Спосіб передачі повідомлень прикладного рівня між комп’ютерними мережами

Спосіб передачі повідомлень прикладного рівня між комп'ютерними мережами, який містить етапи: очікування повідомлення з зовнішньої мережі на вході зовнішнього мережного інтерфейсу шлюзу, 3 79576 4 виконує доступ до файлів. Запобігання такий атаці протоколах загального призначення. Отже, вони можливо шляхом обов'язкового запуску програми потребують реалізації такого протоколу (наприверифікації файлових стр уктур при монтуванні клад, протоколу TCP/IP). Реалізація такого протоносія до комп'ютера внутрішньої мережі. колу в самих згаданих засобах захисту може місРізновидом системи, що передбачає фізичне тити програмні помилки (у в'язку з його відносною роз'єднання мереж є системи з апаратною комускладністю), що в свою чергу призводить до можтацією конфігурації. Зазначені системи являють ливості атак таких засобів, що використовують собою автоматичну систему переносу даних із вразливості, що спричинені зазначеними помилапаратною комутацією конфігурації обладнання (в ками. Наслідком цього є те, порушник може викот.ч. с апаратною комутацією пристроїв зберігання ристати вразливість для отримання повного контінформації, що розділяються між шлюзовими комролю над засобом із подальшім відключенням п'ютерами внутрішньої та зовнішньої мереж). функцій захисту або навіть використанням засобу Вони фактично є автоматичними системами, як "плацдарму" для атаки на систему, що ним защо реалізують попередній (інтерактивний) варіант хи щається. захисту с тою відмінністю, що вони використовуДля систем екранування мереж та запобігання ють періодичну апаратну комутацію носія замість вторгненням притаманний додатковий недолік, інтерактивних дій оператора. пов'язаний з тим, що вони працюють на рівні Час переносу інформації між мережами суттєокремих пакетів мережевого протоколу загального во зменшуєшся, однак навіть при використанні призначення. Як наслідок, протокол яким виконутакого підходу він становить одиниці та десятки ється взаємодія між засобом захисту та системою секунд (навіть пре передачі коротких повідомлень, що захищається залишається протоколом загальщо мають розмір у декілька кілобайт). Це зумовного призначення. Так як вузол захисту має (окрім лено тим, що час втрачається на запис та зчитузахисту) забезпечувати взаємодію системи із внування даних за допомогою зовнішнього носія та на трішньою мережею, частина інформаційних пакепроцедури монтування/демонтування файлової тів протоколу загального призначення проходить системи (а також на процедуру верифікації струккрізь нього (можливо, із певними модифікаціями) тури файлової системи після монтування). та потрапляє до внутрішньої мережі. Більше того, Таки характеристики рішення ускладнюють призначенням серверів АС власне і є обробка по(або навіть роблять неможливою) реалізацію сисвідомлень від клієнтів, тому частина пакетів має тем, що функціонують в режимі „OnLine". обов'язково потрапляти із зовнішньої мережі до Виділяють такі системи екранування мереж, внутрішньої мережі АС. В програмному коді, АС які виконують аналіз пакетів, що потрапляють до що відповідає за обробку пакетів, що пройшли мережі з метою фільтрації до внутрішньої мережі фільтр, все одно також можуть міститись вразлитільки тих пакетів, які дозволені для передачі. вості, що може призводити до атак які "прозорі" 1) Мережеві екрани є різновидом системи екдля згаданих засобів. ранування мереж, що діють згідно із правилами, Для запобігання вторгненням та проактивної що задаються адміністратором системи. фільтрації притаманний додатковий недолік, що 2) Системи запобігання вторгненням є різновони працюють із базами даних відомих вразливовидом системи екранування мереж, що виконують стей (та, можливо із певними емпіричними припуаналіз пакетів, що потрапляють о мережі з метою щеннями щодо імовірних майбутніх атак). Виходявиявлення ознак потенційних атак. чи з того що перелік всіх існуючих вразливостей Вищеописані системи екранування мереж [2, програмного коду АС не відомий наперед, цей ме4] функціонують на рівні мережевого протоколу ханізм запобігає тільки відомими атакам (вторгзагального призначення та дозволяють виконати ненням) та дуже обмеженому колу невідомих атак. обмеження на тип пакетів що передається таким Зокрема такий механізм не може гарантувати запротоколом (найбільш поширеною є фільтрація з хисту від атак "нульового дня". метою вилучення пакетів, що направлені на встаПрограмні екрани - це модулі, що включаютьновлення з'єднань із службами внутрішньої мереся до складу стеку протоколів ОС та виконують жі, що закриті для зовнішньої мережі). Приклади функції систем екранування мереж. систем такого типу: Міжмережеві екрани (firewall), Окрім загальних недоліків таких методів фільмаршрутизатори з системою фільтрації типів пакетрації (що перелічені вище) важливим є те, що тів (IP Filters). засоби захисту цього типу функціонують під керуСистеми запобігання вторгненням [2, 4] діють ванням операційної системи, що захищаються, і на рівні мережевого протоколу загального признавідповідно, знаходяться під впливом вразливостей чення та аналізують зміст та контекст пакетів. Крицієї операційної системи. терії аналізу пакетів базовані на відомих на моАпаратні екрані - це апаратні пристрої, що мент аналізу атаках та, можливо, додаткових включаються між мережами та виконують функції емпіричних припущеннях о можливих варіантах систем екранування мереж та систем запобігання майбутніх атак. База даних систем запобігання вторгненням (мережеві екрани, фільтри пакетів, вторгненням оновлюється на постійній або періаналізатори пакетів, системи запобігання вторгодичній основі на базі аналізу інформації про ненням). знайдені на момент випуску оновлень вразливості Засоби цього типу при найближчому аналізі програмного коду в системах, що захи щаються. функціонують під керуванням спеціалізованих Приклад системи такого типу: Intrustion prevesion операційних систем. Реалізація в таких апаратних systems (IPS). засобах мережевих протоколів загального признаВсі системи - аналоги базовані на мережевих чення призводить до великого об'єму програмного 5 79576 6 коду, що їх реалізує. Це, в свою чергу, призводить орієнтований на передачу одного прикладного до того, що коректність таких великих систем не повідомлення у один момент часу може бути проаналізована формальними метоВикористанню проміжного апаратного придами. строю, що реалізує зазначений протокол та функРезультатом такого стану справ є наявність ціонує під керуванням програмного забезпечення вразливостей в програмному коді спеціалізованих аналіз якого виконаний формальними методами операційних систем цих засобів, що зокрема підВиконанню передачі повідомлення між меретверджується випуском фірмами-постачальниками жами шляхом ретрансляції отриманого засобом періодичних оновлень програмного забезпечення повідомлення із внутрішньої пам'яті засобу і тільки до них. після того, як обробкою вхідних даних встановлеТаким чином, апаратна реалізація принципово но факт повного отримання даних повідомлення не змінює ситуацію: окрім загальних недоліків таСтабілізованому виконанню процедур обміну ких методів фільтрації (що перелічені вище) важіз внутрішньою мережею апаратним пристроєм із ливим є те, що порушник потенційно може викоризабезпеченням відсутності впливу інтерфейсів стати наявну в спеціалізований операційній зовнішньої мережі на внутрішні в процесі інфорсистеми апаратно мого засобу вразливість для маційного обміну. отримання контролю над апаратним засобом. Суть винаходу полягає в тому, що спосіб пеВикористання засобів-аналогів захисту дозворедачі повідомлень прикладного рівня між комп'юляє ускладнити порушнику пошук вразливості та терними мережами, який містить етапи: відтворення умов, необхідних для її появи, однак - очікування повідомлення з зовнішньої мережі вони не запобігають всім можливим атакам. на вході зовнішнього мережевого інтерфейсу Слід зазначити, що вказані недоліки наведешлюзу, них засобів захисту стосуються атак, що викорис- завантаження повідомлення в оперативну товують вразливості програмного коду. Для інших пам'яті шлюзу, та видів атак (які не є предметом розгляду) ці при- передачу повідомлення через внутрішній местрої забезпечують адекватний рівень захисту режевий інтерфейс у внутрішню мережу шлюз у. (наприклад від певних типів атак класу "відмова в Причому: обслуговуванні"). - повідомлення отримують по вхідному мереНайближчим аналогом запропонованого спожевому інтерфейсу шлюзу у вигляді послідовності собу є засіб екранування мереж [2], що реалізовапакетів за шлюз-протоколом прийому, ній за допомогою системи аналогічного призна- завантаження повідомлення в оперативну чення - системи проактивної фільтрації аналізують пам'ять шлюзу проводять до моменту прийому зміст прикладних повідомлень, що передаються всього повідомлення, причому в оперативну пазагальновідомими протоколами прикладного рівня м'ять одночасно завантажують лише одне повідз метою виявлення ознак потенційних атак. омлення, Система проактивної фільтрації [2] діє на рівні - передача даних повідомлення із оперативної змісту прикладних повідомлень, що передаються пам'яті до внутрішнього мережевого інтерфейсу у мережевими протоколами загального призначення вигляді послідовності пакетів за шлюз-протоколом з метою виявлення ознак потенційних атак. Критепередачі. рії аналізу пакетів базовані на відомих на момент Технічний результат, який досягається при аналізу атаках та, можливо, додаткових емпіричздійсненні способу є забезпечення стабільності них припущеннях о можливих варіантах майбутніх умов функціонування програмного забезпечення атак. База даних системи проактивної фільтрації мережевого обміну для внутрішньої мережі АС. Це оновлюється на постійній або періодичній основі ефективно запобігає порушнику у відтворенні на базі аналізу інформації про знайдені на момент умов, необхідних для використання вразливостей випуску оновлень вразливості програмного коду програмного забезпечення АС що відповідає за обробки прикладних повідомлень в системах, що процес інформаційного обміну із користувачами. захищаються. Система оперує даними загальновіЗапропонований підхід також дозволяє спросдомих прикладних протоколів (приклад: Система тити вн утрішні алгоритми роботи шлюзу та радифільтрації email повідомлень на предмет захисту кально зменшити об'єм його програмного забезпевід email вірусів). чення. Для проактивної фільтрації притаманний неТехнічний результат досягається тим, що в долік, що вона працює із базами даних відомих процесі роботи шлюз отримує повідомлення по вразливостей (та, можливо із певними емпіричнивхідному мережевому інтерфейсу у вигляді посліми припущеннями щодо імовірних майбутніх атак). довності пакетів за спеціалізованим протоколом Виходячи з того що перелік всіх існуючих вразли(далі - шлюз-протокол прийому) та завантажує востей програмного коду АС не відомий наперед, його в оперативну пам'ять. В процесі прийому поцей механізм запобігає тільки відомими атакам відомлення вихідний мережевий інтерфейс шлюзу (вторгненням) та дуже обмеженому колу невідоне впливає на дотримання шлюзом шлюзмих атак. Зокрема такий механізм не може гаранпротоколу прийому. тувати захисту від атак "н ульового дня". Після приймання всього повідомлення шлюз Заявлений спосіб передачі повідомлень, що розпочинає процес передачі (ретрансляції) даних пропонується вільний від зазначених недоліків повідомлення із оперативної пам'яті до вихідного завдяки: інтерфейсу (у вигляді послідовності пакетів за Використанню спеціалізованого протоколу песпеціалізованим протококом (далі - шлюз-протокол редачі повідомлень, що максимально спрощений і передачі). 7 79576 8 В процесі передачі повідомлення, вхідний інмережею у єдиний спосіб - шляхом передачі шлютерфейс шлюз у не впливає на дотримання шлюзом прикладного повідомлення за допомогою зом шлюз-протоколу передачі. Після завершення шлюз-протоколу. процедури передачі шлюз повертається у стан Схема здійснення способу показна на Фігурі 1. очікування нового вхідного повідомлення. Таким Відмінності заявленого технічного рішення від чином, зовнішня мережа взаємодіє із внутрішньою найближчого аналога зведено до таблиці. Таблиця Критерій Місце знаходження Аналог (прототип) Між мережами Мережевий протокол загального приПротокол, що використовується значення, орієнтований на підтримку для обміну інформацією великої кількості одночасно існуючих сеансів передачі Складність реалізації протоколу Висока Кількість повідомлень, що обробДекілька ляються в один момент часу Спосіб захисту мережі Запропоноване рішення Між мережами Спеціалізований протокол орієнтований на передачу одного прикладного повідомлення в один момент часу Низька Одно Блокування відомих атак, базоване Блокування атак шляхом стабілізації режимів функціонування на їх властивостя х внутрішньої мережі Спосіб реалізується за допомогою проміжного апаратно-програмного вузла, що знаходиться між внутрішньою та зовнішньою мережами АС та виконує функції вузла-шлюз у захисту (шлюз), що передає інформацію між зазначеними мережами. Пристрій є мережевим екраном прикладного рівня та призначений для захисту сервер у (серверів) АС (або внутрішньої мережі АС) від атак, що побудовані на вразливостях (помилках) програмного коду, який забезпечує виконання функції мережевого обміну інформацією серверу (серверів) АС із зовнішньою мережею. Вразливості (помилки) можуть існувати як в програмному коді операційної системи, який реалізує стек протоколів, так і в програмному коді системного програмного забезпечення та(або) програмного забезпечення прикладного рівня, який виконує функції інформаційної взаємодії із користувачами АС. На Фігурі 2 зображено структуру пристрою, що являє собою проміжний апаратно-програмний пристрій що знаходиться між внутрішньою та зовнішньою мережами АС та виконує функції вузлашлюзу захисту (далі - шлюз), що передає інформацію між зазначеними мережами. Шлюз захисту мережевого обміну є апаратнопрограмним комплексом що: 1) знаходиться між мережами; 2) передає інформацію між мережами шляхом ретрансляції повідомлень прикладного рівня; 3) реалізує спеціалізований протокол передачі повідомлень прикладного рівня, який орієнтовано на передачу одного повідомлення прикладного рівня в один момент часу; 4) та який функціонує під керуванням програмного забезпечення коректність якого з точки зору дотримання протоколу проаналізована формальними методами. Шлюз обладнаний двома мережевими інтерфейсами, що забезпечують його підключення до внутрішньої та зовнішньої мережі. Протокол передачі даних через шлюз побудовано для передачі між мережами одного повідомлення прикладного типу за один цикл роботи (шлюз-протокол). Шлюз обладнано оперативної пам'яттю, в який повністю зберігається лише одне повідомлення прикладного рівня. Всі цикли роботи шлюзу подібні та однотипні (між циклами роботи шлюз не змінює внутрішній стан у спосіб, що впливає на реалізацію протоколу) тобто з точки зору реалізації протоколу шлюз є компонентом без внутрішньої пам'яті між повідомленнями. Шлюз захисту мережевого обміну є апаратнопрограмним комплексом що: знаходиться між мережами, передає інформацію між мережами із використанням спеціалізованого протоколу передачі повідомлень, який орієнтовано на передачу одного повідомлення прикладного рівня в один момент часу та який функціонує під керуванням програмного забезпечення коректність якого з точки зору дотримання протоколу доведена формальними методами. Шлюз обладнаний двома мережевими інтерфейсами, що забезпечують його підключення до внутрішньої та зовнішньої мережі. Протокол передачі даних через шлюз побудовано для передачі між мережами одного повідомлення прикладного типу за один цикл роботи (шлюз-протокол). Всі цикли роботи шлюзу подібні та однотипні (між циклами роботи шлюз не змінює внутрішній стан у спосіб, що впливає на реалізацію протоколу) тобто з точки зору реалізації протоколу шлюз є компонентом без внутрішньої пам'яті. Зазначені фактори дозволяють утримати складність програмного коду шлюзу у межах, що дозволяють виконати його аналіз формальними методами для гарантування додержання ним шлюз-протоколу під час обміну із внутрішньою мережею. Завдяки гарантії додержання шлюзом шлюзпротоколу при обміні із внутрішньою мережею АС всі цикли обміну інформацією між мережами у внутрішній мережі подібні та однотипні. Фактично, шлюз забезпечує стабільність умов функціонування програмного забезпечення мережевого обміну для внутрішньої мережі АС. Це ефективно запобігає порушнику у відтворенні спеціальних умов для використання вразливостей 9 79576 10 програмного забезпечення АС що відповідає за протоколу при обміні із внутрішньою мережею АС процес інформаційного обміну із користувачами. всі цикли обміну інформацією між мережами у При необхідності використання користувачами внутрішній мережі подібні та однотипні. мережевих протоколів загального призначення При використанні зовнішнього конвертера для доступу до функцій АС, зовнішня мережа мопротоколів, якщо порушник навіть проведе успішну жу бути підключена до спеціального вузла зовнішатаку на нього та отримає над ним контроль, єдинього конвертора протоколів, якій з одної сторони ним способом передати повідомлення до внутріпідключено до зовнішньої мережі, а з іншої до шньої мережі є передача коректного та завершешлюзу. Конвертор протоколів функціонує під керуного повідомлення шлюзу за шлюз-протоколом ванням стандартного програмного забезпечення (що порушник й так міг зробити як користувач АС). (наприклад, операційної системи загального приПісля відправлення такого повідомлення до шлюзу значення) та приймає/передає повідомлення в порушника немає можливості вплинути на проотримані за допомогою протоколу та перецес передачі повідомлення до внутрішньої мережі, дає/приймає їх до внутрішньої мережі за допомоадже це не передбачено шлюз-протоколом, догою шлюз-протоколу. тримання якого забезпечується шлюзом. Таким При необхідності використання у внутрішній чином використання шлюзу робить атаку, що вимережі мережевих протоколів загального признакористовує вразливості програмного коду мережечення у внутрішній мережі встановлюється спеціавого обміну такою, що не надає порушнику контльний вузол внутрішнього конвертера протоколів, ролю над умовами функціонування внутрішньої якій з одної сторони підключено шлюзу, а іншої до мережі. внутрішньої мережі. Функція внутрішнього конверШлюз вносить в процес передачі даних віднотера протоколів аналогічні функціям зовнішнього сно невелику затримку, що приблизно дорівнює конвертера, що описані вище. подвоєному часу передачі повідомлення за шлюз Для забезпечення двостороннього інформапротоколом із використанням мережевих інтерційного обміну між мережами шлюз може бути фейсів. Виходячи із того, що швидкість сучасних виконаний або у вигляді єдиного напівдуплексного мережевих інтерфейсів складає близько 1Гбіт за вузла або у вигляді дво х однонаправлених симпсекунду (Gigabit Enternet) або навіть вище (із виколексних вузлів, що підключені за зустрічнористанням інших стандартів). Фактично, затримка паралельною схемою до конвертерів протоколів. для повідомлень, що мають розміри декілька кілоВ разі необхідності забезпечення високої пробайт становить одиниці мілісекунд, навіть з викопускної здатності можливо паралельного включенристанням інтерфейсів із пропускною здатністю ня декількох шлюзів із додаванням вузла (вузлів) у 100Мбіт/сек. (досягнуто на дослідному зразку). Ці зовнішній та внутрішній мережі що розподіляють швидкісні характеристики дозволяють використонавантаження між ними. вувати шлюз для побудови систем, що працюють Запропонований підхід дозволяє спростити в режимі „OnLine". внутрішні алгоритми роботи шлюзу та радикально Перелік посилань зменшити об'єм його програмного забезпечення. 1. "ENCLAVE SECURITY TECHNICAL Орієнтовний об'єм програмного коду (досягнутий IMPLEMENTATION GUIDE". Developed by DISA for на дослідному зразку) становить близько 300 кілоthe DOD. DISA Field Security Operations, 28 July байт вхідних текстів (близько 20 кілобайт машин2005. Version 3, Release 1. UNCLASSIFIED (2005). ного коду). Програмне забезпечення шлюзу може 2. "CYBER SECURITY PROGR AM. C YBER бути реалізовано без використання механізмів SECURITY ARCHITECTURE GUIDELINES". U.S. програмних переривань (або з дуже обмеженим їх DEPARTMENT OF ENERGY. DOE G 205.1-1. Office використанням). of the Chief Information Officer, 3-8-01 (2001). Шлюз не використовує операційної системи 3. Новые технологии обеспечения информацион(тільки завантажувач коду в оперативну пам'ять). ной безопасности. Дмитрий Зарахович. АнтивируПрограмний код шлюзу може бути розміщений у сная лаборатория «ЦЕБИТ». Матриалы VIII межпостійному запам'ятовуючому пристрої (ПЗП) в дународной научно-практической конференции режимі "тільки читання". "Безопасность информации в информационно Зазначені фактори дозволяють утримати телекоммуникационных системах" (11-13 мая 2005 складність програмного коду шлюзу у межах, що года). Департамент специальных телекоммуникадозволяють відносно легко виконати його аналіз ционных систем и защиты информации Службы формальними методами для гарантування додербезопасности Украины. Государственный центр жання ним шлюз-протоколу під час обміну із внутИнформационной безопасности. УДК 681.3.06. рішньою мережею АС (або єдиним сервером АС у Видавництво: ПП «ЕКМО». випадку підключення останнього безпосередньо 4. "Information Security: Defensive Battle". Avi до шлюзу). Chesla. INFORMATION SECURITY MAN AGEMENT. Як приклад можливості виконання такого анаJANUAR Y/FEBRUAR Y 2004. лізу можливо навести "мікро операційні" системи 5. ISO/IEC 15408-1:2005. Information technology для пластикових карт, що обладнані мікропроцеSecurity techniques - Evaluation criteria for IT сором (smart карти), об'єм машинного коду в яких security. також становить близько 20 кілобайт та які отри6. German Zoned Products List. Bundesamt fur мали високі рівні гарантії (Evaluation assurance Sicherheit in der Informationstechnik. TL03305. level, [5]) шляхом аналізу коду формальними меDecember 2005. тодами [6]. Завдяки гарантії додержання шлюзом шлюз 11 Комп’ютерна в ерстка О. Гапоненко 79576 Підписне 12 Тираж 26 прим. Міністерство осв іт и і науки України Держав ний департамент інтелектуальної в ласності, вул. Урицького, 45, м. Київ , МСП, 03680, Україна ДП “Український інститут промислов ої в ласності”, вул. Глазунова, 1, м. Київ – 42, 01601