Способ защиты вычислительных сетей от угроз анализа трафика

Размещено на http://www.allbest.ru/

Способ защиты вычислительных сетей от угроз анализа трафика

Бочков М.В., Козачок А.В.

В настоящее время в интересах информационного обеспечения органов государственной власти развернута сеть информационно-аналитических центров, техническую основу которой составляют вычислительные сети (ВС). Современные ВС характеризуются сложной структурой, включающей в себя:

- домены коллизий;

- сети, сегментированные коммутационными устройствами;

- коммуникационные сервера;

- узлы доступа к ресурсам сети Интернет.

Такая типичная структура ВС представлена на рис. 1.

Рисунок 1 - Типовая структура вычислительной сети

К обрабатываемой в данных сетях информации выдвигается комплекс требований по обеспечению информационной безопасности. В зависимости от принадлежности источника угроз выделяют внутренние и внешние угрозы безопасности функционирования ВС [1]. В качестве источника внутренних угроз могут выступать:

- авторизованные субъекты доступа - администратор ВС, администратор баз данных, пользователи;

- вспомогательный технический и обслуживающий персонал - служба охраны, жизнеобеспечения и др.

Источником внешних угроз для ВС могут выступать:

- лица, заинтересованные в хищении конфиденциальной информации;

- хакеры или недобросовестные поставщики телекоммуникационных услуг;

- подразделения и службы технической разведки иностранных государств.

По данным аналитического центра компании «InfoWatch», специализирующейся в области защиты информации, соотношение опасности внутренних и внешних угроз информационной безопасности в госсекторе за 2006 год составило (55 %) и (45 %) соответственно. К наиболее опасным внутренним угрозам можно отнести нарушение конфиденциальности информации (77 %), утрата информации (62 %) и сбои в работе информационных систем (51 %). Очевидно, что основной угрозой информационной безопасности в вычислительных сетях является нарушение конфиденциальности информации.

К угрозам нарушения конфиденциальности информации в ВС относятся [2]:

- ошибки, допускаемые должностными лицами;

- опасные программно-технические воздействия (дефекты ПО, закладки, вирусы, атаки на ресурсы ВС);

- несанкционированный доступ к ресурсам ВС;

- несанкционированное чтение или копирование информации;

- несанкционированный импорт или экспорт конфиденциальной информации;

- передача информации между элементами ВС, относящимися к разным классам защищенности.

В настоящее время существует ряд решений для защиты сетей от внутренних угроз. Можно выделить два основных подхода к реализации защиты (рисунок 2):

- разработку и внедрение программных продуктов, обеспечивающих комплексные решения для защиты от утечек конфиденциальных данных (Anti-Leakage Software);

- внедрение многофункциональных устройств для защиты ВС.

Рисунок 2 - Способы защиты вычислительных сетей от внутренних угроз

Первый подход [3] подразумевает под собой интегрированное решение для обеспечения контроля и аудита конфиденциальных данных, целостность информации, нецелевое использование сетевых ресурсов с возможностью централизованного управления и оповещения в режиме реального времени. При этом, реализуется защита от утечки посредством ресурсов электронной почты и Web-каналов, мобильных носителей и ресурсов рабочей станции, а также защита от нецелевого использования сетевых ресурсов.

Второй подход реализуется путем введения в сеть комплексного устройства защиты (КУЗ) от атак, НСД, деструктивных действий вирусов и разрушающих программных воздействий (РПВ). КУЗ предоставляет развитые механизмы адаптивной защиты от угроз (средства защиты от неизвестных угроз, методы защиты приложений и технологии контроля и защиты сети), гарантирующие унифицированную и полную защиту всех важных ресурсов ВС от широкого спектра несанкционированных действий. КУЗ также включает в себя встроенную подсистему корреляции событий безопасности, что позволяет осуществлять защиту сети от многих неизвестных угроз (РПВ), инструменты анализа трафика, выявления активности хакеров и предотвращения вторжений, а также средства предупреждения атак типа "отказ в обслуживании" [3].

Следует отметить, что современные технологии взлома сетей характеризуются этапом ведения компьютерной разведки, пассивная реализация которой заключается в анализе сетевого трафика. Таким образом, защищая сеть от угроз анализа трафика можно повысить защищенность сети в целом. вычислительный сеть трафик угроза

Можно выделить следующие объекты реализации угрозы анализа трафика в ВС (рисунок 1):

1) домены коллизий;

2) коммутационные устройства (точки интеграции сетевого трафика);

3) коммуникационные сервера;

4) узлы доступа к ресурсам сети Интернет.

Анализ современного состояния технологий, методов и средств защиты вычислительных сетей от внутренних угроз позволил выделить подходы к защите от угроз анализа трафика:

1. На основе специализированных программных средств для защиты от утечек применяются методы контроля потоков данных в ВС.

2. Использование комплексных устройств защиты, объединяющих в себе технологии межсетевого экранирования, логической сегментации сети (VLAN) и туннелирования и шифрования на основе VPN.

3. Применение технологии активного аудита с целью поиска устройств анализа трафика в домене коллизий.

На рисунке 3 представлены методы защиты от угроз анализа трафика. Данные методы обладают существенными недостатками: поиск устройств анализа трафика в доменах коллизий производится известными нарушителю статическими методами, а динамические методы характеризуются жестко устанавливаемым порогом срабатывания метода и большой вероятностью ошибок первого и второго рода. Для осуществления контроля потоков в ВС применяются средства межсетевого экранирования и контекстной фильтрации [3], не способные обнаруживать перехват сетевого трафика на коммутационных устройствах и коммуникационных серверах.

При формировании VLAN и применении в ВС туннелирования и шифрования на основе VPN отсутствуют методики синтеза и управления структурой ВС, оптимальной с точки зрения защищенности от угроз анализа трафика.

В связи с этим, предполагается рассмотреть перспективные подходы к защите от угроз анализа трафика.

При организации планового контроля производительности сетевых интерфейсов узлов ВС существует возможность на основе корреляционного анализа выявить зависимости интенсивности загрузки домена коллизий от загрузки сетевого интерфейса узла-нарушителя.

На рисунке 4 представлена схема экспериментальной установки, включающей в себя узел администратора безопасности, рабочие станции: 1-N-1 и узел сети N, функционирующий в режиме захвата сетевого трафика.

Рисунок 3 - Методы защиты от угроз анализа трафика

Рисунок 4 - Экспериментальная установка для обнаружения устройств анализа трафика в домене коллизий

На этапе функционирования экспериментальной установки при помощи узла администратора безопасности ЛВС осуществляется загрузка домена коллизий ICMP_пакетами с полем адресата, несуществующего в зондируемой сети, фиксируется загрузка сети и определяются значения загрузки сетевых интерфейсов автоматизированных рабочих мест (АРМ). Процедура накопления достаточной статистики осуществляется K раз. Вычисляются корреляционные коэффициенты для каждой j-й рабочей станции в сети.

Оценка коэффициента корреляции j-й рабочей станции вычисляется в соответствии с выражением [4]:

где - производительность сетевого интерфейса j-й рабочей станции на i-м шаге процедуры накопления статистики;

- интенсивность загрузки сети ICMP-пакетами на i-м шаге процедуры накопления статистики;

- оценка среднего значения производительности сетевого интерфейса j-й рабочей станции в сети;

- оценка средней интенсивности загрузки сети ICMP-пакетами.

Проводится проверка гипотезы о значимости корреляционной связи между загрузкой сети и сетевого интерфейса j-й рабочей станции, т.е. значимости отклонения коэффициента корреляции от нуля. Проверяется нулевая гипотеза: против альтернативы . Это осуществляется путем сравнения выборочного значения коэффициента корреляции с его критическим значением , являющимся _квантилью распределения при . При малых значениях () оценка определяется следующим выражением:

где - _квантиль стандартного нормального распределения.

Корреляция между случайными величинами признается значимой, если верно неравенство:

По результатам расчетов выборочных коэффициентов корреляции и проверки статистической гипотезы об их значимости с доверительной вероятностью принимается решение о функционировании узла сети в режиме захвата сетевого трафика.

Таким образом, проведенное экспериментальное исследование метода поиска устройств анализа трафика (рисунки 4, 5) показывает, что применение метода многомерного корреляционного анализа позволяет с высокой достоверностью (значимостью) обнаружить факты коррелированности пространственно разнесенных потоков данных в ЛВС.

Рисунок 5 - Производительность сетевых интерфейсов узлов вычислительной сети

Это позволяет говорить о целесообразности развития данного метода в направлении построения независимого сетевого узла контроля, основанного на информации о характеристиках потоков на интерфейсах коммуникационного оборудования, с целью обнаружения атак анализа трафика и перенаправления потоков данных.

Суть данного подхода заключается в контроле разграничения доступа к потокам данных на основе проверки корреляционной зависимости между загрузкой сетевых интерфейсов коммуникационного оборудования различных сегментов ВС.

Объединение технологий VLAN и VPN за счет сегментации сети на подсети и изоляции сетевых потоков позволит повысить ее защищенностье. Синтез оптимальной структуры VLAN и VPN на основе уменьшения размеров доменов широковещания в соответствии с функциональными группами пользователей сети позволит разграничить потоки данных в ВС и исключить нецелевое движение трафика при соблюдении заданных требований к качеству функционирования ВС. Так VLAN предназначены для повышения защищенности сетевых ресурсов от НСД, но при неоправданно высокой сегментации сети уменьшается значение показателя, характеризующего доступность информационных ресурсов ВС. Таким образом, планируется использовать в качестве критериев синтеза VLAN следующие показатели:

? вероятность обеспечения конфиденциальности информации между пользователями ЛВС;

? вероятность обеспечения доступности информационных ресурсов между пользователями ЛВС.

В соответствии с данными показателями необходимо определить структуру и параметры VLAN и VPN, обеспечивающие максимальную доступность информационных ресурсов: , при требуемом значении вероятности обеспечения конфиденциальности информации в ВС.

Таким образом, рассмотренные подходы на основе поиска устройств анализа трафика в домене коллизий, контроля потоков данных в ВС и синтеза оптимальной структуры сети на основе технологий VLAN и VPN позволят решить задачу комплексной защиты информации ВС от угроз анализа трафика.

Литература

1. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. [Текст] / М.: Госстандарт России. 1999 г.

2. ГОСТ РВ 51987-02. Информационная технология. Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. Общие положения. [Текст] / М.: Госстандарт России. 2002 г. - 60 с.

3. Комплексные решения для защиты от утечек конфиденциальных данных. [Текст] / "BYTE/Россия" , № 11/2005, с. 72-78.

4. Кобзарь, А.И. Прикладная математическая статистика для инженеров и научных сотрудников. [Текст] / А.И. Кобзарь - М.: ФИЗМАТЛИТ, 2006. - 816 с.

Аннотация

This paper describes the method of provision information security from sniffing attacks. It is shown that provision information security of local area networks (LANs) is necessary. LANs must be protected from sniffing attack via the determination methods, are well known intruders. This paper presents the new approach that performs performance control of network interfaces and detects sniffing and redirection attacks. It reflects the recommendations of the specialists for information security of LANs.

Размещено на Allbest.ru