CC BY
16
УДК 004.056
РЕАЛИЗАЦИЯ ЭЛЕМЕНТОВ ДИНАМИЧЕСКОГО АДРЕСНОГО ПРОСТРАНСТВА1
Н. Ю. Паротькин1, Е. А. Кушко, Н. В. Арифанова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
1E-mail: nyparotkin@yandex.ru
Предложен и разработан алгоритм динамической адресации, в основу которого лежит метод сокрытия узла путем ретрансляции сообщений через групповое вещание. Применяемый алгоритм использует технологию движущейся цели и может быть использован для применения в системах управления наземным оборудованием центров управления полетами для усложнения доступа злоумышленника к конкретным устройствам.
Ключевые слова: безопасность компьютерных сетей, технология движущейся цели, многоадресное вещание, одноплатный компьютер.
THE IMPLEMENTATION OF DYNAMIC ADDRESS SPACE ELEMENTS
N. Yu. Parotkin1, E. A. Kushko, N. V. Arifanova
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation 1E-mail: nyparotkin@yandex.ru
In this paper, we proposed and developed an algorithm for dynamic addressing, based on the method of concealment of a node by relaying messages through the group broadcasting. The applied algorithm uses the technology a moving target and can be used for applications in control systems, ground equipment and flight control centres to make it difficult for a hacker to access specific devices.
Keywords: computer network security, moving target defense, multicast broadcasting, single board computer.
Удаленные атаки на информационные системы компаний - существенная проблема информационной безопасности на сегодняшний день. Перед осуществлением самой атаки злоумышленник проводит сетевую разведку, в ходе которой собирает данные о структуре локальной сети, об используемых устройствах, о программном обеспечении, их версиях и уязвимостях, об используемых средствах защиты. Для того чтобы затруднить сетевую разведку злоумышленника применяется технология движущейся цели для перемешивания адресного пространства локальной сети или её сегмента. Алгоритм динамической адресации не ограничивает в действиях злоумышленника, а лишь изменяет информацию, на основе которой злоумышленник принимает решение.
В данной работе разработан, реализован и исследован алгоритм динамической адресации, в основу которого лежит метод сокрытия узла путем ретрансляции сообщений через групповое вещание [1].
В основе алгоритма динамической адресации лежит технология движущейся цели (ТДЦ, moving target defense, MTD) [2].
Подход этот находится только на начальном этапе становления, уже привлек к себе серьезное внимание - в условиях распространения технологий виртуализации, программно-конфигурируемых сетей (Software-Defined Network, SDN) и случайным образом формируемой схемы адресного пространства (Address Space Layout Randomization, ASLR) он стал весьма популярен [3].
Исследование безопасности подобных схем приводит к следующим выводам: не должна нарушаться случайность передачи данных; не должен вводиться дополнительный контроль или переда-
1 Работа поддержана Минобрнауки России в рамках контракта № 14.574.21.0126 от 27.11.2014 г., уникальный идентификатор проекта КРМБР!57414Х0126.
Секция «Методы и средства зашиты информации»
ваться дополнительная служебная информация, демаскирующая алгоритм передачи данных; не должны нарушаться требования аутентификации и авторизации.
В работе [4] предлагается реализация алгоритма на основе технологию движущейся цели, реализующего передачу данных по случайно чередующимся каналам связи. Исследование этого алгоритма показывает необходимость дополнительной защиты узлов и использования сетевых протоколов, защищенных от исследования.
В частности, можно отметить следующие особенности: маршруты передачи данных в этом случае зависят от действий злоумышленника, поскольку являются частью открытой сети передачи данных. Следовательно, не должно существовать связей, не имеющих альтернативных вариантов передачи; также не должно существовать связей, существенно влияющих на качество передачи и нарушающих связность системы за счет потерянных пакетов.
Исследование этой и подобных работ [2-4] приводит к возможности применения иных протоколов и принципов передачи, основанных на ограниченном широковещательном трафике с динамическим адресным пространством и внутренней аутентификацией на основе шифрования с открытым ключом (или стеганографических методов).
В основе алгоритма, предложенного в работе, лежит идея перемещения узлов по мультикаст-группам и передачи данных средствами группового вещания в соответствующие мультикаст-группы.
Злоумышленник, который прослушивает весь сетевой трафик, не может установить отправителя пакета и его получателя, так как пакет данных зашифрован и явно не указываются Ip-адреса получателя и отправителя, а указаны лишь их идентификаторы.
Пакеты данных ретранслируются в мультикаст-группы всеми участниками защищенного сегмента сети. Канал связи между узлами А и Б скрывается среди всех каналов связи, и злоумышленник не может установить, какой узел является отправителем, а какой получателем, затруднительно отследить, когда и кем пакет данных был принят и отправлен.
При этом видно как узлы-участники защищенного обмена отправляют зашифрованные данные средствами группового вещания во множество различных мультикаст-групп.
Узлы, участвующие в защищенном обмене данными, подключаются к мультикаст-группе инициализации обмена, в которой происходит обмен идентификаторов участников защищенного обмена данными. Каждый узел формирует свой список узлов-участников защищенного обмена. Затем каждый узел подключается к двум-трем мультикаст-группам, которые определяются специальным алгоритмом, и через которые участники защищенного сегмента сети обмениваются данными. Через определенный интервал времени узел покидает мультикаст-группы обмена данными и заново определяет эти мультикаст-группы по алгоритму выбора новых мультикаст-групп обмена данными.
Четвертый октет адреса мультикаст-группы выбирается как случайное число из диапазона от нуля до количества участников на единицу больше и прибавляется к текущему значению часов. Второй октет выбирается как случайное число из диапазона от нуля до количества участников на единицу больше деленное пополам и также прибавляется к текущему значению часов. И так для каждой мультикаст-группы. Интервал времени, через который происходит смена мультикаст-групп выбирается случайно в интервале от 60 до 120 секунд.
Тестирование проводилось на тестовом стенде, который состоял из маршрутизатора Totolink N300RT, обеспечивающий передачу данных до 300 Мбит/с, ноутбука с шестью установленными виртуальными машинами VirtualBox под управлением ОС Lubuntu и Raspberry Pi 2 под управлением ОС Raspbian. За основу взята методика тестирования устройств межсетевых соединений по RFC2544. Тест проводился в трех вариантах (см. таблицу).
Пропускная способность протоколов передачи данных
Пропускная способность (Кбит/с)
Размер кадра Нет ретрансляторов Один ретранслятор Два ретранслятора UDP TCP
64 17 7,2 4 989 4740
128 29,6 14,4 8,8 1050 9950
256 61,6 26,4 19,2 1050 19600
1024 266,4 100 72 1050 41800
1518 400 200 112 1020 47500
2048 800 266,4 160 753 6100
Результаты показывают, что при работе на одном и том же оборудовании пропускная способность протоколов UDP и TCP несколько выше, чем при передаче по протоколу, разработанном в данной работе. Проведено дальнейшее исследование и тестирование алгоритма, результаты которого приведены и в других работах, в ходе которого было установлено, что алгоритм соответствует той цели, для которой он предназначен и может быть применен для решения задач, касающихся безопасной передачи данных в ЛВС.
Библиографические ссылки
1. Стюгин М. А., Паротькин Н. Ю., Золотарев В. В. Обеспечение безопасности узла сокрытием в динамической сетевой топологии // Решетневские чтения. . 2015. Т. 2. С. 300-302.
2. Analysis of network address shuffling as a moving target defense / T. E. Carroll, M. Crouse, E. W. Fulp, K. S. Berenhaut / 2014 IEEE International Conference on Communications, ICC 2014. P.701-706.
3. Карвальо М., Форд Р. Защита сетей путем создания движущихся целей // Открытые системы. 2014. № 4.
4. Мельниченко П. А. Метод варьирования маршрутов для противодействия угрозам информационной безопасности в открытых компьютерных сетях типа Интернет : автореф. дис. ... канд. техн. наук. Томск : ТУСУР, 2009. 24 с.
© Паротькин Н. Ю., Кушко Е. А., Арифанова Н. В., 2016
