ПРОТОКОЛЫ, МЕТОДЫ И ТЕХНОЛОГИИ ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ НА ТРАНСПОРТНОМ УРОВНЕ

АННОТАЦИЯ

В статье рассмотрены вопросы обеспечения безопасности информационной системы на транспортном уровне. Проанализированы основные угрозы, возникающие при передаче информации по каналам связи, рассмотрены процедуры обработки информации различными протоколами транспортного уровня. Определены технологии, позволяющие обеспечить необходимый уровень информационной защиты.

Ключевые слова: защита информации, информационная система, протокол, информационная безопасность.

Введение и постановка проблемы. В последнее десятилетие широкое применение компьютерных технологий в автоматизированных системах обработки информации и управлении процессами привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах OSI (Open System Interconnection). Особенностью протоколов транспортного уровня таких систем является отсутствие проверки источников информации, что способствует таким угрозам, как перехват и подключения к открытым портам протоколов транспортного уровня.

Основная часть. Защита от перехвата информации на транспортном уровне требует применения дополнительных протоколов, которые поддерживают шифрование данных и аутентификацию субъектов обмена данными. Для решения этой задачи используется протокол SSL/TLS (Secure Socket Layer / Transport Layer Security), который реализует шифрование и аутентификацию между транспортными уровнями приемника и передатчика.

Процедура работы протокола SSL/TLS включает в себя три основные фазы:

- диалог между сторонами, целью которого является выбор алгоритма шифрования;

- обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов;

- передачу данных с помощью симметричных алгоритмов шифрования [3]. Таким образом, протокол SSL/TLS выполняет функции аутентификации, шифрования данных и обеспечения целостности данных. Аутентификация осуществляется путем обмена цифровыми сертификатами при установлении соединения [3]. Так как протокол SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из конца в конец»(защищен виртуальный туннель транспортного уровня).

Протокол прикладного уровня SSL/TLS обычно используется для обеспечения шифрования HTTP трафика (режим HTTPS).

Открытый характер протоколов прикладного уровня обусловливает значительное количество угроз, связанных с основной проблемой этих протоколов - передачей информации в нешифрованном виде.

Использование на прикладном уровне процедур идентификации и аутентификации пользователей с последующей авторизацией создает также угрозу перехвата или подбора учетных записей и паролей.

Значительную угрозу также представляют вирусы и шпионское программное обеспечение, которые действуют именно на прикладном уровне, DoS и DDoS-атаки на информационные системы.

Обычно, для средств защиты компьютерных сетей на прикладном уровне, существует два подхода: использование proxy-серверов и использования механизмов контроля сессий (Statefull Inspection). Оба эти подхода реализуют контроль за соединением, но не решают задачу анализа содержания пакетов и фильтрации пакетов с нежелательным содержимым, не позволяя предотвратить распространение вирусов через электронную почту, установку несанкционированных программных приложений через Интернет на рабочие станции, несанкционированную смену содержания веб-сайтов и т.д.

Для защиты от таких нарушений может быть использована контентная фильтрация, основанная на сигнатурном анализе пакетов. Этот механизм предусматривает анализ информации в пакете, причем как заголовка пакета, так поля данных. Это позволяет установить соответствие между информацией из поля данных и конкретными приложениями, контролировать передачу данных между конкретными приложениями и проводить фильтрацию нежелательной информации. Учитывая, что информация анализируется отдельными пакетами, этот механизм не позволяет полностью анализировать трафик сетевых приложений [1].

Отдельно следует отметить обеспечение безопасности гетерогенных виртуальных вычислительных сред, к которым относят GRID-системы и «облачные вычисления» (cloud computing). С каждым годом все больше различных предприятий переводят вычислительные и информационные ресурсы в виртуальную инфраструктуру. В таких средах возникают новые угрозы, прежде всего, это атаки на средства управления виртуальными машинами, облачные контроллеры, хранилища данных, неавторизованный доступ к узлам виртуализации, использование виртуальной среды для несанкционированной передачи данных.

Возможность проведения указанных атак с виртуальной сети существенно ограничивает использование традиционных для компьютерных сетей методов защиты и требует разработки специализированных решений. В основу таких решений могут быть положены механизмы контроля сессий (Statefull Inspection) и пакетной фильтрации. Так, в работе [1] предлагается подход к разграничению доступа на основе контроля виртуальных соединений и использование скрытой фильтрации. Правила фильтрации могут быть созданы для различных уровней описания потоков данных на основании заголовков канальных, сетевых, транспортных и прикладных протоколов.

Таким образом, учитывая большое количество и разноплановость протоколов и приложений прикладного уровня, организовать эффективное противодействие угрозам прикладного уровня можно только путем разработки и реализации комплексных систем защиты информации с использованием специализированных механизмов разграничения и контроля доступа к ресурсам сети, применением технологий криптографической защиты и электронных цифровых подписей.

Одним из эффективных решений комплексной защиты информационных систем корпоративных сетей является использование сети доставки/распространения контента (Content Delivery Network или Content Distribution Network, CDN). Системы на базе CDN эффективно решают вопросы защиты от DoS и DDoS-атак не только на прикладном, но и на сетевом и транспортном уровнях [2].

Ведущие производители сетевого оборудования предлагают специализированные решения для решения задач комплексной защиты корпоративных сетей. Например, компания Cisco предлагает решения на основе технологии NAC (Network Admission Control) [4]. Данная технология позволяет не только проверять устройства и пользователей еще на этапе подключения к корпоративной сети, но и заблокировать доступ компьютеров, которые не соответствуют политике безопасности (в том числе, зараженных вирусами и вредоносными программами, тех компьютеров, где не обновлены антивирусные базы, отсутствуют необходимые обновления операционной системы и т.д.). Контроль соответствия политике безопасности реализуется максимально близко к возможному источнику нарушений - на порту коммутатора, точки доступа Wi-Fi или маршрутизатора, которые поддерживают технологию NAC.

Выводы. Задача создания эффективных комплексных систем защиты компьютерных сетей может быть решена с использованием совокупности методов и технологий, которые реализованы в современном телекоммуникационном оборудовании для компьютерных сетей как основы технической составляющей таких систем. При выборе и реализации технологий защиты конкретной сети необходимо учитывать особенности структуры сети, специализации работы предприятия, вероятность проведения конкретных атак. Настройка соответствующего функционала на сетевом оборудовании позволяет осуществлять контроль соответствия политике сетевой безопасности и реализовывать защиту максимально близко к возможному источнику нарушений, что, в свою очередь, минимизирует возможные негативные последствия для корпоративной сети модели OSI.

Список литературы:

1. Заборовский В. С., Лукашин А. А., Купреенко С. В., Мулюха В.А. Архитектура системы разграничения доступа к ресурсам гетерогенной вычислительной среды на основе контроля виртуальных соединений. Вестник Уфимского государственного авиационного технического университета. 2011. 5 (45). Том. 15. С. 170-174. URL: https://elibrary.ru/item.asp?id=18863047 (дата обращения: 24.10.2018).
2. Козлова М. 7 лучших сервисов защиты от DDoS-атак для повышения безопасности // HOSTING.cafe. 28 марта 2017 14:47. URL: https://habrahabr.ru/company/hosting-cafe/blog/324848/ (дата обращения: 24.10.2018).
3. Кучернюк В. П. Методы и технологии защиты компьютерных сетей (физический и канальный уровни). Микросистемы, электроника и акустика. 2017. № 6. Том 22. С. 64-70. URL: http://elc.kpi.ua/article/view/113191 (дата обращения: 24.10.2018)
4. Cisco Network Admission Control (NAC) Solution Data Sheet // Cisco. January 23, 2019. URL: https://www.cisco.com/c/en/us/products/collateral/security/nac-appliance-clean-access/product_data_sheet0900aecd802da1b5.html (дата обращения: 24.10.2018).