Разработка системы защиты сетевого трафика

А. В. РОМАНОВ

Московский инженерно-физический институт (государственный университет)

РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ СЕТЕВОГО ТРАФИКА

В работе проанализированы возможные подходы к встраиванию собственных механизмов защиты сетевого трафика в операционные системы семейства Windows NT, разработана архитектура системы защиты сетевого трафика и выполнена её реализации. Основным результатом работы является обоснование возможности встраивания собственных механизмов защиты в код ОС и построение модели системы, способной поддерживать указанные механизмы.

Одной из важнейших задач обеспечения информационной безопасности является защита межсетевого взаимодействия открытых систем от пассивного наблюдения и навязывания ложной информации. В общем случае данная задача называется задачей защиты сетевого трафика.

Как известно, процесс обеспечения информационной безопасности с точки зрения концептуальной теории защиты информации делится на две равнозначно важные подзадачи: задачу защиты информации и задачу защиты от информации [1]. В таком же контексте можно рассматривать и решение задачи обеспечения защиты сетевого трафика. При этом под задачей защиты информации подразумевается её криптографическая или стеганографическая защита, а под задачей защиты от информации – задача фильтрации.

Следует отметить, что первоначально разработанные протоколы обмена информацией в локальных и глобальных сетях не предполагали необходимости как защиты собственно передаваемой информации, так и защиты от получения несанкционированной, навязываемой информации, в том числе использования специальных наборов данных для атаки получателя. Однако с течением времени такая необходимость возникла, и производители были вынуждены рассматривать аспект обеспечения информационной безопасности в качестве одного из наиболее важных.

При этом, если для ОС семейства Unix данные проблемы были решены весьма оперативно, и при этом вследствие использования открытого кода каждый мог лично удостоверится в корректности реализации и отсутствии закладок, то ОС семейства Windows оставались полностью незащищёнными вплоть до выхода последних версий [2]. Кроме того, отказ корпорации Microsoft от опубликования исходных кодов для данных ОС, а также требования американского законодательства к ограничениям на экспорт средств защиты информации, заключающиеся, например, в ограничении эффективной длинны ключа [3-4], не позволяет полностью полагаться на качество средств защиты, поставляемых вместе с ОС по умолчанию.

В данной работе рассматриваются подходы к решению задачи защиты сетевого трафика в условиях использования операционных систем семейства Windows NT (NT, XP,2003 Server). Особое внимание при этом уделяется наличию возможности встраивания собственной доверенной реализации механизмов защиты в архитектуру готовой системы, способных обеспечить как хорошие криптографические свойства, так и высокую производительность. При этом одними из ключевых требований являются: полная аппаратная независимость системы от используемого сетевого оборудования и отсутствие необходимости дополнительной адаптации системы к конкретной версии операционной системы из поддерживаемого списка. Несмотря на различия в подходах к обеспечению шифрования сетевого трафика и его фильтрации, в рамках работы была разработана архитектура системы, способная объединить их в едином модуле режима ядра.

В результате работы была разработана архитектура системы защиты сетевого трафика с возможностью встраивания различных (в том числе собственных) криптографических алгоритмов, с поддержкой множественных защищённых соединений, а также выполнена программная реализация базового каркаса системы, способного к расширению. При этом, построенная системы может быть использована не только с целью непосредственного обеспечения шифрования и/или фильтрации сетевого трафика, но и как основа для построения системы стеганографической защиты, в качестве контейнера которой используется сетевой трафик [5], а также как базовая модель для построения программных эмуляторов фирменных стеков протоколов, в том числе и реализованных на аппаратном уровне.

Список литературы

1. Малюк безопасность: концептуальные и методолонические основы защиты информации. М.: Горячая линия – Телеком, 2004. С.

2. http://www. /technet/itsolutions/network/ipsec/default. mspx

3. http://www. bis. doc. gov/Encryption/

4. http://www. *****/dbtexts/ipks/Relis/Art103/art103.htm

5. Романов драйверов для обеспечения защиты сетевого трафика в ОС Windows. Материалы X Международной конференции Комплексная защита информации. Минск: «Амалфея», 2006. С. 207-209.