Основы организации и управления VPN-сетями современных информационных систем специального назначения Текст научной статьи по специальности «Компьютерные и информационные науки»

ОСНОВЫ ОРГАНИЗАЦИИ И УПРАВЛЕНИЯ УРЫ-СЕТЯМИ СОВРЕМЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

DOI 10.24411/2072-8735-2018-10276

Друк Евгений Владимирович,

Военно-космическая академия имени А.Ф. Можайского, г. Санкт-Петербург, Россия conferencia_asu_vka@mail.ru

Левко Игорь Владимирович,

Военно-космическая академия имени А.Ф. Можайского, г. Санкт-Петербург, Россия

Ключевые слова: система, мультисервисная сеть связи, транспортная сеть, безопасность, управление, потоки информации, управление потоками, виртуальная частная сеть.

Рассматриваются вопросы обеспечения безопасности информационного взаимодействия пользователей (руководства госкорпораций, должностных лиц различных звеньев управления и пр.), через недостаточно защищенные от атак (далее слабо защищенные) телекоммуникационную составляющую информационных систем специального назначения. При этом обеспечивается защита как подключенных к каналам и трактам транспортной сети мультисервисных сетей связи специального назначения средств сетей доступа средств административного управления от широкого спектра несанкционированных действий со стороны нарушителей применением межсетевых экранов (брандмауэров), которые поддерживают безопасность информационного обмена путем фильтрации потоков информации и выполнением посреднических функций при переносе информации по транспортной сети мультисервисной сети связи специального назначения, так и информации пользователей в процессе передачи ее по слабо защищенной среде с применением ряда мер (аутентификации, криптографии, проверки подлинности и целостности). Реализация многих мер базируется на объединении разных сетей доступа средств административного управления в единую виртуальную частную VPN-сеть, обеспечивающую безопасность данных в информационных системах. При этом разные группы пользователей могут пользоваться услугами одной или нескольких VPN-сетей в соответствии с принятой в мультисервисных сетях связи специального назначения политикой безопасности, а каждая VPN-сеть формируется на основе каналов слабо защищенной сети и должна эффективно управляться. Эффективность использования виртуальных каналов в их совокупности в рамках организованных VPN-сетей и их пропускные способности во многом определяются используемыми способами, алгоритмами и протоколами управления. При этом основными способами и алгоритмами управления VPN-сетями являются способы и алгоритмы управления потоками информации, реализация которых в значительной степени определяется выбранными метриками виртуальных путей. Предложенные способы управления VPN-сетями, несмотря на их простоту, достаточно эффективны и существенно снижают среднее время задержки криптопакетов.

Информация об авторах:

Друк Евгений Владимирович, адъюнкт Военно-космической академии имени А.Ф. Можайского, г. Санкт-Петербург, Россия

Левко Игорь Владимирович, к.т.н., доцент, доцент кафедры автоматизированных систем управления Военно-космической академии

имени А.Ф. Можайского, г. Санкт-Петербург, Россия

Для цитирования:

Друк Е.В. Основы организации и управления VPN-сетями современных информационных систем специального назначения // T-Comm: Телекоммуникации и транспорт. 2019. Том 13. №6. С. 19-29.

For citation:

Druk E.V., Levko I.V. (2019). Fundamentals of VPN-networks organization and management for special purposes in modern information systems. T-Comm, vol. 13, no.6, pр. 19-29. (in Russian)

СВЯЗЬ

Введение

Безопасность информационного взаимодействия различных пользователей в сфере экономики страны (представители руководства Государственных корпораций, должностные лица органов управления районного, областного, краевого, регионального и федерального уровней, средства информатизации и автоматизации систем управления) через относительно слабо защищенные от атак выделенные телекоммуникационные сети мультисервисных сетей связи специального назначения (МСС СН), в частности через многопротокольную транспортную сеть МСС СН, осуществляющую базовую услугу переноса информации на основе одной или нескольких широкополосных технологий: ATM, FR, IP-MPLS или MPLS over ATM, которые используются, например, в перспективной системе связи органов государственной власти США по программе Networx [1 j, требует эффективного решения двух задач:

- защиты подключенных к каналам и трактам транспортной сети МСС СН оборудования сетей доступа комплексов технических средств административного управления (руководства госкорпораций, органов управления районного, областного, краевого, регионального и федерального уровней, средств информатизации и автоматизации) от широкого спектра несанкционированных действий со стороны нарушителей;

- защиты информации пользователей госкорпорации и органов управления в процессе ее передачи по слабо защищенной среде МСС СН, осуществляющей транспортирование (прозрачный перенос) информации.

Решение первой задачи традиционно осуществляется за счет применения в комплексах технических средств административного управления межсетевых экранов (брандмауэров) [2], поддерживающих безопасность информационного обмена за счет фильтрации двусторонних потоков информации, а также выполнения функций санкционированного посредничества при обмене информацией по транспортной сети МСС CH.

Решение второй задачи, т.е. обеспечение защиты информации при ее передаче по слабо защищенным каналам и трактам транспортной сети МСС СН, основано на выполнении следующих функций:

- аутентификации сетевых пользователей (средств сетей доступа) транспортных услуг;

- криптографическом закрытии транспортируемой информации;

- подтверждении подлинности и целостности доставленной до сетей доступа информации и пр.

В общем приведенные меры связаны друг с другом, а их реализация базируется как на традиционной криптографической защите передаваемых данных, так и на более гибких современных решениях, связанных с объединением разных выделенных сетей доступа комплексов технических средств административного управления через слабо защищенную внешнюю среду передачи (транспортирования) информации в единую виртуальную частную или VPN-сеть, обеспечивающую безопасность циркулирующих данных (так называемая защищенная VPN-ееть).

Отдельные группы пользователей комплексов технических средств административного управления, прикрепленных к той или иной выделенной сети доступа могуг

пользоваться услугами одной или нескольких VPN-еетей в соответствии с разработанной и утвержденной политикой безопасности всей МСС СН. При этом каждая VPN-сеть МСС СН формируется на основе каналов слабо защищенной транспортной сети, осуществляющей транспортирование информации от одной сети доступа до другой, рис. 1.

Здесь и далее под термином «виртуальная» понимается, что виртуальные (логические) каналы каждой защищенной VPN-сети интерпретируются с помощью телекоммуникационных протоколов, каналов связи и трактов реальной транспортной сети, а сама слабо объединенная защищенная VPN-среда служит основой для одновременной организации нескольких частных VPN-сетей, количество и принадлежность которых определяется как политикой безопасности МСС СН, так и пропускной способностью каналов связи и трактов ее транспортной сети.

Потоки информации в VPN-сетях МСС СН

Потоки информации, циркулирующие в каждой защищенной VPN-сети МСС СН, характеризуются рядом параметров: интенсивностью, уровнем нестационарности, степенью неоднородности, степенью последействия и т.д. Эти параметры зависят не только от характеристик потоков в объектовых (пользовательских) сетях комплексов технических средств административного управления, но и от того как сама виртуачьная сеть организована и какие используются при этом технологии. В настоящее время наиболее распространенная организация VPN-сетей осуществляется на основе наложения на транспортную сеть (технологии ATM, FR, MPLS over ATM, MPLS over SDH) сети на основе достаточно широко применяемой и популярной в настоящее время (как в локальных, так и сетях доступа) IP-технологии с протоколом IP v6 [3, 4].

Зашшьют I KVJUkLLl И . I

jpcrvna

тш

проищуры ïuihiï.i информации донремя « передачи

Рис. 1. Обеспечение безопасности информационного взаимодействия пользователей через слабо защищенную сеть связи, осуществляющую транспортирование информации за счет организации защищенных УРМ-сетей

Эффективность и безопасность каждой УР^сети МСС СН определяется как уровнем защищённости информации, циркулирующей по слабо защищенным каналам связи и

СВЯЗЬ

При работе в этом туннельном режиме каждый исходный IP-пакет помещается целиком в криптозащнщеипом виде в конверт IP-sec, а гот. в свою очередь, инкапсулируется в другой IP-пакет (содержимое закрыто, заголовок новый и Открытый), Туннельный режим обычно реализуют па специально выделенных зашитых шлюзах, в роли которых могут выступить многопротокольные криптомаршрутшаторы. Между такими шлюзами и формируются защищенные гуп-нели IP-see. При этом туннелировапие IP-пакетов полностью прозрачно для всех взаимодействующий элементов сетей доступа комплексов технических средств административного управления.

Туннельный режим также может использоваться для защищенного взаимодействия удаленных и мобильных пользователей. В этом случае непосредственно на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IP-sec.

I IpoTOKOJi ESP обеспечивает выполнение следующих функций по Защите информационного обмена:

- криптографическое гарантированное закрытие ео-де рж j 1 м о го IР-11 аке то в;

- защита от анализа трафика путем применения туннельного режима;

формирование и проверка цифровой подписи IP-пакетов для их защиты от нарушений подлинности и целостности;

- защита от воспроизведения IP-лакетов.

Представленный перечень функций но защите информационного обмена в протоколе ESP обеспечивает конфиденциальность данных, а также поддерживает все функции по защите зашифрованных потоков данных от подлога, воспроизведения и случайного искажения. При выполнении шифрования без аутешификацин появляется возможность использования механизма трансляции сетевых адресов (NAT), поскольку в этом случае адреса в заголовках lP-накетов можно модифицировать произвольно или по случайному закону.

Сеть МСС СН, осуществляющая транспортирование (перенос) информации (многопротокольная транспортная сеть МСС СН) будет использоваться в данном случае как высокоскоростная магистраль, обеспечивающая передачу информации между выделенными сетями доступа комплексов технических средств административного управления на основе протокола lP-sek.

Поскольку в настоящее время технология IP не обеспечивает параметры QoS из-за недостаточно развитых средств управления потоком [3, 4], то при достаточно высоких требования! к качеству либо выбирается режим работы многопротокольной транспортной сети, реализующий такую транспортную технологию, которая позволит гарантировать требуемый уровень QoS, либо применяются специальные протоколы, обеспечивающие резервирование пропускной способности (скорости передачи НО. гараптирущей требуемое качество.

Если многопротокольная транспортная сеть МСС СН реализует при переносе графика протоколы технологии ATM [3, б], MP US over ATM или MPLS совместно с протоколом резервирования RSVP-TE (RFC-3209), то это позволит обеспечить для различных услуг и приложений пользователей (ДЛ органов управления, информационных аппа-

ратных и аппаратных автоматизации комплексов технических средств административного управления), поддерживающих IP-уелугн, необходимое качество обслуживания (QoS). Гарантирование параметров QoS особенно важно для услуг, связанных с передачей чувствительной к задержкам информации (речь, аудио, видео, межмашинный обмен в-реальном масштабе времени).

Для обеспечения взаимодействия специальных выделенных Сетей доступа комплексов технических средств административного управления в МСС СИ, работающих по протоколу IP в многопротокольной транспортной сети, реализующей протоколы ATM или MPLS over ATM. необходимо обеспечить:

- соответствующим протоколом уровня адаптации ATM параметры графика и QoS для каждого виртуального соединения ATM;

- инкапсуляцию пакетов IP в ячейки ATM;

- взаимодействие между выделенными сетями доступа комплексов технических средств административного управления, находящимися в одной или разных регионах МСС СН, с установление Виртуальных соединений ATM между ними;

- многоадресную передачу пакетов 1Р сетей доступа.

Категории услуг многопротокольной гране портной сети

МСС СН задаются взаимодействующими с ней средствами, реализующими протоколы уровня адаптации AAL. Так для Приложений и услуг сетей доступа, использующих услуги IP, не критичных к задержкам, таким как передача фай.¡овили электронная почта, может применяться категория услуги переноса URR пли А В R (стандарты Форума ATM для AAL3¡4, AAL5).

Для приложений и услуг, критичных к задержкам, таким как ГР-телефония, передача видеоинформации и межмашинный обмен в реальном времени, целесообразно использовать категорию услуги переноса rt-VBR с QoS2 (стандарты форума ATM для AALI). При этом инкапсуляция пакетов IP (MPLS) сетей доступа комплексов технических средств административного управления в ячейки ATM многопротокольной транспортной сети осуществляется в соответствии со стандартом Интернет RFC 1483.

В качестве пограничного VPN-устройства, располагающегося либо на узле сечи доступа комплексов технических средств административного управления, либо на узле примыкания к транспортной сет и, может быть выбран многопротокольный комму газ ор-криптомаршрутизатор, в т.ч. поддерживающий уровень адаптации многопротокольной транспортной сети при реализации технологии ATM, рис. 3.

При построении транспортных сетей МСС СН нередко еще применяют технологию FR, которая хотя и не гарантирует гибкость качественных показателей, предоставляемой услуги переноса как технология ATM, по в силу достаточно простой реализаций ее на реальных сетях, все еше занимает достойное место в перечне транспортных технологий. Так, например, ссти FR относительно широко используются для транспорта информации в NCS США со скоростями передачи от 2 Мбит/с до 45 Мбит/с. Как правило, сеть FR является «верхним слоем» многопротокольной транспортной сети И базируется на высокопроизводительных коммутаторах ATM ее нижнего коммутируемого слоя. Также в качестве верхнего слоя может быть реализована MPLS-сеть, рис. 4.

IP

СВЯЗЬ

Протокол ОЭРБ описан в документе к ГС 1247, Протокол рекомендован для больших распределённых 1Р сетей. 03РР вычисляет маршруты и сетях 1Р, работая вместе с рядом других протоколов обмена маршрутной информацией. Протокол ОЗРГ испсШЬЗует Понятие "состояние" канала. Суть его алгоритма состой 1 в вычислении Кратчайшею пути. Подразумевается, что информация пройдет по ЭТОМу пути быстрее, чем по другим. УРЫ-маршрутизатор, работающий е этим протоколом, отправляет запросы всем соседним маршрутизаторам, находящимся в одном домене маршрутизации, для определения состояния виртуальных (зарезервированных) каналов до них и далее от них. Состояние виртуального капала при этом характеризуется несколькими параметрами, которые называются метриками. Чаще всего в качестве метрики берется пропускная способность (скорость передачи и [[формации) виртуального канала, но иногда берегся его загрузка на текущий момент, задержка информации при её прохождении по этому каналу и т.д. Обобщив полученные сведения по одной из выбранных метрик, маршрутизатор сообщает их всем соседям. После этого им строится ориентированный граф, который повторяет топологию домена маршрутизации. Каждому ребру этого графа назначается оценочный параметр (выбранная метрика). После построения графа используется алгоритм Дейкстры, который по двум затанным узлам находит набор рёбер с наименьшей суммарной стоимостью, т.е., по сути, на практике, выбирается маршрут с наибольшей сквозной пропускной способностью. По совокупной информации создаётся таблица маршрутизации.

В целом протокол ОЗРР достаточно широко используется в современных 1Р сетях общего пользования (например, Интернет), но недостаточно эффективен для сетей специального назначения с существенным уровнем нестационарности информационных потоков, и кроме того, он практически не защищен от компьютерных и сетевых атак. Все это делает актуальным решение задачи управления потоками в УРМ-сетях МСС СН.

Оперативный характер формирования структуры выделенных УРМ-сетей в МСС С11 и необходимость учета требований по безопасности и адаптивности процедур маршрутизации потоков информации в них, определяют необходимость синтеза протоколов адаптивного управления потоками и задание адаптивных процедур маршрутизации для их использования в виртуальных сетях МСС СН. Во-первых, т. к. организуемые УРН-сети «ложатся поверх» коммутируемых трактов транспортной сети МСС, то топологические изменения самих УР^сетей зависят (или могут быть сведены) в основном только от наличия (выхода из строя, восстановления) соответствующего пограничного УРЫ-ус гроиетва. Это необходимо учитывать при формировании маршрутном информации и вычислении метрик для каждого информационного направления, на основе которых производится выработка правил управления потоками информации, позволяющими осуществлять процессы адаптивной маршрутизации.

Процедуры формирования метрики могут носить различный характер, определяемый степенью ее адекватности реальным процессам распределения информации в виртуальных сетях МСС СН в соответствии е принятым способом управления потокам и информации.

В настоящее время распространено мнение, что с точки зрения информационной безопасности в сетях специального назначения необходимо применять статическую маршрутизацию. Связано это с тем, что в ЭТОМ случае по сети не передается никакой маршрутной информации, и возможности внешнего воздействия на маршруты снижаются, хотя не исключаются, т.к. возможны косвенные атаки через коммутационные средства и средства управления. Однако классической статической маршрутизации присущи существенные недостатки, связанные е тем, что при изменении ситуации в любом фрагменте VPN-сети, маршрутная информация может стать настолько неадекватной, что это при ведет к срыву нормальной работы всей сети. Кроме того, маршрутная информация не защищена от нарушителя, размещаемого if а данном узле сети.

Поэтому в этой связи может быть предложен наиболее простой квазисгатичесхий способ управления потоками и формирования метрики, который является детерминированным групповым способом, при котором исходная маршрутная информация не изменяется в процессе функционирования и взаимодействия специальных сетей, но атгоритмнка ее использования меняется с учетом локальных параметров адаптации. Исходная маршрутная информация задается матрицей маршрутов л/^ = [/',;(]• /, /,к~1, «V. каждый элемент

ir, которой равен 1, если путь из /-то узла VPN-услуг

VPN-сети в А'-и узел VPN-услуг через соседний /-й узел VPN-услуг является путем первого выбора (i.e. наилучшим). ЁСПИ путь является путем второго выбора, то соответствующий элемент ц равен 2. Матрица маршрутов не позволяет

раскрыть структуру VPN-сети, что важно для обеспечения требований безопасности. Каждой строке соответствует определенный код исходящего направления, выбор которого по матрице маршрутов ,у/„ происходит следующим образом: при поступлении заявки на передачу шифрованного IP пакета к к-му узлу VPN-услуг в матрице выбирается столбец, соответствующий этому узлу. В нем ищется элемент, равный 1. Строка, в которой он находится, определяет код исходящего направления. При невозможности передать да-кет по данному направлению в том же столбце выбирается элемент равный 2, но которому определяется исходящее направление второго выбора и т.д. 11рн выходе из строя соответствующего пограничного VPN-устройства матрица меняется па новую, заранее рассчитанную, которая передается из соответствующего центра управления услугами VPN совместно с рассылкой ключевой информации. Наряду со статичностью маршрутных данных это обстоятельство приводит к негативному свойству данного метода, так как кратковременное занятие какого-либо пограничного VPN-устройства на пути первого выбора приводит к выбору пути второго выбора.

Этот недостаток можно устранить, если при выборе исходящего направления учитывать статистические свойства потоков. Пусть полностью занятое пограничное VPN-устройство Ь\j содержит ¿¡J потенциальных IP-пакетов в очереди на занятую VPN-ветвь. Пусть известно, что среднее время передачи пакета по VPN-каналу равно тогда среднее время занятия при передаче всех пакетов /.. =kijt<m ■

Если первая попытка установить соединение по исходящему направлению первого выбора окончилась неудачей, то максимальное среднее время, которое пограничное УРМ1-устройетво /),, будет находиться после этого в перегруженном состоянии* равно / - ку1мя ■ Допустим далее, что среднее время на операцию поиска составляет /мр. а время между двумя последовательными пробами -г . Тогда число последовательных проб передачи по данному УРИ-направлению составит: п =к I I/ +г 1

т Ч ит\гП1> и/м

Вместе с тем, как правило, для каждой сформированной УРИ-сети МСС СМ характерна высокая ее загруженность, поэтому как время , так и число последовательных проб

достаточно велики, что может привести к значительным временным задержкам. Чтобы избежать этого может быть предложен следующий подход. Пусть при передаче информации в УРИ-сети МСС СП по пути второго выбора среднее время задержки шифрованных пакетов на больше, чем по пути первого выбора. Кроме того, путь второго выбора хуже в у|; раз по каким-то дру| им соображениям (например, степень снижения пропускной способности УРМ-направлений}. Тогда за число последовательных проб целесообразно взять число пфГ = /]2Л/Г [/ + т ]" . Аналогичные рассуждения применяют к пути третьего выбора: "„^-ММ^+^Г1 и т.д.

Выбрав, соответствующим образом, число последовательных проб посылки шифрованных 1Р-пакетов, и задав эти значения при реализации алгоритма управления, формируется кваз и статический способ управления потоками информации в каждой УРМ-сети МСС СП с метрикой, учитывающей элементарную статистику потоков в каждой сети, для которого в общем виде число последовательных проб посылки пакетов составит + где Ли -

разница во времени доставки (включая установление виртуального туннеля) шифрованного пакета по пути Ь-то выбора по сравнению с путем «-го выбора; у,^ - соответствующее ухудшение параметров УРМ-сети.

В принципе управление УРМ-сетями МСС СП можно организовать, используя простой способ, при котором по каждой сформированной виртуальной сети передаются короткие [Р-пакеты пробники (аналог волнового способа управления потоками информации в телефонных сетях и сетях передачи данных |7(). Суть состоит в том, что при поступлении заявок на /-Й узел УРМ-услуг по каждой УРЫ-сетИ последовательно передаются три волны сигналов; поисковая, ответная и заключительная, при этом /-Й узел выдает всем соседним узлам УРЫ-услуг поисковые 1Р-пакеты пробники, которые транслируются всеми узлами. При трансляции каждый узел принимает во внимание только первый поступивший пакет. Узел назначения УРЫ-услуг, получив сигнал поисковой волны, передаст сигналы ответной волны (Р-пакетов "откликов", которые также транслируются всеми узлами УРМ-сети. Сигналы ответной волны прекращают трансляцию сигналов поисковой волны. Узел /-й узел УРК'-услуг, получив первый сигнал ответной волны, фиксирует это направлений и посылает сигналы заключительной волны !Р-пакетов фиксации пути, которая распространяется по тем же путям, что и поисковая и ин-

формация о которой должна быть отражена в протоколе RSVP-TE для резервирования полученных путей передачи.

Несмотря и а то, что при описанном способе процедура управления формируется фактически автоматически, он требует передачи по каждой VPN-сети достаточно большого объема служебной информации. [ 1ричем, особенно важно, что объем этот увеличивается при возрастании нагрузки в VPN-сети. Передача служебной информации в условиях большой нагрузки заметно снижает пропускную способность каждой VPN-сети. Качество обслуживания пользователей снижается. Для его сохранения потребуется резервировать ресурсы с некого pi дм превышением для передачи этого достаточно заметного объема служебной информации. Вместе с тем, относительная простота его и устойчивость в условиях резкой смены оперативной топологии, приводит к тому, что он может быть эффективно применен в мобильных компонентах транспортных сетей МСС СН при нахождении путей передачи пакетов при постоянно меняющейся топологии.

Если потоки информации, передаваемой по каждой VPN-сети. носят достаточно стабильный характер с мало изменяющимся трендом (среднее значение или интенсивность потока информации изменяется незначительно за время существования (жизни) данной VPN-Сети), то для таких сетей может быть достаточно эффективной является стратегия управления, основанная на игровых процедурах [7, 9]. Основное достоинство этой стратегии заключается в том, что при формировании процедуры управления она Fie требует передачи по VPN-сети какой-либо служебной информации, В игровых процедурах в качестве своеобразных служебных сигналов выступают сами iP-паксты, а Процедуры управления используют результаты прохождения информации: всего сообщения (если средний объем сообщений невелик); пачек пакетов; отдельных IP-пакетов за все предыдущее время функционирования каждой VPN-сети. 'Эта информация используется ори формировании плана управления для каждой новой информации (сообщение, пачка пакетов, пакет), но результатам обслуживания которой, план вновь корректируется. Этот способ оказывается весьма полезным, если VPN-сети спланированы не совсем правильно (не оптимально), поскольку он позволяет "нащупать" стратегию управлении потоками информации в случае вынужденного "перекоса" Нагрузки.

Каждая VPN-сеть в игровых процедурах рассматривается как случайная среда, а устройства формировании маршрутной информации представляются в виде коллект ива стохастических автоматов, функционирующих в этой среде. В качестве играющего автомата на у-м узле VPN-услуг принимают автомат с переменной структурой [7, 9}:

.....PfT>-,Pjk)>

(I)

где рг, > 0 - вероятность появления состояния у-го выхода,

Изменение элементов

pt происходит следующим обра-

зом: если было совершено действие у-го тина и автомат был оштрафован, то

Рла

1 + (а-1)>;

(2)

25

¥

СВЯЗЬ

Если за это же действие автомат был поощрен, то

(3)

1+10-1) Р1

где а < I п |3 > 1 - параметры метода; р.- опенка вероятности состояния у-го выхода гю результатам обслуживания предыдущих пакетов.

После изменения величин р все остальные элементы

р^ Фу нормируются;

Ря _ _ р'с

P,i = "

Реализация игрового метода управления VPN-ссгыо состоит в следующем: на каждом f-м узле VPN-сетп хранится стохастическая матрица е числом строк, равным числу узлов в сети, и числом столбцов, равным числу исходящих направлений.

Каждая /-я строка матрицы, соответствующая /-му узлу, представляет собой автомат \ =(pv„Я;,.-,). а элемент рг сопоставляется с у-м исходящим направлением. Элементы р изменяются описанным выше образом.

Причем, если заявка на передачу информации к /-му узлу VPN-сети по исходящему направлению у заканчивается успешно, то автомат поощряется; если нет, го штрафуется;

Практическая реализация игровой процедуры управления состоит в следующем: на каждом узле VPN-услуг VPN-сети хранится стохастическая матрица с числом строк, равным числу узлов, охваченных управлением, и числом столбцов равным числу исходящих направлений из данного узла. Каждая /-я строка матрицы, соответствующая /-му узлу , представляет собой автомат А , а элемент п. сопоставляется с

1.1 > чу

у-м исходящим направлением. Элементы />. изменяются

описанным выше образом в соответствии с (2), {3) и (4). i 1ри Поступлении информации otra направляется по тому исходящему направлению, которому соответствует максимальное значение p¡rr.

В случае, когда стабильность потоков пакетов в VPN-сетях МСС СП проявляется ría достаточно коротких временных интервалах необходимо периодически изменять величины а и р под изменившуюся нагрузку. Однако получить аналитическое выражение для этих величии в зависимости ог нагрузки не представляется возможным. Обычно параметры а и Р для разных значений нагрузки просто подбираются путем моделирования работы VPN-сети, в результате которого, исходя из заданной вероятности условною отказа в передаче пакета по определенному исходящему направлению могут быть получены некоторые вероятности pi и р:, удовлетворяющие условиюр\ < Р,пк < р:.

Тогда параметры аир могут быть определены из следующего выражения:

(4)

Pi Й1

где q{ =1 ~p¿ q2 = 1 - р2.

(S)

Вместе с тем, практическая реализация вероятностно-временной вариации игровых процедур управления VPN-сетями МСС СП, достаточно сложна. Поэтому может быть предложена стратегия управления каждой VPN-сетыо, основанная на простом адаптивном способе управления потоками, основанном на текущем мониторинге состояния локальных параметров.

Способ предполагает, что осуществляется текущий мониторинг СОСТОЯНИЯ всех VPN-уст ройств по параметру величины очереди на каждое виртуальное направление. При этом в качестве показателя при управлении потоками информации может быть выбрано случайное или среднее время задержки шифрованных IP пакетов в тракте передачи, поскольку оно аддитивно возрастает по мере удаления от VPN-устройства назначения.

На каждом VPN-уетройстне хранится матрица T¿, число строк которой равно числу VPN-устройств в конкретной виртуальной сети, а число столбцов - числу исходящих из

него виртуальных направлений. Элемент- t¡. ,¿ матрицы TV.

хранящейся на к-м узле VPN-услуг, равен минимальному времени задержки при передаче пакета из А-го узла к /-му через /-й узел. Таким образом, при выборе исходящего направления учитывается длина очереди IP пакетов на него. Пусть Wq - число пакетов, ждущих передачи из А-го к/-му узлу. Пакет направляется к /-му узлу, для которого время задержки будет минимальным, т.е. mm \ttl / + ¡. Для отображения оперативной информации организуется процедура обмена служебными пакетами, содержащими информацию определенного вида. Так, пакет, который jt-ый узел VPN-услуг посылает i-му. имеет вид ДГ< f ,Л ,Л ),

В целях получения более адекватного значения величины задержки может использоваться стохастическая модель очереди. Пусть на fc-oe VPN-устройство для определенного виртуального направления поступает поток е интенсивностью Л*. Пакет передается но виртуальному канату, если он свободен, или записывается в память, если канал занят.

Функционирование VPN-устройст ва может быть описано моделью системы массового обслуживания (СМО) типа

M

M Ml

И, т.е. системами массового обслуживания с

квазиетациопариым пуаесоповеким входящим потоком, экспоненциально распределенными временем передачи и старения, а также реальной надежностью виртуального канала (надежность тракта передачи плюс надежность портов взаимодействующих УРК-устройств) и возможностью хранения /■ сообщений в памяти.

Состояния ее не входят в установившийся режим, поэтому могут быть заданы только системой дифференциальных стохастически \ уравнени й:

at.

= -А ('. )[Л + хг\+ Пчл ('.Кх +1)r+К, i (К :

- -Pu (,1<){р+а + П>]+Р,.М

Л

О)

til

где Pm(tc\ . . ., PnzOth ■ ■ -, Pii-Cl) - вероятности того, что на данное направление не передается ни одного пакета и ни

одного нет в памяти; канал забракован на какое-то время и в памяти находятся х пакетов; передается один пакет, а в памяти находится г пакетов соответственно; д а у - интенсивности освобожден™ виртуального канала, выхода его из строя (за счет выхода из строя соответствующих портов двух корреспондирующих VPN-устройств, т.к. ненадежностью ресурсов транспортной среды можно пренебречь, и старения (потери актуальности) пакетов соответственно; гс - момент времени, принадлежащий данному временному интервалу, внутри которого интенсивность можно считать неизменной.

Решение данной системы дифференциальных уравнений для конкретного временного интервала даст значения вероятностей всех состояний и позволит, аналогично [10], задать интервалы загрузки, выступающие в качестве переменных параметров управления потоками,

В работе [!1] для целей управления информационными потоками в VPN-сетях, сформированных в современных телекоммуникационных сетях, построенных на принципах сетей следующего поколения (NGN), предложены достаточно сложные квазиоптимальные вероятностно-временные методы, практическая реализация которых в МСС СН будет затруднена. Поэтому предложенные в статье простые, но эффективные способы управления и формирования метрик могут быть рекомендованы для использования и обеспечат приемлемые результаты, рис. 6.

Бр емя э адержкн

п^Г'ТЛ (мсгк)

* Простой адаптивный способ

□ Игровой способ

■ Простой способ

D Вераягкостно-времйнной способ

VW-cetb VPN-сеть VPN-сеть MPLS оы MPLS w MPLS FR ATM ov SON

Тип транспортной сети

Pue, 6. Среднее время задержки к pu пто па кета в VPN-сетях транспортной сети МСС СН при различных стратегиях управления

Выводы

При организации информационного взаимодействия различных пользователей из административного аппарата структур РФ (руководство госкорпораций, должностные лиц органов различных звеньев управления, руководство концернов и пр.) возникают требования по обеспечению безопасности при передаче информации через недостаточно защищенные от атак телекоммуникационные сети мультисервисных сетей связи специального назначения (МСС СН) [//].

Требуется обеспечить защиту как подключенных к каналам и трактам транспортной сети МСС СН сетей доступа средств административного управления от широкого спектра несанкционированных действий со стороны нарушителей применением межсетевых экранов (брандмауэров), которые поддерживают безопасность информационного обмена путем фильтрации потоков информации и выполнением посреднических функций при переносе информации по

фане портной сети МСС СН, так и информации пользователей а процессе переда1чи ее по слабо защищенной среде с применением ряда мер (аутентификации, криптографии, проверки подлинности и целостности).

Реализация многих мер базируется на объединении разных сетей доступа средств административного управления в единую виртуальную частную V PN-сеть, обеспечивающую безопасность данных. При этом разные группы пользователей могут пользоваться услугами одной или нескольких VPN-сетей в соответствии с принятой в МСС СН политикой безопасности, а каждая V PN-сеть формируется на основе каналов слабо защищенной сети и должна эффективно управляться.

Эффективность использования виртуальных канатов в их совокупности в рамках организованных в МСС СН VPN-сетей и их пропускные способности во многом определяются используемыми способами, алгоритмами и протоколами управления. При этом основными способами и алгоритмами управления VPN-сетями МСС СН (в силу специфики самих VPN-сетей), являются способы и алгоритмы управления потоками информации, реализация которых в значительной степени определяется выбранными метриками виртуальных путей. Предложенные способы управления VPN-сетями МСС СН, несмотря на их простоту, достаточно эффективны и существенно снижают среднее время задержки криптопакетов.

Литература

1. URL: Kttр://free 1 апсе4.narod.ru/NСS.htm.

2. Браун С. Виртуальные частные сети // М.: Лори Мс Grav-Hill Сотр., 2001. 5Ü8 с.

3. Олифер В.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Питер, 2010. 916 с.

4. Новиков Ю., Новиков Д.. Черепанов А., Чурки н В. Компьютерные сети, Интернет. СПб.: Питер, 2002. 928 с,

5. Зима В.М., Молдавян A.A.. Молдовян H.A. Безопасность глобальных сетевых технологий. СПб.: СПбУ, 1999. 234 с.

6. Таненбаум Э. Компьютерные сети. СПб.: Питер, 2002. 846 с,

1. Буренин А.Н.. Легкое К.Е.. Левко И.В. Организация эффективного функционирования информационных подсистем автоматизированных систем управления сложными организационно-техническими объектами на основе методов управления процессами предоставления информационных услуг // Наукоемкие технологии в космических исследованиях Земли. 2017. Т. 9. № 3. С. 45-54.

8. Буренин А.Н., Легкое К.Е. Вопросы управления параметрами, характеризующими процессы функционирования инфокоммуника-ционнои системы специального назначения // В сборнике: Технологии информационного общества X Международная отраслевая научно-техническая конференция: сборник трудов. 2016. С. 213214.

9. Buremn A.N.. Legkov К.Е.. Orkin V.V.. Alekseev V.F. To the question of effective functioning organization of infonnation subsystems of automated control systems for complex organizational-technicali objects in conditions of external influences II В сборнике: 2017 Systems of Signal Synchronization, Generating and Processing in Telecommunications, SINKHROINFO 2017. 2017. C. 7997506.

10. Легкое K.E., Буренин A.H. Вопросы организации эффективного функционирования информационных подсистем автоматизированных систем управления сложными организационно-техническими объектами II Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2017. JYs 9-10 (111-1121. С. 8-12.

27

СВЯЗЬ

11. Легкое К,E.. Вуренин А.И. Метол квазистатическога управления потоками требований в инфогоммушкационнон системе специального назначения //1-methods, 2009, Т. 1 № 1, С, 17-21,

12. Буренин A.U.. Легкое К.Е. Основные подходы к организации оперативного управления комплексами обеспечения единый временем системы управления сложным организацийНйо-теЭШичеСКим объектом // Наукоемкие технологии в космических исследованиях Земли. 2019. TV 11.№ I. С. 20-32.

13. Легкое К. Е.. Ei lömtum В. А.. Паетухов A.C. Повышение эф -фективносги системы управления я рамках изменения подхода к автоматизации и информации //1-methods. 2014. Т. (к № 4. С. 19-23.

14. Легкое К.Е.. Левки И.В. Системный подход к организации управлении информационными подсистемам и автоматизированных систем управлений сложными объектами специального назначений // Наукоемкие технологии в космических исследованиях Земли. 2017. Т. 9. №$.С. 84-91.

15. Легкое К.Е.. Скоро бога таен O.A.. Бурении A.M., Умарое А. Б. Перспективы развития автоматизированных систем управления специального назначения //1-methods. 2014. Г. 6. №3. С. 22-25.

16. Буренин А Н.. Легкое К.Е., Богоеик A.B. Основы поддержки процессов организационного управления системами специального назначения // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. №2. С. 54-61.

17. Легкое К.Е. Математическая модель пнфокоммупнкацнон-лон системы специальной» назначения // Наукоемкие технологии в космических исследованиях Земли. 2016. Г. 8. № 2. С. 6-14.

18. Легкое К.Е.. Буренин А.И, Метод управления параметрами, характеризующими процессы функционирования инфокоммуника-ционной системы // [-methods. 2010. Т. 2. № 1. С. 14-19.18.

19. Буренин А.И. Легкое К.Е,. Емельянов A.B. Элементы системного анализа, автоматизированных систем управления современными иКфокоммуникапионными сетями специального назначения // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 3, С. 56-63.

20. Легкое К.Е.. Емельянов A.B. Математическое обеспечен не контуров автоматизированных систем управления информационными системами специального назначения при решении задач учета и мониторинга // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № SI. С. 37-43.

21. Epos ни С. Д.. Артамонова Я С.. Легкое К.Е. К вопросу о методике выявления угроз информационной безопасности в пограничном пространстве// l-methods. 2013. Т. 5. №2. С. 19-22.

22. Буренин A.II.. Легкое К.Е., Первое Д¿С. О некоторых принципах управления серверным оборудованием защите.....ах инфо-

тммуншеа!тонных сетей специального назначения // Наукоемкие технологии н космических исследованиях Земли. 2016. Т, 8. № S2, С. 22-26.

2 3. Голуб и нцев А .В.. Мясникоеа АЛ!.. Легкое К.Е. Л рх itте кту р -ные принципы организации автоматизированных систем управления ннфокоммуннкацнонпыми сетями специального назначения if Наукоемкие технологии в космических исследованиях Земли, 20! 5. Т. 7. №4. С. 16-23.

FUNDAMENTALS OF VPN-NETWORKS ORGANIZATION AND MANAGEMENT FOR SPECIAL PURPOSES IN MODERN INFORMATION SYSTEMS

Eugene V. Druk, Military space academy of A.F. Mozhaysky, St. Petersburg, Russia Igor V. Levko, Military space academy of A.F. Mozhaysky, St. Petersburg, Russia

Abstract

In work questions of safety of information exchange of users (the manuals of state corporations, officials of different control links and so forth), through insufficiently protected from the attacks (further poorly protected) a telecommunication component of special purpose information systems are considered. At the same time protection as the special purpose multiservice communication networks of means of access networks of means of administration management connected to canals and highways of a transport network from a broad spectrum of unauthorized actions is provided from violators with use of firewalls (firewalls) which maintain safety of information exchange by filtering of information streams and execution of mediatorial functions at transfer of information on a transport network of a special purpose multiservice communication network, and information of users in the course of transfer it on poorly protected environment using a number of measures (authentications, cryptography, authentication and integrity). Implementation of many measures is based on association of different access networks of means of administration management in the uniform virtual private VPN network ensuring data security in information systems. At the same time different user groups can use services of one or several VPN networks according to the security policy accepted in special purpose multiservice communication networks, and each VPN network forms on the basis of channels of poorly protected network and should be controlled effectively. Efficiency of use of virtual channels in their set within organized VPN networks and their throughputs in many respects are defined by the used ways, algorithms and protocols of management. At the same time the main ways and control algorithms VPN networks are ways and control algorithms information streams which implementation substantially is defined by the selected metrics of virtual paths. The offered ways of management of VPN networks, despite their simplicity, are rather effective and significantly reduce the average time of a delay of cryptopackets.

Keywords: system, multiservice communication network, transport network, safety, management, information streams, management of flows, virtual private area network.

T-Comm ^м 13. #6-2019

References

1. URL: http://freelance4.narod.ru/NCS.htm

2. Brown S. (2001). Virtual private area networks. Moscow: Laurie Ms of Grav-Hill Comp. 508 p.

3. Olifer V.G., Olifer N.A. (2010). Computer networks. Principles, technologies, protocols. SPb.: Piter. 916 p. (In Russian).

4. Novikov Yu., Novikov D., Cherepanov A., Churkin V. (2002). Computer networks. Internet. SPb.: Piter. 928 p. (in Russian)

5. Zima V.M., Moldovyan A.A., Moldovyan N.A. (1999). The global security network technologies. St. Petesburg: SPbU. 234 p. (in Russian)

6. Tanenbaum E. (2002). Computer networks. SPb.: Piter. 846 p. (in Russian)

7. Burenin A.N., Legkov K.E., Levko I.V. (2017). Effective functioning organization of information subsystems of automated control systems for complex organizational-technical objects based on the methods of process management of information services provision processes control. H&ES Research.Vol. 9. No. 3. Pp. 45-54. (in Russian)

8. Burenin A.N., Legkov K.E. (2016). Questions of management of the parameters characterizing processes of functioning of an info-communication system of a special purpose. In the collection: Technologies of information society X International industry scientific and technical conference: collection of works. Pp. 213-214. (in Russian)

9. Burenin A.N., Legkov K.E., Orkin V.V., Alekseev V.F. (2017). To the question of effective functioning organization of information subsystems of automated control systems for complex organizational-technical objects in conditions of external influences. In the collection: 2017 Systems of Signal Synchronization, Generating and Processing in Telecommunications, SINKHROINFO 2017. P. 7997506.

10. Legkov K.E., Burenin A.N. (2017). Questions of the organization of effective functioning of information subsystems of automated control systems for difficult organizational and technical objects. Questions of the defense equipment. Series 16: Technical means of counteraction to terrorism. No. 9-10 (111-112). Pp. 8-12. (in Russian)

11. Legkov K.E., Burenin A.N. (2009). A method of quasistatic management of flows of requirements in a special purpose infocommu-nication system. I-methods. Vol. 1. No. 1. Pp. 17-21. (in Russian)

12. Burenin A.N., Legkov K.E. (2019). Basic approaches to the organization of operational management of complexes of providing management system with uniform time with the difficult organizational and technical object. H&ES Research. Vol. 11. No. 1. Pp. 20-32.

(in Russian)

13. Legkov K.E., Baboshin V.A., Shepherds of A.S. (2014). Increase in system effectiveness of management within change of approach to automation and information. I-methods. Vol. 6. No. 4. Pp. 19-23. (in Russian)

14. Legkov K.E., Levko I.V. (2017). System approach to organization of control of information subsystems of automated control systems for complex objects of special purpose. H&ES Research. Vol. 9. No. 5. Pp. 84-91. (in Russian)

15. Legkov K.E., Skorobogatova O.A., Burenin A.N., Umarov A.B. (2014). Perspectives of development of special purpose automated control systems. I-methods. Vol. 6. No. 3. Pp. 22-25. (in Russian)

16. Burenin A.N., Legkov K.E., Borovik A.V. (2016). The base of support processes of organizational control systems for special purposes. H&ES Research. Vol. 8. No. 2. Pp. 54-61. (in Russian)

17. Legkov K.E. (2016). A mathematical model of the infocommunication system of special purpose. H&ES Research. Vol. 8. No. 2. Pp. 6-14. (in Russian)

18. Legkov K.E., Burenin A.N. (2010). A method of management of the parameters characterizing processes of functioning of an info-communication system. I-methods. Vol. 2. No. 1. Pp. 14-19. (in Russian)

19. Burenin A.N., Legkov K.E., Emelyanov A.V. (2016). Elements of the system analysis automated control systems modern information and communication networks special purpose. H&ES Research. Vol. 8. No. 3. Pp. 56-63. (in Russian)

20. Legkov K.E., Yemelyanov A.V. (2016). Mathematical provision of automated control systems of information systems of special purpose in dealing with accounting and monitoring tasks. H&ES Research. Vol. 8. No. SI. Pp. 37-43. (in Russian)

21. Yerokhin S.D., Artamonova Ya.S., Legkov K.E. (2013). To a question of a technique of identification of threats of information security in boundary space. I-methods. Vol. 5. No. 2. Pp. 19-22. (in Russian)

22. Burenin A.N., Legkov K.E., Pervov M.S. (2016). Some principles of server hardware control of protected infocommunication networks of special purpose. H&ES Research. 2016. Vol. 8. No. S2. Pp. 22-26. (in Russian)

23. Golubintsev A.V., Myasnikova A.I., Legkov K.E. (2015). Architectural principles of organization automated control systems of infocommunication networks special purpose. H&ES Research. Vol. 7. No. 4. Pp. 16-23. (in Russian)

Information about authors:

Eugene V. Druk, graduated of Military space academy of A.F. Mozhaysky, St. Petersburg, Russia

Igor V. Levko, PhD in Technological Sciences, associate professor, associate professor of automated control systems of Military space academy of A.F. Mozhaysky, St. Petersburg, Russia