Туннелирование. 
Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

Под термином «туннелирование» понимается общая технология передачи протокола через общую сеть с использованием другого протокола. Предположим, что МЭ разрешает пакеты протокола HTTP. Тогда, если за МЭ во внутренней сети имеется машина, на которой установлен клиент туннелирование, можно организовать обмен данными, которые будут пропускаться МЭ. Такой канал является скрытым. Под скрытым каналом принято понимать любой коммуникационный канал, который может быть использован в процессе передачи информации в обход политики безопасности ситемы.

В 1996 г. в журнале Phrack magazine было описано средство LOKI, использовавшее ICMP — пакеты для прохождения через межсетевой экран. В 1998 г. появилось средство Rwwwshell, которое туннелировало shell команды внутри HTTP — запросов, причем интерактивный shell использовал возвращаемое сообщение об ошибке 404 для передачи управляющих команд. В дальнейшем эта идея была развита и реализована в средстве httptunnel, которое предназначено для создания HTTP — туннеля типа точка — точка, не может быть использовано и для связывания приложений, работающих на других протоколах, для обеспечения неконтролируемого доступа через МЭ.

Таким же средством является libTunnel, использующее HTTP в качестве транспорта для передачи через межсетевой экран различных сообщений между приложениями. Это программное средство включает в себя библиотеку, которая может быть использована для создания практически любых приложений, использующих HTTP — туннелирование. Алгоритм взаимодействия клиента с сервером при использовании libTunnel включает в себя следующие шаги:

• 1) Если у клиента есть сообщение, то он отправляет HTTPPOST — запрос;
• 2) Если у клиента нет информации, то он оправляет HTTP GET — запрос;
• 3) Если у сервера есть сообщение для клиента, то то он возвращает его в теле HTTP — ответа.

Эта библиотека позволяет также настроить клиентские приложения для работы с proxy — сервером, чтобы обеспечить корректную работу туннеля через любое количество шлюзов, а серверное приложение для работы с несколькими клиентами одновременно.

Применение туннелирования означает использование инкапсуляции протоколов при межсетевом взаимодействии. В процессе инкапсуляции применяются три типа протоколов: несущей протоколов, протокол пассажир, протокол инкапсуляции.

Транспортный протокол объединенных сетей является протоколом пассажиром, а протокол транзитной сети — несущим протоколом.

Пакеты протокола — пассажира помещаются в поле данных несущего протокола с помощью специального протокола инкапсуляции. Пакеты протокола — пассажира не обрабатываются при транспортировке их по транзитной сети. Инкапсуляцию и извлечение пакетов протокола — пассажира выполняет пограничные устройства, располагающиеся на границе между исходной и транзитной сетями. Которые указывают в следующих в несущих пакетах свои адреса, а не адреса узлов назначения.

По аналогии с коммутацией сетей для использования туннеля сквозь ситему необходимо решить следующие задачи:

• 1) Разработать несущий протокол, протокол пассажир и протокол инкапсуляция;
• 2) Проанализировать методы обнаружения туннеля и снизить влияние демаскирующих факторов.

Несущий прокол. Очень часто в качестве несущего протокола используется протокол HTTP. На нижних уровнях также существует механизмы для построения скрытых каналов, но эти механизмы, как правило, требуют использования привилегированных прав и обладают различными ограничениями. Потому для реализации скрытых каналов и средств их конструирования наиболее часто применяется именно протокол HTTP в качестве транспорта для информации. Это объясняется широтой его распространения, а также сложностью обнаружения аномалией в протоколе.

Чтобы пакет с данными пересек периметр безопасности, протокол должен быть разрешен для использования субъекту, инициировавшему передачу. В качетсве субъекта может выступать пользователь системы или приложения, работающие от его имени. Таким образом, чтобы организовать передачу данных по туннелю, надо решить вспомогательные задачи:

• 1) Иметь разрешение на отправку данных через периметр безопасности;
• 2) Успешно скрывать тот факт, что авторизованный канал используется не по назначению.

Протокол пассажир оказывает весьма незначительное влияние на общую структуру туннеля, он определяет собой некие данные, которые необходимо передать по туннелю. Это может быть поток данных, создаваемый определенным приложениями, или любая другая информация набор управляющих команд и т. д. вид передаваемой информации существенно влияет на протокол инкапсуляции.

Протокол инкапсуляции. Скрытые каналы можно подразделить на две группы на основании протокола, инкапсулируемого в несущий протокол:

• 1) Канал передачи потока данных приложения;
• 2) Канал, специально создаваемый злоумышленником.

В первом случае, как правило, создается относительно большой трафик, который демаскирует скрытый канал. Во втором случае обнаружение скрытого канала усложнения, особенно когда канал использует методы стеганографии.

Допустим, агенту заранее предоставлен список макросов:

• 1а cat,
• 1B echo,
• 7a «/etc/passwd»,
• 8a >,
• 9a

Тогда совершенно безобидные запросы вида:

Get /path/1a-7a.htm HTTP/1.0 и.

Get/path/1b-9a-8a-7a.htm HTTP/1.0.

Могут быть пропущены системами защиты.

Данные, передаваемые по скрытому каналу, могут быть обычным текстом, а могут использовать шифрование или методы стеганографии. В качестве контроллера в запросах HTTP, не содержащих тела сообщения, могут служить:

• 1)строка адреса;
• 2)список заголовков
• 3) тело ответа в котором могут содержатся возвращаемые данные.

В запросах HTTP, содержащих общее тело сообщения, к вышеперечисленным параметрам можно добавить тело запроса, что иллюстрируется следующим примером.

Запрос клиента:

POST [передаваемые данные] /cgi-bin/server.cgi?[передаваемые данные] HTTP/1.1.

Host:

Content-Length:

Content-Type:application/octet-stresm.

X-Data:[передаваемые данные].

[передаваемые данные].

Ответ сервера:

HTTP/1.1 200 OK.

Date: Thu, 7 July 2005 06:24:25 GMT.

Server:Apache/1.3.27.

Content-Length:

Contente-Type: application/octet-stream.

X-data:[возвращаемые данные].

[возвращаемые данные].

Существуют ограничения на размерах передаваемых в различных участках HTTP — пакета, которые связаны с существующими реализациями программных продуктов и оговорены в описании протокола.