Выявление потенциально опасных абонентов частных виртуальных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»

ВЫЯВЛЕНИЕ ПОТЕНЦИАЛЬНО ОПАСНЫХ АБОНЕНТОВ ЧАСТНЫХ ВИРТУАЛЬНЫХ СЕТЕЙ

Голосов П. Е., Зелюкин Н. Б. *

Ключевые слова: компьютерные сети, анализ, классификация, методика, сетевой трафик, IPsec.

Аннотация.

Цель: рассмотреть вопрос безопасности в VPN-сетях. Этот вопрос поднимается в связи с широким и неуклонно растущим рынком VPN-услуг, а также их повсеместным применением для защиты чувствительных данных. В условиях шифрования передаваемых данных традиционные методики анализа поведения абонентов не работают, таким образом, необходимы иные подходы к обеспечению безопасности и предотвращению атак на частные виртуальные сети.

Метод: информационный анализ, моделирование и функционально-логическая классификация.

Результат: разработана методика классификации абонентов VPN-сетей. Методика предполагает дополнительный анализ служебного трафика и основана на том, что передаваемая служебная информация зависит от настроек, характерных для абонента, самого абонента и особенностей используемого оборудования. Анализируя эту информацию можно классифицировать трафик и выделять в нем группы VPN-сессий, использующий нестандартное оборудование и/или настройки и требующие более подробного аудита.

Был проведен экспериментальный анализ тестовой записи трафика, в процессе которого были выявлены IPsec-абоненты, использующие нестандартные реализации IPsec-протокола, и представляющие потенциальную угрозу безопасности корпоративной VPN-сети.

DOI:10.21681/1994-1404-2018-4-35-42 Введение

На сегодняшний день компьютерные технологии проникли практически во все сферы деятельности человека. Электронный документооборот вытесняет традиционный бумажный, общение между людьми постепенно переносится в сеть [2]. Использование компьютерных сетей упрощает и ускоряет процесс передачи информации на дальние расстояния. Также наблюдается постоянное удешевление стоимости передачи 1 Гб трафика. Все эти факторы делают Интернет чрезвычайно привлекательным средством для передачи информации.

Однако сеть Интернет не является доверенной, т.е. нет никаких гарантий, что передаваемые данные не будут прочитаны, изменены или их передача не будет

заблокирована. В связи с этим возникла потребность в защите передаваемых данных [7 - 10], что дало толчок развитию класса технологий VPN (Virtual Private Network) - виртуальная защищенная сеть. В основе VPN сетей лежит понятие туннель - виртуальное соединение типа точка-точка, защищающее данные при передаче через него. Слово «виртуальное» включено сюда для того, чтобы подчеркнуть, что соединение не является постоянным, а создается и существует только во время передачи данных.

По данным сайта www.statista.com более 30% пользователей Интернета в таких крупных странах, как Индия и Китай, используют VPN-сети (рис. 1). При этом ежедневно к услугам VPN-сетей прибегают около 40% из пользователей. Спрос на услуги VPN неуклонно растет, о чем свидетельствуют оценочная стоимость рынка и её прогнозы.

* Голосов Павел Евгеньевич, кандидат технических наук, декан факультета информационных технологий и анализа данных Российской академии народного хозяйства и государственной службы при Президенте РФ, г. Москва, Россия. E-mail: golosov-pe@ranepa.ru

Зелюкин Николай Борисович, младший научный сотрудник Российской академии народного хозяйства и государственной службы при Президенте РФ, г. Москва, Россия. E-mail: zelyukin-nb@universitas.ru

Рис. 1. Диаграмма удельной доли числа VPN-пользователей ряда стран

Вместе с развитием технологий VPN возникла проблема анализа угроз безопасности сетей [12]1, ведь обычные инструменты, полагающиеся на анализ поведения абонентов и передаваемых ими данных в условиях сквозного шифрования точка-точка не работают. По данным на начало 2018 г., около 30% пользователей VPN-сетей пользуются виртуальными сетями для удаленного доступа к рабочему месту. Компрометация передаваемых данных в этом случае может нанести финансовый вред организации, а злоумышленнику -

1 См. также: Moore W., Papgiannaki D. Toward the Accurate Identification of Network Applications, 2005. - URL http://www.cl.cam. ac.uk/~awm22/publications/moore2005toward.pdf (дата обращения 06.12.2018); Kim H., Fomenkov M., Barman D., Faloutsos M., Lee K. Internet traffic classification demystified: myths, caveats, and the best practices, 2008. - URL http://www.caida.org/publications/ papers/2008/ classification_demystified/classification_demystified.pdf (дата обращения 06.12.2018); Маркин Ю., Санаров А. Обзор современных инструментов анализа сетевого трафика. - URL http://www.ispras.ru/ preprints/docs/prep_27_2014.pdf (дата обращения 04.11.2018).

обогатиться. На рис. 2 представлены оценки объемов рынка VPN-услуг до 2022 г.

Вместе с ростом популярности виртуальных сетей появляются средства для их анализа и поиска уязви-мостей. Например, утилита Ike-scan предназначена для формирования и отсылки служебных IPsec-пакетов с разными параметрами и разбора ответа2.

Таким образом, в то время как пользовательские данные защищены шифрованием в VPN-сетях, сами виртуальные сети становятся объектом интереса со

стороны злоумышленников. Вместе с тем, растущий рынок услуг только подогреет их интерес в будущем и стимулирует развитие инструментов компрометации

2 Методическое пособие. IPsec. «Методы и средства защиты информации», ПетрГУ, 2006. - URL http://dfe.karelia.ru/koi/posob/ security/index.html#0 (дата обращения 4.11.2018).

Объем рынка VPN услуг

27Д 31,1 ■

15.64 18 20,6 Z-J f\J ■ ■

■ ■

2016 2017 2018 2019 2020 2021 2022

■ Объем ранка в млрд. $ США

Рис. 2. Динамика роста объемов рынка VPN-услуг на среднесрочную перспективу

1/РМ-шлюзов. Все это свидетельствует об актуальности исследований в области безопасности УРМ-сетей.

При анализе безопасности автоматизированной информационной системы (АИС) под угрозой будем понимать возможное событие, которое может привести к нанесению ущерба чьим-либо интересам [6]. Классификацию угроз целесообразно проводить по следующим базовым признакам:

1. По природе возникновения:

a. естественные угрозы, не связанные с деятельностью человека, например, стихийные бедствия;

b. искусственные угрозы, например, хакерские атаки.

2. По положению источника угроз:

a. вне контролируемой зоны АИС;

b. в пределах контролируемой АИС, например, подслушивающие устройства, хищение носителей;

c. Непосредственно в АИС, например, активность вирусов.

3. По степени преднамеренности воздействия:

a. угрозы, вызванные некомпетентностью персонала;

b. преднамеренные действия злоумышленника.

4. По непосредственному источнику угроз:

a. природная среда;

b. человек, например, подкупленный сотрудник;

c. санкционированные программно-аппаратные средства;

с1. несанкционированные программно-аппаратные средства [10, 11].

5. По степени зависимости от активности АИС:

a. независимо от активности АИС;

b. только в процессе обработки данных.

6. По степени воздействия на АИС:

a. пассивные угрозы, при реализации которых структура и работоспособности АИС не меняется, например, копирование конфиденциальных данных;

b. Активные угрозы, при которых меняется структура АИС, например, внедрение троянских программ [11].

7. По способы доступа к ресурсам АИС:

a. доступ с использованием стандартных интерфейсов АС, например, доступ при помощи украденного пароля;

b. доступ с использованием недокументированных возможностей АИС.

8. По месту расположения информации, хранимой и обрабатываемой АИС:

a. информация на внешних запоминающих устройствах;

b. информация, находящаяся в оперативной памяти АИС;

c. информация, циркулирующая в каналах связи;

С. информация на устройствах вывода, например, снимок монитора сотрудника на скрытую камеру.

Кратко классификатор признаков, релевантных целям работы, представлен в таблице.

Таблица

Признаки и группы классификации угроз

№ Признак классификации Классификационная группа

Природа возникновения Искусственные угрозы

Положение источника угрозы Вне АС

Преднамеренность воздействия Преднамеренные

Непосредственный источник угрозы Несанкционированные программно-аппаратные средства

Активность АИС Требующие активной АИС

Степень воздействия Пассивные и активные

Способ доступа к ресурсам Использование недокументированных возможностей АИС

Расположение информации Каналы связи

В качестве метода классификации абонентов корпоративных IPsec-сетей можно использовать метод, основанный на анализе служебной информации в VPN-трафике. Классификация позволяет выявить аномалии в используемом оборудовании и/или программном обеспечении, и выделить среди среднестатистических пользователей тех, кто может использовать нестандартные реализации клиентов для анализа корпоративной виртуальной сети.

Постановказадачи. В данной работе произведена попытка классификации абонентов VPN-сетей на основе анализа их сетевого трафика. Поскольку основным предназначением VPN-технологий является обеспечение конфиденциальности [5] передаваемых данных, то полезная нагрузка появляется на транзитных узлах в зашифрованном виде, что делает невозможным ее анализ. В таких условиях возможно построить систему анализа и классификации на основе исследования служебной информации VPN-протоколов, без доступа к полезной нагрузке абонентов.

Методика классификации

В основу методики положен тот факт, что стандарты, относящиеся к VPN-сетям (Ike3, Isakmp4, Pptp5, Ssl 6 и др.) оставляют для разработчиков программного обеспечения (ПО) некоторую свободу в реализации, приводящую к различиям в формируемом сетевом трафике. Эти различия могут выражаться в различной структуре, порядке следования, содержании сообщений, а также в реакции на различные события.

Другой составляющей, влияющей на видимую часть трафика, формируемого VPN-оборудованием, является его настройка. Настройка оборудования (программного обеспечения) могут заниматься как неподготовленные пользователи самостоятельно, так и специально предназначенные для этого сетевые администраторы. Также возможен случай, когда оборудование специально не настраивается, производится его минимальная подстройка для работы в сети, а основная масса настроек задается производителем. Если количество параметров для настройки в программной реализации протокола велико, то различия в настройках в этих трех случаях с большей вероятностью проявят себя, что также даст возможность для анализа и классификации абонентов с целью выявления нарушителей.

3 Kaufman C., Hoffman P., Nir Y., Eronen P. The Internet Key Exchange (IKE). IETF RFC 5996, September 2010. - URL https://www.ietf.org/rfc/ rfc5996.txt (дата обращения 06.12.2018).

4 Maughan D., Schertler M., Turner J. Internet Security Association and Key Management Protocol. IETF RFC 2408, November 1998. - URL https:// www.ietf.org/rfc/rfc2408.txt (дата обращения 06.12.2018).

5 Hamzeh K., Pall G., Verthein W., Taarud J., Little W., Zorn G.. Point-to-point tunneling protocol. IETF RFC 2337, July 1999. - URL https://www. ietf.org/rfc/rfc2637.txt (дата обращения 14.01.2018).

6 Freier A., Karlton P., Kocher P. The Secure Sockets Layer Protocol Version 3.0. IETF RFC 6101, August 2011. - URL http://www.rfc-base.org/

txt/rfc-6101.txt (дата обращения 06.12.2018).

Отличия в реализации ПО и его настройках позволяют построить достаточно обширное множество классификационных признаков и произвести по ним классификацию абонентов. Данные признаки проявляют себя как особенности структуры, порядка, содержания передаваемых сообщений. Некоторые признаки будут иметь уникальные для каждого абонента значения (например, IP-адрес абонента в случае использования адреса из глобального пространства адресов), другие будут выборками из некоторого ограниченного множества значений (например, используемые абонентами алгоритмы шифрования) [1, 3, 4].

Анализировать трафик предлагается по следующим направлениям:

1. Явные идентификаторы абонентов. Например, х509-сертификат используемый для идентификации, должен содержать имя абонента.

2. Нестандартные расширения протоколов. Стандарты VPN технологий, часто закладывают в протоколы возможность расширения, чем пользуются производители оборудования.

Недостаточная детализация в описании протокола. Для различных VPN протоколов в документах, описывающих требования к реализации, присутствуют места, оставляющие для разработчика возможность импровизации. Эти приводит к различиям как структуры и наполнения пакетов, так и различному поведению ПО, что выражается в посылке/непосылке разных сообщений в ответ на одинаковый запрос или событие.

3. Различия в настройке одной и той же версии ПО. Заданные сетевым администратором настройки оборудования могут иметь видимые при анализе шифрованного трафика проявления, выражающиеся различиям в формате и содержании сообщение VPN-сетей.

Метод классификации абонентов VPN-сетей

Анализ и классификация VPN-абонентов подразумевает применение на разных этапах специального программного обеспечения, позволяющего в автоматизированном режиме анализировать сетевой трафик и составлять базу данных классификационных признаков. Работу метода можно разделить на несколько этапов:

1. Подготовительный этап. На подготовительном этапе производится подробный анализ всех стандартизирующих документов, относящихся к протоколам, абонентов которых предполагается классифицировать. Источником информации о возможной реализации являются: • Документы RFC7 - наиболее доверенный источник информации по протоколам VPN.

7 Requests for Comments (с англ. - «требования к обсуждению») играют роль международных технико-правовых стандартов, принятых стандартизирующей международной организацией IETF (Internet Engineering Task Force — Инженерный совет Интернета) [5].

• Исходные коды прошивок оборудования и программного обеспечения (в случае их наличия).

• Исходные коды программного обеспечения для анализа сетевого трафика (например, открытого ПО Wireshark8).

• Исследование сетевого трафика, содержащего исследуемые протоколы при помощи различного программного обеспечения (например, Wire-shark).

Для найденных признаков производится их анализ и устанавливается, возможно ли отслеживать значения этих свойств в сетевом трафике. При отсутствии такой возможности признак отбрасывается. Для всех остальных признаков выявляются условия, при которых их значения характеризуют абонентов.

2. Настройка СПО. После предварительного этапа производится настройка программного комплекса для анализа трафика. Все выбранные признаки получают программную реализацию и добавляются в систему анализа.

3. Анализ сетевого трафика. После создания программной реализации сборщиков классификационных признаков и интеграции их в систему анализа трафика производится анализ сетевого трафика. Анализ может производиться как в режиме реального времени, так и в отложенном. Результаты работы комплекс записывает в базу данных. В базе данных содержится информация по всем VPN сессиям, относящимся к выбранным для анализа протоколам. Сюда входят адреса абонентов, идентификаторы сессий, а также значения классификационных признаков, встретившихся в сессии.

4. Предварительная обработка результатов анализа сетевого трафика. После получения базы данных с классификационными признаками необходима ее предварительная обработка. Данный этап включает в себя отбор значимых сессий, т.е. сессий, в которых встречались классификационные признаки. Также может производиться анализ адресов абонентов на принадлежность их глобальному сегменту сети Интернет или же локальным сегментам.

5. Анализ полученных результатов. После отбора значимых реализаций VPN-протоколов производится классификация абонентов по значениям классификационных признаков.

Среди анализируемых реализаций признаков могут встречаться не стандартизированные значения, редкие значения, а также значения, противоречащие стандартам. При нахождении значений, противоречащим стандартам, стоит произвести дополнительный анализ, действительно ли является сессия, в которой появился данный признак, реализацией исследуемого протокола VPN.

8 https://www.wireshark.org/

Данная классификация позволит разделить абонентов, на тех, кто использует широко распространённое оборудование и программное обеспечение, тех, кто использует «нишевое» (теневого рынка) оборудование, а также выделить частные реализации VPN-протоколов.

Анализ абонентов IPsec-сетей

Классификацию абонентов будем проводить на примере протокола IPsec. Выбор протокола не случаен и обусловлен несколькими факторами:

• широкое распространение в сети Интернет;

• хорошая документированность;

• внутреннее «разнообразие» протокола - в нем используется много типов пакетов, сообщений, поддерживаются несколько схем выработки криптографических ключей, защиты данных. Данное свойство позволяет снимать большое количество «метрик» с трафика.

Анализ стандартов, относящихся к протоколу IPsec (порядка десятка документов) выявил несколько типов «вариативных» мест протокола, служащих источником классификационных признаков:

• места в протоколе, непосредственно указывающие на оборудование и используемую версию программного обеспечения. Сюда, прежде всего, относится номер версии протокола, указываемый в пакетах Isakmp, а также вендорные последовательности в VendorlD сообщениях;

• разнообразные прямые идентификационные признаки самих абонентов, например, имена абонентов, их реальные IP-адреса (в случае, если используется туннельный режим и стороннему наблюдателю они неизвестны), сертификаты абонентов;

• косвенные признаки, позволяющие идентифицировать оборудование и версию программного обеспечения, такие как использование типов нагрузок с номерами из раздела для частного использования. Например, использование нагрузки Cisco Fragmentation (Next Payload = 243) хотя и не является стандартным, но широко распространено и позволяет с высокой долей вероятности угадать производителя оборудования;

• характеристики реализации протокола (под реализацией протокола будем понимать сеанс связи с его использованием), зависящие от настроек оборудования и программного обеспечения. Сюда входят такие признаки, как используемые сервисы защиты, алгоритмы шифрования, хэш-функции;

• точки реализации, помеченные ключевым словом SHOULD или SHOULD NOT. Хотя стандарты дают настоятельные рекомендации по поводу реализации некоторых аспектов, производители оборудования иногда их игнорируют. Например, все реализации стандарта Ikevl должны поддерживать агрессивный режим обмена;

• для некоторых аспектов проведения, в которых возможны несколько адекватных поведений программного обеспечения, стандарты указывают один из возможных путей реализации при помощи ключевого слова MAY. В таких местах производитель строго не ограничен и на основе реализованного варианта поведения можно судить о производителе оборудования или его настройках. Примером может служить поддержка дополнительных алгоритмов шифрования, не указанных как обязательных к реализации;

• места, предполагающие вариативность, но не описанные стандартом. Например, порядок атрибутов Transform нагрузки стандартом Ikevl не ограничен, поэтому их порядок может отличаться для разных реализаций.

Классификационные признаки IPsec

Протокол IPsec состоит из трех основных протоколов - Isakmp, ESP9, AH10. В свою очередь каждый из них описывается несколькими RFC и может иметь несколько версий. Будем изучать следующие версии протоколов и связанные с ними RFC:

• Для Isakmp - общая структура и поведение (RFC 2408), реализация Ike версии 1 (RFC 2409) и реализация Ike версии 2 (RFC 4306);

• Для ESP - RFC 2406 - общая структура;

• AH - RFC 4302.

В перечисленный список вариативных мест протоколов не включены места, влияющие только на внутренне состояние сторон, без каких-либо видимых снаружи проявлений.

Всего после изучения стандартов и поиска в них мест, влияющих на формируемый трафик, было выделено:

• 63 признака для протокола Isakmp;

• 8 признаков, относящихся к Ike v1 специализации Isakmp;

• 20 признаков, относящихся к Ike v2 специализации Isakmp;

• 4 признака в Esp;

• 2 признака в AH.

Эксперимент

Для отобранных классификационных признаков была выполнена программная реализация модулей системы анализа для их отбора. В качестве базы данных для записи значений признаков была выбрана SQLite база данных. Выбор обусловлен простотой построения запросов к базе данных для предварительного этапа анализа отобранных признаков.

В качестве эксперимента был проанализирован трафик из глобального сегмента интернета. Объем анализируемых данных составил около 60 Гб. Были собраны данные на ~650000 /Psec-соединений. Среди этих абонентов были как абоненты локальных сетей, так и имеющие адреса из глобального пространства /P-сетей.

В процессе предварительного анализа собранных данных были отфильтрованы признаки, вообще не встретившиеся в трафике, а также признаки, имеющие одинаковое значение для всех найденных абонентов (пустое значение и просто значения считались разными значениями).

Среди всего массива данных о сессиях были также отброшены записи, не содержащие реализаций признаков. Всего из первоначальных 97 характерных признаков после предварительной фильтрации осталось 25 признаков

Последующий анализ производился экспертным способом и позволил выявить порядка нескольких абонентов, в сетевом трафике которых были выявлены отклонения от стандартов и/или редкое оборудование. Данные абоненты можно отнести к категории «подозрительных» и на регулярной основе производить их аудит.

Заключение. Таким образом, в статье представлена методика анализа абонентов VPN-сетей и их классификации. Методика позволяет классифицировать абонентов виртуальных сетей без доступа к зашифрованным данным. Данная классификация предоставляет возможность поиска «странных» сессий, имеющих отклонение от стандартов, что может быть признаком нестандартного оборудования и/или программного обеспечения. Данной оборудование может использоваться злоумышленниками для анализа безопасности VPN-сервисов, являющихся достаточно чувствительной зоной в любой корпоративной сети.

Был произведен анализ применимости методики к семейству протоколов /Psec. Составлен список классификационных признаков абонентов /Psec-сетей. Приведены результаты экспериментальной проверки работоспособности методики.

Рецензент: Зайцев Александр Владимирович, доктор технических наук, профессор, член-корреспондент РАЕН, лауреат Благодарности Президента РФ, профессор Московского авиационного института (Национального исследовательского университета), г. Москва, Россия. E-mail: ug253@mail.ru

9 S. IP Encapsulating Security Protocol. IETF RFC 4303, December 2005. - URL https://tools.ietf. org/html/rfc4303 (дата обращения 06.12.2018).

10 S. IP Authentication Header. IETF RFC 4302, December 2005. - URL https://tools.ietf.org/html/ rfc4302 (дата обращения 06.12.2018).

Литература

1. Бельфер Р. А., Богомолова Н. Е. Аутентификация в сетях передачи данных на базе виртуальных каналов // Труды Междунар. науч.-техн. конф. (3 - 7 декабря 2012 г.)/ МИРЭА. Ч. 6. М.: МИРЭА, 2012. С. 34 - 37.

2. Голоскоков Л. В. Теория сетевого права. М.: МПСУ, 2012. 216 с.

3. Каганов В. Ю., Королев А. К., Крылов М. Н., Машеч-кин И. В., Петровский М. И. Методы активной аутентификации на основе анализа динамики работы пользователей с клавиатурой // Информатика и её применение. 2013. Т. 7, вып. 3. С. 40 - 55.

4. Куликова О. В. Методы и средства аутентификации в задачах обеспечения информационной безопасности в корпоративных системах // Безопасность информационных технологий. 2010. № 3. С. 85 - 91.

5. Ловцов Д. А. Системология правового регулирования информационных отношений в инфосфере: Монография. М.: РГУП, 2016. 316 с.

6. Ловцов Д. А. Информационная теория эргасистем: Тезаурус. М.: Наука, 2005. 248 с.

7. Ловцов Д. А. Обеспечение информационной безопасности в российских телематических сетях // Информационное право. 2012. № 4. С. 3 - 7.

8. Ловцов Д. А., Галахова А. Е. Защита интеллектуальной собственности в сети Интернет // Информационное право. 2011. № 4. С. 13 - 20.

9. Ловцов Д. А. Effective methods of protection of the intellectual activity results in infosphere of global telematics networks // Открытое образование. 2016. № 5. С. 85 - 88.

10. Ловцов Д. А., Ермаков И. В. Защита информации от доступа по нетрадиционным информационным каналам // НТИ РАН. Сер. 2. Информ. процессы и системы. 2006. № 9. С. 1 - 9.

11. Ловцов Д. А., Ермаков И. В. Классификация и модели нетрадиционных информационных каналов в эргасистеме // НТИ РАН. Сер. 2. Информ. процессы и системы. 2005. № 2. С. 1 - 7.

12. Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Экономика и производство. 1999. № 10-12. URL: http:// elvis.ru/upload/iblock/7ca/7cae87c4173012693a637 873a66c 19ca.pdf (дата обращения 06.12.2018).

DETECTING POTENTIALLY HAZARDOUS SUBSCRIBERS OF PRIVATE VIRTUAL NETWORKS

Pavel Golosov, Ph.D. (Technology), Dean of the Faculty of Information Technology and Data Analysis of the Russian Academy of National Economy and Public Administration under the President of the Russian Federation, Moscow, Russian Federation. E-mail: golosov-pe@ranepa.ru

Nikolai Zeliukin, Junior Researcher at the Russian Academy of National Economy and Public Administration under the President of the Russian Federation, Moscow, Russian Federation. E-mail: zelyukin-nb@universitas.ru

Keywords: dangerous subscribers, analysis, classification, technique, network traffic, IPsec. Abstract.

Purpose: discussion of VPN networks security. This issue is raised due to wide and steady growing of VPN services marker, as well as their widespread use for protecting sensitive data. In terms of encrypting the transmitted data, traditional methods of analyzing the behavior of network users do not work, thus, other approaches are needed to ensure security and prevent attacks on private virtual networks.

Method: information analysis, modeling and function and logical classification.

Result: the technique of classification of VPN-nets users was proposed. This technique suggests some additional analysis of service traffic and is based on dependency between user's settings & equipment and service traffic, formed by this equipment. Analyzing this service information one can classify network traffic and allocate groups of VPN sessions, using non-standard equipment and/or settings and requiring more detailed audit.

An experimental analysis was performed on test traffic record, during which some abnormal IPsec sessions were detected, formed by non-standard IPsec implementations, potentially endangering corporate network security.

Информационная и компьютерная безопасность References

1. Bel'fer R. A., Bogomolova N. E. Autentifikatsiia v setiakh peredachi dannykh na baze virtual'nykh kanalov, Trudy Mezhdunar. nauch.-tekhn. konf. (3-7 dekabria 2012 g.), MIREA, ch. 6, M. : MIREA, 2012, pp. 34-37.

2. Goloskokov L. V. Teoriia setevogo prava, M. : MPSU, 2012, 216 pp.

3. Kaganov V. Iu., Korolev A. K., Krylov M. N., Mashechkin I. V., Petrovskii M. I. Metody aktivnoi autentifikatsii na osnove analiza dinamiki raboty pol'zovatelei s klaviaturoi, Informatika i ee primenenie, 2013, t. 7, vyp. 3, pp. 40-55.

4. Kulikova O. V. Metody i sredstva autentifikatsii v zadachakh obespecheniia informatsionnoi bezopasnosti v korpora-tivnykh sistemakh, Bezopasnost' informatsionnykh tekhnologii, 2010, No. 3, pp. 85-91.

5. Lovtsov D. A. Sistemologiia pravovogo regulirovaniia informatsionnykh otnoshenii v infosfere: Monografiia, M. : RGUP,

2016, 316 pp.

6. Lovtsov D. A. Informatsionnaia teoriia ergasistem: Tezaurus, M. : Nauka, 2005, 248 pp.

7. Lovtsov D. A. Obespechenie informatsionnoi bezopasnosti v rossiiskikh telematicheskikh setiakh, Informatsionnoe

pravo, 2012, No. 4, pp. 3-7.

8. Lovtsov D. A., Galakhova A. E. Zashchita intellektual'noi sobstvennosti v seti Internet, Informatsionnoe pravo, 2011, No.

4, pp. 13-20.

9. Lovtsov D. A. Effective methods of protection of the intellectual activity results in infosphere of global telematics

networks, Otkrytoe obrazovanie, 2016, No. 5, pp. 85-88.

10. Lovtsov D. A., Ermakov I. V. Zashchita informatsii ot dostupa po netraditsionnym informatsionnym kanalam, NTI RAN,

ser. 2. Inform. protsessy i sistemy, 2006, No. 9, pp. 1-9.

11. Lovtsov D. A., Ermakov I. V. Klassifikatsiia i modeli netraditsionnykh informatsionnykh kanalov v ergasisteme, NTI RAN,

ser. 2. Inform. protsessy i sistemy, 2005, No. 2, pp. 1-7.

12. Turskii A., Panov S. Zashchita informatsii pri vzaimodeistvii korporativnykh setei v Internet, Ekonomika i proizvodstvo,

1999, No. 10-12, URL: http://elvis.ru/upload/iblock/7ca/7cae87c4173012693a637873a66c 19ca.pdf (data obrash-cheniia 06.12.2018).