УДК 007.738.5
DOI: 10.24412/2071-6168-2023-3-336-345
СПОСОБ РЕКОНФИГУРИРОВАНИЯ СЕТЕВЫХ ПАРАМЕТРОВ ИНФОРМАЦИОННЫХ СИСТЕМ В УСЛОВИЯХ СЕТЕВОЙ РАЗВЕДКИ
М.А. Каплин
Рассмотрены способы защиты информационных систем от вскрытия состава, структуры и алгоритмов функционирования средствами сетевой разведки. В основу разработанного способа положены технологии движущейся цели, реализующие динамическую смену доменных имен, сетевых адресов и портов сетевым устройствам информационной системы и ложным компонентам, функционирующим в их составе.
Ключевые слова: информационная система, сетевая разведка, реконфигурирование сетевых параметров.
Современные технологии сетевой безопасности концентрируются на защите информационных систем (ИС), основанной на надежной защите периметра. Так, межсетевые экраны, прокси-серверы, шлюзы прикладного уровня и системы обнаружения вторжений предназначены для предотвращения, запрета и/или обнаружения доступа средств сетевой разведки (СР) к защищаемым информационным ресурсам. Однако применение этих средств для решения задач защиты состава, структуры и алгоритмов функционирования ИС от СР не позволяет обеспечить требуемый уровень защищенности ИС.
Известны возможности СР по вскрытию состава, структуры и алгоритмов функционирования ИС, обусловленные статичностью, однородностью и детерминированностью ИС на протяжении всего времени их функционирования [1-4]. Это обеспечивает достоверность информации, полученной о них средствами СР в течение длительного интервала времени и предоставляет злоумышленнику возможность планирования (выбора времени и инструментария) для начала компьютерной атаки (КА), без угрозы компрометации своих действий.
Злоумышленник посредством СР может сканировать пространство /Р-адресов, идентифицировать целевой список доменных имен или адресов после получения ответов и осуществлять КА с использованием целевого списка доменных имен или адресов. В сегментах ИС с применением средств защиты на основе конфигурирования /Р-адресов, основанной на сопоставлении доменных имен, /Р-адрес хоста постоянно меняется, и поэтому противник не может поддерживать целевой список /Р-адресов [5]. Однако, доменное имя хоста остается статичным, и поэтому злоумышленник может поддерживать доменную базу списка для атаки. Кроме того, ограниченная пространством /Р-адресов перестановка сетевых адресов не может эффективно защитить от случайных сканирующих атак.
Применение средств защиты с использованием технологий движущейся цели, в том числе, реализующих смену доменных имен, осуществляется по двум основным направлениям: методы переключения (прыжковые) и методы изменения (мутации) [6, 7]. В первом направлении обе стороны, участвующие в информационном обмене, должны синхронно менять свои сетевые параметры с помощью общих априорных знаний и схемы синхронизации. В направлении, основанном на изменении (мутации) сетевых параметров отсутствует необходимость в синхронизации. В обоих направлениях высвобождаемые после смены сетевые параметры остаются незадействованными, что будет выявлено СР при повторном их сканировании. Переназначение высвобожденных сетевых параметров ложным компонентам (ЛК) ИС, применяемым в составе ИС позволит нивелировать данный демаскирующий признак.
Так как известно, что значительное время, в среднем 45 %, злоумышленником затрачивается на проведение мероприятий СР [8-10], незамедлительное реконфигурирование сетевых параметров ИС в результате выявления фактов воздействия СР может быть избыточной мерой защиты и значительно повышать ее ресурсоемкость, вплоть до отказа в обслуживании легитимных пользователей. Рассчитав временные затраты, необходимые для идентификации сетевых параметров ИС, достаточно производить их реконфигурацию через время, не позволяющее получить злоумышленнику достаточный для проведения КА объем информации.
Таким образом, поскольку пространство доменных имен намного больше адресного пространства, способ реконфигурирования сетевых параметров ИС реализующий релевантную периодичность смены доменных имен синхронизировано со сменой /Р-адресов и портов позволит значительно увеличить сложность идентификации сетевых параметров ИС злоумышленнику при попытке сканирования ИС и снизить ресурсоемкость защиты.
На рис. 1, 2 представлена блок-схема алгоритма, реализующего разработанный способ, приняты следующие обозначения:
{Р }={рd, Р,..., Р}, (1)
где } - множество всех /Р-адресов сетевых устройств ИС, являющихся клиентами БИСР--сервераж; d - номер подсети ИС в которой конфигурируются сетевые параметры БИСР--сервером, d = 1, 2 ... z; z -
максимальное количество подсетей ИС; п - максимальное допустимое значение количества /Р-адресов сетевых устройств ИС.
/РА = [/Рь /РЪ..., /Рп Ь (2)
где /РА - массив памяти для хранения /Р-адресов сетевых устройств ИС.
тт>й ^ тпй (3)
/РВИСР е /Р , где /Р^пСР - /Р-адрес -ОЯСР-сервера в подсети й.
где D - массив памяти для хранения номера подсети DHCP-сервера; td - значение времени аренды всех
D = [1,2,..., z], (4)
ния но
/P-адресов подсети с номером d.
v = 1,2,..., V, (5)
где v - итерации реконфигурирования сетевых параметров ИС; V - максимальное количество итераций реконфигурирования сетевых параметров ИС.
TM = [td1, td 2,..., T ], (6)
где TM - массив памяти для хранения времени аренды всех /P-адресов в подсети d; Т - значение времени аренды на V-й итерации реконфигурирования сетевых параметров ИС.
{MAC}={MAC1, MAC2,..., MACi }, (7)
где {MAC} - множество MAC-адресов сетевых устройств ИС; l - максимальное количество сетевых устройств в ИС; NA - массив памяти для хранения матрицы соответствия n-му /P-адресу сетевого устройства из множества /P-адресов 1-го MAC-адреса из массива памяти MAC; {TS} - множество идентификаторов санкционированных информационных потоков, хранимых в массиве памяти TS.
Ap }=kd}, (8)
где |a/P } - множество разрешенных для использования в подсети d /P-адресов сетевых устройств.
d d d - TT3d л T7d ^ л^ I (9)
Fip }= \/Pd \ AfP }= FlP е /Pd л FfP е AfP }
j= </Pu \ A/Pj=
где \f_Ip } - множество IP-адресов ложных абонентов в подсети d.
{P}= (Pi,P2,...,Py,Py+1,Py+2,...,Py+q }, (10)
где {P} - множество сетевых портов взаимодействия сетевых устройств ИС; y - максимальное количество стандартных сетевых портов взаимодействия сетевых устройств ИС; q - максимальное количество динамических сетевых портов взаимодействия.
PD = [xbX2,..., X], (11)
где PD - массив памяти для хранения номеров динамических сетевых портов взаимодействия сетевых устройств; x - номер динамического сетевого порта; Х - максимальное значение номера динамического сетевого порта; Pn - массив памяти для хранения матрицы соответствия стандартных портов взаимодействия динамическим портам взаимодействия на (v + 1)-м этапе реконфигурирования сетевых параметров ИС; Fn(v) - функция выбора IP-адресов сетевых устройств на (v + 1)-м этапе реконфигурирования сетевых параметров ИС; Fd(v) - функция выбора номера ИС DHCP-сервера на (v + 1)-м этапе реконфигурирования сетевых параметров ИС.
{DNS}={DNS1, DNS2,..., DNSk }, (12)
где {DNS} - множество доменных имен узлов поддомена ИС; k - максимальное допустимое значение количества доменных имен сетевых устройств поддомена, k>>n.
u = 1,2,...,U, (13)
где u - номер поддомена, u=d; U - максимальное количество поддоменов.
Tuax - максимальное значение времени «жизни» Tu всех доменных имен поддомена u; [DP] -
массив памяти для хранения номера поддомена; [NP] - массив памяти для хранения матрицы соответствия n-му IP-адресу узла ИС из множества IP-адресов k-го доменного имени из множества {DNS}; Pallow - допустимая вероятность вскрытия сетевых параметров ИС, задаваемая декларативно исходя из условий
функционирования ИС; IP^S - IP-адреса DNS-сервера поддомена u; tconf - период времени, за которое проводится процедура реконфигурирования сетевых параметров ИС; t^^ - минимально возможный
период времени между реконфигурированием сетевых параметров ИС, = tconf ; Ьеап - время иден-
тш сигу
тификации сетевых параметров ИС, осуществляемой сетевым сканером; ^аХ - максимально допусти-
мый период времени между реконфигурированием сетевых параметров ИС, tmax = tscan ; Рса1с - вероятность вскрытия сетевых параметров ИС, рассчитанная в процессе формирования оптимальной структуры подсетей и поддоменов в соответствии с моделью реконфигурирования сетевых параметров ИС в
условиях СР [11, 12]; ^ - время функционирования ИС с заданными сетевыми параметрами с мо-
func
мента обнаружения СР.
Начало
Задают
исходные данные
2
Подключают
сетевые устройства к подсети
3
Направляют
с сетевых устройств сообщения на БИСР-сервер
4 -
Принимают БИСР-сервером сообщения от сетевых устройств
5 _
Формируют БИСР-сервером ответные сообщения с ^ и др. параметрами
6
Формируют
ЯИСР-сервером ответные сообщения с
dh ^dhcp, /Р
7 _
Формируют значения
Хд номеров динамических портов взаимодействия
8
Запоминают
сформированные значения номеров динамических портов в Рп
9
Формируют
для каждой из 7 подсетей /Р-адреса каждому хосту БИСР-серверами
10 I
Задают хостам
/Р1, ?, а, /?Лср и номера портов для каждого из V этапов
11-
Устана вливают
соответствие МАС- и /Р-адресов для z подсетей
12-
Запоминают
соответствие МАС-
и /Р-адресов в массиве памяти N
14
Направляют
сформированные /Р-адреса для подсети а на контроллер
15
Направляют
сформированные /Р-адреса для подсети а на БМ-сервер
17
Устанавливают
соответствие /Р-адресов и DNS-имен узлов ИС
18
Запоминают
соответствие /Р-адресов и DNS-имен узлов ИС
19
Направляют
сформированные DNS-имена на контроллер
20
Запоминают
соответствие /Р-адресов и имен узлов ИС на контроллере
21
Направляют
/Р-адреса для а
и БЖ-имена для и узлам ИС
22
Задают
/Р-адреса для а
и БЖ-имена для и узлам ИС
Формируют
сводную матрицу соответствия для каждого из V этапов
24-
Устанавливают
сетевые соединения между узлами ИС
25/
Формируют
оптимальную структуру ИС
26
Направляют
с контроллера запросы на DNS и DИCP серверы
27
Направляют
/Р-адреса и БЖ-имена узлам ИС для (а+1)-й подсети
28
Направляют
сообщения с изменениями портов на (г+1)-м этапе
29
Задают
высвобождаемые сетевые параметры ЛК ИС в подсети а
30
Очищают
неактуальные записи таблицы МАС и /Р на БИСР-сервере
31
Очищают
неактуальные записи таблицы /Р и DNS на DNS-сервере
32
Задают
каждому сетевому устройству /Р+1, d+1, DNS и др. параметры
Рис. 1. Блок-схема последовательности действий, реализующих разработанный способ (начало)
Для снижения возможностей злоумышленника по вскрытию истинных значений сетевых параметров ИС, конфигурирование /Р-адресов сетевых устройств ИС осуществляют в диапазоне нескольких подсетей. Для этого в предварительно заданные исходные данные во множестве /Р-адресов сетевых устройств ИС {/Р} дополнительно задают (см. блок 1 на рис. 1) подмножества а во множестве /Р-адресов сетевых устройств ИС (1). Затем предварительно задают массив памяти для хранения /Р-адресов сетевых устройств ИС (2).
Далее, для повышения результативности защиты, в целях исключения возможности для злоумышленника реализовать КА на DHCP-сервер [13], в предварительно заданные исходные данные, для каждого подмножества d, задают (см. блок 1 на рис. 1) IP-адреса доверенных DHCP-серверов (3), чем обеспечивают защиту от использования ложного DHCP-сервера злоумышленником. После этого задают (см. блок 1 на рис. 1) массив памяти (4) для хранения номера ИС DHCP-сервера. Затем предварительно задают (см. блок 1 на рис. 1) td - изначально максимальным [14].
Далее задают (см. блок 1 на рис. 1) массив памяти для хранения значения времени аренды всех IP-адресов устройств ИС с номером dv (5, 6). Этап реконфигурирования сетевых параметров в способе начинается с момента изменения сетевых параметров абонентов ИС при расчете релевантного интервала периодичности реконфигурирования с применением модели, изложенной в [11, 12].
После того как будут заданы (см. блок 1 на рис. 1) множество {MAC} (7) и массив памяти NA, задают (см. блок 1 на рис. 1) множество идентификаторов санкционированных информационных потоков {TS} > 1. В качестве идентификаторов принимают идентификационные признаки соединений, содержащие адреса отправителя и получателя пакетов сообщений, типы протоколов взаимодействия.
Применение разделения адресного пространства ИС на области разрешенных (ifp } и ложных
(F/p } IP-адресов позволяет с высокой степенью вероятности идентифицировать факт ведения СР как внутренним, так и внешним нарушителем, за счет обнаружения несанкционированных запросов или попыток установления соединения с заранее заданным множеством (fIp } ложных IP-адресов ИС. Для этого в предварительно заданные исходные данные дополнительно задают (см. блок 1 на рис. 1) множество IP-адресов сетевых устройств, разрешенных для использования в ИС d (8), а также задают множество IP-адресов ложных абонентов ИС d (9).
Для снижения возможностей средств СР по вскрытию значений сетевых параметров ИС за счет использования сетевых сканеров, программ-анализаторов сетевого трафика с фильтрацией пакетов сообщений по типам используемых протоколов и другого специального программного обеспечения [15-19] в способе применяют реконфигурирование значений номеров портов взаимодействия абонентов сети на каждой очередной итерации v. Это позволяет скрыть значения стандартных номеров портов взаимодействия, лежащих в диапазоне от 0 до 49151, на которых функционируют сетевые сервисы и службы, заменив их значениями номеров динамических портов из диапазона от 49152 до 65545. Стандартные значения номеров сетевых портов взаимодействия используются сетевыми устройствами ИС до первого этапа реконфигурирования. Данное состояние ИС в способе трактуется как начальный этап v:=v+1 этап, на котором ИС функционирует в первично заданной конфигурации. Таким образом, достигается то, что противник при перехвате пакетов сообщений не сможет по номеру порта определить используемый протокол, и соответственно, используемые абонентами ИС сетевые сервисы или службы.
Далее, на каждом следующем (v + 1)-м этапе реконфигурирования сетевых параметров ИС, значения номеров портов взаимодействия сетевых устройств ИС изменяют на новые, лежащие в диапазоне динамических портов, в случайном порядке. Для этого задают (см. блок 1 на рис. 1) множество портов взаимодействия сетевых устройств ИС (10).
Затем задают (см. блок 1 на рис. 1) массив памяти для хранения номеров динамических портов взаимодействия x сетевых устройств, которые будут использоваться на каждом (v + 1)-м этапе реконфигурирования сетевых параметров ИС (11).
Далее предварительно задают (см. блок 1 на рис. 1) массив памяти Pn для хранения матрицы соответствия стандартных портов взаимодействия динамическим портам взаимодействия на каждом из V этапов конфигурирования сетевых параметров ИС.
В целях усложнения процедуры вычисления злоумышленником IP-адресов сетевых устройств на каждом из V этапов реконфигурирования сетевых параметров ИС предварительно задают (см. блок 1 на рис. 1) Fn(v) - функцию выбора IP-адресов сетевых устройств на каждом из V этапов реконфигурирования сетевых параметров ИС.
Также предварительно задают (см. блок 1 на рис. 1) Fd(v) - функцию выбора номера ИС DHCP-сервера на каждом из V этапов реконфигурирования сетевых параметров ИС.
Далее задают {DNS} - множество доменных имен узлов поддомена ИС, а также задают u - номер поддомена (12, 13). После этого задают Tmax - максимальное значение времени «жизни» всех доменных имен поддомена u, [DP] - массив памяти для хранения номера поддомена и [NP] - массив памяти для хранения матрицы соответствия n-му IP-адресу узла ИС из множества IP-адресов k-го доменного имени из множества {DNS}.
Далее задают допустимую вероятность вскрытия сетевых параметров Pailow исходя из условий функционирования ИС.
Далее после подключения (см. блок 2 на рис. 1) сетевых устройств к ИС направляют (см. блок 3 на рис. 1) с сетевых устройств ИС сообщения на DHCP--сервер с IP-адресом IPj^HlCP для получения параметров синхронизации установленного часового пояса и текущего времени, IP-адресов и времени продолжительности их аренды t11.
После приема (см. блок 4 на рис. 1) DHCP-сервером с IP-адресом IPjDHCP сообщений от сетевых устройств и формирования DHCP-сервером ответных сообщений, содержащих параметры синхронизации установленного часового пояса и текущего времени, формируют (см. блок 5 на рис. 1) значение времени продолжительности аренды t11 IP-адресов сетевых устройств вычислительной сети. Далее формируют (см. блок 6 на рис. 1) DHCP-сервером ответные сообщения, содержащие значения IP-адресов
сетевых устройств, номер 11 сети DHCP-сервера и IP-адрес IPjDhCP DHCP-сервера. Необходимость синхронизации установленного часового пояса и текущего времени возникает в случае, когда время сервера и сетевых устройств ИС различается.
Затем формируют (см. блок 7 на рис. 1) номера динамических портов, на которых будут взаимодействовать сетевые устройства ИС на каждом из V этапов реконфигурирования сетевых параметров ИС. После этого запоминают (см. блок 8 на рис. 1) сформированные номера динамических портов в массиве памяти Pn.
Затем, формируют для каждой из z подсетей IP-адреса DHCP-серверами каждому сетевому устройству ИС (см. блок 9 на рис. 1), задают (см. блок 10 на рис. 1) сетевым устройствам ИС IP-адреса IPz и время продолжительности их аренды tz, номер сети DHCP-серверов z и IP-адрес выбранного DHCP-
сервера IPjryHCP, а также значения номеров динамических портов из массива памяти Pn, через которые
будут взаимодействовать сетевые устройства на каждом из V этапов реконфигурирования сетевых параметров ИС, затем устанавливают соответствия MAC- и IP-адресов в z подсетях (см. блок 11 на рис. 1) и запоминают (см. блок 12 на рис. 1) в массиве памяти NA DHCP-серверов соответствия MAC- и IP-адресов для обратившихся к нему с запросом сетевых устройств ИС. Взаимодействие устройств ИС и DHCP-сервера осуществляется по известной схеме [20].
Затем формируют (см. блок 13 на рис. 1) значения \Afp } разрешенных для использования в ИС
/Р-адресов сетевых устройств и значения ^Fjfi } /Р-адресов ложных абонентов ИС на каждом из V этапов реконфигурирования сетевых параметров ИС.
Далее направляют (см. блок 14 на рис. 1) значения параметров синхронизации установленного часового пояса и времени, назначенные /Р-адреса, номера динамических портов и другие сетевые параметры для узлов ИС в подсетях z на контроллер. В качестве контроллера выступает один из узлов ИС с предустановленным специальным программным обеспечением, содержащий сводные массивы памяти для хранения таблиц соответствия значений /Р-адресов узлов ИС, динамических портов и доменных имен в текущей и последующих конфигурациях. Контроллер взаимодействует с DИCP- и DNS-серверами, а также штатными средствами защиты ИС. Он осуществляет прием сообщений от средств защиты о факте воздействия средств СР, прием и хранение сетевых параметров узлов ИС, а также выдачу команд на прекращение аренды текущих сетевых параметров узлов, формирование и назначение новых и выдачу более неактуальных ЛК ИС после очередного цикла реконфигурирования сетевых параметров ИС. Контроллер осуществляет взаимодействие с несколькими подсетями ИС и не принадлежит ни одной из них.
После этого направляют (см. блок 15 на рис. 1) значения параметров синхронизации установленного часового пояса и времени, назначенные /Р-адреса и другие сетевые параметры для узлов ИС в подсети d на DNS-сервер.
Затем формируют (см. блок 16 на рис. 1) DNS-имена для узлов ИС для u-го поддомена ИС. Процесс формирования и разрешения DNS имен известен и описан в [21].
Устанавливают (см. блок 17 на рис. 5.13) соответствие /Р-адресов и DNS имен узлов ИС и запоминают (см. блок 18 на рис. 1) данное соответствие в массиве памяти [NP].
Далее направляют (см. блок 19 на рис. 1) сформированные DNS имена и время их «жизни» Tu на контроллер, где его запоминают (см. блок 20 на рис. 1) и направляют (см. блок 21 на рис. 1) /Р-адреса для подсети d, а DNS-имена для поддомена u узлам ИС и задают (см. блок 22 на рис. 1) каждую соответствующую пару /Р-адреса и DNS имени узлам ИС.
Далее формируют на контроллере (см. блок 23 на рис. 1) сводную матрицу соответствия сетевых параметров хостов (номер итерации реконфигурировния v, /Р-адресов клиентских хостов, /Pdf,cp, td,
Xq, доменные имена в поддомене u DNSu, номер поддомена u, /PjjiNS - /Р-адрес DNS-сервера поддомена
u, Tm аХ) для каждого из V этапов реконфигурирования сетевых параметров ИС.
Затем устанавливают сетевые соединения между узлами ИС (см. блок 24 на рис. 1).
Далее формируют оптимальную структуру подсетей и поддоменов ИС (см. блоки 25-40 на рис. 1, 2). Для этого контроллером направляют (см. блок 26 на рис. 1) запросы на DNS и DИCP серверы о прекращении времени «жизни» всех доменных имен поддомена u, параметры для поддомена u+1 и td времени аренды всех /Р-адресов узлов подсети с номером d ИС и параметры для подсети d+1.
Затем направляют (см. блок 27 на рис. 1) /Р-адреса для подсети d+1, а DNS имена для поддоме-на u+1 узлам ИС.
Далее направляют (см. блок 28 на рис. 1) каждому сетевому устройству ИС сообщения, регламентирующее изменение ими стандартных портов взаимодействия на динамические порты взаимодействия для (u + 1)-го этапа реконфигурации и задают в персональном межсетевом экране каждого сетевого устройства ИС массив соответствия портов взаимодействия сетевых устройств, согласно матрице из массива памяти Pn.
Затем задают (см. блок 29 на рис. 1) высвобождаемые узлами ИС /Р-адреса для подсети d, а DNS имена для поддомена u для ЛК ИС.
Далее очищают неактуальные записи таблицы МАС- и /Р-адресов на DИCP-сервере (см. блок 30 на рис. 1), и записи /Р-адресов и DNS-имен на DNS-сервере (см. блок 31 на рис. 1) как демаскирующий признак процесса реконфигурирования сетевых параметров ИС.
Затем задают (см. блок 32 на рис. 1) соответствующую пару /Р-адреса и DNS имени узлам ИС, время продолжительности их аренды td+1, номер сети DHCP-сервера d+1 и /Р-адрес выбранного DИCP-
сервера /Р^ииСР , а также значения номеров динамических портов из массива памяти Pn, через которые
будут взаимодействовать сетевые устройства на (u + 1)-м этапе реконфигурирования.
Далее устанавливают соединения между сетевыми устройствами ИС (см. блок 33 на рис. 2), назначения (см. блок 34 на рис. 2) установленным соединениям между сетевыми устройствами ИС идентификаторов {TS} c последующим запоминанием этих идентификаторов (см. блок 35 на рис. 2) в массиве памяти TS.
Затем запоминают на контроллере время tconf, за которое проведена процедура реконфигурирования сетевых параметров ИС (см. блок 36 на рис. 2), данное время является минимально возможным
между реконфигурированием сетевых параметров ИС, = tconf.
Далее направляют пакеты сообщений от контроллера, выполняющего функции сетевого сканера (см. блок 37 на рис. 2), имитирующего действия СР с целью определения времени, необходимого для получения злоумышленником сведений о сетевых параметрах ИС. Для определения задействованных IP-адресов используют /»/^-сканирование, для определения статуса портов используют методы TCP SYN и UDP scan. Применяемые методы сетевого сканирования известны и описаны в [1-4].
Затем запоминают на контроллере время tscan, за которое проведена процедура сканирования сетевых параметров ИС (см. блок 38 на рис. 2), данное время является максимально допустимым между
реконфигурированием сетевых параметров ИС t^ax = tscan.
В соответствии с моделью, описанной в [11, 12], вычисляют вероятность вскрытия сетевых параметров ИС Pcalc (см. блок 39 на рис. 2).
В случае, если рассчитанная вероятность Pcalc больше допустимой вероятности Pallow (см. блок 40 на рис. 2), повторяют процедуру формирования оптимальной структуры ИС (см. блоки 25-40 на рис.х 1, 2), увеличивая количество подсетей и поддоменов на 1 и подключая к ним новые ЛК ИС.
Если рассчитанная вероятность Pcalc больше допустимой вероятности Pallow (см. блок 40 на рис.
2), запоминают релевантный интервал реконфигурирования сетевых параметров ИС topt е [t^^; t^ax ]
(см. блок 41 на рис. 2), в пределах которого на последующих этапах реконфигурирования будут назначаться времена продолжительности аренды IP-адресов.
Далее принимают (см. блок 42 на рис. 2) из канала связи пакет сообщений и выделяют (см. блок 43 на рис. 2) из заголовка идентификатор информационного потока и сравнивают (см. блок 44 на рис. 2) его с предварительно заданными идентификаторами санкционированных информационных потоков.
В случае, если идентификатор информационного потока принадлежит (см. блок 44 на рис. 2) предварительно заданными идентификаторам санкционированных информационных потоков, то определяют (см. блок 45 на рис. 2) является ли сообщение запросом к DNS. Если данное сообщение является запросом к DNS, то направляют (см. блок 46 на рис. 2) в ответ DNS имя и IP-адрес, для чего производят поиск соответствия запрашиваемого DNS имени рекурсивным либо итеративным методом, в зависимости от настроек DNS - сервера. Затем передают (см. блок 47 на рис. 2) пакет получателю и принимают из канала связи следующий пакет сообщения. Если данное сообщение не является запросом к DNS, то сразу передают пакет получателю.
В случае несовпадения протокола взаимодействия выделенного идентификатора с идентификаторами санкционированных информационных потоков {TS}, сравнивают (см. блок 48 на рис. 2) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов ИС.
При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, игнорируют (см. блок 49 на рис. 2) пакет сообщений. Это свидетельствует о том, что санкционированный абонент обращается к несуществующему адресу в ИС.
При совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, что однозначно позволяет идентифицировать факт ведения СР, сравнивают (см. блок 50 на рис. 2) IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства ИС из множества {IP1}.
В случае их совпадения блокируют (см. блок 51 на рис. 2) IP-адрес отправителя пакетов сообщений, считая его потенциальным нарушителем, для чего присваивают (см. блок 52 на рис. 2) t1 сетевому узлу значение равное 0 и исключают (см. блок 53 на рис. 2) MAC-адрес данного сетевого устройства из массива памяти NA DHCP--сервера. Таким образом, изолируют злоумышленника от дальнейшего информационного обмена в ИС при последующем изменении IP-адресов сетевых устройств и коммуникационного оборудования.
В случае же их несовпадения, когда IP-адрес отправителя пакетов сообщений не принадлежит множеству сетевых устройств ИС IPd, то есть отправитель пакетов сообщений не является клиентом
DHCP-сервера с IPj^HCP и в совокупности с предшествующими проверками идентификаторов соединений на легитимность и IP-адреса получателя на принадлежность к ^FlP ) означает, что обнаружено
новое сетевое устройство, функционирующее по несанкционированному для использования в ИС протоколу, что является попыткой несанкционированного доступа или фактом ведения СР.
Далее считывают время функционирования ИС с заданными сетевыми параметрами с момента
обнаружения СР t^^ (см. блок 54 на рис. 2).
В случае, если рассчитанная время функционирования ИС с заданными параметрами с момента обнаружения СР t<^unc меньше максимально допустимого времени функционирования t^ax (см. блок 56 на рис. 2), то повторно считывают время функционирования ИС с заданными сетевыми параметрами с
момента обнаружения СР t(fßinc (см. блок 54 на рис. 2).
В противном случае блокируют (см. блок 56 на рис. 2) сетевые параметры ЛК ИС подсети d=d+1, и реконфигурируют сетевые параметры ИС с переводом в подсеть d=d+1 (см. блок 57 на рис. 2).
В рассматриваемом способе в качестве Fd(u) функции выбора значения номера подсети DHCP-сервера d для (v + 1)-го этапа реконфигурирования сетевых параметров ИС используют последовательность чисел Фибоначчи [22]. Это необходимо для исключения возможности вычисления злоумышленником последовательности изменения значения номера подсети DHCP-сервера d.
В рассматриваемом способе значение времени продолжительности аренды /P-адресов сетевых устройств ИС для (v + 1)-го этапа реконфигурирования сетевых параметров ИС выбирают в случайном порядке в пределах от 700 до 2592000 секунд. Это необходимо для исключения возможности вычисления злоумышленником интервалов времени, через которые будет осуществляться реконфигурирование сетевых параметров ИС, после очередного обнаружения несанкционированной активности.
В рассматриваемом способе в качестве Fn(u) функции выбора значения /P-адреса сетевого устройства ИС для (v + 1)-го этапа реконфигурирования сетевых параметров ИС используют последовательность чисел Люка [23]. Это необходимо для исключения возможности вычисления злоумышленником последовательности изменения значений /P-адресов сетевых устройств ИС.
В рассматриваемом способе значения номеров динамических портов взаимодействия сетевых устройств ИС для (v + 1)-го этапа реконфигурирования сетевых параметров ИС выбирают в случайном порядке в пределах от 49152 до 65535. Это необходимо для исключения возможности вычисления злоумышленником последовательности изменения значения номеров динамических портов взаимодействия сетевых устройств ИС.
В рассматриваемом способе для считывания номеров динамических портов взаимодействия отправителя и получателя сообщений на (v + 1)-м этапе реконфигурирования сетевых параметров ИС из массива памяти PD, формирования для сетевых устройств ИС матрицы соответствия динамических портов взаимодействия на (v + 1)-м этапе реконфигурирования динамическим портам взаимодействия на следующем этапе реконфигурирования и запоминания новой матрицы соответствия этих портов взаимодействия используют массив памяти Pn на одном из выделенных сетевых устройств ИС.
В рассматриваемом способе допустимое количество соединений между сетевыми устройствами ИС m вычисляют по формуле расчета максимального количества соединений [24].
Список литературы
1. Бондарев, В.В. Анализ защищенности и мониторинг компьютерных сетей. Методы и средства: учебное пособие. М.: Издательство МГТУ им. Н.Э. Баумана, 2017. 225 с.
2. Дэвис Р. Искусство тестирования на проникновение в сеть. М.: ДМК Пресс, 2021. 310 с.
3. Поддержка принятия управленческих решений в сфере информационной безопасности в терминах теории игр / Е.О. Бухаров, С.П. Соколовский, А.В. Калач, Д.Г. Зыбин // Вестник Воронежского института ФСИН России. 2018. № 2. С. 46-54.
4. Процессы высоконадежной обработки информации объектно-реляционных структур критически важных сегментов информационной инфраструктуры / А. С. Дубровин, В. К. Зольников, В. В. Лав-линский, С. П. Соколовский // Вестник Воронежского института ФСИН России. 2017. № 2. С. 55-61.
5. Yan S. A novel efficient address mutation scheme for IPv6 networks / X. Huang, M. Ma, P. Zhang, Y. Ma // IEEE Access. 2018. №. 5. P. 7724-7736.
6. Al-Shaer, E. Random Host Mutation for Moving Target Defense / E. Al-Shaer, Q. Duan, J. Jafarian // Security and Privacy in Communication Networks, 2013. P. 310-327.
7. Sun J. DESIR: Decoy-enhanced seamless IP randomization / J. Sun, K. Sun // IEEE INFOCOM 2016. In Proceedings of the 35th Annual IEEE International Conference on Computer Communications. USA, CA, San Francisco, 2016. Р. 1-9.
8. Kewley D, Fink R, Lowry J, Dean M. Dynamic approaches to thwart adversary intelligence gathering. DARPA Information Survivability Conference & Exposition II, 2001 DISCEX '01 Proceedings. 2001; 1: P. 176-185.
9. RFC 791. Internet protocol (IP). 1981. [Электронный ресурс] URL: https://tools.ietf.org/html/rfc791 (дата обращения: 26.10.2021).
10. Душкин А.В. Устранение интервальной неопределенности при распознавании признаков угроз безопасности информационным телекоммуникационным системам / А.В. Душкин, А.В. Волков, С.П. Соколовский // Системы управления и информационные технологии. 2007. № 3(29). С. 70-73.
11. Каплин М.А. Модель конфигурирования сетевых параметров информационных систем для защиты от сетевой разведки // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2022. № 5-6(167-168). С. 67-75.
12. Горбачев А.А. Определение оптимальных параметров конфигурирования информационных систем в условиях сетевой разведки / А. А. Горбачев, С. П. Соколовский, М. А. Каплин // Вопросы ки-бербезопасности. 2022. № 4(50). С. 80-90. DOI 10.21681/2311-3456-2022-4-80-90.
13. Бирюков А.А. Информационная безопасность: защита и нападение. 2-е изд. М.: ДМК Пресс, 2017. 434 с.
14. Request for Comments: RFC 2131. Dynamic Host Configuration Protocol, 1997. [Электронный ресурс]. URL: https://tools.ietf.org/html/rfc2131 (дата обращения: 26.10.2021).
15. Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникаци-онных систем / А.Е. Давыдов, Р.В. Максимов, О.К. Савицкий. М.: ОАО «Воентелеком», 2015. 520 с.
16. Душкин А.В. Способ повышения эффективности распознования несанкционированных воздействий на ИТКС... / А.В. Душкин, В.Н. Похващев, С.П. Соколовский // Информация и безопасность. 2010. Т. 13, № 1. С. 97-102.
17. Душкин А.В. Нейросетевая реализация модуля выявления НСД на ИТКС специального назначения / А.В. Душкин, С.П. Соколовский // Информация и безопасность. 2010. Т. 13, № 1. С. 123-126.
18. Душкин А.В. Способ распознавания вредоносных воздействий на информационную систему / А. В. Душкин, В. Н. Похващев, С. П. Соколовский // Телекоммуникации. 2011. № 10. С. 25-28.
19. Патент № 2696330 Российской Федерации. Способ защиты вычислительных сетей / С.П. Соколовский, И.С. Ворончихин, Р.В. Максимов, Д.Н. Орехов [и др.]; заявитель и патентообладатель Краснодарское высшее военное училище имени генерала армии С.М. Штеменко. № 2018128075, заявл. 31.07.2018, опубл. 01.08.2019. Бюл. № 22, 30 с.
20. Request for Comments: RFC 2131. Dynamic Host Configuration Protocol, 1997. [Электронный ресурс]. URL: https://tools.ietf.org/html/rfc2131 (дата обращения: 26.10.2021).
21. Request for Comments: 1034. Domain Names - Concepts and Facilities, 1987. [Электронный ресурс]. URL:https://tools.ietf.org/html/rfc1034 (дата обращения: 26.10.2021).
22. Патент 2306599 Российской Федерации. Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети / Р.В. Максимов, Ю.И. Стародубцев, Д.А. Кожевников, А.А. Анд-риенко [и др.]; заявитель и патентообладатель Военная академия связи. № 2006114272, заявл. 26.04.2006, опубл. 20.09.2007, бюл. № 26, 56 с.
23. Патент 2325694 Российской Федерации. Способ защиты вычислительной сети (варианты) / Р.В. Максимов, А.В. Павловский, Д.А. Кожевников; заявитель и патентообладатель Военная академия связи. - № 2006138743, заявл. 02.11.2006, опубл. 27.05.2008, бюл. № 15, 106 с.
24. Омельченко А.В. Теория графов. М.: МЦНМО, 2018. 416 с.
Каплин Максим Андреевич, преподаватель, [email protected], Россия, Краснодар, Краснодарское высшее военное училище
HOW TO RECONFIGURE NETWORK PARAMETERS OF INFORMATION SYSTEMS UNDER CONDITIONS OF NETWORK RECONNAISSANCE
M.A. Kaplin
Ways ofprotection of information systems from disclosure of composition, structure and functioning algorithms by network reconnaissance facilities have been considered. In the basis of the developed methods the moving target technology which realizes the dynamic change of domain names, network addresses and ports to the network devices of the information system and the false components functioning in their composition is used.
Key words: information system, network reconnaissance, reconfiguration of network parameters.
Kaplin Maxim Andreevich, educator, [email protected], Russia, Krasnodar, Krasnodar Higher Military School