Русский English Українська
Автореферат выпускной работы магистра Библиотека Ссылки Отчет о поиске Инд.задание




   Анализ требований к топологии и архитектуре ПО сетей повышенной безопасности

Сергей Макаров

Источник: Военный институт управления и связи

Семиуровневая модель управления процессами глобальных сетей, как и принятые позднее четырех-пятиуровневые модели управления процессами локальных сетей, ставят своей целью обеспечение открытости, гибкости и эффективности сетей. В сетях с повышенным уровнем безопасности на первый план выходит требование безопасности, и оно настолько превалирует над другими требованиями, что последнее имеет смысл считать не первостепенными. Этот факт оказывает существенное влияние, как на топологию сети, так и на архитектуру ее программного обеспечения.

Во избежание несанкционированного контроля трафика сети приходится отказаться от таких распространенных топологий локальных сетей, как «общая шина» и «кольцо». Остается топология «звезда» с жестким контролем сетевого трафика. Здесь наиболее эффективной является дисциплина планирования процессов (в данном случае - трафика) с несколькими очередями [1]. Устанавливается столько очередей, сколько имеется уровней приоритетности рабочих станций (РС), причем на каждом уровне используется две очереди – одна для передачи, другая – для приема сообщений (при постановке во вторую очередь может учитываться разность приоритетов источника и приемника сообщений, на низшем уровне приоритетности второй очереди нет). Не исключается нахождение на одном уровне лишь одной РС, особенно для верхних уровней приоритетности. В любой момент времени обслуживается непустая очередь с наиболее высоким уровнем приоритетности. Во избежание неприемлемых задержек трафика между РС нижних уровней приоритетности, а также для сокрытия факта наличия интенсивного трафика на верхних уровнях, приоритеты очередей нижних уровней периодически повышаются до уровня захвата их процессом обмена информацией между РС с последующим возвратом на свой основной уровень. Может скрываться и факт низкой нагрузки сети искусственным замедлением очередей низших уровней. Для оперативного создания некоторых льгот РС с большим объемом обмена в виде разрешения передачи за один раз более одного пакета можно использовать обратную связь по данному показателю [1], однако воздействие этой обратной связи должно быть умеренным, чтобы предотвратить возможность злоумышленной атаки типа «направленный поток сообщений» [2].

Процедура обмена сообщениями между центральным компьютером (ЦК), выполняющим функции планировщика и контролера трафика, почтового сервера и ретранслятора, с РС следующая. РС постоянно находится в режиме ожидания от ЦК команды на прием или разрешения на передачу. При необходимости передачи информации РС передает на ЦК служебный пакет – заявку, содержащий адрес приемника. ЦК принимает этот пакет и немедленно анализирует его на предмет постановки в соответствующую очередь. Контролируется количество неисполненных заявок от одной РС и при превышении лимита ЦК, послав один пакет-отказ, становится временно нечувствительным к таким заявкам. Адрес источника сообщения устанавливается автоматически при выходе из РС во избежание манипулирования им со стороны пользователя. Допускается только контролируемый (и регистрируемый) обмен между РС. На каждый переданный пакет должно быть получено подтверждение приема.

Сеть повышенной безопасности ориентируется на использование, в основном, бездисковых РС с исключением возможности разработки на них новых программ, что затрудняет внедрения в систему программ, поддерживающих атаки на сеть (например, программ предсказания и подбора номера пакета и т.п.).

Сеть повышенной безопасности является, по идее, сугубо локальной сетью, однако стеки протоколов существующих локальных сетей оказываются неподходящими для нее. Во-первых, протоколы не должны выполнять функцию «мультиплексирования – демультиплексирования», то есть не должно существовать альтернативных протоколов. Мультиплексирование может оставаться разве что на прикладном уровне, разрешая этим работу РС в мультизадачном режиме. Разделение управления сетевыми процессами на уровни может производиться только из соображений обеспечения достаточной гибкости при замене на более совершенную реализацию протокола и удобства администрирования. В таком случае целесообразно установить следующие четыре уровня управления сетевыми процессами:

    а) прикладной уровень, генерирующий сообщения на передающей и потребляющей их на принимающей РС;

    б) уровень обеспечения секретности, проверяющей на передающей РС допустимость соединения, а также соответствующие криптографические преобразования на обоих концах соединения, причем вид криптографического преобразования соответствует конкретному соединению;

    в) транспортный уровень, выполняющий формирование и контроль прохождения пакетов;

    г) уровень соединения, организующий передачу и прием пакетов.

Локальный перечень допустимых соединений имеется на каждой РС. Дополнительный контроль допустимости соединения выполняет ЦК в момент организации выполнения заявки на передачу информации.

Упомянутое выше распределение РС по уровням приоритетности при обмене информацией может никоим образом не корреспондироваться с правами доступа к информации и ключами шифрования пользователей этих РС. Распределение РС по уровням приоритетности при обмене информацией, как и таблица взаимной доступности станций, является более-менее статичным, в то время как права пользователей по доступу к информации и ключи шифрования являются более динамичными и устанавливаются соответствующими администраторами.

В сети повышенной безопасности существенно сокращается, по сравнению с открытыми локальными сетями, перечень возможных функций управления сетью со стороны РС. Собственно остаются только функции «Передать сообщение», «Почта», «Синхронизация таймеров РЧ и ЦК №, «Подсказка» (последняя в соответственно ограниченном объеме). Функции определения конфигурации сети, администрирования и аудита, типичные для сетевых операционных систем, являются строго контролируемыми и выполняются централизовано.

Таким образом, выполненный анализ показывает существенное упрощение протоколов и связей между ними в сетях повышенной безопасности по сравнению с обычными сетями, но в то же время усложнение самих процедур связи. Топология же сети повышенной безопасности должна отличаться от топологии традиционных сетей.