Система управления телекоммуникационным трафиком на базе точек оконечного подключения

Покусов Виктор Владимирович – председатель Казахстанской ассоциации информационной безопасности; аспирант кафедры Прикладной математики и информационных технологий Санкт-Петербургского университета государственной противопожарной службы МЧС России.

Голубева Татьяна Викторовна – доцент кафедры Электроники и робототехники Алматинского университета энергетики и связи.

Аннотация: В статье рассматривается задача повышения безопасности телекоммуникационной сети. Предлагается схема анализа и контроля сетевого трафика на базе устройств в точках оконечного подключения. Приводятся базовые сценарии использования схемы в интересах информационной безопасности. Обосновываются некоторые аспекты возможности реализации предложенной схемы и ее аппаратной составляющей.

Ключевые слова: Телекоммуникационная система, управление сетью, информационная безопасность.

Введение

Стремительное развитие сетевых технологий неизменно ведет к вовлечению в информационный обмен еще большего количества телекоммуникационных устройств, даже в рамках одной организации. При этом, несмотря на очевидные преимущества такого обмена, существуют и определенные недостатки, связанные с информационной безопасностью, циркулирующей в сети информации. Так, недостаточный контроль за исходящими за периметр организации сетевыми потоками может приводить к нарушению конфиденциальности информации, бесконтрольное подключение устройств внутри организации – к нарушению целостности, а открытость сети организации в условиях проведения DoS-атак извне – к нарушению доступности. Одна из причин этого заключается в недостаточном контроле телекоммуникационного трафика современными средствами, а точнее отсутствие полноценного контроля за ним. Существующие же решения, такие как DLP-системы, антивирусное обеспечение или маршрутизирующее оборудование часто не работают в комплексе, сами подвержены атакам и не способны противодействовать угрозам на более низком уровне, чем они сами. При этом, все существующие средства практически не подходят для реализации экстренных сценариев защиты от атак, таких, как мгновенное отключение всех сетевых устройств и/или обеспечение абсолютно доверенного маршрута для сверхконфиденциальной информации в организации. Таким образом, задача управления телекоммуникационным трафиком является крайне актуальной, а ее гипотетическое решение в виде целой системы и будет рассмотрено в статье.

Схема системы

Опишем требования к гипотетической системе управления телекоммуникационным трафиком (далее – Системы) в интересах решения поставленной задачи. Во-первых, Система должна отслеживать все сетевые пакеты, и в особенности те, которые идут за рамки организации, где она функционирует; при этом должна иметься возможность их контроля. Во-вторых, Система должна определять факт появления в сети новых устройств, позволяя блокировать получение и передачу информации в случае несанкционированного подключения. В-третьих, в Системе должна иметься возможность отключения некоторых сетевых каналов; например, всех во внешнюю сеть или кроме выделенного пути.

Исходя из описанных требований, в качестве подходящего решения может быть выбрана следующая схема работы системы.

Принцип работы Системы основан на внедрение в сетевую инфраструктуру специальных сетевых устройств, контролирующих проходящий через них трафик – устройств сетевого контроля (УСК). При этом местами внедрения целесообразно использовать точки оконечного подключения всех рабочих устройств сети – сетевые разъемы для персональных компьютеров, точки присоединения маршрутизирующего оборудования, все выходы во внешнюю сеть, точки подсоединения IP-телефонии и т.п.

Пример такой Системы показан на Рисунке 1.

Рисунок 1. Гипотетическая схема системы управления телекоммуникационным трафиком на базе точек оконечного подключения.

Согласно рисунку, сеть состоит из следующих основных устройств: двух персональных компьютеров – ПК_1 и ПК_2, которые взаимодействуют с Сервером через Маршрутизатор. Также, Сервер имеет выход во внешнюю сеть, такую как Интернет – Ext. Внедренная в сеть Система состоит из УСК во всех точках подключения основных устройств сети: УСК_1 и УСК_2 для взаимодействия ПК_1 с Маршрутизатором, УСК_3 и УСК_4 для взаимодействия ПК_2 с Маршрутизатором, УСК_5 и УСК_6 для взаимодействия Маршрутизатора с Сервером и УСК_7 для взаимодействия Сервера с внешней сетью Ext. Все информация о сетевом трафике от всех УСК передается на центральный сервер Системы – ЦСС, который сохраняет необходимые характеристики всего трафика или отдельны пакетов в базе данных Системы – БД. В случае необходимости (используя соответствующие правила) ЦСС может послать контролирующую команду соответствующему УСК, осуществляя тем самым необходимое воздействие на сетевые потоки. Также, Система должна иметь возможность администрирования, что можно делать с рабочего места оператора – РМО. Под администрированием понимается комплекс мер, включающих как ручной анализ трафика, так и настройку правил для перехвата трафика УСК и анализа его Сервером, а также ручной запуск сценариев.

Очевидными преимуществами Системы являются следующие. Во-первых, в отличие от маршрутизирующего оборудования, изменение логической инфраструктуры сети происходит практически моментально, поскольку любой УСК может отключить или подключить новый сетевой канал, как только получит соответствующую команду с Сервера. Во-вторых, Система не зависит от различных производителей телекоммуникационного оборудования и их реализаций программного обеспечения, поддерживаемых протоколов и т.п. – все УСК имеют одинаковый программный код, аппаратную платформу и используемые протоколы. В-третьих, возможна реализация и встраивание УСК в скрытом виде, то есть злоумышленник не сможет их обнаружить и провести соответствующую атаку на само устройство контроля.

Опишем сценарии, которые могут быть осуществлены с помощью Системы в интересах обеспечения информационной безопасности.

Сценарий 1. Спящий режим

По данному сценарию. все УСК не производят никаких действий над сетевым, в том числе его анализ. Основной функционал УСК заключается в ожидании команды от ЦСС для включения. Устройства находятся в состоянии сна, максимально защищаясь от обнаружения.

Сценарий 2. Анализ сетевого трафика

По данному сценарию, УСК начинают анализировать сетевой трафик, распознавая сетевые пакеты по заданному шаблону [9]. В случае совпадения передается соответствующее сообщение на ЦСС. Таким образом, хотя трафик и анализируется, но практически никаких задержек при его передаче не происходит, и, следовательно, устройства не могут быть обнаружены.

Сценарий 3. Построение топологии сети

По данному сценарию, все УСК в результате использования служебных сообщений и взаимного обмена строят топологию сети. Топология, построенная данным сценарием, может быть более корректной, чем с использованием стандартных средств (например, встроенных утилит PING и TRACE), хотя бы потому, что сам факт функционирования любого из УСК уже говорит о существовании соответствующей точки оконечного подключения, а взаимный обмен между двумя УСК – о существующем между ними канале связи. Данный сценарий может выявить УСК по причине инициирования ими пакетов (например, ICMP). Для скрытия сценария возможно применение стеганографических механизмов.

Сценарий 4. Дублирование сетевого трафика на сервер

По данному сценарию, частично или полностью, сетевой трафик каждого из устройств будет передан на ЦСС. Естественно, дублирование всего трафика заметно скажется на общей загруженности сети, тем не менее такая задача может возникать для отладки сети. Для снижения нагрузки сети и сокрытия работы самого сценария возможно кодирование (со сжатием) трафика от УСК на ЦСС.

Сценарий 5. Частичная блокировка сетевого трафика

По данному сценарию трафик, проходящий через заданный набор УСК, будет частично теряться – например, будет блокироваться любые запросы к сети Интернет без шифрования – HTTP, пропуская его более безопасное расширение протокола – HTTPS. Таким образом, действия устройств будут скрытыми, поскольку все остальные пакеты будут работать также, как и до включения сценария [8]. Эффект от включения сценария будет заметен, поскольку часть его может пропадать. Тем не менее именно это и является целью сценария – частичная блокировка трафика, завуалированное под сбои сети.

Сценарий 6. Полная блокировка сетевого трафика

По данному сценарию трафик, проходящий через заданный набор УСК, будет полностью блокирован. Естественно, имеет смысл отключение не всех устройств целой организации, а некоторого их логического множества, например всех точек подключения к внешней сети. Последнее позволит полностью отключить внутреннюю сеть от внешних атак, а также одномоментно пресечь любые попытки передачи конфиденциальной информации за пределы организации через сеть. Результатом сценария будет практически полная потеря функционирования сети (за исключением разрешенных для передачи каналов); однако это и является его основной целью. Гарантированность результатов сценария может быть достигнута, в том числе, обеспечением безопасной передачи инструкций от самого ЦСС до всех УСК [7].

Сценарий 7. Создание доверенного маршрута

Данный сценарий является наиболее интересными с практической точки зрения, хотя он практически не применяется. Согласно сценарию, по команде из ЦСС произойдет отключение от сети всех устройств, кроме тех, которые считаются доверенными – например, имеют протестированное или собственное программное обеспечение, а также физическую защиту [3]. При этом доверенные устройства обеспечат сетевой маршрут между критическими основными устройствами – например, центром аналитики и центром реагирования в системе обеспечения информационной безопасности для организации с информационной системой. Задача безопасной передачи информационных пакетов в такой системе стоит особо остро [1,2,5,6]. Такой маршрут можно будет считать полностью доверенным как от атак на него снаружи, так и от утечек информации вовне. По сути, сценарий оставит работоспособным один или несколько каналов передачи — особо критичных и на которые будет направлен вектор атак злоумышленника; впрочем, физическое отделение канала от других основных устройств сети (с помощью УСК) существенно снизит вероятность успешности атак.

Возможности реализации

Анализ современного уровня развития науки и техники позволяет обоснованно утверждать о возможности реализации УСК. Также, в случае физически скрытых устройств, задача их питания решается использованием питания сетевых кабелей или встроенным аккумулятором. Для снижения нагрузки возможен перенос функционала УСК на ЦСС.

Заключение

Предложенная система управления телекоммуникационным трафиком на базе точек оконечного подключения представляет альтернативное решение обеспечения информационной безопасности для сетей организации. При этом оно гипотетически обладает существенными достоинствами, включающими высокую скорость изменения логической сетевой инфраструктуры, скрытность, контроль и управление сетевым трафиком для всех устройств, независимо от их программного и аппаратного обеспечения. Для доказательства всех указанных преимуществ и проверки работоспособности сценариев необходима разработка соответствующего прототипа, включающего как сами устройства сетевого контроля, так и все программное обеспечение. Оценка эффективности системы может быть осуществлена на базе научно-исследовательской лаборатории (например, для исследования защиты от инсайдерских атак [4]). Практическим вопросам системы, а также исследованию других ее применений и будут посвящены дальнейшие работы авторов.

Список литературы

  1. Буйневич М.В., Израилов К.Е., Покусов В.В. Способ визуализации модулей системы обеспечения информационной безопасности // Научно-аналитический журнал Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России. 2018. № 3. С. 81-91.
  2. Буйневич М.В., Покусов В.В., Израилов К.Е. Гипотетическая схема информационно-технического взаимодействия модулей системы обеспечения информационной безопасности // III Международная научно-практическая конференция «Информатика и прикладная математика». 2018. С. 179-192.
  3. Буйневич М.В., Тиамийу O.A. Программная архитектура системы управления доверенной маршрутизацией в глобальных телекоммуникационных сетях // Информатизация и связь. 2014. № 3. С. 40-43.
  4. Дешевых Е.А., Конюхов В.М., Крылов К.Ю., Ушаков И.А. Исследование методов защиты от инсайдерских атак // Актуальные проблемы инфотелекоммуникаций в науке и образовании: сборник научных статей IV Международной научно-технической и научно-методической конференции. 2015. С. 310-313.
  5. Израилов К.Е., Покусов В.В. Актуальные вопросы взаимодействия элементов комплексных систем защиты информации // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2017): сборник научных статей VI Международной научно-технической и научно-методической конференции. 2017. С. 255-260.
  6. Израилов К.Е., Покусов В.В., Столярова Е.С. Информационные объекты в системе обеспечения информационной безопасности // Теоретические и прикладные вопросы комплексной безопасности: материалы I Международной научно-практической конференции. 2018. С 166-169.
  7. Красов А.В., Сахаров Д.В., Ушаков И.А., Лосин Е.П. Обеспечение безопасности передачи Multicast-трафика в IP-сетях // Защита информации. Инсайд. 2017. № 3 (75). С. 34-42.
  8. Пальчевский Е.В. Автоматизированная система блокировки протоколов для защиты доступности информации // Вектор развития современной науки: материалы международной (заочной) научно-практической конференции. 2016. С. 33-36.
  9. Филиппов М.В., Рязанова Н.Ю., Рязанцев Б.И. Метод перехвата исходящих и входящих сетевых пакетов // Машиностроение и компьютерные технологии. 2017. № 12. С. 45-56.