Ключевые слова:распределенные сети, сетевые протоколы, сетевые атаки, маршрутизируемый сервис, мультиплексирование трафика.
На сегодняшний день наибольшее значение приобретают распределенные информационные вычислительные сети и технологические процессы их исследований. Развитие технологий требует неизменного повышения эффективности работоспособности подобных систем и определяют задачи для решения которых требуется научный подход. Одной из таких проблем является создание новых методов с целью улучшения таких систем, обеспечения производительности их функционирования и т. п. Вследствие того, что каналы связи обладают большой протяженностью, в настоящее время их длины вычисляются сотнями тысяч километров, можно реализовать подключение к каналу, осуществить внешнее воздействие на систему, нарушив этим ее работоспособность. В качестве заинтересованных лиц данной деятельности могут быть: иностранные разведывательные службы, преступные сообщества, группы, формирования и отдельные лица. Помимо этого, существует множество субъективных внешних причин, способных оказать влияние на систему.
С развитием и глобализацией Internet и применяемых технологий передачи информации, вопрос о увеличении эффективности функционирования компьютерных сетей встает наиболее остро, затрагивая полный спектр различных решений и исследований.
Уникальность глобальной сети Internet в том, что она никак не находится во владении того или иного физического лица, частной фирм, правительственного ведомства либо отдельного государства. Имеется ряд рекомендаций по модернизации сети по применению протоколов, на которых основано ее функционирование. Их необходимо придерживаться при исследовании и модернизации вводимых систем. Однако, нет строгих ограничений на сами структуры, технологические процессы, а также на сферу их применений. В наше время сеть Интернет не только сеть передачи данных. Модель связи имеет тенденцию смещения в сторону IP. Это обозначает, Интернет используется равно как транспорт не только для статических данных, но и для голосовых, мультимедиа, телевизионных и др. потоков. Помимо этого, фактически во всех секторах сети отсутствует государственное регулирование, цензура и прочие формы контроля как за информацией, циркулирующей в сети, так и за технологиями использующих ее основу. Оно предоставляет очень хорошую базу для проведения исследований и построения новых систем, реализованных в сетевом пространстве. С другой стороны, Internet сегодня, практически безвариантный и единый путь обмена данными, как на магистральном, так и на локальном уровнях. Данные обстоятельства накладывают вспомогательные меры по обеспечению постоянной модернизации сетевой структуры, протоколов, выявлению закономерностей ее функционирования, построению новых инструментов, которые могут быть применены в качестве основы для последующих исследований и изучений.
Инновационные вычислительные системы считаются распределенными компьютерными сетями, сопряженными с помощью каналов связи. Данные, передающиеся по каналам связи компьютерных сетей, является критическим ресурсом, позволяющим учреждениям успешно решать собственные задачи. Помимо этого, и частные лица имеют право ожидать, что их личная информация, передающаяся по каналам связи, останется частной, и никак не подвергнется несанкционированному доступу. Владельцы информации вправе требовать от поставщика услуг передачи данных, чтобы их сведения оставалась конфиденциальной, целостной и легкодоступной. Под несанкционированным доступом к информации подразумевается такой доступ, при котором нарушаются определенные принципы допуска к данным. Несанкционированный доступ считается реализацией преднамеренной угрозы безопасности и зачастую еще именуется атакой на информационные системы.
Защищенность данных, которые передаются по каналам связи, обеспечивается исполнением последующих функций:
аутентификации взаимодействующих сторон;
криптографической защиты данных;
подтверждения подлинности и целостности полученной информации;
защиты от повтора, приостановки, удаления сообщений, кроме того защиты от отрицания прецедентов отправления и приема сообщений.
Приведенные функции взаимосвязаны во многом между собой, и их реализация базируется на криптографической защите передаваемых данных -шифровании.
Шифрование — преобразование начального текста с помощью определенных алгоритмов и передача данного измененного текста по открытому каналу связи. Для криптографической защиты могут применяться как симметричные, так и асимметричные криптографические системы.
Одним из методов защиты информации, передаваемой по каналам связи, является создание защищенных виртуальных сетей (Virtual Private Network, VPN) [1], в которых формирование виртуальных каналов моделируется благодаря реальных каналов связи. Число одновременно функционирующих виртуальных сетей исчисляется пропускной способностью реальных каналов связи. VPN узлы дают возможность группировать локальные сети и отдельные компьютеры посредством открытых сетей, например, через сеть Интернет. Применение виртуальных сетей позволяет существенно сократить финансовые расходы, сопряженные с прокладкой новых каналов связи за счет применения уже существующих каналов связи компании Интернет-провайдера.
Но, эффективность применения защищенных виртуальных сетей, в первую очередь обусловливается защищенностью передаваемой информации. Таким образом, защита данных основана на построении защищенных виртуальных каналов связи, именуемых криптографическими туннелями либо туннелями VPN. Туннель VPN — это соединение, определенное посредством открытой сети, согласно которой передаются криптографически защищенные пакеты виртуальной сети. Туннели VPN формируются между узлами сети, на которых действует надлежащие компоненты. Отличают два вида подобных компонент: инициатор туннеля и терминатор туннеля. Инициатор туннеля отвечает за инкапсуляцию пакетов в новые пакеты IP, имеющие наряду с начальными данными новый заголовок со сведениями об отправителе и получателе. Все без исключения передаваемые по туннелю пакеты считаются пакетами IP, а инкапсулируемые пакеты могут относится к протоколу любого типа, к примеру, к не маршрутизируемому протоколу NetBEUI. Терминатор же осуществляет действия противоположные тем, что выполняет инициатор, то есть удаляет из пакетов новые заголовки и предоставляет пакет в локальный стек протоколов. Путь между инициатором и терминатором туннеля устанавливает “открытая” IP-сеть. Защищенность информации обеспечивается посредством криптографической защиты инкапсулируемого пакета, т. е., шифрованием пакета, а целостность и достоверность, обеспечивается путем использования цифровой подписи.
На сегодняшний день существует огромное количество протоколов формирования защищенных виртуальных сетей и их можно разделить по уровням эталонной модели OSI (Open System Interconnection).
- Канальный уровень (второй уровень). К канальному уровню принадлежат следующие протоколы реализации VPN: PPTP (Point-To-Point Tunneling Protocol), L2F (Layer-2 Forwarding), L2TP (Layer-2 Tunneling Protocol) и т. д.
Протокол PPTP разработан компанией Microsoft при поддержке ряда иных компаний и позволяет создавать защищенные туннели на канальном уровне. Данный протокол представляет расширение протокола PPP (Point-to-Point Protocol), применяемый с целью создания соединений типа “точка-точка”. В последних версиях операционных систем компании Microsoft также поддерживается усовершенствованная версия протокола PPTP–MPPE (MicrosoftPoint-to-PointEncryption). Усовершенствование заключалось в добавлении в протокол алгоритма шифрования DES компании RSA. Создание виртуальных защищенных сетей на базе протокола PPTP или усовершенствованных версий данного протокола допустимо, если в качестве инициатора и терминатора туннеля выступает компьютер или сервер с установленной операционной системой компании Microsoft.
Протокол L2F разработан компанией Cisco Systems совместно с рядом других компаний. Данный протокол также как и протокол PPTP дает возможность создавать защищенные виртуальные туннели на канальном уровне модели OSI.
Протокол L2F считается компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается в сетевых устройствах, выпускаемых этой фирмой.
Протокол L2TP построен на основе протоколов PPTP и L2F и он вобрал в себя все лучшее от этих протоколов. Этот протокол поддерживают ведущие компании отрасли, такие как Cisco, Microsoft, 3Comи т. д. ПротоколL2TP, также как и протоколыPPTPиL2F, является расширением протокола PPP и позволяет создавать защищенные туннели на канальном уровне.
- Сетевой уровень (третий уровень). Протокол Internet Protocol Security (IPSec) соответствует сетевому уровню модели OSI, и в настоящее время является наиболее функциональным протоколом создания защищенных виртуальных сетей. Протокол IPSec предусматривает использование стандартных методов аутентификации и шифрования пакетов, методов формирования и проверки цифровой подписи, а также использование стандартных методов обмена и управления криптографическими ключами (например, протоколы SimpleKeyManagementforInternetProtocols — SKIP иInternetSecurityAssociationandKeyManagementProtocol–ISAKMP) между инициатором и терминатором туннеля. С помощью этого протокола можно создавать между локальными сетями защищенные виртуальные каналы, которые поддерживают множество индивидуальных каналов передачи данных. Протокол IPSec входит в состав новой версии протокола IP — IPv6. Кроме этого, совместное использование протоколов второго и третьего уровня, например, IPSec и L2TP, обеспечивает наиболее высокую степень защиты информации.
- Транспортный и сеансовый уровень (четвертый и пятый уровень). Создание защищенных виртуальных сетей на транспортном и сеансовом уровне обеспечивает протокол SSL/TLS (SecureSocketsLayer / TransportLayer Security). Также как и перечисленные выше протоколы, протокол SSL/TLS создает туннель, по которому передается криптографически защищенная информация. Протокол SSL/TLS создан на основе технологии комплексного использования асимметричных и симметричных криптосистем компании RSA. Для аутентификации взаимодействующих сторон и криптозащиты ключа симметричного шифрования используются цифровые сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровыми подписями специальных Сертификационных центров. Поддерживаются цифровые сертификаты, соответствующие общепринятому стандарту X.509.
Таким образом, протоколы, перечисленные выше, позволяют создавать виртуальные защищенные сети на разных уровнях модели OSI. При этом возможно создание виртуальных сетей одновременно на нескольких уровнях, это обеспечивает повышенную защиту информации, но ведет к снижению общей скорости криптографических преобразований и пропускной способности виртуальной сети.
Стеганография [2] служит для передачи секретов в других сообщениях, так, что скрыт сам факт существования секрета. Как правило, отправитель записывает какое либо неприметное сообщение и прячет секретное сообщение на том же листе бумаги. Приемы стеганографии включают невидимые чернила, невидимые простому глазу человека пометки у букв, плохо заметные отличия в написании букв, пометки карандашом, решетки, покрывающие большую часть сообщения и т. п. Сегодня самыми популярными способами стали методы сокрытия информации в графических изображениях. При этом младший бит изображения становился битом сообщения. Изображение в этом случае меняется очень незначительно, поскольку большинство стандартов определяет большее количество цветов, чем способен различить человеческий глаз. Таким образом, в черно-белой картинке 1024x1024 можно спрятать сообщение в 64k.
Другим возможным применением стеганографии являются имитационные функции Питера Уейнера. Они маскируют сообщение так, что его статистический профиль становится похожим на что либо другое. Этот метод используется в основном как средство против электронного поиска информации.
Наиболее очевидный вариант реализации системы в сети IP- на сеансовом уровне модели ISO/OSI является систем мультиплексирования данных. Одним из основных, но не единственных, вариантов использования может явиться методика противодействия перехвату как речевого обмена, так и обмена данными. Так же разделение данных и их распараллеливание способно, более рационально использовать избыточность каналов, предназначенных для резервирования, повышать функциональность таких систем в целом. Например, применительно к реализации в сети передачи технологий FRAME RELAY и ATM [3], стандарта ITU G.729 цифровой обработки и сжатия голоса это означает, что передаваемая пакетами по виртуальному соединению речь, по сути, представляет собой длинное сообщение. Увеличение степени его разделения способно сократить среднее время доставки — время задержки в сети. Сокращение времени доставки само по себе в системах передачи голоса не имеет особого смысла (т. к. нет физической целесообразности ускорения речевого обмена, например, выдачи конца слова, ранее, чем получено его начало), тем не менее, более важно то, что существенно сократятся задержки пакетов, а это является определяющим параметром для качества речи.
Система мультиплексирования трафика может быть реализована в стеке TCP/IP с использованием транспортного протокола TCP. Данные, предназначенные для передачи, поступают на демультиплексор и разбиваются (демультиплексируются) на части, в соответствии с алгоритмом работы программы. Каждая часть передается по отдельному TCP-соединению, терминированному на передатчике. Каждое TCP-соединение между демультиплексором и соответствующим передатчиком и между передатчиком и мультиплексором само заботится о надежной доставке передаваемых данных в силу использования TCP. Таким образом, система целиком полагается на надежность протокола.
Скажем необходимо передать информацию с одного компьютера на другой (с демультиплексора на мультиплексор), при этом необходимо обеспечить надежность передачи данных. Разнесение передачи реализовывается по нескольким физическим каналам отдельных частей, передаваемых данных так, чтобы восстановление начальных данных была максимально сложной, а захват абсолютно всех элементов был затруднителен. Иным словом, система основывается на аналоге телефонного шифратора Д. Х. Роджерс, которая реализуется на сеансовом уровне модели ISO/OSI в стеке TCP/IP, за счет использования промежуточных передатчиков.
Данные приложения, согласно алгоритмом работы программы, демультиплексируются на части, передавая каждую часть своему TCP-приложению. Впоследствии обработки информации на уровне TCP пакеты передаются уровню IP. В заголовке полученного IP — пакета в поле отправитель отображается IP-адрес демультиплексора, а в поле получатель адрес передатчика. При помощи такой реализации происходит сокрытие адресов конечного пункта назначения и соответствующего устройства [4].
В числе вероятных атак на систему считается атака на нахождение потоков, которые относятся одному источнику за счет корреляции их скоростей. Необходимо сократить полосу пропускания для каждого из потоков и наблюдать реакцию других потоков на данное влияние, чтобы понять какие потоки взаимосвязаны друг с другом.
В связи с тем что, информация передается поочередно: демультиплексор разделяет побайтно на два канала, то соответственно скорость передачи информации для обоих каналов будет равной. Допустим, злоумышленник минимизировал полосу пропускания на каком-либо участке между «передатчиком» и «мультиплексором». Так как соблюдается побайтная последовательность, определенное время спустя после падения скорости на одном из каналов, упадет скорость и на другом, стоит отметить, что они напрямую никак не связаны. Показатель корреляции для скоростей потоков будет близка к 1.
Для уменьшения показателя корреляции при внешнем воздействии, используется вспомогательный программный буфер, который находится в компонентах системы. Сам буфер более большой по размеру, нежели встроенный буфер TCP. Таким образом, при ограничении полосы пропускания на потоке, демультиплексор продолжает функционировать в обычном режиме. Однако, излишние данные помещаются в буфер для дальнейшей передачи по сети.
Применение дополнительного буфера уменьшает корреляцию, более того показатель коэффициента корреляции снижается в разы. Необходимо выделить то, что чем больше размер буфера, тем более продолжительное воздействие на канал данная система способна выдержать.
Литература:
- Олифер Н., Олифер В. Виртуальные частные сети, 2002. http://www.osp.ru/lan/2002/01/058.htm
- Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии: Учебное пособие. М. Гелиос АРВ, 2001.
- Кларк К., Гамильтон К. Принципы коммутации в локальных сетях Cisco. М.: Издательский дом “Вилиамс”.
- Лавров Д. Н. Схема разделения секрета для потоков данных маршрутизируемой сети. Математические структуры и моделирование. № 10. 2002.