Ю.М. Коростиль, А.Н. Давиденко, С.Я. Гильгурт, М.М. Панченко
Источник: Анализ внешних атак на локальную сеть и возможностей защиты реконфигурируемыми устройствами // збірник «Моделювання та інформаційні технології» [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua
The utilization of programmable logic for defense of local area network from external attacks is investigated. Specific threats from internet to local computers and possibilities of FPGA-based digital equipment to parry them are discussed.
Проблемы защиты информации становятся все более актуальными с каждым днем. Растет как ущерб, причиняемый компьютерным системам, так и разнообразие форм и способов злонамеренных действий. Тем не менее, можно выделить области, в которых вопросы защиты информационной безопасности возникают намного чаще, а их решение намного актуальнее.
К одной из таких областей относится круг задач, связанных с защитой информации в локальной компьютерной сети. На сегодняшний день отдельно стоящий компьютер все труднее встретить не только в организациях и учреждениях, но и в домашних условиях.
В предыдущей статье авторов [1] на основе анализа известных источников была сформирована классификация существующих и потен- циально возможных угроз и опасностей в компьютеризированных системах. Целью создания классификации являлось исследование возможностей применения в качестве средств информационной защиты цифровых реконфи- гурируемых устройств на базе программируемой логики. Современные программируемые логические интегральные схемы (ПЛИС) позволяют создавать недорогие, но эффективные средства защиты информации в компьютеризированных системах различного уровня [2].
В настоящей статье на основе предложенной классификации выбраны и проанализированы наиболее важные и актуальные в смысле частоты реализации угроз и величины причиненного ущерба атаки на локальную компьютерную сеть, инициированные внешними по отношению к ней источниками. При этом главное внимание уделено выявлению таких задач информационной защиты, при решении которых наиболее полно могут быть задействованы возможности цифровых реконфигурируемых устройств.
Анализ последних достижений и публикаций по данной теме свидетельствует о наличии большого количества исследований и практичес- ких разработок, связанных с применением программируемой логики для решения проблем информационной безопасности. Однако, в большинстве случаев, область применения данных проектов ограничивается одной кон- кретной задачей, либо узким классом решаемых задач.
Целью настоящей статьи является исследование и анализ возможностей создания средств информационной безопасности на базе цифровых реконфигурируемых устройств для противодействия широкому классу наиболее актуальных угроз локальной компьютерной сети.
Анализ известных внешних угроз и опасностей, существующих для локальной вычислительной сети, приводит к необходимости рассматривать следующие три класса факторов информационной безопасности [3]:вредоносное программное обеспечение (ПО); спам; глобальные сетевые атаки.
Рассмотрим эти классы подробнее.
Ущерб, причиняемый вредоносными программами, заключается в следующем: неавторизованный доступ к информации - ее незаконное уничтожение, изменение, передача (утечка информации); ненормальное функционирование программного и аппаратного обеспечения; использование вычислительных, дисковых и сетевых ресурсов в чужих интересах в ущерб интересам законных владельцев этих ресурсов.
По принципу действия вредоносное программное обеспечение можно разделить на четыре типа: вирусы; троянские программы; почтовые и сетевые черви; пакеты, используемые в хакерских атаках.
Для разработки средств противодействия вредоносному ПО помимо разнообразия его видов необходимо также исследовать среды его возможного обитания и методы проникновения в локальную сеть. Вредоносное программное обеспечение может функционировать в таких средах, как: операционные системы; программные пакеты, допускающие запуск сервисных приложений (скриптов, макросов) в целях автоматизации обработки информации или организации различных процессов; сетевые приложения, достаточно сложные для того, чтобы располагать функциональными возможностями, необходимыми для размножения вируса или функционирования троянских программ, например, почтовые приложения, браузеры со встроенными скриптовыми языками, сетевые пейджеры, сетевые игры;Анализ рассмотренных вопросов, а также существующих средств борьбы с вредоносным ПО позволяет выявить следующие проблемы, актуальность которых неуклонно повышается: несетевые приложения, которые возможно использовать для распространения вируса, троянской программы или для реализации хакерской атаки, например, вспомогательные утилиты операционных систем, различного рода утилиты, имеющие достаточную сложность и т.п.
Анализ рассмотренных вопросов, а также существующих средств борьбы с вредоносным ПО позволяет выявить следующие проблемы, актуальность которых неуклонно повышается: постоянный рост антивирусных баз данных, основанных на хранении сигнатур всех известных вирусов, и, как следствие, неуклонное повышение требований к производительности компьютеров со стороны антивирусных программ такого класса; высокая вероятность появления самых различных комбинаций принципов действия, сред обитания и методов проникновения для кон- кретных реализаций вредоносных программ принципиально исключает возможность предсказывать заранее их поведение.
Как следствие, для эффективного противодействия вредоносному ПО, от средств защиты требуется качественное повышение как скоростных показателей, так и интеллектуальных возможностей. При этом стоимость таких средств должна обеспечивать доступность, необходимую для массо- вого использования. Технические параметры реконфигурируемых устройств на базе программируемой логики отвечают данным требованиям.
В работе [4] рассмотрен пример возможной организации защиты от вредоносного ПО, а именно, от сетевых червей, с применением рекон- фигурируемых устройств на базе ПЛИС.
Данный класс атак приводит к таким негативным последствиям, как: увеличение нагрузки, вынуждающее увеличивать затраты на поддержку и обслуживание почтовых сервисов; риск потери важной информации либо из-за большого количества ненужных данных, либо в результате перегрузки ресурсов (переполнения почтовых ящиков); дополнительные непроизводственные расходы временных ресурсов (на фильтрацию спама) и финансовых средств на оплату избыточного трафика (оплату услуг провайдера); прочие негативные последствия от опасной и нежелательной информации (фишинг, вовлечение в финансовые аферы и т.п.).
В отличие от вредоносного программного обеспечения, причины появления спама и рост его активности обусловлены в подавляющем большинстве случаев коммерческой мотивацией. Злоумышленники используют его для нелегального маркетинга товаров и услуг. К сожалению, данный факт означает, что актуальность этого класса атак будет только возрастать. По крайней мере, до тех пор, пока не будет найдено принципиальное решение проблемы.
К характерным особенностям борьбы со спамом следует отнести многоплановость предпринимаемых мер. Противодействие осуществляется самыми различными способами, начиная от выявления и оперативного реагирования на появление новых источников распространения спама в глобальной сети, и заканчивая интеллектуальными контекстными фильтрами содержимого почтовых сообщений непосредственно на компьютере пользователя. В этой связи производительность, гибкость и высокие интеллектуальные возможности реконфигурируемых устройств обусловли- вают перспективность их применения для данных целей.
Разновидности данного класса атак подробно исследованы во многих источниках [5 – 8]. Ущерб от успешно реализованной глобальной интернет-атаки выражается: в снижении пропускной способности, либо полном отказе каналов связи интернет-, интранет- или локальной сети; в нарушении нормального функционирования программного обеспечения (системного, сетевого, прикладного).
Среди наиболее часто осуществляемых можно выделить следующие реализации сетевых атак.
DoS-атака (англ. Denial of Service – отказ в обслуживании) – атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднен.
Eсли атака выполняется одновременно с большого числа компьютеров, которые одновременно активизируются в заданный момент времени, имеет место DDoS-атака (англ. Distributed Denial of Service, распределенная атака типа "отказ в обслуживании").
Флуд-атака (англ. flood – наводнение) – массированная спланированная атака с множества зараженных компьютеров многочисленными запросами на прием/передачу файлов или сетевых пакетов, при которой возникает перегрузка каналов передачи данных.
Массированная рассылка вируса с множества зараженных компьютеров - атака, при которой перегрузка каналов является не запланированной акцией, а побочным эффектом неконтролируемого распространения вируса.
Причиной глобальной атаки может стать также нештатное поведение множества зараженных систем, при котором они начинают неконтролируемое потребление сетевых ресурсов.
Сложность противодействия удаленным сетевым атакам обусловлена самой их природой. Компоненты глобальной сети, задействованные в этом случае, не контролируются ни провайдерами, ни системными админи- страторами предприятия, ни домашним пользователями. От таких атак не спасает ни эффективное антивирусное ПО, ни отсутствие уязвимостей в программном обеспечении компьютеров, ни грамотно настроенные средства защиты локальной сети от внешних проникновений.
В этой связи представляет интерес использование возможностей программируемой логики для создания на их базе систем обнаружения атак [9]. Принципы построения таких систем предлагаются в ряде работ, например, в [10]. Однако, наиболее перспективным представляется исследование возможностей создания на базе реконфигурируемых устройств многофункциональных систем, позволяющих решать широкий круг задач информационной защиты локальных компьютерных сетей.
Выводы по результатам настоящей работы могут быть сформулированы следующим образом.
Создание средств противодействия наиболее актуальным угрозам информационной безопасности предъявляет повышенные требования по быстродействию и интеллектуальным возможностям. Производительность и гибкость реконфигурируемых устройств обусловливают перспективность их применения для данных целей. Способность ПЛИС быстро изменять внутреннюю структуру позволят создавать многофункциональные системы, ориентированные на решение широкого круга задач информационной безопасности локальных компьютерных сетей.