Разработка методов повышения защиты компьютерных сетей и приложений: На примере использования технологии MPLS тема диссертации и автореферата по ВАК РФ 05.13.13, кандидат технических наук Шубарев, Андрей Евгеньевич

В современном мире все большее значение приобретают распределенные информационные вычислительные сети и технологии их создания. Развитие технологий сопровождается появлением проблем, для решения которых требуется научный подход. Такого рода проблемой является защита компьютерных сетей и приложений от несанкционированного доступа. Вследствие того, что каналы связи имеют большую протяженность, в настоящее время их длины исчисляются сотнями тысяч километров, злоумышленник может осуществить подключение к каналу и перехватить конфиденциальную информацию. Злоумышленник также может попытаться внести изменения в передаваемую информацию. В качестве злоумышленника могут выступать: иностранные разведывательные службы, преступные сообщества, группы, формирования и отдельные лица.

В Российской Федерации защите информации, передаваемой по каналам связи уделяется особое внимание. Подтверждением этого является проект Закона Российской Федерации «О защите информации от утечки по техническим каналам и противодействии техническим разведкам».

Проведенный в диссертации анализ современной технологии многопротокольной коммутации по меткам (MPLS) показал, что:

- технология MPLS не предусматривает функций шифрования и скрытия архитектуры распределенной вычислительной сети;

- виртуальные частные сети, созданные на основе технологии MPLS обеспечивают только изоляцию распространения сетевого трафика внутри определенной частной виртуальной сети.

Из-за большой протяженности сетей, работающих по технологии MPLS, злоумышленник может осуществить атаку на протоколы информационного обмена при непосредственном подключении к линиям связи.

Подводя итог, можно сказать, что проблема повышения защиты компьютерных сетей и приложений является актуальной и приоритетность этой проблемы непрерывно возрастает с развитием глобальных сетей. Детальное исследование существующей технологии коммутации по меткам, позволит разработать методы, повышающие защиту компьютерных сетей и приложений.

4.4. Выводы

Полученные в процессе модельного эксперимента результаты, показали, что использование предложенных методов кодирования значений меток оправдано, так как требует от злоумышленника привлечения большого числа ЭВМ с высокой производительностью. Например, чтобы осуществить классификацию закодированных значений меток, когда их кол-во составляет 300 шт. за 30 сек. злоумышленнику потребуется примерно 1950 компьютеров с ЦПУ Pentium IV 2,66 ГГц. Показано, что при выполнении классификации возможно появление «ложных» комбинаций. Данные «ложные» комбинации затруднят или сделают невозможной классификацию закодированных значений меток по классам.

Априори известно, что время, необходимое для выполнения классификации, значительно увеличится при реализации в системе моделирования функций определения алгоритма кодирования значений меток и односторонней функции, используемой при кодировании.

ЗАКЛЮЧЕНИЕ

В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:

1. Разработан метод отказа от использования протоколов сетевого уровня при передаче и шифровании пакетов в MPLS-сети.

2. Разработана модифицированная архитектура устройств, работающих по усовершенствованной технологии многопротокольной коммутации по меткам, отличающаяся от существующей наличием новых функциональных модулей (модуль кодирования и декодирования значений меток, модуль шифрования и дешифрования, модуль обмена секретными ключами), благодаря которым повышается защита компьютерных сетей и приложений.

3. Разработан усовершенствованный алгоритм работы сети с многопротокольной коммутацией по меткам.

4. Разработан метод построения односторонних функций, который позволяет кодировать данные любой длины и получать свертку любой разрядности. Разработанный метод применим для кодирования значений меток технологии многопротокольной коммутации меток.

5. Разработан метод кодирования значений меток, который затрудняет или делает невозможным классификацию перехваченных пакетов злоумышленником по классам эквивалентности при пересылке.

6. Предложены рекомендации по выбору секретных параметров и необходимой мощности множества закодированных значений меток, описывающих класс эквивалентности при пересылке.

7. Разработана система моделирования действий злоумышленника при классификации закодированных значений меток по классам эквивалентности при пересылке.

8. Проведен модельный эксперимент, состоящий из серии последовательных опытов:

- Моделирование действий злоумышленника при сортировке закодированных значений меток по классам эквивалентности при пересылке.

- Детальный анализ полученных результатов, сопоставление с реальными данными.

9. Результаты проведенного исследования, а также практическая реализация разработанных методов и алгоритмов доказали их способность обеспечивать повышенную защиту компьютерных сетей и приложений, работающих на основе технологии MPLS.

1. Алексеев И. Введение в архитектуру MPLS, 1999. http://www.osp.ru/nets/1999/12/02.htm

2. Андронов A.M., Копытов Е.А., Гринглаз Л .Я. Теория вероятностей и математическая статистика: Учебник для вузов. СПб.: Питер, 2004. -461 с.

3. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2000. - 384 с.

4. Аршинов М.Н., Садовский Л.Е. Коды и математика (рассказы о кодировании) М.: Наука, 1983. - 144 с.

5. Бабэ Б. Просто и ясно о Borland С++: Пер. с англ. М.: БИНОМ,1994. -400 с.

6. Баутов А. Экономический взгляд на проблемы информационной безопасности, 2002.http://www.osp.ru/os/2002/02/034.htm

7. Берлекэмп Э. Алгебраическая теория кодирования: Пер. с англ. М.: Издательство "Мир", 1971. - 239 с.

8. Бунин О. Занимательное шифрование // Мир ПК. 2003. - № 7. - С. 54-58

9. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии М.: МЦНМО, 2003. - 328 с.

10. Виленкин Н.Я. Индукция. Комбинаторика. Пособие для учителей М.: Просвещение, 1976. - 48 с.

11. Виленкин Н.Я. Популярная комбинаторика М.: Наука, 1975.

12. Гнеденко Б.В., Хинчин А.Я. Элементарное введение в теорию вероятностей М.: Наука, 1970. - 168 с.

13. Гольдштейн А.Б., Гольдштейн Б.С. Технология и протоколы MPLS -СПб.: БХВ-Санкт-Петербург, 2005. 304 с.

14. Жанг Р. Сетевые услуги нового поколения", 2001. http://www.osp.ru/lan/2001/12/032.htm

15. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000 - 320 с.

16. Камерон П., ван Линт Д. Теория графов. Теория кодирования и блок-ф схемы М.: Наука, 1980. - 144 с.

17. Касперски К. Техника сетевых атак М.: Издательства "СОЛОН-Р", 2001.- 396 с.

18. Коблиц Н. Курс теории чисел и криптографии М.: ТВП, 2001. - 254 с.

19. Компьютерные сети. Принципы, технологии, протоколы / В.Г.Олифер, Н.А.Олифер СПб.: Питер, 2001. - 672 с.

20. Кормен Т., Лейзерсон Ч., Ривест Р. Алгоритмы:построение и анализ: Пер. с англ. М.: Бином, 2004. - 955 с.

21. Кочетков П.А. Краткий курс теории вероятностей и математической ф статистики. Учебное пособие. М.: МГИУ, 1999. - 51 с.

22. Кузин Ф.А. Кандидатская диссертация. Методика написания, правила оформления и порядок защиты М.: Ось-89,2003. - 224 с.

23. Левин М. Методы хакерских атак. 2-е изд. М.: Познавательная книга плюс, 2001.- 224 с.

24. Леонтьев Б. Хакинг без секретов М.: Познавательная книга плюс, 2001.- 736 с.

25. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общаяф модель: ГОСТ Р ИСО/МЭК 15408-1-2002. Введ. 04.04.2002. - М., ИПК

26. Издательство стандартов, 2002.

27. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные требования безопасности: ГОСТ Р ИСО/МЭК 15408-2-2002. Введ. 04.04.2002. - М., ИПК Издательство стандартов, 2002.

28. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.Часть 3: Требования доверия кф безопасности: ГОСТ Р ИСО/МЭК 15408-3-2002. Введ. 04.04.2002. - М.,

29. ИПК Издательство стандартов, 2002.

30. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. М.: ЮНИТИ-ДАНА, 2001. - 586 с.

31. Молдовян Н.А., Молдовян А.А., Еремеев М.А. Криптография: от примитивов к синтезу алгоритмов. СПб.: БВХ-Петербург, 2004. - 448 с.

32. Новиков В.Ю., Карпенко Д.Г. Аппаратура локальных сетей: функции, выбор, разработка / Под общей редакцией Новикова Ю.В. М.: Издательство ЭКОМ, 1998. - 288 с.

33. Оглтри Т. Firewalls. Практическое применение межсетевых экранов: Пер. с англ. М.: ДМК Пресс, 2001. - 400 с.

34. Олвейн В. Структура и реализация современной технологии MPLS.: Пер. с англ. М.: Издательский дом "Вильяме", 2004. - 480 с.

35. Олифер Н., Олифер В. Виртуальные частные сети на основе MPLS, 2002. http://www.osp.ru/lan/2002/01/058.htm

36. Орлов С. Ethernet в сетях доступа, 2004. http://www.osp.ru/lan/2004/01/054.htm

37. Орлов С. Перекресток миров, 2004. http://www.osp.ru/lan/2004/05/062.htm

38. Орлов С. Тяжеловесы на подъеме, 2004. http://www.osp.ru/lan/2004/02/034.htm

39. Рейнгольд Э., Нивергельт Ю., Део Н. Комбинаторные алгоритмы. Теория и практика- М.: Мир, 1980. 476 с.

40. Рубан Т. Эффективное соединение распределенных филиалов, 2004. http://www.osp.ru/lan/2004/02/052.htm

41. Рыбников К.А. Комбинаторный анализ. Задачи и упражнения М.: Наука, 1982.-368 с.

42. Саломаа А. Криптография с открытым ключом: Пер. с англ. М.: Мир, 1995.-318 с.

43. Секреты хакеров. Проблемы и решения сетевой защиты / С. Макклуре, Д. Скембрэй, Д. Куртц М: Издательство "ЛОРИ", 2001. - 436 с.

44. Снейдер Й. Эффективное программирование TCP/IP. Библиотека программиста- СПб.: Питер, 2001. 320 с.

45. Соловьев В.П., Шубарев А.Е. Разработка новых методов синтеза сетей на основе технологии многопротокольной коммутации по меткам // Вестник МИИТа. Вып. 13. - М., 2005. - С. 9-14.

46. Справочник по криптологии / К.П. Исагулиев Мн.: Новое знание, 2004. -237 с.

47. Справочник по математике. Для научных работников и инженеров / Г.Корн, К.Корн М.: Издательство "Наука", 1974. - 832 с.

48. Теория вероятностей и математическая статистика: Учеб.пособие для вузов / Гмурман В.Е. М.: Высшая школа, 2005. - 479 с.

49. Технологии защиты информации в Интернете. Специальный справочник / Мамаев М., Петренко С. СПб.: Питер, 2002. - 848 с.

50. Уфимцев Ю.С., Буянов В.П., Ерофеев Е.А., Жогла H.JL, Зайцев О.А., Курбатов Г.Л., Петренко А.И., Федотов Н.В. Методика информационной безопасности. М.: Издательство "Экзамен", 2004. - 544 с.

51. Фигурин В.А., Оболонкин В.В. Теория вероятностей и математическая статистика: Учеб. пособие Мн.: ООО "Новое знание", 2000. - 208 с.

52. Хелеби С., Мак-Ферсон Д. Принципы маршрутизации в Internet: Пер. с англ. М.: Издательский дом "Вильяме", 2001. - 448 с.

53. Хизер О. Маршрутизация в IP-сетях. Принципы, протоколы, настройка: Пер. с англ. СПб.ЮОО "ДиаСофтЮП", 2002. - 512 с.

54. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Издательство ТРИУМФ, 2003. - 816 с.

55. Шубарев А.Е. Атаки на протоколы информационного обмена при подключении к каналу связи // Всероссийская научно-практическая конференция «Наука и образование 2005». Секц.: Информационные технологии. Нефтекамский филиал БашГУ, 2005. 2 с. (в печати)

56. Шубарев А.Е. Методы повышения защищенности сетей работающих по технологии коммутации меток // 11-ая международная научно-техническая конференция студентов и аспирантов. Труды. Т. 1. Секц. 20: Вычислительные машины, сети и системы. МЭИ, 2005. С. 379-380

57. Шубарев А.Е. Построение локальных сетей для предприятий железнодорожного транспорта на базе коммутаторов с функциями обнаружения вторжений // 1-я международная научная конференция "TRANS-MECH-ART-CHERM", Радом, 2003. С.53 54

58. Шубарев А.Е. Проблема обеспечения информационной безопасности как инструмент повышения безопасности движения // Сборник трудов Московского комитета по науке и технологиям. Секц.: "Транспорт (общие проблемы)", М., 2006. 1 с. (в печати)

59. Шубарев А.Е. Разработка новой архитектуры телекоммуникационных систем, работающих по технологии многопротокольной коммутации по меткам // Объединенный научный журнал. 2005. № 24 (152). С. 62-65

60. Шубарев А.Е. Усовершенствование алгоритма работы сетей с многопротокольной коммутацией по меткам. М. Техника и технология. -2005. №6 (12), "Компания Спутник+". С. 63-65.

61. Шубарев А.Е. Усовершенствование технологии многопротокольной коммутации по меткам // Сборник докладов Всероссийской научно-практической конференции "Безопасность информационного пространства". УГТУ-УПИ , 2005. 12 с. (в печати)

62. Щербаков А.Ю., Домашев А.В. Прикладная криптография. Использование и синтез криптографических интерфейсов М.: Издательско-торговый дом "Русская редакция", 2003. - 416 с.

63. Эшвуд-Смит П., Джамаусси Б., Федик Д. MPLS: лиха беда начало, 2000. http://www.osp.ru/lan/2000/01/080.htm

64. Bidwell Т. Hack proofing your identity in the information age, Syngress, 2002. 393 c.

65. Brenton C., Hunt C. Active defense. A comprehensive guide to network security, Sybex, 2001. 374 c.

66. Cole E. Hackers beware. Defending your network from the wiley hacker, New Riders Publiushing, 2002. 800 c.

67. Gallaher R. Rick Gallagher's MPLS Training Guide: Building Multi-Protocol Label Switching Networks, Syngress Publishing, 2003. 301 c.

68. Miller S.S. Wi-Fi security, McGraw-Hill, 2003. 332 c.

69. Morris B.S. Network Management, MIBs and MPLS: Principles, Design and Implementation, Prentice Hall, 2003. 416 c.

70. Parent F. Managing Cisco network security, Syngress, 2000. 497 c.

71. RFC 2702. Requirements for Traffic Engineering Over MPLS. Awduche D., Malcolm J., Agogbua J., O'Dell M., McManus J., 1999

72. RFC 3031. Multiprotocol Label Switching Architecture. Rosen E., Viswanathan A., Callon R., 2001

73. RFC 3032. MPLS Label Stack Encoding. Rosen E., Tappan D., Fedorkow G., Rekhter Y., Farinacci D., Li Т., Conta A., 2001

74. RFC 3034. Use of Label Switching on Frame Relay Networks Specification. Conta A., Doolan P., Malis A., 2001

75. RFC 3035. MPLS using LDP and ATM VC Switching. Davie В., Lawrence J., McCloghrie K., Rosen E., Swallow G., Rekhter Y., Doolan P., 2001

76. RFC 3036. LDP Specification. Andersson L., Doolan P., Feldman N., Fredette A., Thomas В., 2001

77. RFC 3037. LDP Applicability. Thomas В., Gray E., 2001

78. RFC 3107. Carrying Label Information in BGP-4. Rekhter Y., Rosen E., 2001

79. Rhee M.Y. Internet security: cryptographic principles, algorithms, and protocols, Wiley, 2003. 426 c.

80. Schildt H., Guntle G. Borland С++ Builder: The Complete reference, Osborne/McGraw-Hill, 2001. 1009 c.

81. Schweitzer D. Incident response: computer forensics toolkit, Wiley, 2003. -362 c.

82. Shindrer D.L. Scene of the cybercrime. Computer forensics handbook, Syngress, 2002. 754 c.

83. Timm C., Edwards W. CCNP: Building scalable Cisco internetworks. Stydy guide, Sybex, 2004