УДК 004.738
,
O. o. matvienko, i. *****chin
МОДЕЛИ СОСТОЯНИЯ ВИРТУАЛЬНЫХ СОЕДИНЕНИЙ ПРИ РАЗГРАНИЧЕНИИ ДОСТУПА В IP-СЕТЯХ
status MODELs OF VIRTUAL CONNECTION In case of demarcation of access to IP-networks
В статье рассматривается актуальная проблема разработки и совершенствования методов и средств режима доступа в IP-сетях, представляющих угрозу информационной безопасности сетевых ресурсов. Создаваемые для этого средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.
Ключевые слова: режим доступа, информационная безопасность, сетевые ресурсы.
In article the actual problem of development and enhancement of methods and means of an access mode on the IP networks posing threat to information security of network resources is considered. Created for this means shall parry safely the given destructive influences directed on them.
Key words: access mode, information security, network resources.
Деятельность большинства хозяйствующих субъектов в настоящее время проходит в условиях интеграции в глобальную информационную сферу [1], одной из составных частей которой являются распределённые системы передачи, обработки и хранения данных. В связи с этим особое внимание уделяется вопросам обеспечения информационной безопасности (ИБ) объектов различного назначения [2]. Многие из вопросов связаны с организацией противодействия реализации угроз сетевого характера, обусловленных удалёнными деструктивными воздействиями на средства вычислительной техники [3]. Наиболее подверженными такого сорта воздействиям являются информационно-вычислительные и коммуникационные ресурсы (именуемые далее сетевыми) распределённых автоматизированных систем (АС), построенных с использованием компьютерных сетей на базе стека протоколов TCP/IP (далее — IP-сети) [4]. Одной из главных причин такого положения дел является существенная неадекватность механизмов обеспечения ИБ, встроенных в базовые протоколы стека TCP/IP, современному уровню развития средств реализации угроз. Наиболее распространёнными видами удалённых деструктивных воздействий являются атаки злоумышленников, обусловленные возможностью несанкционированного доступа (НСД) к сетевым ресурсам, активность вредоносного программного обеспечения и «ботнетов» в IP-сетях, атаки на отказ в обслуживании, а также спам, доля которого в настоящее время достигает 95% от общего объёма почтового трафика.
Одним из основных методов защиты сетевых ресурсов АС от распределённых деструктивных воздействий в IP-сетях является разграничение доступа (РД). Согласно принятой политике ИБ этот метод реализуется на основе идентификации, аутентификации и моделей логического разграничения доступа пользователей или процессов, действующих от их имени, к сетевым ресурсам. Попытки несанкционированного обращения к подконтрольным ресурсам при этом блокируются средствами, реализующими указанные сервисы ИБ. Как правило, такими средствами являются программные или программно-аппаратные средства межсетевого экранирования и фильтрации трафика. Наряду с разграничением доступа пользователей к сетевым ресурсам межсетевые экраны (МЭ) обеспечивают выполнение ряда важных сервисов и функций ИБ, включая криптографическую защиту данных, сокрытие структуры защищаемой сети, мониторинг трафика и обнаружение некоторых видов сетевых атак.
Используемые в настоящее время подходы к реализации режима доступа РД в IP-сетях основаны на анализе сетевого трафика на предмет его соответствия политике доступа, выраженной в виде совокупности правил фильтрации. При этом следует подчеркнуть, что возможности такого анализа не позволяют обеспечить защиту от всего существующего многообразия вредоносных сетевых воздействий. Это обусловлено постоянным совершенствованием методов и средств реализации сетевых угроз через разрешённые политикой доступа виртуальные соединения (ВС). С точки зрения задачи РД под ВС понимается информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одно - или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.
Важной особенностью, которую необходимо учитывать при обеспечении ИБ сетевых ресурсов АС, является возможность появления ситуации, при которой в момент установления ВС соответствует требованиям политики доступа, а во время обмена данными - перестаёт им соответствовать. Необходимо отметить также, что сетевые средства защиты информации сами могут оказаться объектом деструктивных воздействий. Это обстоятельство, при успешном проведении атаки, влечёт за собой серьёзные нарушения политики ИБ, которую такие средства призваны обеспечивать.
Операция доступа субъекта к объекту в сетевой среде сопровождается возникновением информационного потока в виде последовательности IP-пакетов, которая именуется в работе виртуальным соединением. Решение задач по обработке трафика в IP-сетях, в том числе и связанных с разграничением доступа, требуют формального описания виртуальных соединений. В рамках решения проблемы необходимо разработать теоретико-множественную модель виртуального соединения и обосновать переход к формальному описанию виртуального соединения в виде вектора состояния, который включает детерминированные и статистические параметры последовательности IP-пакетов.
Разграничение доступа в IP-сетях осуществляется на основе политики, регламентирующей возможность взаимодействия субъектов и объектов в сетевой среде. Необходимо формальное описание политики доступа к сетевым ресурсам на основе алгебры правил фильтрации, которая учитывает параметры сетевых, транспортных и прикладных протоколов, используемых в виртуальном соединении.
Подход, связанный с анализом параметров виртуальных соединений в межсетевых экранах позволяет контролировать не только требования политики разграничения доступа, но и корректность использования протоколов стека TCP/IP.
В межсетевых экранах реализуются упрощённые (по сравнению с системами обнаружения вторжений) алгоритмы выявления удалённых деструктивных воздействий в силу существенных ограничений на время принятия решения в процессе обработки IP-пакетов. Проведённое исследование статистических характеристик виртуальных соединений позволило предложить методику выявления атак типа «затопление» для межсетевых экранов на основе построенных моделей параметра, характеризующего мгновенную интенсивность пакетов для виртуальных соединений различных уровней безопасности. Методика базируется на процедуре последовательной проверки статистических гипотез с использованием критерия Вальда [4].
Детальное описание архитектуры современных межсетевых экранов является, как правило, информацией «для служебного пользования», что затрудняет анализ особенностей функционирования таких устройств. Автором исследованы архитектура и алгоритмы системы фильтрации для межсетевого экрана, осуществляющего разграничение доступа в IP-сетях в режиме скрытного функционирования с использованием моделей состояния виртуальных соединений и методики выявления атак типа «затопление».
С учётом изложенного актуальной научно-технической задачей является разработка и совершенствование методов и средств РД в IP-сетях на основе выявления и блокирования ВС, представляющих угрозу ИБ сетевых ресурсов распределённых АС. Создаваемые для этого средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.
список литературы
1. Доктрина информационной безопасности Российской Федерации [Текст]. – М.: Ось-89, 2004. – 48 с.
2. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия / Под ред. [Текст]. – М.: МЦНМО, 2008. – 398 с.
3. Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия / Под ред. [Текст]. – М.: МЦНМО, 2008. – 607 с.
4. Шаньгин, безопасность компьютерных систем и сетей: учеб. пособие [Текст] – М.: ИД «ФОРУМ»: ИНФРА-М, 2009. – 416 с.
Магистрант кафедры ЭВТИБ Госуниверситет – УНПК г. Орел, Россия
Тел. 419879 E-mail: *****@***ru
Научный руководитель к. т.н., профессор
Магистрант кафедры ЭВТИБ Госуниверситет – УНПК г. Орел, Россия
Тел. 419879 E-mail: *****@***ru
Научный руководитель д. т.н., профессор
