Файл: Системы управления, связи и безопасности 4. 2018 Systems of Control, Communication and Security.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 91
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
147
Информационные направления w
18
, w
48
, w
57 отсутствуют в исходной структуре и предназначены для передачи только маскирующего трафика.
При таком способе расчета маскирующей нагрузки неизбежны следующие ограничения. Если замещаемое ИН совпадает с замещающим (см. w
28
в табл. 1), то интенсивность либо не меняется, либо такое ИН замещает произвольно вы- бранное ИН исходной структуры (в табл. 1 w
28 замещает
w
14
). Так как маскиру- ющий трафик не может иметь отрицательное значение (т. е. снизить интенсив- ность конструктивного трафика), то нет решения по замещению ИН с большей интенсивностью.
Результаты расчета интенсивности маскирующего трафика для построен- ной структуры сети маскирующего обмена T
M
графически представлены на рис. 5.
3 2
6 1
3 3
3 3
2 2
2 7
5 1
4 8
160 40 80 80 80 100 100 200 80 120 160 100 160 100 160 60
Рис. 5. Результаты расчета интенсивности маскирующего трафика
Тогда результатом построения сети маскирующего обмена в ИСС ВН станет ложная функционально-логическая структура, представленная на рис. 6.
Научная новизна разработанной модели заключается в модификации ал- горитмов минимальных остовных деревьев и их применении для решения зада- чи синтеза структуры сети маскирующего обмена.
Практическая значимость разработанной модели заключается в обеспече- нии возможности искажения алгоритмов функционирования ИСС ВН по задан- ным требованиям (в соответствии с замыслом обмана).
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
148 160 40 80 80 80 100 100 200 80 120 160 100 160 100 160 60 7
1 3
1 2
8 3
4 3
3 3
2 2
6 2
5
Рис. 6. Полученная ложная ФЛС ИСС ВН
Методика реализации маскирующего обмена в ИСС ВН
Разработанная математическая модель синтеза структуры сети маскиру- ющего обмена не учитывает ограниченные ресурсы и параметры безопасности маршрутов связи при передаче конструктивного и маскирующего информаци- онного трафика через ССОП.
В результате анализа способов реализации маскирующего обмена в рам- ках эталонной модели взаимодействия открытых систем выявлены следующие технические особенности ССОП.
Во-первых, у передающего абонента (СИО) возникают очереди из паке- тов конструктивных сообщений, так как СИО занят формированием пакетов маскирующих сообщений.
Во-вторых, у принимающего абонента (СИО) возникают очереди из паке- тов конструктивных и маскирующих сообщений, так на вход принимающего
СИО могут одновременно прийти пакеты сообщений от нескольких отправите- лей. В результате ухудшаются значения показателей своевременности доставки сообщений, а услуги связи, критичные к выполнению требований по своевре- менности доставки сообщений, могут стать субъективно «некачественными» – ухудшится разборчивость речи, качество видеоизображения и т. д.
Назначение методики – решение задачи маскирования алгоритмов функ- ционирования ИСС ВН при снижении маскирующей нагрузки на абонентов се- ти и обеспечении своевременности доставки пакетов конструктивных сообще- ний.
Решить данную задачу можно использованием технологических возмож- ностей ИСС ВН для реализации маскирующего обмена в условиях ограничения ресурсов связи и комбинацией способов маскирования, потенциально поддер- живаемых ССОП.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
149
В настоящее время теоретической и практической возможностью для ре- ализации маскирующего обмена является только установка для корреспонден- тов меток, означающих, что данный конкретный пакет сообщений является маскирующим или содержит полезную информацию [30]. При этом предпола- гается, что маскирующий пакет сообщений будет игнорироваться принимаю- щим СИО, но, тем не менее, он будет создавать нагрузку на его входе. Един- ственным достоинством данного решения является то, что установка меток, а также фрагментация пакетов маскирующих сообщений осуществляется без до- полнительных технических решений.
Анализ протоколов ССОП позволил вскрыть следующие пути управления маскирующей нагрузкой.
Во-первых, в процессе формирования пакетов сообщений на передачу можно устанавливать значения полей пакетов сообщений TTL (Time То Live) и
Hop Limitтакими, чтобы пакеты сообщений не доходили до приемника и пакет терминировался в заведомо выбранном СИО ССОП. В качестве такого СИО целесообразно выбрать последний (в маршруте) СИО (маршрутизатор) ССОП.
Между ним и СИО ИСС ВН наличие средств КР злоумышленника наименее вероятно по той причине, что злоумышленник решает ресурсную задачу, а раз- мещение средств КР в каждой точке распределенной ИСС ВН будет неопти- мальным и может скомпрометировать систему разведки. Однако, у данного способа есть очевидные недостатки:
- наличие прямого ДМП в заголовке – злоумышленник при длительном наблюдении может определить регулярность некорректных значений
TTL (Hop Limit) и скомпрометировать маскирующий трафик;
- наличие косвенного ДМП – узел, на котором прекращается дальнейшая передача пакета, информирует узел-отправитель
ICMP-сообщением (с учетом предустановленного лимита на количе- ство ICMP-сообщений) о невозможности доставить пакет адресату;
- отсутствие гарантированного уничтожения пакета в выбранной точке
ССОП из-за наличия альтернативных более коротких маршрутов.
Во-вторых, технологической возможностью для реализации маскирую- щего обмена является построение карты сети со значениями MTU каждого узла сети, принадлежащего маскирующему маршруту по процедуре Path MTU
Discovery [31] и обоснованным выбором значений MTU маскирующих пакетов сообщений таких, чтобы пакеты сообщений не доходили до приемника и тер- минировались в заведомо выбранном СИО ССОП. Данный способ также не лишен недостатков:
- наличие прямого ДМП в заголовке IPv4;
- наличие косвенного ДМП – при невозможности фрагментации паке- тов сообщений на транзитных узлах (для прекращения ретрансляции пакета сообщений в подсеть с меньшим значением MTU необходима установка флага Do Not Fragment (DF)), транзитный узел ССОП от- правляет узлу-отправителю управляющее ICMP-сообщение (с учетом предустановленного лимита на количество ICMP-сообщений) о не- возможности доставить пакет адресату;
1 2 3 4 5 6
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
150
- при предустановленной блокировке ответов по протоколу ICMP выполнение процедуры Path MTU Discovery невозможно, и данная ситуация получила название MTU Discovery Black Hole.
В-третьих, технологической возможностью для реализации маскирующе- го обмена является согласование с приемником значения TCPMaximum segment size (MSS) для маскирующего трафика и обоснованный выбор таких значений MTU маскирующего пакета сообщений, чтобы пакеты сообщений не доходили до приемника и пакеты терминировались на предпоследнем транзит- ном СИО ССОП. Данный способ также имеет недостаток: наличие косвенного
ДМП – при невозможности фрагментации пакетов сообщений на транзитных узлах (при установке флага Do Not Fragment (DF)) транзитный узел ССОП от- правляет узлу-отправителю управляющее ICMP-сообщение (с учетом пред- установленного лимита на количество ICMP-сообщений) о невозможности до- ставить пакет адресату.
Рассмотренные три способа исключают нагрузку на СИО принимающего абонента и открыты для создания новых технических решений, расширяющих ассортимент средств СИО ИСС ВН, а их комбинированное использование при организации маскирующего обмена позволит снизить информативность при- сущих им ДМП.
Итак, для обоснования выбора значений TTL (Hop Limit), MTU и TCP
MSS необходимо использованием процедуры Path MTU Discovery построить карту ССОП с указанием значений MTU узлов сети, принадлежащих маскиру- ющему маршруту. После этого выбрать узел-терминатор маскирующих сооб- щений, который прекращает дальнейшую передачу пакетов, если длина пакета больше принятого на узле-терминаторе значения MTU.
Значение MTU маскирующего пакета сообщений должно быть большим, чем значение MTU узла-терминатора. В том случае, если выбираемое мини- мальное значение MTU не позволит терминировать пакет в заданном СИО
ССОП, необходимо дополнительно провести согласование между корреспон- дентами значения TCP MSS и задавать его значение у передающего корреспон- дента больше на некоторую (переменную) величину (от 1 байта).
Имеющиеся на рынке средства создания VPN-туннелей (такие как, например, линейка средств DioNIS, программно-аппаратные комплексы «Ат- ликс-VPN», «Застава», «Континент» и другие) имеют технические возможности реализовывать протокольно указанные процедуры для осуществления маски- рующего обмена.
Физическая (содержательная) постановка задачи.
Информационный обмен между абонентами ИСС ВН осуществляют маршрутизацией пакетов сообщений через последовательность транзитных уз- лов ССОП. Совокупность перечисленных элементов систем образует ИСС ВН.
Наиболее уязвимым местом ИСС ВН является их функционально- логическая структура, вскрытие которой приводит к компрометации структуры системы управления (СУ) ведомства [1, 2]. Реконструкция структуры ИСС, и, как следствие, алгоритмов функционирования, происходит вследствие извест-
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
151 ности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.
Для реализации маскирующего обмена в ИСС ВН необходимо:
- применить математическую модель синтеза структуры сети маскиру- ющего обмена, задать замещающий УС высшего уровня иерархии, как точку истока маскирующего трафика в T
M
, и замещающие информа- ционные направления между узлами связи;
- построить схему (граф) совокупности альтернативных маршрутов свя- зи между каждой парой абонентов УС ПУ (u, v) ϵ T
M
, содержащую транзитные узлы ССОП;
- сформировать совокупность допустимых доп
ij
N
маршрутов для переда- чи по ним конструктивных сообщений между каждой парой абонен- тов УС ПУ (u, v) ϵ T
M
;
- сформировать совокупность маскирующих маск
ij
N
маршрутов для пе- редачи по ним маскирующих (ложных) сообщений между каждой па- рой абонентов УС ПУ (u, v) ϵ T
M
;
- определить для каждого УС ИСС, принадлежащего маскирующим маршрутам, значения MTU;
- выбрать узлы-терминаторы G
T
маскирующих сообщений в каждом маскирующем маршруте связи;
- при необходимости дополнительно согласовать между абонентами УС
ПУ параметры TCP MSS(см., например, [32]);
- задать маркеры перегрузки каналов связи (ребер минимального остовного дерева) пакетами сообщений;
- реализовать маскирующий обмен между каждой парой абонентов по
T
M
до G
T
Исходные данные.
Маршруты передачи трафика в полученной структуре сети маскирующе- го обмена T
M
содержат транзитные узлы ССОП. Для каждого x-го узла связи, принадлежащего T
M
, где x = 1, 2,…, Х, задают совокупность Y параметров без- опасности и их значения b
xy
, где y = 1, 2,…, Y.
Совокупность возможных маршрутов связи между каждой парой i-м и j-м абонентами УС ПУ, принадлежащей T
M
, где i = 1, 2,…, j = 1, 2,…, и i ≠ j, зада- ют в виде N
ij
деревьев графа сети связи. Число N
ij
деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
T
×
ij
o
o
N
B B
,
(6) где
o
B
M
K
– преобразованная матрица смежности вершин графа сети связи, а M = M
р
– 1; K – число строк и столбцов матрицы; M
р
– число строк ис- ходной матрицы смежности, равное общему количеству узлов сети связи;
T
o
B
– транспонированная матрица к
o
B .