Разработка методов противодействия использованию скрытых каналов в сетях с пакетной передачей данных

Высокая эффективность современных средств защиты информации подтверждается опытом их практического применения, но существуют способы нарушения безопасности информации, основанные на использовании скрытых каналов (СК). Под скрытым каналом, согласно [1], понимается непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности (ПБ).

Технологии виртуальных частных сетей (VPN, Virtual Private Network) позволяют обеспечить высокий уровень конфиденциальности информации, передаваемой через информационно-вычислительные сети общего пользования (ИВС ОП). Взаимодействие узлов автоматизированной системы (АС) через каналы ИВС ОП с применением технологии VPN обеспечивается установкой пограничных узлов защиты (УЗ), состоящих из шифровального средства (ШС) и межсетевого экрана (МЭ) (рис. 1).

Рисунок 1 — Схема взаимодействия узлов АС через каналы ИВС ОП с применением технологии VPN.

Скрытые каналы, нарушая системную (сетевую) политику безопасности, в большинстве случаев остаются необнаруженными современными системами защиты информации (СЗИ), поэтому применение СЗИ является неэффективным, а злоумышленник получает возможность преодолеть элементы защиты и осуществить несанкционированное воздействие (НСВ) на защищаемые ресурсы с нарушением установленных прав и/или правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к уничтожению или сбою функционирования носителя информации.

В настоящее время разработаны различные методы выявления и нейтрализации скрытых каналов как в хост-системах, так и в сетях пакетной передачи данных. Традиционный метод выявления скрытых каналов, представленный в работах [2, 3], опирается на модель зависимости. С методом зависимостей непосредственно связан метод поиска скрытых каналов на основе матрицы разделяемых ресурсов, рассмотренный в работе [4], где предполагается, что система полностью описывается переменными a, b, … z. Такая матрица показывает потенциальные информационные потоки между переменными. Метод, описанный в работе [5], обеспечивает достаточно низкий уровень ложных тревог, но для его реализации могут потребоваться значительные вычислительные ресурсы.

В результате анализа известных методов борьбы со СК установлено, что данные методы ориентированы на отдельные типы СК, при этом не учитываются многие параметры, необходимые для обнаружения скрытой передачи в информационно-вычислительных системах, поэтому в настоящее время не разработаны и не внедрены эффективные средства (системы) выявления и нейтрализации скрытых каналов.

Пусть — функция несанкционированного воздействия на сетевой поток, обладающий ограниченным набором свойств S. Данная функция выполняется закладочным устройством ЗУ1, внедренным в маршрутизатор М2 (рис. 1).

Пусть — функция обеспечения безопасности информации, выполняемая каждым узлом защиты по отношению к сетевому потоку, обладающему ограниченным набором свойств S. Данная функция выполняется узлами защиты УЗ1 и УЗ2.

Тогда, согласно [6] сетевой поток, поступающий на УЗ2 обладает набором свойств, вместо «ожидаемого» на данном участке набора свойств S. Следовательно, УЗ2 применяет по отношению к входящему потоку функцию вместо .

Предположим, что если, сетевой поток проходит через УЗ2, не нарушая существующих правил разграничения доступа, и поступает на узел П2.

Пусть — функция несанкционированного анализа сетевого потока.

Функция выполняется ЗУ2, внедренным в П2. Данная функция возвращает успешный результат при и неудачный результат при. Модель СК в сетях пакетной передачи данных построена с учетом всех этапов скрытой передачи между закладочными устройствами (рис. 2).

Рисунок 2 — Модель СК в сетях пакетной передачи данных безопасность скрытый канал сеть Рассмотрим сетевую атаку на автоматизированную систему при использовании СК с модуляцией потока пакетов по признаку длин применительно к представленной модели.

В отношении свойств S сетевого потока в [7] установлены следующие допущения:

• — сетевой поток содержит только IP-дейтаграммы с длинами четырех различающихся видов — a, b, c, d;
• — в сетевом потоке не могут подряд следовать две и более IP-дейтаграмм с длинами одного вида.

Исходя из указанных допущений, все IP-дейтаграммы сетевого потока можно условно разделить на группы по 4 пакета с различающимися длинами. Каждая группа содержит определенную комбинацию длин IP-дейтаграмм. Количество возможных комбинаций определяет состав множества S.

Таким образом, множество S состоит из перестановок длины 4, каждая из которых содержит элементы a, b, c, d. При этом .

Перестановка abcd является строго возрастающей последовательностью длин сетевых пакетов. Элементы множества S могут быть использованы для модуляции сигналов «0» и «1».

Пусть, для модуляции сигнала «0» будут использоваться перестановки acdb, bdca, adcb, bcda, а для модуляции сигнала «1» — перестановки cabd, dbac, dabc, cbad, способы модуляции подробно представлены в [7].

Пусть — множество всех перестановок, которые могут быть использованы для модуляции сигнала «0», и — множество всех перестановок, которые могут быть использованы для модуляции сигнала «1».

Тогда,.

.

.

Таким образом, в данном примере,, .

Пусть функция, выполняемая УЗ2, не учитывает порядок следования пакетов. Тогда будем считать, что каждый элемент интерпретируется УЗ2 как сочетание abcd, в котором порядок следования элементов не имеет значения,.

.

Равенство обозначает, что УЗ2 не способен отличить сетевой поток, обладающий набором свойств S, от сетевого потока, обладающего набором свойств .

Если результатом отображения для любой перестановки является сочетание abcd, то перестановка без изменений передается в защищенный сегмент 2, где поступает на узел П2, в который внедрено ЗУ2.

ЗУ2 осуществляет несанкционированный анализ сетевого потока, применяя функцию, с помощью которой определяет состав множеств и. Таким образом, ЗУ2 переходит в состояние готовности приема от ЗУ1 определенной команды для выполнения несанкционированного воздействия на ресурсы АС.

В [6] определено, что пара отображений, где и C (S) — множество всех отображений множества S в себя, называется информационным протоколом на S. Протокол называется прозрачным, если, и мутным, если .

Применительно к модели СК, функции и представляют информационный протокол, как определенные правила, которые описывают функции обеспечения безопасности информации по отношению к сетевому потоку, обладающему свойствами, и содержащему сигнал, передаваемый с применением СК.

Прозрачный протокол — это протокол, свойства которого недостаточны для организации передачи сигналов с применением СК, т. е. если, то, следовательно, .

Мутный протокол — это протокол, свойства которого достаточны для организации передачи сигналов с применением СК, т. е. если, то, следовательно, .

Анализ представленной модели СК в сетях с пакетной передачей данных АС показал, что условиями существования СК являются:

• — отсутствие в составе средств обеспечения безопасности информации АС функции, способной выявить отличие между S и ;
• — наличие в сетевом потоке свойств, с применением которых возможно осуществлять модуляцию сигналов «0» и «1».

Следовательно, для обеспечения противодействия СК, необходимо исключить возможность выполнения одного из перечисленных условий.

Для включения в состав средств обеспечения безопасности информации АС функции, способной выявить отличие между S и, необходимо обеспечить непрерывный анализ свойств S сетевого потока, в реальном времени, с применением статистических или других методов.

Наличие в сетевом потоке свойств, с применением которых возможно осуществлять модуляцию сигналов «0» и «1», в большинстве случаев (для большинства признаков модуляции), является неотъемлемой составляющей сетевого протокола, необходимой для обеспечения межсетевого взаимодействия. Следовательно, для организации противодействия необходимо решение, препятствующее применению нарушителем свойств сетевого потока S, для осуществления скрытой передачи сигналов по СК. При этом, для обеспечения межсетевого взаимодействия в соответствии с установленным протоколом, необходимые свойства S сетевого потока должны оставаться неизменными, даже если они могут быть применены злоумышленником для организации скрытой передачи сигналов по СК. Для реализации метода приведения мутного протокола к прозрачному протоколу при изменении количества свойств сетевого потока необходимо и достаточно включить в состав средств обеспечения безопасности информации функцию [7], обеспечивающую изменение свойств S сетевого потока таким образом, что.

.

Применительно к приведенному выше примеру СК с модуляцией сетевого потока по признаку длин IP-дейтаграмм, использование функции обеспечит выравнивание их длин таким образом, что.

.

Поскольку УЗ2 проверяет пакеты входящего сетевого потока на предмет соответствия правилу, и данное правило не учитывает порядок следования пакетов, то.

.

Тогда,.

.

.

следовательно, протокол прозрачен и передача сигналов «0» и «1» с применением модуляции пакетов по признаку длины невозможна.

Таким образом, представлен метод противодействия СК в сетях пакетной передачи данных АС, основанный на применении прозрачного протокола, с изменением количества свойств S сетевого потока.

Данный метод целесообразно применять в условиях невозможности реализации метода приведения элементов сетевого потока к прозрачному виду на этапе его формирования (до передачи в сеть). Метод приведения элементов сетевого потока к прозрачному виду не требует значительных затрат ресурсов автоматизированных систем и времени, так как исключает дополнительные преобразования сформированного сетевого потока.

Кроме того, прозрачность протокола следует рассматривать относительно применяемого признака модуляции. Например, протокол может являться прозрачным относительно признака модуляции по длинам сетевых пакетов, но при этом являться мутным относительно признака модуляции по адресам в заголовках сетевых пакетов.

В [7] представлен разработанный метод приведения мутного протокола к прозрачному протоколу без изменения количества свойств сетевого потока. Где для приведения мутного протокола к прозрачному без изменения количества свойств сетевого потока необходимо и достаточно включить в состав средств обеспечения безопасности информации функцию, обеспечивающую изменение свойств S сетевого потока таким образом, что .

Применительно к приведенному выше примеру СК с модуляцией сетевого потока по признаку длин IP-дейтаграмм, применение функции обеспечит равномерное распределение длин внутри каждой группы из четырех IP-дейтаграмм так, что.

.

Поскольку УЗ2 (рис. 1) проверяет пакеты входящего сетевого потока на предмет соответствия правилу, и данное правило не учитывает порядок следования сетевых пакетов, то.

.

.

.

следовательно, протокол прозрачен и передача сигналов «0» и «1» с применением модуляции пакетов по признаку длины невозможна.

Рассмотренный метод скрытой передачи является частным случаем реализации детерминированного СК на основе группировки IP-дейтаграмм.

Так как, кодирование сигналов, передаваемых по СК может осуществляться не только на основе троек или четверок IP-дейтаграмм (детерминированный СК), но и на основе группирования n IP-дейтаграмм, либо на основе стохастического канала, где «расстояния» между информативными элементами СК, участвующими в модуляции сигнала, могут значительно отличаться от «троек», «четверок» и т. п., либо четного или нечетного количества незначимых элементов, с использованием более сложной функции для несанкционированного воздействия на сетевой поток. Поэтому для повышения эффективности противодействия СК возникла необходимость разработки новых методов.

Если при некоторых условиях функция не обеспечивает равномерное распределение длин внутри каждой группы из n IP-дейтаграмм, в частности, когда диапазон применения меньше, либо не учитывает размер или другие характеристики сигналов, передаваемых по скрытым каналам. Тогда необходимо осуществить анализ скрытых каналов и определить основные характеристики сигналов СК, которые будут учитываться при реализации функции анализа сетевого потока (аналогичной —), и станут основой для эффективного противодействия с использованием .

Исходя из этого, разработан метод контроля прозрачности фрагмента сетевого потока при сохранении мутности его элементов [8]. Где в результате анализа принципов взаимодействия ЗУ на основе информационного протокола определены условия приведения фрагмента сетевого потока к прозрачному виду, при сохранении мутности его элементов, обеспечивающие возможность обнаружения СК в узлах АС при защищенном взаимодействии. Данные условия реализуются на основе применения разработанного протокола, где — функция преобразования фрагмента сетевого потока, обеспечивающая приведение его к прозрачному виду, — функция контроля преобразования .

Таким образом, соблюдение равенства свидетельствует об отсутствии модуляции в контролируемом узле, но в отличие от, когда узел защиты, реализующий не способен отличить сетевой поток, обладающий набором свойств, от сетевого потока —, функция наделена возможностью контроля .

Если в процессе прохождения через узел защиты подвергнется модуляции СК, то на выходе примет вид и изменения будут выявлены с помощью функции контроля прозрачности .

Таким образом, факт нарушения прозрачности фрагмента сетевого потока отражает неравенство .

Для применения мутного протокола с восстановлением первоначальных свойств S сетевого потока необходимо и достаточно включить в состав средств защиты информации функцию [7], обеспечивающую изменение свойств S сетевого потока таким образом, что.

.

Применительно к приведенному выше примеру СК с модуляцией потока по признаку длины, применение функции обеспечит восстановление порядка следования сетевых пакетов, что является восстановлением свойств S сетевого потока, которые были изменены в результате преобразования .

Поскольку узел защиты УЗ2 проверяет IP-дейтаграммы входящего сетевого потока на предмет соответствия, и не учитывает порядок следования сетевых пакетов, то .

Протокол является мутным, поскольку ЗУ2 реализует функцию, при этом успешное принятие решения возможно только при, следовательно, передача сигналов «0» и «1» с применением модуляции пакетов по признаку длины невозможна, поскольку.

.

Таким образом, разработанные методы являются основой методики противодействия СК, которая может быть использована при разработке перспективных систем выявления и нейтрализации скрытых каналов в сетях с пакетной передачей данных автоматизированных систем.

• 1. ГОСТ Р 53 113−2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Общие положения. — М.: Стандарты, 2008. — Ч. 1.
• 2. Тимонина, Е. Е. Скрытые каналы (обзор) // JetInfo, 2002. — 11(114) — С. 3 — 11.
• 3. Handbook for the Computer Security Certification of Trusted Systems // NRL Technical Memorandum 5540:062A, 12 Feb. 1996.
• 4. Kemmerer, R. A. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels //ACM Transactions on Computer Systems, 1:3, pp. 256₂₇₇, August 1983.
• 5. Тумоян, Е. П. Сетевое обнаружение пассивных скрытых каналов передачи данных в протоколе TCP IP / Е. П. Тумоян, М. В. Аникеев // Журнал «Информационное противодействие угрозам терроризма» — 2005. — Вып. 5.
• 6. Ронжин А. Ф. Расширения информационных протоколов, основанных на отображениях конечных множеств // Дискретная математика. — 2004. — Т. 16. — Вып. 2. — С. 11 — 16.
• 7. Назаров, И. В. Разработка модели нетрадиционного информационного канала и методов противодействия нетрадиционным информационным каналам в сетях пакетной передачи данных / Назаров И. В. // Электронный журнал «Труды Кубанского Государственного Аграрного Университета». — Краснодар: КубГАУ, 2006.
• 8. Королев, И. Д. Математическая модель системы выявления скрытых каналов / Королев, И. Д., Савчук Д. В., Сызранов А. П., Логвиненко С. В., Мызников О. Н. // Электронный журнал «Труды Кубанского Государственного Аграрного Университета». — Краснодар: КубГАУ, 2010, № 60 (06).