СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННОГО ОБМЕНА МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ ИНФО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ

METHOD TO PROTECT COMMUNICATION OF USERS OF AN INFOTELECOMMUNICATIONS NETWORK

Eduard Pavlygin

candidate of Engineering, First Deputy Director General for Scientific Affair at FRPC JSC “RPA “Mars”

Russia, Ulyanovsk

Andrey  Korsunskiy,

candidate of Engineering, Chief Specialist at FRPC JSC “RPA “Mars”,

Russia, Ulyanovsk

Tatiana Maslennikova,

candidate of Engineering, Head of R&D Laboratory at FRPC JSC “RPA “Mars”, Russia, Ulyanovsk

Alexandr Chukarikov,

candidate of Military Sciences, doctoral student at the Military Communications Academy named after S. Budenny,

Russia, St.Petersburg,

Vasiliy Anisimov,

adjutant at the Military Communications Academy named after S. Budenny,

Russia, St.Petersburg

АННОТАЦИЯ

Предлагается новый способ защиты информационного обмена между пользователями инфо-телекоммуникационной сети, сочетающий в себе достоинства априорных и апостериорных способов построения безопасных маршрутов. Суть способа заключается в рассылке по сети специально сформированных тестовых сообщений, позволяющих выявить узлы, которые использует злоумышленник. Вычисленные узлы исключаются из возможных маршрутов передачи информации, что позволяет повысить устойчивость информационного обмена между пользователями инфо-телекоммуникационной сети.

ABSTRACT

The paper suggests using of a new method to protect the information exchange between the infotelecommunications network users. The method encompasses the advantages of a priori and a posteriori methods of the safe routing. The main idea of the suggested method consists in the network dissemination of the test messages generated in a special way enabling to detect the nodes used by an attacker. The detected nodes are excluded from the potential communication routes enhancing a robust data exchange between the users of an infotelecommunications network.

Ключевые слова: маршрутизация, вредоносный узел, устойчивость информационного обмена.

Keywords: routing, malicious node, robust communication.

Сеть связи общего пользования (ССОП) предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи. Основная задача сетей связи – транспортировка информации от отправителя к получателю. Для обеспечения информационного обмена в сети связи осуществляется выбор маршрута передачи сообщений из всех возможных маршрутов между абонентами. Маршрут состоит из последовательности транзитных узлов сети связи [3]. Если в маршруте есть транзитные узлы с низким уровнем безопасности, то эти узлы могут использоваться злоумышленником для воздействий на информационный обмен между абонентами. Проблему выбора пути решают алгоритмы маршрутизации. Алгоритмы маршрутизации бывают адаптивными и неадаптивными. Вторые, осуществляя выбор маршрута, не принимают во внимание существующую в данный момент загрузку каналов. Такие алгоритмы называются также статическими. Большинство алгоритмов маршрутизации, используемых после 1990 гг. –динамические.

Маршрутизация между сетями в Интернете осуществляется с помощью протокола BGP (Border Gateway Protocol). Суть его заключается в том, что каждая сеть получает от своих соседей-сетей – информацию о связности, а именно через какую цепочку сетей доступен каждый конкретный узел. Каждая сеть обрабатывает эту информацию в соответствии с собственной политикой, выбирая для каждого доступного узла свой наилучший маршрут.

С одной стороны, данный подход позволяет значительно упростить глобальную систему маршрутизации и обеспечить масштабируемость Интернета, с другой – он основан на доверии между операторами сетей.

Доверие радикально упрощает взаимодействие между сетевыми операторами и, как следствие, систему маршрутизации в целом. Однако это открывает огромные возможности для проведения вредоносных действий.

Ярким примером злоупотребления доверием служит атака на YouTube. В воскресенье, 24 февраля 2008, Pakistan Telecom начал несанкционированное анонсирование части адресного пространства, используемого YouTube. Один из транзитных провайдеров Pakistan Telecom, PCCW Global проанонсировал данный маршрут далее, в глобальный Интернет, что привело к перенаправлению трафика YouTube в глобальном масштабе. Весь трафик, предназначенный YouTube был перенаправлен в сеть Pakistan Telecom. Трафик попросту отбрасывался сетью Pakistan Telecom. Для пользователей YouTube это выглядело как недоступность ресурса.

Атака на YouTube имела значительные видимые последствия и получила широкую огласку и резонанс в обществе. Однако ряд атак могут проходить почти незамеченными, и с более серьёзными последствиями.

Оператор ССОП предоставляет услугу связи, с его стороны оцениваемой количественно: объём трафика, скорость передачи данных, время сеанса. Потребитель услуги связи оценивает эту услугу качественно: дошло ли сообщение до получателя вовремя и без искажений. Обязанность обеспечения устойчивой и защищённой связи лежит на потребителе услуги связи. При желании иметь устойчивую и защищённую связь необходимо решить вопрос доверия. Даже, если безопасность собственных узлов не вызывает сомнения, нет гарантии того, что в ССОП, через которую передаются сообщения, все узлы, через которые проходит маршрут передачи сообщения, так же безопасны.

Существующие виды компьютерных атак постоянно совершенствуются, используются новые уязвимости в программном и аппаратном обеспечении для проведения атак. Возможности проведения атак, например, анализа сетевого трафика могут быть заложены производителем в сетевое оборудование для операторов ССОП и подаваться как преимущество [8].

Для снижения вероятности проведения компьютерной атаки на транзитном узле сети связи существуют способы защиты, основанные на выборе безопасного маршрута. Безопасный маршрут – маршрут, состоящий из транзитных узлов, которые не используются злоумышленником для проведения атак. Выбор маршрута осуществляется на узлах сети маршрутизаторами сетевых операторов. На каждом из узлов сети маршрут определяется самостоятельно, и первоначальный маршрут не всегда совпадает с конечным. Поэтому такие способы защиты используют протоколов возможности задания маршрута. Протокол IP предоставляет такую возможность в виде опции «Loose/Strict Source Routing» [3]. Построение безопасных маршрутов основывается на информации о сети связи.  Эта информация может быть получена до начала информационного обмена (априорно) или в ходе эксплуатации сети связи. В зависимости от вида используемой информации способы построения безопасных маршрутов делятся на две группы: априорные и апостериорные [2; 9].

Априорные способы выбирают безопасный маршрут, основываясь на информации о сети связи, получаемой до начала информационного обмена. В [5] для расчёта комплексного показателя безопасности маршрута используют значения параметров безопасности узлов ССОП. Параметры безопасности узлов сети связи могут определяют в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Недостатком является то, что сбор информации и расчёт показателей займёт определённое время. За это время состояние сети может измениться или узел сети, считающийся надёжным, подвергнется атаки со стороны злоумышленника, и станет вредоносным. Даже необязательно что-то должно измениться за время расчёта показателей. Существуют уязвимости в реализациях программного обеспечения, которые до этого считались надёжными и проверенными. Например, Heartbleed (CVE-2014-0160) – ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL. На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, это составляло около 17 % защищённых веб-сайтов Интернета.

Апостериорные способы выбирают безопасный маршрут, основываясь на информации, получаемой в ходе информационного обмена. В [4] блокировка промежуточных узлов злоумышленника достигается за счёт исследования связей между узлами сети и автоматического анализа изменений в связях между узлами с выявлением и блокировкой адреса промежуточных узлов. Но злоумышленник стремиться скрыть свои действия, поэтому о факте компрометации узла сети, станет известно, скорее всего, после успешной атаки на информационный обмен. Также возможны ошибки в ситуации, когда изменение маршрута не связано с деятельностью злоумышленника, а вызвано объективными причинами, например, изменением таблиц маршрутизации или сменой адреса ресурса его владельцем. Таким образом, старый маршрут передачи информации не существует, а использование нового маршрута заблокировано до достижения порогового уровня интенсивности использования канала связи.

Таким образом, возникает противоречие между временем сбора информации о состоянии сети и расчёта показателей и соответствием полученных значений актуальному состоянию сети. Предлагается новый способ защиты информационного обмена, сочетающего в себе достоинства обеих групп и нивелирующего их недостатки. Суть способа заключается в рассылке по сети специально сформированных тестовых сообщений, позволяющих выявить воздействие злоумышленника. На основании полученных ответов на тестовые сообщения вычисляются узлы, которые использует злоумышленник. Вычисленные узлы исключаются из возможных маршрутов информационного обмена между пользователями инфо-телекоммуникационной сети.

Алгоритм, реализующий способ защиты информационного обмена, проходящего через инфо-телекоммуникационную сеть с неизвестным уровнем доверия представлен на рисунке 1.

Основные этапы алгоритма не требуют пояснения. В блоке 6 выявляют вредоносные узлы сети связи, входящие в возможные маршруты между -м и -м абонентами сети связи. Выявление вредоносных узлов сети связи представлено в виде алгоритма (рис. 2).

Рисунок 1. Алгоритм, реализующий способ защиты информационного обмена, проходящего через инфо-телекоммуникационную сеть с неизвестным уровнем доверия

Рисунок 2. Алгоритм выявления вредоносных узлов в сети связи

В блоке 1 осуществляют ввод исходных данных, сформированных на этапах 2–4 алгоритма (рис. 1). Исходными данными являются маршрутный массив -го абонента. Маршрутный массив представляет собой матрицу размерности , где  — количество возможных маршрутов связи между ‑м и -м абонентами сети связи.

Для каждого маршрута между -м и -м абонентами  (бл. 4) формируют контрольное сообщение для текущего маршрута. В заявленном способе предлагается вычислять вредоносные узлы за счёт выявления воздействия на контрольное сообщение злоумышленником. Контрольное сообщение имеет все признаки информационного обмена между абонентами сети связи, который интересует злоумышленника, но при этом не имеет критической информации внутри себя. Информация, содержащаяся в нём, позволяет обнаружить воздействие злоумышленника. Принципиально способ формирования контрольных сообщений не влияет на выбор безопасного маршрута, от него зависит тип выявляемого воздействия. Известны способы, позволяющие выявить два вида воздействий: подмена доверенного адреса (т. е. изменение заданного маршрута передачи сообщения) [6] и зеркалирование сообщений для передачи абоненту-злоумышленнику для их анализа (т. е. дублирование сообщений) [7].

Дублируют информацию из маршрутного массива -го абонента в проверочную матрицу (бл. 6). Проверочная матрица идентична маршрутному массиву. Это делается для того, чтобы сохранить информацию обо всех возможных маршрутах между -м и -м абонентами. А над проверочной матрицей далее проводятся математические преобразования, для того, чтобы вычислить вредоносные узлы.

Проверяют, пришло ли служебное сообщение в ответ на контрольное сообщение (бл. 7). Если в ответ на контрольное сообщение пришло служебное сообщение, то записывают в каждый элемент -й строки «1» (бл. 8). Иначе последовательно складывают по модулю «2» значение каждого элемента -й строки с «1» (бл. 9).

После рассылки контрольных сообщений по всем маршрутам и получения ответов на них перемножают по модулю «2» все элементы каждого столбца проверочной матрицы между собой (бл. 11).

Запоминают полученную строку как проверочную матрицу-строку (бл.12) и дублируют информацию из маршрутного массива -го абонента в проверочную матрицу (бл.13). Перемножают по модулю «2» поэлементно проверочную матрицу-строку с каждой строкой проверочной матрицы (бл. 14).

Вычисляют сумму элементов в каждой строке проверочной матрицы (бл. 15). Это делается для того, чтобы вычислить те маршруты, которые содержат вредоносные узлы. Сумма значений всех элементов каждой строки будет отличаться от «0», если маршрут, содержащий вредоносный узел, соответствует таким строкам.

Оценка эффективности предлагаемого способа проводилась путём сравнения коэффициентов исправного действия по киберустойчивости -го информационного направления для исходной сети связи (рис. 3 слева), и эквивалентной сети связи (рис. 3 справа). Под киберустойчивостью сети связи понимается способность сети связи поддерживать информационный обмен в условиях проведения злоумышленником компьютерных атак [1]. Вторая сеть связи получается из исходной после обнаружения в ней вредоносных узлов и исключения этих узлов из возможных маршрутов передачи информации.

Оценить коэффициент исправного действия по киберустойчивости -го информационного направления можно [1]:

(1)

где  – коэффициент связанности -го информационного направления,  – коэффициент исправного действия по киберустойчивости -го составного маршрута, — вероятность воздействия компьютерной атаки на  -й маршрут.

Оценить коэффициент структурной живучести можно так:

(2)

где  — номер маршрута,  — общее число маршрутов в информационном направлении,  — ранг -го маршрута,  — общее количество интервалов связи на -м маршруте,  — вес -го маршрута в информационном обмене.

Т. к. маршрут передачи информации состоит из нескольких интервалов связи, то коэффициент исправного действия по киберустойчивости -го составного маршрута будет определяться выражением:

(3)

где — коэффициент исправного действия по киберустойчивости -го маршрута,  — общее количество интервалов связи на -м маршруте.

Таким образом, коэффициент исправного действия по киберустойчивости -го составного маршрута зависит от коэффициент исправного действия по киберустойчивости каждого узла, входящего в этот маршрут.

Пусть для исходной сети связи и эквивалентной сети связи (рис. 3):

 равен , если этот узел не является вредоносным, и  в других случаях;

 равен , если этот узел не является вредоносным, и других случаях;

все маршруты эквиваленты друг другу, т. е.  и .

Для исходной сети связи, состоящий из шести узлов, один из которых (УС4) является вредоносным, и информационным направлением между -м и -м абонентами, содержащим семь маршрутов: ; ; .

Рисунок 3. Вариант исходной ССОП (слева) и эквивалентной ССОП без вредоносных узлов (справа)

Для эквивалентной сети связи, состоящий из пяти узлов, ни один из которых не является вредоносным, и информационным направлением между -м и -м абонентами, содержащим два маршрута: ; ; .

Таким образом, предлагаемый способ повышает устойчивость информационного обмена между пользователями инфо-телекоммуникационной сети. Из этого следует, что количество и качество информационных ресурсов сети связи и её элементов зависит от количества и качества информации при создании и эксплуатации сети связи.

На способ подана заявка на предполагаемое изобретение № 2016137073 «Способ выбора безопасного маршрута». Представленный способ может быть реализован в виде специального proxy-сервера установленного у абонентов сети связи или на устройстве, предоставляющим услугу по доступу в ССОП. Несмотря на то, что все действия способа в таком случае будут выполняться на стороне абонента, для него это будет выглядеть как взаимодействие с сетью через отдельное устройство. Таким образом, образуется логическое устройство, реализующее заявленный способ.

Список литературы:

1. Киберустойчивость информационно-телекоммуникационной сети / М.А. Коцыняк [и др.]. – СПб.: Бостон-спектр, 2015. – 150 с.
2. Климов С.М., Сычёв М.П., Астрахов А.В. Противодействие компьютерным атакам. Методические основы. – М.: МГТУ им. Н.Э. Баумана, 2013. – 103 с.
3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учеб. для вузов. – 4-е изд. – СПб.: Питер, 2010. – 944 с.
4.  Способ анализа и выявления вредоносных промежуточных узлов в сети : пат. № 2495486 Рос. Федерация : МПК7 G 06 F 21/00 / С.Ю. Голованов. – № 2012134241/08; опубл. 10.10.2012. Бюл. № 28. – 23 с.: ил.
5. Способ выбора безопасного маршрута в сети связи (варианты) : пат. № 2331158 Рос. Федерация : МПК7 H 04 L 12/28 / Д.А. Кожевников [и др.]. – № 2007103774/0; опубл. 10.08.2008. Бюл. № 22. – 34 с.: ил.
6. Способ защиты информационно-вычислительных сетей от компьютерных атак : пат. № 2472211 Рос. Федерация : МПК7 G 06 F 12/14 / В.И. Андрианов [и др.]. – № 2011147613/08; опубл. 10.01.2013. Бюл. № 1. – 12 с.: ил.
7. Способ защиты информационно-вычислительных сетей от компьютерных атак : пат. № 2483348 Рос. Федерация : МПК7 G 06 F 12/14 / О.А. Баленко [и др.]. – № 2012116988/08; опубл. 27.05.2013. Бюл. № 15. – 10 с.: ил.
8. Способ и маршрутизатор для выполнения зеркального копирования : пат. № 2493677 Рос. Федерация : МПК7 H 04 W 24/00 / Н. ЛИ, С. ЯН, Ц. ВАН (CN). – № 2011154001/07. Бюл. № 26; приоритет 06.11.2009, 200910147320.9 (countrycn). – 32 с.: ил.
9. Чукариков А.Г., Анисимов В.В. Математическая формализация обеспечения превентивной защиты инфо-телекоммуникационных систем // Актуальные проблемы защиты и безопасности: труды девятнадцатой Всерос. науч.-практ. конф. – Т. 1: Вооружение, военная и специальная техника. – СПб.: РАРАН, 2016. – С. 203–209.