Научная статья на тему 'Особенности реализации виртуальных туннелей на основе служебных сетевых протоколов'

Особенности реализации виртуальных туннелей на основе служебных сетевых протоколов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
776
101
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНКАПСУЛЯЦИЯ / ИНТЕРНЕТ ПРОТОКОЛЫ / МНОГОУРОВНЕВЫЕ СЕТЕВЫЕ МОДЕЛИ / СТЕГАНОГРАФИЯ / СТЕГАНОГРАФИЧЕСКАЯ ИНКАПСУЛЯЦИЯ ПАКЕТОВ / ТУННЕЛИРОВАНИЕ / ENCAPSULATION / INTERNET PROTOCOLS / MULTILEVEL NETWORK MODELS / STEGANOGRAPHY / STEGANOGRAPHIC PACKET ENCAPSULATION / TUNNELING

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Авакьянц А. В., Урубкин М. Ю., Фатхи Д. В.

Статья посвящена актуальной проблеме преодоления ограничений, накладываемых протоколом IP и применяемыми совместно с ним сетевыми технологиями, в частности трансляцией адресов, на структуру компьютерных сетей и доступность отдельных её узлов. В ней предлагается метод построения виртуальных сетевых туннелей на основе принципов стеганографии с использованием служебных сетевых протоколов, кратко описаны недостатки существующих технологий туннелирования. В работе достаточно подробно изложен предлагаемый метод стеганографической инкапсуляции сетевых пакетов, описаны принципы формирования заголовков пакетов, приведены примеры протоколов для инкапсуляции. Материал статьи изложен последовательно, грамотно и соответствует общепринятым требованиям к научным работам. Представленный подход к решению задачи построения виртуальных туннелей обладает научной новизной и имеет практическую ценность.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Features of implementation of virtual tunnels on the basis of service network protocols

The article is devoted to the actual problem of overcoming the restrictions imposed by the IP Protocol and network technologies used in conjunction with it, in particular, address translation, on the structure of computer networks and the availability of its individual nodes. It proposes a method of building virtual network tunnels based on the principles of steganography using service network protocols, briefly describes the shortcomings of existing technologies of tunneling. The paper describes in detail the proposed method of steganographic encapsulation of network packets, describes the principles of formation of packet headers, provides examples of protocols for encapsulation. The material of the article is presented consistently, competently and meets the generally accepted requirements for scientific works. The presented approach to solving the problem of building virtual tunnels has scientific novelty and has practical value.

Текст научной работы на тему «Особенности реализации виртуальных туннелей на основе служебных сетевых протоколов»

Особенности реализации виртуальных туннелей на основе служебных

сетевых протоколов

А.В. Авакьянц, М.Ю. Урубкин, Д.В. Фатхи Донской Государственный Технический Университет

Аннотация: Статья посвящена актуальной проблеме преодоления ограничений, накладываемых протоколом IP и применяемыми совместно с ним сетевыми технологиями, в частности трансляцией адресов, на структуру компьютерных сетей и доступность отдельных её узлов. В ней предлагается метод построения виртуальных сетевых туннелей на основе принципов стеганографии с использованием служебных сетевых протоколов, кратко описаны недостатки существующих технологий туннелирования. В работе достаточно подробно изложен предлагаемый метод стеганографической инкапсуляции сетевых пакетов, описаны принципы формирования заголовков пакетов, приведены примеры протоколов для инкапсуляции. Материал статьи изложен последовательно, грамотно и соответствует общепринятым требованиям к научным работам. Представленный подход к решению задачи построения виртуальных туннелей обладает научной новизной и имеет практическую ценность.

Ключевые слова: Инкапсуляция, интернет протоколы, многоуровневые сетевые модели, стеганография, стеганографическая инкапсуляция пакетов, туннелирование.

Введение

Современные сетевые технологии представляют собой сложный набор взаимосвязанных протоколов, интерфейсов и алгоритмов взаимодействия различных устройств, правильное совместное применение которых позволяет решать широкий круг задач по обеспечению информационного обмена. Топологии сетей, сформированные в результате долгого исторического развития путём наслоения различных технологий, отличаются сложностью и разнородностью [1]. В связи с этим актуальной задачей является развитие методов туннелирования, которые позволяют создавать виртуальные соединения, и таким образом формировать логическую топологию сети, независящую от физического соединения её устройств.

1. Модель сетевого взаимодействия

Взаимодействие узлов компьютерной сети принято описывать с помощью многоуровневых моделей, таких как OSI (Open System Interconnection — модель взаимодействия открытых систем), представляющая скорее теоретический интерес, и TCP/IP, повсеместно используемая на практике. [2] Данные модели описывают согласованный набор протоколов, называемый стеком протоколов, совместное применение которых обеспечивает передачу как пользовательских данных, так и служебных сетевые сообщений, необходимых для правильной работы сети.

Важнейшим протоколом стека TCP/IP является протокол IP (Internet Protocol), на котором построено всё взаимодействие как в интернете, так и в локальных сетях. Он был разработан в 1981 году и, как следует из стандарта, [3] не был рассчитан на работу в сетях такого масштаба, который имеет сегодня интернет, и на определённом этапе развития столкнулся со следующими проблемами:

— лавинообразный рост сложности маршрутизации большого числа

сетей;

— зависимость адреса от провайдера, сложность массового изменения адресов;

— исчерпание IP-адресов.

Для решения последней проблемы наиболее эффективным, и как следствие наиболее распространённым, средством является трансляция сетевых адресов (NAT — Network Address Translation). Данная технология позволяет заменять адреса большого числа компьютеров в локальной (в терминологии NAT — внутренней) сети на один адрес шлюза во внешней сети, которой, как правило, является интернет. Помимо экономии IP-адресов, использование NAT также приводит к повышению безопасности за счёт

сокрытия инфраструктуры внутренней сети, однако данная технология имеет важный недостаток — внутренняя сеть, находящаяся за устройством NAT, оказывается изолированной от внешних соединений и полностью «невидима» из интернета. Такая ситуация является неприемлемой для территориально распределённых организаций, чьи информационные ресурсы рассредоточены по нескольким внутренним сетям, поэтому для обеспечения связи между ними создают виртуальные частные сети, в основе которых лежат 2 технологии: шифрование и туннелирование.

2. Задача туннелирования

Туннелирование (от англ. tunnelling — «прокладка туннеля») — процесс, в ходе которого создается логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. [4] Инкапсуляция — это процесс передачи данных с верхнего уровня приложений вниз по стеку протоколов к физическому уровню. При продвижении пакета данных по уровням сверху вниз каждый новый уровень добавляет к пакету свою служебную информацию в виде соответствующих заголовков.

В процессе инкапсуляции, выполняемой при туннелировании, выделяют следующие типы протоколов [5]:

— транспортируемый протокол, т.е. тот, чьи данные нужно передать через туннель;

— протокол инкапсуляции, который выполняет служебные функции передачи параметров туннеля и обозначение самого факта туннелирования;

— несущий протокол, предназначенный для передачи всей перечисленной выше информации по внешней сети.

От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что транспортируемый протокол

II Инженерный вестник Дона, №1 (2019) Н| ivdon.ru/ru/magazine/arcliive/nly2019/5643

относится к тому же или более низкому уровню, чем используемый в качестве туннеля несущий протокол (рис. 1).

UDP-заголовок

Данные

Данные

IP- UDP- Данные

заголовок заголовок

<>

GRE- IP- UDP- Данные

заголовок заголовок заголовок

IP- GRE- IP- UDP- Данные

заголовок заголовок заголовок заголовок

Ethernet- IP- GRE- IP- UDP- Данные Ethernet-

заголовок заголовок заголовок заголовок заголовок концевик

2 заголовка одного и того же протокола

Рис. 1 - Инкапсуляция пакетов при туннелировании.

На рисунке 1 транспортируемыми протоколами являются UDP и IP, протоколом инкапсуляции — GRE, а несущим протоколом, также как и транспортируемым, — IP. Описанный подход является стандартным, вследствие чего легко распознаётся системами анализа трафика, а в случае отсутствия дополнительной защиты поддаётся дальнейшему анализу для извлечения полезной информации. В связи с этим перспективным может оказаться другой подход, основанный на принципах сетевой стеганографии — совокупности методов скрытой передачи данных с использованием особенностей работы сетевых протоколов [6].

3. Служебные сетевые протоколы для стеганографической

инкапсуляции

Все сетевые протоколы условно можно разделить на 2 группы: протоколы, предназначенные для передачи полезной нагрузки (как правило пользовательских данных) и служебные протоколы, используемые только для обмена информацией о состоянии сети, её топологии, сопоставления адресов, а также выполняющие большое количество других функций, напрямую не связанных с передачей пользовательских данных, но необходимых для корректной работы сети. К первой группе относятся все протоколы прикладного уровня, а также протоколы TCP, UDP, IP и Ethernet, ко второй — ICMP, ARP, DHCP, DNS, все протоколы маршрутизации и также многие другие менее распространённые протоколы.

Как правило, при настройке систем анализа трафика, для служебных протоколов используют менее строгие правила чем для транспортных, а иногда и вовсе игнорируют их, что связано с экономией вычислительных ресурсов, а также представлением о том, что в служебных протоколах не будет пользовательских данных, представляющих интерес для анализа [7].

Наиболее простым для инкапсуляции туннелированных данных является протокол ICMP, в пакетах которого предусмотрено место для размещения каких-либо данных, напрямую не используемых самим протоколом [8,9].

Другим распространённым служебным протоколом является ARP (Address Resolution Protocol), предназначенный для сопоставления IP и MAC адресов. Его пакеты часто передаются по сети, не имеют чётких признаков, позволяющих отличить реальный пакет от поддельного, и не блокируются средствами защиты сетей. Несмотря на то, что в данном протоколе не предусмотрено отдельное поле для записи данных, можно использовать для

II Инженерный вестник Дона, №1 (2019) Н| ivdon.ru/ru/magazine/arcliive/nly2019/5643

этих целей поля его заголовка, предназначенные для одного из адресов отправителя.

В случае, когда в сети применяется динамическая маршрутизация, пакеты используемого протокола маршрутизации можно применять для транспортировки пользовательских сообщений. Такие пакеты содержат большое количество данных, например, о топологии сети, для протокола ICMP, или об уже имеющихся маршрутах, для протокола RIP. Длина этих данных не ограничена, а их содержимое не может быть проверено промежуточным узлом, осуществляющим анализ трафика, в результате чего возможно добавление в пакет значительных объёмов данных не являющихся маршрутной информацией.

Независимо от выбранного несущего протокола, использование принципов стеганографии для внедрения данных в служебные сетевые пакеты сводится к определению потенциально избыточной информации в структуре пакета, её компрессии и записи в освободившееся место требуемой информации [10]. Данный принцип показан на рисунке 2.

Рис. 2 - Стеганографическая инкапсуляция пакетов.

ЗАКЛЮЧЕНИЕ

Предлагаемый подход к построению виртуальных туннелей с использованием служебных сетевых протоколов позволяет обходить ограничения, налагаемые физической топологией сети, а используемые при этом методы стеганографии обеспечивают определённый уровень конфиденциальности передаваемых сообщений. Широкий набор служебных протоколов позволяет использовать описанные методы в любых сетях, а также разделять передаваемую информацию между несколькими протоколами, повышая общую скорость передачи и усложняя анализ данного трафика.

Литература

1. 1. Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. — СПб.: Питер, 2012. — 960 с.

2. Г.В. Бабенко, С.В. Белов Анализ трафика TCP/IP на основе методики допустимого порога и отклонения // Инженерный вестник Дона, 2011, №2 URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

3. RFC 791. Internet protocol, 1981, URL: tools.ietf.org/html/rfc791.

4. Галушка В.В. Сети и системы передачи информации: учебное пособие // Ростов н/Д: Издательский центр ДГТУ, 2016. — 105 с.

5. Ibrahim, L., 2017. Virtual Private Network (VPN) Management and IPSec Tunneling Technology. Middle East Comprehensive Journal for Education and Science Publications (MECSJ), 1: pp.76-87.

6. Mazurczyk, W., S. Wendzel, S. Zander, A. Houmansadr and K. Szczypiorski, 2016. Information hiding in communication networks: fundamentals, mechanisms, applications, and countermeasures. John Wiley & Sons, pp.100-104.

7. Бирюков А. А. Информационная безопасность: защита и нападение. - 2-е изд., перераб. и доп. — М.: ДМК Пресс, 2017. — 434 с.

8. Галушка В.В., Петренкова С.Б., Дзюба Я.В., Панченко В.А. Сетевая стеганография на основе ICMP-инкапсуляции // Инженерный вестник Дона, 2018, №4. URL: ivdon.ru/ru/magazine/archive/n4y2018/5306.

9. Wojciech Fr^czek, Krzysztof Szczypiorski Perfect undetectability of network steganography. Security Comm. Networks, 2016, 9: pp. 2998-3010.

10. Павлин Д.В., Макосий А.И., Жданов О.Н. О сетевой стеганографии. Реализация алгоритма RSTEG // Решетневские чтения. 2014. №18(2). С. 322-324.

References

1. Tanenbaum Je., Ujezeroll D. Komp'juternye seti.[Computer network]. 5 izd. SPb.: Piter, 2012. 960 p.

2. G.V. Babenko, S.V. Belov Inzenernyj vestnik Dona (Rus), 2011, №2. URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

3. RFC 791. Internet protocol, 1981, URL: tools.ietf.org html rfc791.

4. Galushka V.V. Seti i sistemy peredachi informacii. [Networks and information transmission systems]. Uchebnoe posobie. Rostov n D: Izdatel'skij centr DGTU, 2016. 105 p.

5. Ibrahim, L., 2017. Virtual Private Network (VPN) Management and IPSec Tunneling Technology. Middle East Comprehensive Journal For Education And Science Publications (MECSJ), 1: pp. 76- 87.

6. Mazurczyk, W., S. Wendzel, S. Zander, A. Houmansadr and K. Szczypiorski, 2016. Information hiding in communication networks: fundamentals, mechanisms, applications, and countermeasures. John Wiley & Sons, p.100-104.

7. Birjukov A. A. Informacionnaja bezopasnost': zashhita i napadenie. [Information security: protection and attack]. 2 izd., pererab. i dop. M.: DMK Press, 2017. 434 p.

8. Galushka V.V., Petrenkova S.B., Dzjuba Ja.V., Panchenko V.A. Inzenernyj vestnik Dona (Rus), 2018, №4. URL: ivdon.ru/ru/magazine/archive/n4y2018/5306.

9. Wojciech Fr^czek, Krzysztof Szczypiorski Perfect undetectability of network steganography. Security Comm. Networks, 2016, 9: pp.2998 3010.

10.Pavlin D.V., Makosiy A.I., Zhdanov O.N. Reshetnevskie chteniya. 2014. №18(2). pp. 322 324.

1К1 Инженерный вестник Дона. №1 (2019) Н| ivdon.ru/ru/magazine/arcliive/nly2019/5643

i Надоели баннеры? Вы всегда можете отключить рекламу.