CC BY
51В.Ю. Иванов, А.В. Пузарин V.Y. Ivanov, A.V. Puzarin
Моделирование системы защиты информации в кабельных сетях защищенных компьютерных систем
Information protection in cable networks of protected computer systems
Аннотация, abstract: В данной статье рассматривается перспективный метод защиты физических кабельных систем на основе витой пары от базовых угроз информационной безопасности при помощи управляемого моста постоянного тока.
The article presents a promising method for the protection of the physical twisted pair cabling system from basic information security threats with the help of the DC controlled bridge.
Ключевые слова, keywords: угрозы информационной безопасности компьютерных систем, мост постоянного электрического тока, несанкционированное подключение, определение места несанкционированного подключения, information security threats of the computing systems, DC bridge, unauthorized connection, detection of the tap location.
Авторы, authors: Иванов Вячеслав Юрьевич - Московский Университет МВД России им. В.Я. Кикотя, кандидат
технических наук, доцент кафедры специальных информационных технологий учебно-научного комплекса информационных технологий.
Пузарин Андрей Валерьевич - Московский Университет МВД России им. В.Я. Кикотя, старший преподаватель кафедры специальных информационных технологий учебно-научного комплекса информационных технологий.
Ivanov, Vyacheslav Y. - Moscow University of the Ministry of the Interior of the Russian Federation named after V.Y. Kikot, Russia, Moscow; PhD, associate professor.
Puzarin, Andrej V. - Moscow University of the Ministry of the Interior of the Russian Federation named after V.Y. Kikot, Russia, Moscow; senior lecturer.
УДК 004.77
Статья поступила: 15.05.2015 Статья принята к печати: 13.06.2015 © В.Ю. Иванов, А.В. Пузарин, 2015
РЯАСТАЬ 51МиЬАТ1 О N. 2015- N 1.
В настоящее время практически ни одна компьютерная система (КС) не может быть заизолирована, в том смысле, не может функционировать без соединения с удаленными ресурсами, такими как: базы и банки данных, веб-сервера, файловые сервера, другие компьютерные системы, удаленные легальные пользователи и т.д. Все эти возможности практически не могут быть реализованы без сетевых технологий, а в частности, без физической среды передачи данных. Такую среду чаще всего называют локальной вычислительной сетью (ЛВС), иногда разговор заходит и о существовании глобальных вычислительных сетях, хотя, по мнению авторов большинства учебников по сетевым технологиям, в настоящий момент данные понятия проходят процесс конвергенции и трудно различимы, так как различия данных определений всего лишь в масштабах сети и предоставляемых услугах, если рассматривать внутрикорпоративные сети, то можно с уверенностью сказать, что данные отличии практически отсутствуют. Встает главный вопрос, как же происходит физическое соединение компьютеров и других периферийных устройств, все такие устройства часто называют термином «хост», в одно целое -в компьютерную сеть.
На данный момент средств объединения хостов в компьютерную сеть великое множество, начиная от устаревшей технологии коаксиального кабеля, до беспроводных технологий. Естественно, что все знают преимущества технологий основанных на применении оптоволок-
на, однако у нее так же присутствует ряд минусов которыми сложно пренебречь при построении сети. Эти минусы всем известны и создают как финансовые сложности так и технологические. В связи с этим, практически все ЛВС строятся с применением технологии витой пары или, как ее часто называют, меди. Однако и тут не все так просто, избегнув проблем связанных с оптоволокном мы сталкиваемся с целым рядом проблем которые необходимо решать.
По мнению различных исследователей, кабельная система ЛВС была и остается главной «ахиллесовой пятой» безопасности информации в КС. И, естественно, именно кабельной системе должно уделяться особое внимание. Как известно, существуют три группы угроз защищаемой информации:
- нарушения целостности;
- нарушение доступности;
- нарушение конфиденциальности.
Для понимания необходимости обеспечения защиты от каждой из угроз, рассмотрим возможности реализации их в КС.
Под нарушением целостности передаваемой информации по сети можно подразумевать возможность «подделывания» сетевого пакета. Данная угроза реализуется с использованием технологии «спуффинга», когда полученный пакет получается, видоизменяется и отправляется адресату. Причем адресат, данный сетевой пакет принимает за легальный и вместо требуемой информации получает видоизмененную, а иногда и вредоносный «груз», который может реализо-
вывать и другие угрозы на защищаемую информацию из ниже перечисленных. Данной угрозе и способам ее применения посвящено огромное количество публикуемой информации со словами «хакер» и «сеть», в том числе и интернет форумы и ресурсы. Подводя итог по возможности реализации данной угрозы, приходим к выводу: угроза может быть реализована как внутри защищаемой сети так и из вне, особая опасность реализации внутри «доверенной сети», там где предполагается отсутствие противника.
Нарушение доступности, наиболее легко осуществляемая угроза, за частую, не требующая у противника особых умений и навыков. Данная угроза может реали-зовываться в сети при помощи элементарных разрыва проводов, отключения сетевого оборудования и т.д. Однако, на ряду с противником, реализации данной угрозы потворствуют и сами системные администраторы, и инженеры по проектированию КС. Происходит это следующим образом: все провода, которые поддерживают телекомуникационное оборудование, силовые кабели напряжения 220В, шина заземления - «укладываются» в один кабелевод, что провоцирует появление побочных электромагнитных наводок, которые в свою очередь ведут к появлению коллизий в КС, а следствием этого является неработоспособность различных фрагментов сети в произвольное время суток. Итогом по реализации данной группы угроз может являться ответ, если противник имеет доступ в помещения КС - 100%.
Третья группа угроз наиболее сложная, с одной стороны, и наиболее информатив-
ная с другой стороны. Это заключается в том, что все сетевые пакеты от адресата к получателю идут по определенному маршруту - по определенному участку медного провода, что, естественно, позволяет провести атаку «man in the middle» (человек посредине), суть данной атаки заключается в подключении обычного коммутатора и хоста со специальным программным обеспечением «sniffer» (слушает) в линию связи, что позволит дублировать и сохранять сетевые пакеты абсолютно незаметно для отправителя и получателя, тем самым реализую несанкционированный доступ к защищаемой информации (НСД). Выводы по реализации данного вида угроз: возможна при наличии противника внутри защищаемого помещения и наличии минимальных знаний по сетевому обмену.
Подводя итог вышесказанному, приходим к выводу, что сетевые технологии очень уязвимы при реализации «инсай-деровских» (внутренних) атак на защищаемую информацию.
Многие организации пытаются решить данные проблемы при помощи помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных возможность кодирования данных по принципу «открытого ключа» с формированием электронной подписи для передаваемых по сети пакетов. Однако, использование всех этих технологий позволяет в какой то мере обеспечить защиту от первой и третьей группы угроз, внося свои уязвимости. Пароли всегда имели ряд слабых
РЯАСТАЬ S1MULАТ1ОN. 2015- N 1.
сторон: их легко получить из-за слабости личности человека, к примеру, подсмотреть, стойкие пароли тяжело запоминаются, человек пытается оставить подсказки для себя, тяжело проводить смену паролей и.т.д. Внося в сетевое взаимодействие криптографическую систему мы уменьшаем скорость передачи данных. Если с паролями данную проблему можно решить применяя электронные идентификаторы, то со скоростью все гораздо сложнее.
Современные средства защиты применяют криптографические алгоритмы, абсолютно не позволяют предотвратить вторую группу угроз, а также, не полностью нейтрализуют первую и третью группу угроз. Встает вопрос о разработке принципиально нового средства защиты кабельных сетей защищенных КС. Одним из возможных методов защиты, является
метод, основанный на применении приборов сравнения.
Измерительный прибор сравнения - измерительный прибор, предназначенный для непосредственного сравнения измеряемой величины с величиной, значение которой известно. Одним из видов данных приборов является мост постоянного тока - это четырехполюсник, обладающий высокой чувствительностью и применяющийся для определения значения электрического сопротивления постоянному току.
Мост постоянного тока при подключении к защищаемому участку цепи, одной из жил медного кабеля, позволяет настроиться на конкретное сопротивление, не зависимо от длины используемого провода, устанавливается равновесный режим. В данном режиме на измерительной диагонали моста напряжение рано нулю.
Рисунок 1. Мост постоянного тока
Следовательно, устройство тревоги не срабатывает. Однако, при малейшем изменении сопротивления моста постоянного тока, на измерительной диагонали появляется ток, что вызывает срабатывание устройства тревоги. Питание данного устройства целесообразно осуществлять за счет постоянного тока блока питания компьютера, что позволит работать не зависимо от того включен компьютер или нет. Кроме устройства тревоги данную модель так же возможно использовать для определения места разрыва кабеля или, другими словами, места не-
санкционированного подключения по схеме Муррея.
Представленная модель защиты обладает рядом преимуществ над аналогичными методами, такими как: простота реализации, не требует дополнительных проводов сигнализации, возможность реагирования на минимальные изменения электрического сопротивления, возможность определения места НСД, не требует дополнительных экономических затрат, не требует специального обучения сотрудников при использовании.
Литература
1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. Санкт-Петербург, 2001.
2. Астайкин А.И. Метрология и радиоизмерения. Саров, 2010. Режим доступа: http:// www.iprbookshop.ru/l8440 (ЭБС «IPRbooks»).
3. Боридько С.И. Метрология и электрорадиоизмерения в телекоммуникационных системах М., 2012. Режим доступа: http://www.iprbookshop.ru/li998 (ЭБС «IPRbooks»).
