CC BY
24Информационная безопасность
УДК 004.056.52
МЕТОД ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРЕДАВАЕМЫХ ДАННЫХ НА ОСНОВЕ ПЛАВАЮЩЕЙ ТОПОЛОГИИ СЕТИ
Е. А. Кушко
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: evgeny.kushko@gmail.com
Рассматривается способ обеспечения защищенного обмена данными в локальной сети - стек протоколов защищенного обмена данными на основе плавающей топологии, а также представлен обзор его программной реализации и его сравнение с другими подобными решениями.
Ключевые слова: локальная сеть, динамическая сеть, программно-определяемая сеть, защищенный обмен данными, перехват данных, шифрование, технология движущейся цели, плавающая топология.
METHOD OF ENSURING PROTECTION OF TRANSMITTED DATA BASED ON THE DYNAMIC NETWORK TOPOLOGY
E. A. Kushko
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: evgeny.kushko@gmail.com
The paper discusses the way of securing data communication in the local network - stack of protocols for secure data communication based on a dynamic topology. The paper also shows an overview of its software implementation and its comparison with other similar solutions.
Keywords: local network, dynamic network, software defined network, secure data communication, data interception, encryption, moving-target defense, dynamic topology.
По статистике [1-3], злоумышленники успешно осуществляют удаленные сетевые атаки на информационные системы организаций, несмотря на то, что организации вкладывают значительные средства в построение, обслуживание и улучшение систем защиты. При проведении сетевой атаки злоумышленник осуществляет перехват и анализ сетевого трафика, восстановление топологии локальной вычислительной сети. Для обеспечения защищенного обмена данными от несанкционированного анализа и перехвата был разработан новый способ - стек протоколов защищенного обмена данными на основе плавающей топологии.
Подробно механизмы функционирования и производительные характеристики стека протоколов рассмотрены в статьях [4]. Кратко следует напомнить о том, что в основе стека протоколов лежит динамическая сеть, логическая структура, которой изменяется во времени, а данные в зашифрованном виде передаются средствами группового вещания с использованием лавинной маршрутизации, для защиты источника и получателя данных.
Стандартные подходы противодействия несанкционированному перехвату сетевого трафика предполагают постоянное сопровождение и защиту сети от сбоев и атак. Необходимо иметь квалифицированный персонал, который должен постоянно следить за сетевой активностью, пользователями и потенциальными
источниками угроз, регистрировать события информационной безопасности и оперативно реагировать на них, обновлять систему защиты и адаптировать её к возможным будущим атакам. Это требует больших временных и финансовых затрат.
Стек протоколов защищенного обмена данными является системой, которая затрудняет атаку злоумышленника, так как злоумышленник не может обладать актуальной информацией о структуре сети, источник и получатель данных скрыт, а данные передаются в зашифрованном виде. Передача данных по стеку протоколов защищенного обмена данными предусматривает несколько путей доставки. После каждой смены мультикаст-групп создаются новые пути, если старый путь был недоступен, новый путь доставки будет доступен. Стек протоколов защищенного обмена данными гарантирует доставку пакетов методом лавинной маршрутизации и методом квитирования, при этом стек протоколов может гарантировать минимально возможную ширину канала и минимально возможное качество связи. В результате достигается самовосстановление, самоадаптация и гарантированная ширина канала и качество связи.
Сравнение существующих подобных решений приведено в статье [5]. Основным отличием стека протоколов защищенного обмена данными на основе плавающей топологии является способ передачи данных, при котором нельзя перехватить туннель переда-
Решетневские чтения. 2018
чи данных. Существующие способы предполагают передачу данных, при котором узел знает, какой следующий узел является следующим в цепочке передачи данных. В стеке протоколов используется групповое вещание, пакет данных передается нескольким узлам и узел не обладает информацией о том, какой узел является следующим в цепочке от источника к получателю.
Практическая реализация разработана с использованием версии 5.10 и Ореп88Ь версии 1.1.0Ь. Выбор технологий обусловлен кроссплатформенностью. Программное решение может использоваться на любой операционной системе, оно запускается на устройстве-клиенте и не требует специального оборудования. При этом конфигурация стека протоколов осуществляется децентрализовано. Программное решение состоит из следующих модулей: контроллер, ИБР-адаптеры, протокол, криптографический модуль, обработчик сервисных сообщений, обработчик прикладных сообщений. Контроллер создает все модули и инициализирует их. Данные, которые необходимо отправить по сети, передаются в контроллер, а в свою очередь, контроллер предоставляет данные, полученные по сети. Контроллер передает данные в обработчик прикладных сообщений. Обработчик прикладных сообщений формирует пакет данных и передает его в протокол. Обработчик сервисных сообщений осуществляет поддержку взаимодействия узлов по сети. Протокол проверяет корректность данных получаемых от ИБР-адаптеров, обработчиков сервисных и прикладных сообщений, шифрует и дешифрует сообщения при помощи криптографического модуля. Данные полученные от обработчиков сервисных и прикладных сообщений, протокол передает в нужные ИБР-адаптеры, а данные полученные от ИБР-адап-тера - в нужный обработчик. Кроме того, протокол инициализирует смену мультикаст-групп по истечению времени. Модуль синхронизации обеспечивает формирование диапазона выбора мультикаст-групп защищенного обмена данными.
Программное решение реализовано с применением шаблона проектирования МУС (Model-View-Соп^оПег, Модель-Представление-Контроллер). Контроллер осуществляет поддержку взаимодействия системы и пользователя, модель содержит в себе логику, а представление отвечает за визуализацию системы. Выбор такого шаблона проектирования обусловлен его преимуществами: разделение логики и представления, возможность повторного использования кода, для одной модели можно использовать разные представления, снижение сложности программы, облегчение поддержки и тестирования.
Дальнейшее развитие стека протоколов защищенного обмена данными направлено на улучшение производительности и на возможность обеспечения безо-
пасного обмена данными не только в локальной сети, но и в глобальной. В текущей реализации протокола данные инкапсулируются в протокол UDP, но для достижения поставленной цели необходимо инкапсулировать данные в Ethernet-пакет, а также учесть механизмы передачи данных через глобальную сеть в логике стека протоколов защищенного обмена данными.
Библиографические ссылки
1. Анализ угроз информационной безопасности 2016-2017 [Электронный ресурс]. URL: https://www. antimalware.ru/analytics/Threats_Analysis/Analysis_infor mation_security_threats_2016_2017 (дата обращения: 11.08.2018).
2. Отчет Центра мониторинга за второе полугодие 2017 года [Электронный ресурс]. URL: https:// amonitoring.ru/service/security-operation-center1/mssp/ quarterly-reports/2017-2_аmonitoring_halfyear_report. pdf (дата обращения: 11.08.2018).
3. Разработка и экспериментальное исследование протокола динамического адресного пространства на основе мультикаст-групп / Н. Ю. Паротькин, И. А. Панфилов, В. В. Золотарев и др. // Сибирский журнал науки и технологий. 2017. Т. 18, № 4. С. 779-787.
4. Kushko E. A., Parotkin N. Yu. The research of technologies for secure data communication in dynamic networks. IEEE Xplore Digital Library. Dynamics of Systems, Mechanisms and Machines (Dynamics). 2017.
References
1. Analiz ugroz informacionnoj bezopasnosti 2016-2017 [Analysis of information security threats
2016-2017]. Available at: https://www.antimalware.ru/ analytics/Threats_Analysis/Analysis_information_ security_threats_2016_2017 (accessed: 11.08.2018).
2. Otchet Centra monitoringa za vtoroe polugodie 2017 goda [Monitoring Center report for the second half of 2017 year]. Available at: https://amonitoring.ru/ service/security-operation-center1/mssp/quarterly-reports/
2017-2_аmonitoring_halfyear_report.pdf (accessed: 11.08.2018).
3. Parotkin N. Yu., Panfilov I. A., Zolotarev V. V. et al. [Development and experimental study of dynamic address space protocol based on multicast groups]. Sibir-skij zhurnal nauki i tekhnologij. 2017. Vol. 18, № 4. P. 779-787.
4. Kushko E. A., Parotkin N. Yu.. The research of technologies for secure data communication in dynamic networks. IEEE Xplore Digital Library, Dynamics of Systems, Mechanisms and Machines (Dynamics). 2017.
© Кушко Е. А., 2018
