Файл: Разработка методики расследования действий, связанных с несанкционированным подключением к локальной сети посторонних устройств.pdf
Добавлен: 14.06.2023
Просмотров: 117
Скачиваний: 2
Введение
Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам - протоколам. В узком смысле сетевая ОС - это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети.
Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами в мультипроцессорных машинах, управления периферийными устройствами и другие функции управления ресурсами локальных ОС.
Средства предоставления собственных ресурсов и услуг в общее пользование - серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, что необходимо для их совместного использования; ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам.
Средства запроса доступа к удаленным ресурсам и услугам и их использования - клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей, при этом запрос поступает от приложения в локальной форме, а передается в сеть в другой форме, соответствующей требованиям сервера. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо.
Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки сообщений.
Первые сетевые ОС представляли собой совокупность существующей локальной ОС и надстроенной над ней сетевой оболочки. При этом в локальную ОС встраивался минимум сетевых функций, необходимых для работы сетевой оболочки, которая выполняла основные сетевые функции. Примером такого подхода является использование на каждой машине сети операционной системы MS DOS (у которой начиная с ее третьей версии появились такие встроенные функции, как блокировка файлов и записей, необходимые для совместного доступа к файлам). Принцип построения сетевых ОС в виде сетевой оболочки над локальной ОС используется и в современных ОС, таких, например, как LANtastic или Personal Ware.
Однако более эффективным представляется путь разработки операционных систем, изначально предназначенных для работы в сети. Сетевые функции у ОС такого типа глубоко встроены в основные модули системы, что обеспечивает их логическую стройность, простоту эксплуатации и модификации, а также высокую производительность. Примером такой ОС является система Windows NT фирмы Microsoft, которая за счет встроенности сетевых средств обеспечивает более высокие показатели производительности и защищенности информации по сравнению с сетевой ОС LAN Manager той же фирмы (совместная разработка с IBM), являющейся надстройкой над локальной операционной системой OS/2.Анализ информационных потоков в локальной сети центра показывает, что основные информационные потоки – это потоки между серверным и пользовательским сегментами. Обычно, в корпоративной сети можно снизить информационные потоки, распределив сервера между рабочими группами. Но в локальной сети вычислительного центра это практически невозможно сделать, так как все сервера, имеют общее «вычислительное» назначение; пользовательские рабочие места универсальны, а, следовательно, равноправны; общая файловая система должна быть доступна с любого рабочего места, с любого сервера. И хотя деление на рабочие группы существует и в какой-то мере влияет на дифференциацию информационных потоков, установить такое деление на группы, при котором межгрупповое взаимодействие будет ограничено, не представляется возможным.
Следовательно, для повышения производительности сети необходимо увеличить пропускную способность каналов, соединяющих коммутаторы уровня доступа и уровня распределения; увеличить производительность коммутаторов уровня распределения.
Кроме того, для обеспечения межсегментной маршрутизации на уровне распределения целесообразно использовать коммутаторы третьего уровня.
Поскольку одним из главных требований к модернизируемой сети является требование поддержки управления качеством обслуживания на уровне приложений, все используемые в ЛВС центра коммутаторы и маршрутизаторы всех уровней доступа должны поддерживать стандартный протокол группового управления в Интернет Internet Group Management Protocol (IGMP). Для обеспечения требуемого качества сервиса (QoS), необходимого для передачи критичных к задержке приложений маршрутизаторы и маршрутизирующие коммутаторы должны поддерживать эффективные алгоритмы построения очередей с учетом приоритетов, а также возможность резервирования полосы пропускания. Кроме того, маршрутизаторы (и маршрутизирующие коммутаторы) должны поддерживать необходимые для передачи видео и аудиотрафика протоколы Protocol Independent Multicast (PIM) и протокол резервирования ресурсов Resource Reservation Protocol (RSVP).
Глава 1. СПОСОБ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ
Изобретение относится к области вычислительной техники и, в частности, к системам защиты информации от несанкционированного доступа. Его использование позволяет получить технический результат в виде повышения защиты информации от несанкционированного доступа в локальной вычислительной сети путем противодействия несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов, сегментов и файлов, перехваченных в среде распространения сетевых кадров. Технический результат достигается за счет того, что осуществляют защитное математическое преобразование служебной информации сетевого кадра перед передачей в среду распространения локальной вычислительной сети. При этом защитному математическому преобразованию подвергается информация, содержащаяся в заголовках сетевых кадров канального уровня, а также в заголовках всех инкапсулированных сетевых пакетов и сегментов. В результате обеспечивается предотвращение самой возможности перехвата сетевых кадров в среде распространения локальной вычислительной сети на нелегитимной рабочей станции и сбора из перехваченных сетевых кадров файлов для дальнейшего несанкционированного использования или криптоанализа. 6 з.п. ф-лы, 2 ил.
Предлагаемый способ относится к области средств вычислительной техники, а именно к системам защиты информации от несанкционированного доступа.
Одним из распространенных средств, используемым для несанкционированного доступа к информации, передаваемой по локальной вычислительной сети, является анализатор протоколов. Анализатор протоколов представляет собой программно-аппаратное средство, подключаемое к среде распространения локальной вычислительной сети и предназначенное для локализации неисправностей и нештатных режимов работы сетевого оборудования посредством перехвата и анализа сетевого трафика. Большинство известных анализаторов протоколов имеет функциональную возможность копировать как весь сетевой трафик, так и сетевые кадры, удовлетворяющие заданным критериям фильтрации, а также осуществлять буферизацию захваченных сетевых кадров, их визуализацию и анализ с целью восстановления исходной информации (файлов). В качестве критериев фильтрации могут использоваться IP-адреса участников информационного обмена, протоколы, использованные для формирования сетевых кадров, МАС-адреса рабочих станций, с которых или на которые отправляются сетевые кадры, а также любые другие параметры сетевых кадров, задаваемые в служебной информации. Служебная информация сетевого кадра включает в себя содержимое всех заголовков и дополнительных служебных полей, формируемых и присоединяемых к сегменту неструктурированных данных, поступающих от приложений в сетевые службы, по мере продвижения сегмента от одного протокола или уровня стандарта взаимодействия открытых систем ISO/OSI к другому.
Противоправное использование анализаторов протоколов является реальной угрозой конфиденциальности информации, передаваемой по локальной вычислительной сети. Анализатор протоколов подключается к сети так же, как и рабочая станция. Отличие состоит в том, что если обычная рабочая станция сети способна получать лишь широковещательные сетевые кадры либо сетевые кадры, адресованные непосредственно ей, то анализатор протоколов способен копировать весь сетевой трафик среды распространения локальной вычислительной сети. Для этого в анализаторах протоколов используются сетевые адаптеры, поддерживающие на аппаратном или программном уровне режим "беспорядочного" захвата (promiscuous mode) сетевых кадров.
Наибольшее распространение в настоящее время нашли анализаторы протоколов Network Monitor производства Microsoft, WinPcap, ScoopLm, WinDump, THC-parasite, SpyNet, Sniffer Pro LAN, Sniffer Basic, Packet Tracer, Iris, Hoppa Analyzer, CommView, ASniffer.
Применяемые способы защиты информации от несанкционированного доступа в среде распространения локальной вычислительной сети например, основываются в основном на использовании средств криптографической защиты информации. Существующие в настоящее время средства криптографической защиты информации в локальной вычислительной сети ориентированы на закрытие исходной информации, передаваемой сетевым службам для передачи по локальной вычислительной сети. Недостатком данного подхода является то, что служебная информация не подвергается криптографическим преобразованиям и передается в среде распространения локальной вычислительной сети в открытом виде. При этом, в случае противоправного использования анализаторов протоколов, все сетевые кадры, посредством которых передается исходная информация, могут быть несанкционированно скопированы на физическом уровне. В соответствии с содержанием служебной информации из захваченных сетевых кадров закрытая исходная информация может быть собрана в файлы и подвергнута криптоанализу.
Средства создания виртуальных частных сетей также не обеспечивают защиту сетевых кадров от перехвата на физическом уровне локальной вычислительной сети так как осуществляют криптографическую защиту заголовка только IP-пакета на сетевом уровне стандарта взаимодействия открытых систем ISO/OSI.
Целью разработанного способа защиты информации от несанкционированного доступа в локальной вычислительной сети является противодействие несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов, сегментов и файлов из несанкционированно перехваченных в среде распространения сетевых кадров.
Указанная цель достигается тем, что защита сетевого трафика от несанкционированного доступа обеспечивается введением в техническую реализацию технологии взаимодействия открытых систем ISO/OSI узла безопасности, размещаемого между подуровнем MAC канального уровня и физическим уровнем стандарта взаимодействия открытых систем ISO/OSI. Перед передачей сетевого кадра в узле безопасности выделяют служебную информацию, предшествующую полю данных уровня приложений стандарта взаимодействия открытых систем ISO/OSI, и осуществляют защитное математическое преобразование выделенной служебной информации. После завершения защитного математического преобразования служебной информации сетевой кадр передают из узла безопасности на физический уровень для дальнейшей трансляции в среде распространения локальной вычислительной сети. При приеме сетевых кадров с физического уровня в узле безопасности выполняют обратное математическое преобразование служебной информации и проверяют легитимность полученных сетевых кадров посредством проверки корректности служебной информации после выполнения обратного математического преобразования. Передачу сетевых кадров на подуровень MAC канального уровня осуществляют в случае положительного результата проверки корректности служебной информации сетевых кадров. В случае отрицательного результата проверки корректности служебной информации сетевых кадров выполняется блокировка передачи сетевых кадров из узла безопасности на подуровень MAC канального уровня.
При этом защитное математическое преобразование выполняют по отношению к информации, содержащейся в заголовках сетевых кадров канального уровня, а также в заголовках всех инкапсулированных сетевых пакетов и сегментов. Таким образом, защитному математическому преобразованию подвергают часть сетевого кадра фиксированного размера, начинающуюся исключительно от начального ограничителя SFD кадра канального уровня и содержащую служебную информацию всех инкапсулированных протоколов от канального до транспортного уровня стандарта взаимодействия открытых систем ISO/OSI.
Предлагаемый способ защиты информации обеспечивает при несанкционированном копировании сетевого кадра из среды распространения локальной вычислительной сети активное противодействие передаче сетевого кадра с канального уровня на более высокие уровни стандарта взаимодействия открытых систем ISO/OSI для дальнейшей сборки сетевых пакетов, сегментов и файлов при отсутствии на нелегитимной станции средств обратного математического преобразование служебной информации с заданной формулой обратного преобразования. Обеспечивается указанная функция безопасности тем, что передачу сетевого кадра осуществляют по среде распространения локальной вычислительной сети со значением контрольной суммы, не соответствующим тому, которое будет рассчитано на нелегитимной рабочей станции локальной вычислительной сети. В результате этого несанкционированно перехваченный сетевой кадр на нелегитимной станции будет отмечен как сбойный. И даже в случае принудительного приема указанного сетевого кадра последний не сможет быть использован для сборки сетевых пакетов, сегментов и файлов, так как в результате защитного математического преобразования вся необходимая для сборки служебная информация будет сокрыта.