CC BY
10Самоорганизующаяся система управления трафиком вычислительной сети: удаленный
сетевой доступ
Е. А. Басыня, Г.А. Французова, А.В. Гунько НГТУ (Новосибирск, Россия)
Аннотация. В данной статье рассмотрена успешная реализация механизма удаленного сетевого доступа к самоорганизующейся системе управления трафиком
вычислительной сети, функционирующей на основе методов противодействия сетевым угрозам и обеспечения конфиденциальности информационных потоков корпоративной сети.
Ключевые слова: удаленный сетевой доступ, механизмы сканирования и зондирования, самоорганизующаяся система управления трафиком вычислительной сети.
I. ВВЕДЕНИЕ
На сегодняшний день одним из приоритетных направлений развития сектора информационно -коммуникационных технологий (ИКТ) является обеспечение информационной безопасности. Государственные учреждения и частные предприятия организуют локальные
вычислительные сети с коммутацией пакетов на базе стека протоколов TCP/IP. Уязвимость данного стека и запрограммированная «жесткая» логика различных аппаратно-программных средств управления и защиты трафика обуславливают необходимость сопровождения сектора ИКТ предприятия квалифицированными техническими специалистами [4]. Для повышения уровня информационной безопасности и автоматизации данного процесса была разработана самоорганизующаяся система управления трафиком вычислительной сети (ССУ) [7]. В ее основу были заложены авторские методы противодействия сетевым угрозам и обеспечения конфиденциальности
информационных потоков корпоративной сети [6,7]. Необходимость организации удаленного сетевого доступа к разработанной информационной системе из любой точки мира -задача нетривиальная. Обусловлено это высоким приоритетом информационной безопасности и функционированием механизмов ССУ по фальсификации серверных решений и динамической самоорганизации межсетевых экранов [8].
II. ПОСТАНОВКА ЗАДАЧИ
Целью работы является выбор методов реализации системы удаленного сетевого доступа
к самоорганизующейся системе управления трафиком вычислительной сети,
функционирующей на основе методов противодействия сетевым угрозам и обеспечения конфиденциальности информационных потоков ИКТ предприятия.
III. ТЕОРИЯ
Первый этап обеспечения информационной безопасности локальной вычислительной сети и ее взаимодействие с глобальной сетью Интернет осуществляются посредством межсетевых экранов с использованием технологии NAT (от англ. Network Address Translation — «преобразование сетевых адресов»). Используя трансляцию по месту назначения (механизм Destination NAT) и IP-адрес узла (с которого будет осуществляться удаленный доступ) - можно задать пакетному фильтру шлюза правило разрешения «проброса» соединения на необходимый локальный хост. Достаточно указать глобальный адрес удаленного клиента, протокол и порт, при обращении на который межсетевой экран произведет «проброс» соединения. Однако, в рамках данной задачи необходимо обеспечить доступ с любого IP-адреса, оставив при этом политику по-умолчанию «запрет всех неуказанных соединений». Существует ряд протоколов для удаленной работы:
> RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола);
> SSH (англ. Secure Shell — безопасная оболочка);
> RFB (англ. Remote FrameBuffer, удалённый кадровый буфер);
> и др.
Но любые аппаратно-программные средства имеют свои уязвимости (в том числе и современные криптографические протоколы SSL <англ. Secure Sockets Layer — уровень защищённых сокетов> и TLS <англ. Transport Layer Security — безопасность транспортного уровня>, а соответственно и VPN <англ. Virtual Private Network — виртуальная частная сеть> ) и могут быть взломаны/дешифрованы при определенных вычислительных и временных затратах [1,3]. К примеру, проприетарный протокол RDP корпорации Microsoft имел уязвимость CVE-2012-0002 (RCE в RDP), позволяющую выполнить произвольный код на
удаленной системе при мощи специально сформированного RDP-пакета. Так же стоит отметить уязвимость протокола SSH, работающего в режиме передачи блочного шифра (англ. Cipher Block Chaining, CBC), потенциально предоставляющую возможность восстановить содержимое зашифрованных сессий.
Интересным техническим решением является «простукивание портов» (англ. Port Knocking). В данном методе с IP-адреса «заданного» клиента посылается кодовая последовательность запросов к закрытым портам информационной системы. Сервер принимает запросы, записывает их в журнал регистрации, но не отвечает на них. Специальная утилита просматривает журнал регистрации, и как только находит кодовую серию ошибок доступа, открывает соответствующий комбинации порт на доступ с указанного в последовательности IP-адреса. Данный алгоритм уязвим перед современными средствами сканирования и зондирования [5] (наиболее критично при доступе злоумышленника к каналу связи).
IV. МЕТОД УДАЛЕННОГО СЕТЕВОГО ДОСТУПА К ССУ
В основу работы ССУ заложен метод противодействия сетевым угрозам,
использующий аппарат генетической
алгоритмизации и нечеткой логики, позволяющий при идентификации процессов сканирования и зондирования производить фальсификацию серверных решений и выставление «ловушек» [2] с последующим изучением действий злоумышленника и возможностью
самореоганизации.
С учетом вышеописанной структуры системы предлагается использовать метод удаленного сетевого доступа, имеющий в своей основе технологию «простукивания портов», но расширенную алгоритмом динамического формирования последовательности условий предоставления доступа к ССУ.
Клиент-серверная модель для генерации кодовой комбинации использует:
> информацию о предшествующих успешных соединениях (дату, время, флаги пакетов <выборка блоком нечеткой логики>);
> информацию о текущей дате;
> последовательность сгенерированных стохастических параметров (естественно, без генератора псевдослучайных чисел Dual_EC_DRBG <Dual Elliptic Curve Deterministic Random Bit Generation>);
> ЭЦП
> и др.
Алгоритм генерации последовательности заложен как в клиентской части, так и в серверной. Совпадение результатов
обеспечивается наличием идентичных начальных данных с ограниченным доступом.
На основе данных параметров, с использованием хэш-функции и нечеткой логики, формируется необходимая последовательность портов и протоколов.
Для составления итоговой последовательности (рис. 1) нечеткая логика включает http-обращения из й^сети (посредством «луковой» маршрутизации) со списка хостов корпоративного нода.
Рис. 1. Общая схема удаленного сетевого доступа к ССУ
После прохождения данной цепочки хосту разрешается установление \Р^соединения и работа через него посредством ранее приведенных криптографических протоколов. Использование оверлейных сетей повышает степень защиты от снифферов.
V. РЕЗУЛЬТАТЫ ЭКСПЕРИМЕНТОВ
Для сравнительной оценки эффективности разработанного метода в сравнении с классическим «простукиванием портов» было проведено более 500 тестов (при 25 удаленных подключениях) комплексом программ SpyNetBM, IRIS, Net Analyzer, unMilitaryZ, BDUpro и др. Сводный отчет представлен на рисунке 2.
16«
Centos 6.5 с технологией "простукивания портов"
054 Г6%
л Г
■ Идентификация режима недоступности
в Изучение ложной(фальсифицированной) серверной мод ел и
в Состояние зависания в "серверной ловушке"
■ Успешная идентификация заложенной последовательности "простукивания"
Рис. 2. Сводный отчет по работе снифферов
В рамках данного эксперимента, лишь система с классическим методом «простукивания» и цепочкой из 20 шагов оказалась уязвимой в 6% итераций.
VI. ОБСУЖДЕНИЕ РЕЗУЛЬТАТОВ
На практике разработанный метод хорошо себя зарекомендовал: надежно и отказоустойчиво защищает информационную систему и локальную вычислительную сеть предприятия при организации удаленного доступа. Фальсификация серверных решений и выставление «ловушек» ССУ минимизируют информативность результатов работы инструментария
сканирования/зондирования. Требования к вычислительным мощностям незначительны. В рамках данного эксперимента главный межсетевой экран ССУ был «развернут» на виртуальной машине гипервизора XEN, задействуя лишь 512 МБ оперативной памяти, 40 ГБ пространства жесткого диска и 1 ГГц вычислительной мощности процессора. Данный шлюз успешно обеспечивал работу 50 хостов корпоративной сети предприятия.
VII. ВЫВОДЫ И ЗАКЛЮЧЕНИЕ
Предложенный метод организации удаленного сетевого доступа обеспечивает высокий уровень информационной безопасности, минимизируя информативность результатов работы инструментариев сканирования / зондирования / дешифрования / прогнозирования. В перспективе данный метод может быть заложен в основу проприетарного протокола.
адаптивные методы обеспечения информационной сетевой безопасности // Журнал "Автоматика и программная инженерия". - Новосибирск: Изд-во НГТУ, 2013. - Выпуск 3. С. 95-97.
[3] Басыня Е.А., Французова Г.А., Гунько А.В. О перспективах развития криптографии // Перспективное развитие науки, техники и технологий. Материалы Ш-й Международной научно-практической конференции в 3 томах. -Курск: Изд-во ЮЗГУ, 2013. - Том 1. С. 199-200.
[4] Гунько А.В., Басыня Е.А. Стохастические методы обеспечения информационной сетевой безопасности // Актуальные проблемы электронного приборостроения. Материалы XI Международной конференции, - Новосибирск: Изд-во НГТУ, 2011. - Том 7. С. 47-49.
[5] Крис Касперски. Техника сетевых атак - М.: СОЛОН-Р, 2001 - 400 с.
[6] Французова Г.А., Гунько А.В., Басыня Е.А. Обеспечение информационной безопасности внутренних информационных потоков корпоративной сети // Наука. Технологии. Инновации. Материалы всероссийской научной конференции молодых ученых в 10 ч. -Новосибирск: Изд-во НГТУ, 2013. - Часть 2. - С. 41-43.
[7]
[8]
Французова Г.А., Гунько А.В., Басыня Е.А.
Разработка и исследование самоорганизующейся системы управления трафиком вычислительной сети // Наука. Технологии. Инновации. Материалы всероссийской научной конференции молодых ученых в 10 ч. - Новосибирск: Изд-во НГТУ, 2013. - Часть 2. - С. 3-7.
Французова Г.А., Гунько А.В., Басыня Е.А.
Самоорганизующаяся система управления трафиком вычислительной сети: механизмы защиты от сканирования и зондирования // Материалы международной научно-практической конференции SWorld «Перспективные инновации в науке, образовании, производстве и транспорте» :тезисы докл. Междунар.конф.- URL:
http://www.sworld.com.ua/index.php/ru/technical-sciences-413/informatics-computer-science-and-automation-413/20781-413-0194.html (дата
обращения: 16.01.2014) - 4130194
Басыня Евгений Александрович,
аспирант кафедры автоматики НГТУ. Основное направление научных исследований: управление и информационная безопасность в ВС. Имеет более 15 публ. basinva@mail.ru
ЛИТЕРАТУРА
[1] Алферов А. П., Зубов А. К., Кузьмин А. С. Основы криптографии: Учебное пособие. - 2-е изд., испр. и доп. — М.. Гелиос АРВ, 2002. — 480 с
[2] Басыня Е.А., Гунько А.В. Интелектуально-
Французова Галина Александровна, д. т. н., профессор кафедры автоматики НГТУ. Основное направление научных исследований: синтез систем экстремального регулирования. Имеет более 100 публикаций. frants@ac.cs.nstu.ru
Гунько Андрей Васильевич, к. т.
н., доцент кафедры автоматики НГТУ. Основное направление научных исследований: разработка автоматизированных систем сбора и обработки результатов. Имеет более 60 публикаций.
gun@ait.cs.nstu.ru
Self-Organizing System of Traffic
Control of Computer Net: Remote Net Access
Evgeny BASINYA, Galina FRANTSUZOVA, Andrey GUNKO
Abstract: The paper discusses successful realization of algorithm of remote net access to self-organizing system of traffic control for computing net functioning on the base of the methods of resistance of net treats and providing of confidentiality of information flows of corporative net.
Key Words: Remote net access, Algorithms of Scanning and Reconnaissance, Self-Organizing System of Traffic Control for Computing Net.
