CC BY
10
Секция «Информационнаябезопасность»
УДК 004.056.52
О РЕШЕНИИ ЗАДАЧИ ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОГО ОБМЕНА ДАННЫМИ
В ЛОКАЛЬНОЙ СЕТИ
Е. А. Кушко Научный руководитель - Н. Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: evgeny.kushko@gmail.com
Рассматриваются способы обеспечения защищенного обмена данными в локальной сети. Приведен краткий обзор существующих подходов противодействия несанкционированному перехвату сетевого трафика, их преимущества и недостатки. Также представлен новый подход к обеспечению защищенного обмена данными в локальной сети - стек протоколов защищенного обмена данными на основе плавающей топологии.
Ключевые слова: локальная сеть, защищенный обмен данными, перехват данных, шифрование, технология движущейся цели, плавающая топология.
ON THE SOLUTION OF THE PROBLEM OF SECURING DATA COMMUNICATION
IN THE LOCAL NETWORK
E. A. Kushko Scientific Supervisor - N. Yu. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: evgeny.kushko@gmail.com
The paper discusses the ways of securing data communication in the local network. The paper overviews existing approaches to countering unauthorized interception of network traffic, their advantages and disadvantages. The paper also shows a new system of secure data communication -stack ofprotocols for secure data communication based on a dynamic topology.
Keywords: local network, secure data communication, data interception, encryption, moving-target defense, dynamic topology.
Несанкционированный перехват данных передаваемых в локальной сети - угроза, которая является актуальной для многих организаций. Перехватив сетевой трафик, злоумышленник выявляет ценную информацию. Локальная сеть любой организации, предприятия может являться объектом интереса злоумышленника. Для перехвата траффика применяются снифферы. Сниффер -это программа, предназначенная для перехвата и анализа трафика. Сетевой трафик в локальной сети можно перехватить с использованием и без использования сниффера при помощи прослушивания сетевого интерфейса, зеркалирования трафика, подключения в разрыв канала связи и другими способами [1].
В настоящий момент для противодействия несанкционированному перехвату сетевого трафика применяется: построение коммутируемой инфраструктуры, шифрование трафика, системы предотвращения/обнаружения вторжений и других систем с поддержкой возможности выявления и предотвращения перехвата и анализа сетевого трафика. Построение коммутируемой инфраструктуры не позволяет полностью предотвратить перехват трафика, кроме того изменение уже функционирующей сетевой инфраструктуры - это дорого как по денежным, так и по временным ресурсам. Применение шифрования трафика - это эффективный подход решения
Актуальные проблемы авиации и космонавтики - 2018. Том 2
проблемы, злоумышленник получит трафик, из которого ему крайне сложно извлечь ценные данные, однако применение шифрования не позволяет скрыть факт передачи данных и наличие канала связи между узлами. Применение систем предотвращения/обнаружения вторжений и других систем со поддержкой возможности выявления и предотвращения перехвата и анализа сетевого трафика менее эффективно, чем применение шифрования трафика. Однако у всех трех подходов есть общий недостаток - существуют способы обойти их, этих способов несколько и все они апробированы и успешно используются.
Цель исследования - создать систему, способную предотвратить перехват ценных данных, скрыть канал связи между узлами и факт передачи данных, для которой не применимы существующие способы атаки.
Для достижения цели необходимо выполнить следующие задачи:
1) проанализировать существующие системы противодействия несанкционированного перехвата трафика;
2) разработать алгоритм работы системы;
3) создать программную реализацию системы;
4) провести тестирование системы;
5) апробировать систему в локальной сети.
В настоящий момент система разработана, частично реализована и протестирована. В основе системы лежит стек протоколов защищенного обмена данными, собственной разработки. Стек состоит из двух протоколов: протокол инициализации защищенного обмена данными и непосредственно протокол защищенного обмена данными.
Протокол инициализации защищенного обмена данными предназначен для отслеживания количества участников защищенного обмена данными, обмена открытых ключей шифрования и идентификаторов участников защищенного обмена, а также разделения участников на группы мультикаст-вещания. Под участником понимается узел в сети, который принимает участие в защищенном обмене данными.
Протокол защищенного обмена данными заключается в передаче данных средствами группового вещания, причем каждый участник подключен к нескольким мультикаст-группам, и лавинной маршрутизации, т. е. каждый участник защищенного обмена ретранслирует новый для него трафик. В пакетах данных явно не указан адрес отправителя и адрес получателя, а лишь его идентификатор. Пакет данных шифруется открытым ключом получателя, если участник может расшифровать пакет данных и извлечь из него свой идентификатор, то участник считает, что пакет предназначен ему и извлекает данные. Так как пакет данных передается во все мультикаст-группы каждым участником защищенного обмена, факт передачи данных и наличие канала связи между узлами скрыт. Так как трафик зашифрован, злоумышленник не может извлечь ценные данные. Кроме того, для данного способа передачи данных не существует отработанных способов извлечения ценных данных, в отличие от уже существующих подходов. Более того, при внедрении нового подхода нет необходимости в изменении физической инфраструктуры локальной сети. Новый подход содержит в себе преимущества существующих подходов и лишен их недостатков [2].
Система протестирована с использованием методики RFC 6349 [3] для определения производительности и надежности протокола обмена данными [4]. В таблице приведены средние значения результатов тестирования для всех размеров кадров.
Результаты тестирования
Количество ретрансляторов/ показатель 0 1 2
Эффективность отслеживания динамических характеристик системы, % 100 100 100
Пропускная способность канала, Кбайт/с 606 235 135
Задержка, мс 13 24 41
Доля потерь/повторной передача данных, % 5 5 5
Система применена для защиты SNMP трафика, т. е. стек протоколов лежащий в основе системы используется в качестве транспортного протокола для SNMP, который предназначен
Секция «Информационная безопасность»
для управления распределенным сетевым оборудованием и серверами. В реализации SNMP для конечных устройств очень часто находят уязвимости, например, в реализации подсистемы SNMP операционной системы Cisco IOS существует уязвимость, которая затрагивает протокол SNMP всех версий, эксплуатация которой позволяет внедрить код или вызвать перезагрузку системы, обладая лишь информацией о том, какая строка в протоколе SNMP используется подсистемой для чтения [5]. Пример другой уязвимости может служить уязвимость, найденная в оборудовании Siemens SIMATIC CP 1543-1, эксплуатация которой позволяет вызвать отказ в обслуживании, для этого достаточно изменить SNMP-переменные [6].
В ходе дальнейшего исследования необходимо провести тестирование безопасности системы и соответствия заявленным возможностям разработанной системы, а именно: предотвращение перехвата ценных данных, сокрытие канала связи между узлами и факта передачи данных, а также затруднение применения существующих способов перехвата трафика.
Библиографические ссылки
1. Морозов А. В., Шахов В. Г. Анализ атак на беспроводные компьютерные интерфейсы // Омский научный вестник. 2012. № 3 (113). С. 323-327.
2. Kushko E. A., Parotkin N. Yu. The research of technologies for secure data communication in dynamic networks // IEEE Xplore Digital Library, Dynamics of Systems, Mechanisms and Machines (Dynamics), 2017.
3. Internet Engineering Task Force (IETF). Request for Comments: 6349.
4. Разработка и экспериментальное исследование протокола динамического адресного пространства на основе мультикаст-групп / Н. Ю. Паротькин, И. А. Панфилов, В. В. Золотарев и др. // Сибирский журнал науки и технологий. 2017. Т. 18, № 4. С. 779-787.
5. Банк данных угроз безопасности информации ФСТЭК России [Электронный ресурс]. URL: http://bdu.fstec.ru/vul/20l7-0l724 (дата обращения: 04.03.2018).
6. Common Vulnerabilities and Exposures [Электронный ресурс]. URL: https://cve.mitre.org/ cgi-bin/cvename.cgi?name=CVE-20l6-8562 (дата обращения: 04.03.2018).
© Кушко Е. А., 2018
