Интеграл 3/2020

Posted by adminwp

DOI 10.24411/2658-3569-2020-10060

Методы и технологии защиты компьютерных сетей (сетевой, транспортный и прикладной уровни)

Methods and technologies for protecting computer networks (network, transport, and application levels)

Байсаева Малика Усамовна,кандидат экономических наук, доцент, ФГБОУ ВО «Чеченский государственный университет», доцент кафедры финансов и кредита

Baisaeva Malika Usamovna

Аннотация. Большинство атак сетевого уровня связаны с использованием протокола IP: подмена IP-адреса узла, навязывание ложного маршрута, перехват злоумышленником диапазона IP-адресов и получения информации о логическую структуру сети (IP-адреса узлов, доменные имена), проблемы одноразовой идентификации по IP-адресу. Протокол NAT используется для передачи пакетов с IP-адресов, предназначенных только для внутреннего использования, в внешние сети и для решения задачи скрытия внутренней логической структуры сети от внешних сетей. NAT транслирует только тот трафик, который проходит между внутренней и внешней сетью и определенный для трансляции. Каких-трафик, который не соответствует критериям трансляции или тои, который проходит между другими интерфейсами в маршрутизаторе, никогда не транслируется и пересылается с использованием маршрутизации. Следует обратить внимание на то, что протокол NAT выполняет только трансляцию адресов и не выполняет функции фильтрации. Для запрета хождения пакетов из внешней сети во внутреннюю необходимо применять соответствующие списки доступа.

Summary. Most network-level attacks involve the use of the IP Protocol: spoofing the IP address of a node, imposing a false route, intercepting an attacker’s range of IP addresses and obtaining information about the logical structure of the network (IP addresses of nodes, domain names), problems with one-time identification by IP address. The NAT Protocol is used for transmitting packets from IP addresses intended for internal use only to external networks and for solving the problem of hiding the internal logical structure of the network from external networks. NAT broadcasts only the traffic that passes between the internal and external network and is defined for broadcast. Any traffic that does not meet the broadcast criteria or Toi that passes between other interfaces in the router is never broadcast and forwarded using routing. You should pay attention to the fact that NAT only performs the address translation and does not perform a filtering function. To prevent packets from going from the external network to the internal network, you must use the appropriate access lists.

Ключевые слова: защита, компьютерные сети, уровни сетей, технологии.

Keywords: protection, computer networks, network levels, technologies.

Можно выделить такие подходы к защите от наведенных атак:

  • создание привязок IP – МАС-порт для предотвращения подмене IP-адреса и несанкционированному подключению к сети,
  • использование технологии трансляции сетевых адресов (Network Address Translation – NAT [2]) для скрытия от внешних злоумышленников диапазона IP-адресов организации и логической структуры сети,
  • создание списков контроля доступа (Access Control List– ACL [2]) для ограничения доступа до узлов и протоколов/сервисов прикладного уровня.

Существуют следующие способы реализации NAT.

Статический NAT – отображение конкретного внутреннего IP-адреса на конкретную внешнюю IP-адрес (возможна также замена портов протоколов транспортного уровня при трансляции). Обычно статический NAT используют, когда к узлу внутренней сети необходимо обеспечить доступ из внешних сетей с использованием конкретных протоколов прикладного уровня.

Динамический NAT – показывает адрес из блока внутренних IP-адресов на одну из свободных адресов блока внешних адресов. Достаточно редко используется благодаря необходимости использования нескольких внешних IP-адресов и связанному с этой же особенностью низкой масштабируемостью.

Перезагрузка (Overload) – форма динамического NAT, который отображает адрес из блока внутренних IP адресов в единую внешнюю IP-адрес, используя различные порты (известная также как PAT —Port Address Translation). Наиболее распространенный вариант для организации выхода в Интернет с внутренних узлов корпоративной сети.

Списки контроля доступа(Access Control List – ACL [2], [3]) содержат набор правил, где определено действие над пакетами и параметры пакетов для фильтрации (адреса отправителей и получателей, номеров портов протоколов транспортного уровня и тому подобное). Проверка пакетов производится точно в том порядке, в котором заданы правила в списке. Когда пакет попадает на интерфейс, он проверяется по первому правилу. Если параметры пакета соответствуют первому правилу, дальнейшая проверка прекращается. Пакет или будет передано дальше, или уничтожено. Если параметры пакета не соответствуют первому правилу, проводится его анализ на ответность следующему правилу и так далее, пока не будет проверено все правила (если пакет не соответствовал требованиям какого-либо из правил выше). Если параметры пакета не соответствуют ни одному из правил списка, пакет просто уничтожается (в конце каждого списка стоит неявное правило, которое запрещает прохождение всех пакетов).

ACL могут быть применены к:

  • физических или логических интерфейсов (в том числе на интерфейсы VLAN-коммутаторов 3-го уровня);
  • терминальных линий для ограничения доступа к устройству по протоколам Telnet или SSH;
  • VPN-туннелей (какие пакеты нужно шифровать);
  • механизмов QoS (определение приоритетов для разных типов трафика);
  • шейперов для ограничения скорости трафика пользователей;
  • протоколу NAT (определяют, какие IP-адреса необходимо транслировать). С помощью списков доступа решается и задача защиты от навязывания ложного маршрута. Такая атака базируется на свойстве ІСМР-протокола «на лету» изменять маршрут продвижения пакетов (сообщение «Перенаправление маршрута» (Redirect) протокола ІСМР). В результате связь узла с сетью будет расторгнут. Соответствующим правилом ACL необходимо запретить прием ІСМР — сообщений «Redirect» на внешних интерфейсах маршрутизатора.

Одним из разновидностей ACL есть динамические списки доступа (Dynamic (Lock-and-Key) ACL) [2], [3]), использование которых позволяет организовать доступ к узлам внутренней сети, предварительно инициировав соединение с пограничным маршрутизатором с помощью какого-нибудь протокола (например, telnet или ssh). Обычно эти ACL используются для удаленных подключений к сети компании, но возможно их применение и для подключения к различным корпоративным ресурсам с предварительной авторизацией.

Процедура работы динамических ACL следующая:

  • пользователь подключается к внешнему интерфейсу пограничного маршрутизатора с какой-либо внешней сети;
  • пользователь проходит проверку подлинности (вводит логин/пароль);
  • в случае успешной проверки подлинности на интерфейсе активируются специальные правила динамичного ACL, которые позволяют прохождение пакетов с IP-адреса пользователя к узлам внутренней сети. Правила остаются активными в течение настроенного периода времени (ивидим-аута). Следует отметить, что такое решение позволяет только идентифицировать и авторизовать пользователя и не защищает данные, которые будут передаваться между узлом пользователя и корпоративной сетью. Более защищенным решением является использование технологии виртуальных частных сетей [4], [5].

Использование рассмотренных выше ACL не решает задачу атак на узлы корпоративной сети по открытым портам TCP и UDP-протоколов, которые всегда имеются. Для решения этой задачи используют механизм контроля сессий (Statefull Inspection, также известная как динамическая фильтрация пакетов [6]). Этот механизм предусматривает мониторинг состояния активных сеансов и использует эту информацию для принятия решения о фильтрации пакетов, поступающих на интерфейсы маршрутизатора или ММЕ. При использовании такого подхода проверяются все входящие и исходящие пакеты (вплоть до прикладного уровня; обычно идентифицируется номер порта прикладного протокола или сервиса) и через пограничное устройство (маршрутизатор или ММЕ) будут пропущены только те входные пакеты, которые являются правильным ответом на исходящие запросы. Подход может быть использован и для фильтрации данных прикладных протоколов для обеспечения защиты на прикладном уровне.

Примером реализации подхода на основе механизма контроля сессий являются рефлексивные или зеркальные списки доступа (Reflexive ACL) [2], [3]. Они позволяют отслеживать состояние сессий, инициированных из внутренней сети, и создавать соответствующие обратные правила.

Рефлексивные ACL работают следующим образом. Создаются два списка доступу. Первый список позволяет доступ из локальной сети в Интернет (возможны стандартные ограничения по IP-адресам, протоколам, портами). В правилах этого списка задается команда отражение (reflect) в динамическое правило другого списка, которое позволит проникновение пакетов из внешних сетей только на запросы из внутренней сети. Второй список содержит динамические правила, которые позволяют прохождение пакетов. Прохождения каких-либо других пакетов из внешней сети во внутреннюю запрещено. Таким образом реализуется прохождения пакетов из внешних сетей на узлы внутренней сети только по инициативе внутренних узлов.

Рассмотренные выше методы защиты сетевого уровня достаточно эффективно позволяют защитить узлы корпоративной сети, но не решают задачу защиты от DDoS-атак на внешние каналы, которые приводят к тому, что нежелательный трафик на IP-адреса узлов, что атакуются, с автономной системы корпоративной сети или провайдера утилизирует всю пропускную способность внешних каналов (примером таких атак является атака DNS Amplification). Возможным решением для защиты является идентификация IP-адресов, что атакуются, и блокирование маршрутов на эти адреса с использованием соответствующего функционала протоколов внешней маршрутизации (например, функции Blackhole протокола BGP [8]). Настройка и использование функции Blackhole BGP позволяет управлять трафиком на уровне магистральных маршрутизаторов разных операторов/провайдеров, до попадания этого трафика на интерфейсах маршрутизаторов, которые обслуживают автономную систему с IP-адресами узлов, что атакуются. Для настройки Blackhole используют расширенные возможности по управлению маршрутами — BGP community. Для этого создаются специальные группы (community) для маршрутов, трафик по которым необходимо направить в «черную дыру». В момент проведения атаки администратор указывает IP-адрес атакуемого, и создает маршрут с маской /32 с определенным для Blackhole community, анонсируется маршрутизаторами своим соседям. В результате соседние маршрутизаторы должны отбрасывать пакеты, которые поступают на этот маршрут. Фильтрация пакетов на соседних маршрутизаторах может выполняться с использованием специально настроенных ACL или путем направления их на виртуальный (Null) интерфейс. Более эффективным решением, которое позволяет не допустить нежелательный трафик и в магистральные каналы соседей, является использование рекурсивного blackhole. В этой процедуре, получив маршрут из Blackhole community, маршрутизаторы выполняют фильтрацию нежелательного трафика и анонсируют маршрут дальше своим соседям (при этом значение Blackhole community будет меняться на оговорено между соседями). В результате анонсы о маршрутах достигают маршрутизаторов, к которым подключены IP-сети, с которых выполняются атаки, и дальнейшая фильтрация будет выполняться именно на этих маршрутизаторах. Это позволяет освободить от нежелательного трафика магистральные каналы всех промежуточных операторов. Такой подход позволяет полностью прекратить поток трафика на узел, что атакуемый, и снять паразитную нагрузку с магистральных каналов и внешних каналов корпоративной сети. Конечно же, использовать его можно только постфактум – после начала атаки. В результате реакция на атаку всегда является запоздалой (а в ночное время не всегда есть дежурный администратор, который может сделать необходимый анализ трафика и внести изменения в настройки протокола BGP). Недостатком такого решения является также то, что полностью блокируется весь трафик до узлов, IP-адреса которых определены в Blackhole маршрутах.

Для протоколов транспортного уровня характерно отсутствие проверки источников информации, что способствует таким угрозам, как перехват и подключение к открытым портам протоколов транспортного уровня. Если для предотвращения несанкционированным подключением к порту протоколов транспортного уровня можно использовать рассмотренные выше списки доступа сетевого уровня, то защита от перехвата требует применения дополнительных протоколов, которые поддерживают шифрование данных и проверку подлинности субъектов обмена данными.

Для решения этой задачи используется протокол SSL/TLS (Secure Socket Layer / Transport Layer Security), который реализует шифрование и аутентификацию между транспортными уровнями приемника и передатчика.

Процедура работы протокола SSL/TLS включает в себя три основных фазы:

  1. диалог между сторонами, целью которого является выбор алгоритма шифрования;
  2. обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов;
  3. передача данных, которые шифруются с помощью симметричных алгоритмов шифрования.

Таким образом протокол SSL/TLS выполняет функции аутентификации, шифрования данных и обеспечения целостности данных. Проверка подлинности осуществляется путем обмена цифровыми сертификатами при установлении соединения (сессии). В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из конца в конец» (защищенный виртуальный туннель транспортного уровня). Протокол SSL/TLS обычно используется протоколами прикладного уровня (наиболее распространенном использованием SSL является шифрование HTTP трафика — режим HTTPS), поэтому такое решение часто относят к прикладному уровню.

Открытый характер протоколов прикладного уровня предопределяет большое количество запросов, связанных с основной проблемой этих протоколов —передача информации в нешифрованном виде. Использования на прикладном уровне процедур идентификации и аутентификации пользователей с последующей авторизацией образует также угрозу перехват или подбора учетных записей и паролей. Значительную угрозу также представляют вирусы и шпионское программное обеспечение, которые действуют именно на прикладном уровне, DoS и DDoS-атаки на информационные системы.

Обычно, когда говорят о средствах защиты на прикладном уровне, рассматривают два подхода: использование серверов-посредников (proxy) [6] и использование механизмов контроля сессий (Statefull Inspection), основы которого были рассмотрены выше. Оба эти подходы реализуют контроль за соединением, но не решают задачу анализа содержимого пакетов и фильтрации пакетов с нежелательным содержанием, что не позволяет предотвратить распространение вирусов через электронную почту, установлению несанкционированных программных приложений через Интернет на рабочие станции, несанкционированные изменения содержимого веб-сайтов. Для защиты от таких нарушений может быть использована контентная фильтрация, которая базируется на сигнатурном анализе пакетов. Этот механизм предусматривает анализ информации в пакете, при чем как заголовка пакета, так и поля данных. Это позволяет установить соответствие между информацией из поля данных и конкретными приложениями, контролировать передачу данных между конкретными приложениями и проводить фильтрацию нежелательной информации. Учитывая, что информация анализируется по пакетно, этот механизм не позволяет полностью анализировать трафик сетевых приложений. Отдельно следует отметить обеспечение безопасности в гетерогенных виртуальных вычислительных средах, к которым относятся GRID-системы и «облачные вычисления» (cloud computing). С каждым годом все больше различных компаний (в том числе и высшие учебные заведения) переводят вычислительные и информационные ресурсы в виртуальную инфраструктуру. В таких средах возникают новые угрозы. Прежде всего это атаки на средства управления виртуальными машинами, облачные контроллеры, хранилища данных, неавторизованный доступ к узлам виртуализации, использование виртуальной среды для несанкционированной передачи данных.

Список использованной литературы

  1. E. Knipp et al., Managing Cisco Network Security. Elsevier Inc., 2002, ISBN: 978-1-931836-56-2.
  2. S. Wilkins and T. Smith, CCNP Security. SECURE 642-637 Official Cert Guide. Cisco Press, 2011, ISBN: 978-1-58714-280-
  3. V. Olifer and N. Olifer, Novye tekhnologii i oborudovanie IP-setei [New technologies and equipment of IP-networks]. St-Peterburg, Russia: Bhv, 2000, ISBN: 5-8206-0053-3.
  4. A. D wankhade and P. N. Dr Chatur, “Comparison of Firewall and Intrusion Detection System,” Int. J. Comput. Sci. Inf. Technol., vol. 5, no. 1, 674-678 гг., 2014, URL: http://ijcsit.com/docs/Volume 5/vol5issue01/ijcsit20140501145.pdf/.
  5. T. King et al., “BLACKHOLE Community,” Internet Engineering Task Force (IETF), 2016. [Online]. Available: https://tools.ietf.org/html/rfc7999.
  6. D. S. Microsoft. Charjan, P. S. Microsoft. Bochare, and Y. R. Bhuyar, “An Overview of Secure Sockets Layer,” Int. J. Comput. Sci. Appl., vol. 6, no. 2, гг. 388-393, 2013.
  7. Semenyutina, V., & Svintsov, I. (2019). Indicator signs of the adaptation of subtropical wood plants based on complex researches. World Ecology Journal, 9(1), 70-104. https://doi.org/https://doi.org/10.25726/NM.2019.60.66.005
  8. Khuzhakhmetova, A. (2019). Ecological plasticity of nut crops of the collections of the federal scientific center for agroecology RAS. World Ecology Journal, 9(1), 105-115. https://doi.org/https://doi.org/10.25726/NM.2019.40.59.006

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *