.

Современные протоколы маршрутизации обеспечивают поддержание согласованности таблиц. Однако при отказе каналов связи или самих маршрутизаторов наступает период нестабильности в работе сети, вызванные несогласованностью таблиц маршрутизации. Протоколу маршрутизации обычно нужно некоторое время, называемое временем конвергенции, чтобы после нескольких итераций обмена служебной информации, маршрутизаторы внесли изменения в свои таблицы.

Различают протоколы со статической и динамической маршрутизацией.

При статической маршрутизации записи в таблице не изменяются, и если состояние сети меняется, необходимо вручную отражать эти изменения в соответствующих таблицах.

При адаптивной маршрутизации все изменения конфигураций сети автоматически отражаются в таблицах благодаря протоколам маршрутизации. Эти протоколы собирают информацию о топологии связей в сети, что позволяет им оперативно отрабатывать все текущие изменения. В таблицах маршрутизации при адаптивной маршрутизации обычно имеется информация об интервале времени, в течение которого данный маршрут будет оставаться действительным. Это время называют временем жизни (TTL) маршрута. Если по истечении времени жизни существование маршрута не подтверждается протоколом маршрутизации, то он считается нерабочим, пакеты по нему больше не посылаются. Протоколы адаптивной маршрутизации бывают распределенными и централизованными. При распределенном подходе все маршрутизаторы сети находятся в равных условиях, они находят маршруты и строят собственные таблицы маршрутизации, работая в тесной кооперации друг с другом, постоянно обмениваясь информацией о конфигурации сети. При централизованном подходе в сети существует один выделенный маршрутизатор, который собирает всю информацию о топологии и состоянии сети от других маршрутизаторов. На основании этих данных выделенный маршрутизатор (который иногда называют сервером маршрутов) строит таблицы маршрутизации для всех остальных маршрутизаторов сети, а затем распространяет их по сети, чтобы каждый маршрутизатор получил собственную таблицу и в дальнейшем самостоятельно принимал решение о продвижении каждого пакета.[14]

Сегодня в IP-сетях протоколы маршрутизации относятся к адаптивным распределенным протоколам, которые делятся:

· Дистанционно-векторные алгоритмы (Distance Vector Algorithm (DVA))

Каждый маршрутизатор периодически и широковещательно рассылает по сети вектор, компонентами которого являются расстояния (измеренные в той или иной метрике) от данного маршрутизатора до всех известных ему сетей.

Получив от некоторого соседа вектор расстояний (дистанций) до известных тому сетей, маршрутизатор наращивает компоненты вектора на величину расстояния от себя до данного соседа. Кроме того, он дополняет вектор информацией об известных ему самому других сетях, о которых он узнал непосредственно (если они подключены к его портам) или из аналогичных объявлений других маршрутизаторов.

Обновленное значение вектора маршрутизатор рассылает своим соседям. В конце концов, каждый маршрутизатор узнает через соседние маршрутизаторы информацию обо всех имеющихся в составной сети сетях и о расстояниях до них.

Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В больших сетях они периодически засоряют линии связи интенсивным трафиком, к тому же изменения конфигурации не всегда корректно могут отрабатываться алгоритмом этого типа, так как маршрутизаторы не имеют точного представления о топологии связей в сети, а располагают только косвенной информацией -- вектором расстояний.

Наиболее распространенным протоколом, основанным на дистанционно-векторном алгоритме, является протокол RIP (Routing Information Protocol -- протокол маршрутной информации)

· Алгоритмы состояния каналов связи (Link State Algorithm (LSA))

Обеспечивают каждый маршрутизатор информацией, достаточной для построения точного графа связей сети. Все маршрутизаторы работают на основании одного и того же графа, что делает процесс маршрутизации более устойчивым к изменениям конфигурации.

Каждый маршрутизатор использует граф сети для нахождения оптимальных по некоторому критерию маршрутов до каждой из сетей, входящих в составную сеть.

Чтобы понять, в каком состоянии находятся линии связи, подключенные к его портам, маршрутизатор периодически обменивается короткими пакетами HELLO со своими ближайшими соседями. В отличие от протоколов DVA, которые регулярно передают вектор расстояний, протоколы LSA ограничиваются короткими сообщениями, а передача более объемных сообщений происходит только в тех случаях, когда с помощью сообщений HELLO был установлен факт изменения состояния какой-либо связи.

В результате протоколы LSA создают гораздо менее интенсивный трафик, чем протоколы DVA.

Протоколами, основанными на алгоритме состояния каналов связей, является протокол IS-IS и протокол OSPF.

В одной и той же сети могут одновременно работать несколько разных протоколов маршрутизации (рис. 1.2.1). Это означает, что на некоторых (не обязательно всех) маршрутизаторах сети установлено и функционирует несколько протоколов маршрутизации, но при этом, естественно, через сеть взаимодействуют только одноименные протоколы. То есть если маршрутизатор 1 поддерживает протоколы RIP и OSPF, маршрутизатор 2 -- только RIP, а маршрутизатор 3 -- только OSPF, то маршрутизатор 1 будет взаимодействовать с маршрутизатором 2 по протоколу RIP, с маршрутизатором 3 -- по OSPF, а маршрутизаторы 2 и 3 вообще непосредственно друг с другом взаимодействовать не смогут.

В маршрутизаторе, который поддерживает одновременно несколько протоколов, каждая запись в таблице является результатом работы одного из этих протоколов. Если информация о некоторой сети появляется от нескольких протоколов, то для однозначности выбора маршрута (а данные разных протоколов могут вести к разным рациональным маршрутам) устанавливаются приоритеты протоколов маршрутизации. Обычно предпочтение отдается протоколам LSA, как располагающим более полной информацией о сети по сравнению с протоколами DVA. В некоторых ОС в формах вывода на экран и печать в каждой записи таблицы маршрутизации имеется отметка о том, с помощью какого протокола маршрутизации эта запись получена. Но даже если эта отметка на экран и не выводится, она обязательно имеется во внутреннем представлении таблицы маршрутизации.

Рис. 1.2.1 Применение нескольких протоколов маршрутизации в одной сети

По умолчанию каждый протокол маршрутизации, работающий на определенном маршрутизаторе, распространяет только «собственную» информацию, то есть ту информацию, которая была получена данным маршрутизатором по данному протоколу. Например, если о маршруте к некоторой сети маршрутизатор узнал по протоколу RIP, то и распространять по сети объявления об этом маршруте он будет с помощью протокола RIP.

Однако такой «избирательный» режим работы маршрутизаторов ставит невидимые барьеры на пути распространения маршрутной информации, создавая в составной сети области взаимной недостижимости. Задача маршрутизации решалась бы эффективнее, если бы маршрутизаторы могли обмениваться маршрутной информацией, полученной разными протоколами маршрутизации. Такая возможность реализуется в особом режиме работы маршрутизатора, называемом перераспределением. Этот режим позволяет одному протоколу маршрутизации использовать не только «свои», но и «чужие» записи таблицы маршрутизации, полученные с помощью другого протокола маршрутизации, указанного при конфигурировании.

Даже на примере небольшой сети реализовать применение нескольких протоколов маршрутизации непросто. Для крупных составных частей решение данной проблемы требует совершенно иного подхода.

Сегодня интернет - громадная составная сеть и один протокол не сможет обрабатывать задачу обновления всех таблиц маршрутизации. По этой причине интернет разделяется на автономные системы.

Автономная система (Autonomous System, AS) -- это совокупность сетей под единым административным управлением, обеспечивающим общую для всех входящих в автономную систему маршрутизаторов политику маршрутизации.

Основная цель деления Интернета на автономные системы являлась потребность в обеспечении многоуровневого подхода к маршрутизации. До введения автономной маршрутизации предполагался двухуровневый подход, то есть сначала маршрут определялся как последовательность сетей, а затем вел непосредственно к заданному узлу в конечной сети.

С появлением автономных систем появляется третий, верхний, уровень маршрутизации теперь сначала маршрут определяется как последовательность автономных систем, затем, как последовательность сетей и только потом ведет к конечному узлу.

Каждая автономная система может выбрать протокол внутренней маршрутизации, для того чтобы обрабатывать маршрутизацию внутри автономной системы. Однако для обработки маршрутизации между автономными системами выбирается только один протокол маршрутизации.

Основным протоколом обмена маршрутной информацией между автономными системами сегодня является Пограничный (внешний) шлюзовой протокол (Border Gateway Protocol, BGP).

BGP наряду с DNS является одним из главных механизмов, обеспечивающих функционирование Интернета. [14]

1.3 Проблемы безопасности сети передачи данных

Несмотря на то, что в свое время протокол TCP/IP разрабатывался при финансировании министерства обороны США, он не обладает абсолютной защищенностью, и проблемы в нем обнаруживаются до сих пор.

Существует несколько проблем безопасности стека TCP/IP относящихся к различным уровням протокола.

К атакам, реализуемым на канальном уровне TCP/IP, относятся:

· ARP-spoofing - атака, реализуемая на канальном уровне стека TCP/IP. Протокол ARP предназначен для определения адреса канального уровня по известному адресу сетевого уровня. Техника атаки строится на том, что этот протокол не имеет никакой аутентификации, поэтому доверяет любому ARP-ответу извне (даже если он не посылал запроса), сообщающему, об изменении соответствия IP-адреса и MAC-адреса и обновляет ARP-таблицу. Таким образом, злоумышленник, может послать двум компьютерам ложные ARP-ответы и весь трафик направить на собственный компьютер.

· Атака на STP. Протокол STP предназначен для того, чтобы приводить сложные сети к древовидной топологии, исключающие циклы пакетов. Как и большинство протоколов низкого уровня, он не имеет аутентификации, что используется злоумышленниками. С помощью протокола, свитчи, обмениваясь специальными BPDU-сообщениями, «договариваются» об оптимальных маршрутах по которым посылаются пакеты. Таким образом, подключенная к сети «машина» может разослать ложные BPDU-пакеты, о том, что топология сети изменилась, и чтобы весь трафик проходил теперь через нее.

Атаки, реализуемые на сетевом уровне:

· Атаки на протокол ICMP. ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. В протоколе существует два типа сообщений, так называемые, «мягкие», которые лишь сообщают о возможно неправильной работе сети и их можно игнорировать, и «жесткие», получив которые, соединение разрывается. Лишь в 2005 году выяснилось, что создать поддельный ICMP пакет и послать его жертве не составляет особого труда. Одна из самых серьезных проблем, создаваемых данной уязвимостью, строится на том, что протокол динамической маршрутизации в Интернете BGP требует постоянного соединения без особо большого количества передачи данных. Послав ложный пакет роутеру, он прервет свои BGP-сессии и ему потребуется некоторое время для того чтобы восстановить соединение, в течении которого сеть работать не будет. Понятно, что конфиденциальность и целостность таким видом атаки нарушить нельзя, но очень часто доступность является первоочередным критерием.

Атаки, реализуемые на транспортном уровне:

· Протокол TCP так же, как и IP работает уже очень давно и между тем проблемы в нем находят до сих пор. Данная проблема была обнаружена в 2009 году и заключалась в том, что при передаче TCP-пакета можно выставить значение TCP-окна равное 0. Размер окна - это, то количество информации, которое готова принять одна из сторон без подтверждения. Таким образом, могла сложиться ситуация, что хост хочет послать пакет другому хосту, но в тоже время от того пришло сообщение о размере TCP-окна равное 0, т.е. слать ничего нельзя. В результате срабатывает таймаут, который в TCP длится примерно две минуты. Если с определенной периодичностью повторять эту операцию, то можно полностью остановить работу какого-либо сервера.

· Уязвимость UDP. Уязвимость заключается в том, что протокол UDP не требует установки соединения, и это создает возможность послать жертве любой пакет с поддельного адреса. Таким образом можно с множества «машин» одновременно послать пакеты на один сервер и, как результат будет прекращение его работы.

Уязвимости прикладного уровня:

· SNMP. Протокол предназначен для управления сетями связи на основе архитектуры UDP. В первой и второй версии протокола сообщения о конфигурационных параметрах или указания об изменениях настроек сетевого оборудования, передавались по сети в незашифрованном виде. И если перехватить эти сообщения, можно от имени администратора обратиться к сетевому устройству и изменить его конфигурационные параметры. В третьей версии эти сообщения шифруются, но зачастую старое сетевое оборудование продолжает работать на первой или второй версиях.

· DNS amplification. Различают два типа DNS-запросов: рекурсивные и итеративные. При рекурсивном запросе сервер имен находит ответ самостоятельно. Другими словами, сервер имен может попросить помощи у других DNS-серверов, например, корневых серверов, которые хотя сами и не знают ответов, но хранят ссылки на другие DNS-серверы. Сервер имен будет проверять все предоставленные ему ссылки, пока не обнаружит необходимую ему информацию. Так как DNS работает на основе протокола UDP, злоумышленник может послать на DNS-сервер (в сети множество DNS-серверов, отвечающих абсолютно любому запросу из любой точки мира) запрос с выставленным флагом, требующий предоставить информацию о всех DNS-серверах, которые он опрашивал по пути, а в качестве адреса отправителя выставляет адрес «жертвы». Если каждому из таких серверов послать этот запрос, то жертва начнет получать огромное количество ответов, на запрос, который не посылала.[14]

1.4 Постановка задачи

Из всего перечисленного можно сделать вывод, что технология TCP/IP использующаяся сегодня повсеместно, и основанные на нем протоколы маршрутизации не могут в должной степени обеспечить требуемый уровень безопасности передачи данных. Большинство атак, описанных в разделе 1.5, отталкиваются от возможности перехвата и подмены пакетов сообщений. Возможным же это становиться в большинстве случаем в результате низкой скрытности сети связи, позволяющей злоумышленникам получить доступ к отельным узлам сети.

В современных сетях передачи данных вопросы безопасности не только не решены полностью, но и зачастую эти вопросы не рассматриваются в первоочередном порядке.

Даже несмотря на то, что протоколы, на которых строится все сети и Интернет в том числе, работают уже очень давно, уязвимости в них обнаруживаются до сих пор.

Существующие способы маршрутизации пакетов также обладают рядом недостатков, среди которых отсутствие адаптации к изменениям структуры сети, низкая скрытность связи и многое другое.

Все это приводит к необходимости решения задач безопасной маршрутизации.

Выбрать безопасный маршрут передачи данных это значит определить последовательность узлов, через которые стоит пересылать сообщения таким образом, чтобы при этом повысить скрытность сети связи.

В разработанном техническом решении повышение скрытности связи будет достигаться за счет управления маршрутами передачи данных между абонентами сети.

Выводы по разделу

· Был описан принцип функционирования информационной сети.

· Показаны основные протоколы передачи данных.

· Описаны современные протоколы маршрутизации пакетов.

· Рассмотрены уязвимости информационных сетей и приведены виды атак, использующие данные уязвимости.

· Поставлена задача на дипломное проектирование.

2. АНАЛИЗ ИЗВЕСТНЫХ СПОСОБОВ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА ПЕРЕДАЧИ ДАННЫХ В СЕТИ

2.1 Способ продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP

Известен способ выбора маршрута в соответствии с условиями занятости сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ № 2271614 МПК H06L 12/38, опубл. 10.03.2006 г.

Способ заключается в том, что выбор маршрута доставки пакетов в сетях связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом передачи, аналогично функции для услуг, требующих гарантированного качества сервиса QoS. Для прохождения транспортных потоков согласно пути, назначенного менеджером ресурсов в сети доставки, контролируют пограничные маршрутизаторы в соответствии с условиями занятости сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с помощью технологии многоуровневого стека меток.

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи, а так же не полное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков.

2.2 Способ корректировки маршрутов в сети передачи данных

Известен так же способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ № 2220190 МПК H04L 12/28, опубл. 10.10.1998 г.

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки "запись", "стирание".

Недостатком данного способа является так же отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что приводит к низкому качеству выбора.

2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети

Наиболее близким по своей технической сущности к заявленному является «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ № 2004111798 МПК H04L 1/00, опубл. 10.05.2005 г.

Способ-прототип заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.

Известный способ-прототип устраняет недостатки аналогов, касающиеся снижения качества выбора маршрута, что обусловлено введением критериев качества маршрутов.

Однако недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.

Выводы по разделу

· Были представлены и описаны известные способы безопасной маршрутизации.

· Рассмотрен принцип их действия и их недостатки, которые приводят к низкому качеству выбора маршрутов передачи и к возможности перехвата информационного обмена злоумышленниками.

· Выявлен ряд недостатков существующих алгоритмов, которые следует решить в ходе дипломного проекта.

3. ПОСТРОЕНИЕ АЛГОРИТМОВ РЕШЕНИЯ ЗАДАЧИ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА ПЕРЕДАЧИ ДАННЫХ

В каждом из разработанных способов осуществление выбора самого безопасного маршрута из совокупности всех возможных маршрутов связи между абонентами сети, реализуется путем задания информации о структуре сети, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети.

Реализация заявленного алгоритма основывается на том, что для обеспечения информационного обмена абонентов в сети осуществляется выбор маршрута связи из совокупности возможных маршрутов. Выбрать маршрут передачи сообщений - значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. Определение маршрута сложная задача, особенно когда между парой абонентов существует множество маршрутов. Задача определения маршрутов состоит в выборе из всего этого множества одного или нескольких маршрутов по некоторому критерию. Однако в существующих способах выбора маршрутов, как правило, в качестве критериев выбора выступают, например, номинальная пропускная способность; загруженность каналов связи; задержки, вносимые каналами; количество промежуточных транзитных узлов сети; надежность каналов и транзитных узлов сети. При этом выбор маршрута осуществляется в узлах сети (маршрутизаторах) операторов связи. На каждом из узлов сети маршрут определяется самостоятельно, и первоначальный маршрут не всегда совпадает с конечным. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети, что приводит к снижению скрытности связи. Таким образом, возникает противоречие между требованием по обеспечению скрытности связи и существующими способами выбора маршрутов информационного обмена в сети связи. На устранение указанного противоречия направлен заявленный способ (варианты).

3.1 Первый вариант алгоритма безопасной маршрутизации

Рис. 3.1.1 Блок-схема последовательности действий, реализующих первый вариант алгоритма

В первом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X ? 2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающей адреса узлов сети IP_УС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, адрес сервера безопасности IP_СБ, идентификаторы ID_а и адреса IP_а абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ? 2 параметров безопасности и их значения b_xy, где y = 1,2,…,Y. Вычисляют комплексный показатель безопасности k_x? для каждого x-го узла сети. Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IP_УС и адреса абонентов IP_а сети, а так же информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы ID_а, ID_СБ и соответствующие им адреса IP_а, IP_СБ абонентов сети и сервера безопасности. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ? j, в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n = 1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. После этого выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы ID_аj и адреса IP_аj всех j-х абонентов. Отправляют сформированные сообщения всем i-м абонентам сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения ID_а выбирают его адрес IP_а и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте. При подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IP_УС подключения нового абонента, его идентификатор ID_ан и адрес IP_ан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.

Комплексный показатель безопасности k_x? для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности b_xy.

Число N_ij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:

,

где

_ преобразованная матрица смежности вершин графа сети связи.

M = M_р-1, K - соответственно число строк и столбцов матрицы,

M_р - число строк исходной матрицы смежности; равное общему

количеству узлов сети связи;

_ транспонированная матрица к .

Рис. 3.1.2 Сеть связи

Первый вариант заявленного способа реализуют следующим образом. В общем случае сеть связи (Рис. 3.1.2) представляет собой совокупность из X узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4. Количество узлов сети X больше или равно двум. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи. Множество адресов подключенных к сети связи абонентов и узлов сети не пересекаются.

...