Содержание к диссертации
Введение
1 Анализ возможности реализации механизма доверенной маршрутизации в сетях TCP/IP 8
1.1 Постановка задачи на алгоритмизацию механизма доверенной маршрутизации в сетях TCP/IP 8
1.2 Создание топологической карты сети 12
1.3 Расширенная идентификация узлов сети 21
1.4 Вычисление доверенного маршрута 25
1.5 Принудительная маршрутизация 29
Выводы по разделу 1 35
2 Синтез программной архитектуры системы управления доверенной маршрутизацией 37
2.1 Разработка специальных средств доверенной маршрутизации 37
2.2 Программная архитектура системы управления доверенной маршрутизацией 55
2.3 Типовые сценарии функционирования механизма ДМ 69
Выводы по разделу 2 75
3 Оценка свойств механизма доверенной маршрутизации в глобальных телекоммуникационных сетях 77
3.1 Имитационное моделирование ТКС с доверенной маршрутизацией 77
3.2 Оценка свойств механизма ДМ 86
3.3 Оценка информационной безопасности глобальных ТКС при использовании механизма ДМ 97
3.4 Рекомендации по совершенствованию механизма ДМ 105
Выводы по разделу 3 112
Заключение 114
Список литературы
- Создание топологической карты сети
- Принудительная маршрутизация
- Типовые сценарии функционирования механизма ДМ
- Оценка информационной безопасности глобальных ТКС при использовании механизма ДМ
Введение к работе
Актуальность темы исследования. Актуальность темы обусловлена значительным количеством угроз информационной безопасности в глобальных телекоммуникационных сетях. Для противодействия угрозам существуют и стандартизованы соответствующие механизмы защиты. Анализ современных международных и российских стандартов в области обеспечения безопасности и устойчивого функционирования сетей связи показал, что управление маршрутизацией в контексте доверительной функциональности, которое поглощается понятием «доверенная маршрутизация», даже не упоминается как сетевой механизм защиты информации. Под доверенной маршрутизацией понимается процесс планирования передачи информационных потоков по вычисленному маршруту через узлы, исключающие возможность подмены, модификации или внедрения информации в потоки данных, проходящих через них. Будучи малоизученной научным сообществом, этот защитный механизм практически не используется для борьбы с сетевыми атаками, несмотря на потенциальную возможность обеспечения безопасной передачи конфиденциальных данных через глобальную телекоммуникационную сеть. Дефицит знаний о возможностях, ограничениях, условиях применения, способах реализации и границах эффективности доверенной маршрутизации в глобальных телекоммуникационных сетях и обуславливает необходимость исследования этого механизма.
Степень разработанности темы. Круг работ, посвященных анализу, обобщению и поиску решения проблемы организации доверенной телекоммуникационной среды «поверх» недоверенной еще весьма ограничен. Отдельные аспекты обеспечения безопасности передачи данных при помощи доверенных механизмов защиты, и в частности, управления маршрутизацией, затрагивались в работах ведущих российских и зарубежных ученых: оптимальная маршрутизация и доверенная инфотелекоммуникационная среда - И. Абрахам, 3. Вонг, М. В. Буйневич, В. М. Зима, М. О. Калинин, С. И. Макаренко, Б. И. Марголис, С. Н. Новиков, К. К. Сумасундарам; системы управления сетью - Б. С. Голь-дштейн, В. А. Ефимушкин, А. Клемм, Д. С. Комер, А. А. Костин, В. А. Нетес; агентные системы и архитектура сетевой защиты - Ю. А. Гатчин, И. В. Котен-ко, X. Лин, И. Б. Саенко, М. Шумахер; моделирование и оценка устойчивости функционирования телекоммуникационных сетей - А. А. Зацаринный, А. Н. Назаров, В. К. Попков, Ю. И. Стародубцев, А. А. Шелупанов, О. И. Шелухин, Ю. К. Язов и др. Состояние и тенденции развития рассматриваемой предметной области актуализируют вопрос о проведении комплексного исследования механизма доверенной маршрутизации в глобальных телекоммуникационных сетях.
Цели и задачи. Целью работы является установление возможных способов реализации, ограничений и условий применения, а также границ эффективности механизма доверенной маршрутизации в глобальных телекоммуникационных сетях. Для достижения поставленной цели в работе были поставлены и решены следующие задачи:
-
Анализ возможности реализации механизма доверенной маршрутизации «штатными» средствами TCP/IP;
-
Разработка специальных средств доверенной маршрутизации;
-
Синтез программной архитектуры системы управления доверенной маршрутизацией;
-
Оценка эффективности механизма доверенной маршрутизации в глобальных телекоммуникационных сетях;
-
Выработка рекомендаций по совершенствованию механизма доверенной маршрутизации.
Объект исследования - механизм доверенной маршрутизации.
Предмет исследования - алгоритмизация, программная реализация, оценка эффективности механизма в глобальных телекоммуникационных сетях и рекомендации по его совершенствованию.
Научная новизна. Научная новизна работы определяется новой предметной областью и новизной полученных результатов и состоит в:
комплексировании алгоритмов, реализующих содержание принципиально нового механизма защиты информации в глобальных телекоммуникационных сетях - механизма доверенной маршрутизации - «штатными» средствами TCP/IP;
разработке специальных средств доверенной маршрутизации и создании оригинального протокола информационного взаимодействия менеджера с агентами доверенной маршрутизации и базой данных в интересах управления механизмом;
имитации механизма доверенной маршрутизации в модели полносвязной сети, которая в отличие от известных учитывает признак доверенности узлов и их временный контроллинг.
Теоретическая и практическая значимость работы.
Теоретическая значимость научных положений, изложенных в работе, состоит в установлении ограничений и условий реализации механизма доверенной маршрутизации в глобальных телекоммуникационных сетях, модификации алгоритма Дейкстры (для нахождения кратчайшего доверенного пути), установлении свойств механизма доверенной маршрутизации, а также динамики влияния его ключевых факторов на интегральное качество телекоммуникационных сетей.
Практическая значимость результатов проведенных исследований состоит в получении требований к специальным средствам (алгоритмам) доверенной маршрутизации, использовании агентной архитектуры системы управления при проектировании программного обеспечения телекоммуникационного и маршрутизирующего оборудования, а также в научном обосновании требований к протоколу доверенной маршрутизации в глобальных телекоммуникационных сетях.
Полученные научные результаты используются на кафедрах «Сети связи и передачи данных» и «Защищенные системы связи» СПбГУТ им. проф.
М. А. Бонч-Бруевича при подготовке и проведении лекционно-практических занятий по учебным дисциплинам «Маршрутизация услуг», «Информационная безопасность в сетях передачи данных», «Моделирование инфокоммуникаци-онных сетей и систем», «Качество обслуживания в ІР-сетях».
Методология и методы исследования. При решении поставленных задач использовались современные и традиционные методы исследования - системный, логический и сравнительный анализ, структурный и функциональный синтез, имитационное моделирование, теория планирования и обработки результатов эксперимента. Научно-методической базой исследования явились теоретические и практические разработки отечественных и зарубежных ученых в области маршрутизации, управления и безопасного масштабирования глобальных телекоммуникационных сетей, а также моделирования процессов их функционирования.
Положения, выносимые на защиту. Соискателем лично получены следующие основные научные результаты, выносимые на защиту:
-
Метод доверенной маршрутизации в глобальных телекоммуникационных сетях;
-
Программная архитектура системы управления доверенной маршрутизацией;
-
Модель сети с доверенной маршрутизацией и рекомендации по совершенствованию реализации механизма защиты.
Степень достоверности. Достоверность основных полученных результатов обеспечивается корректностью постановки научно-технической задачи исследования, строго обоснованной совокупностью ограничений и допущений, представительным библиографическим материалом, опорой на современную научную базу, корректным применением апробированных общенаучных и специальных методов исследования; и подтверждается непротиворечивостью полученных результатов практике функционирования глобальных телекоммуникационных сетей и их широкой апробацией на научных форумах, а также получением авторского патента на полезную модель.
Апробация результатов. Основные положения и результаты диссертации докладывались, обсуждались и получили одобрение на XVI Всероссийской научно-методической конференции «Фундаментальные исследования и инновации в национальных исследовательских университетах» (г. Санкт-Петербург, СПбГПУ, 17-18 мая 2012 г.), научно-практической конференции «Информационные технологии и непрерывность бизнеса» (г. Санкт-Петербург, СПбГИЭУ, 8 ноября 2012 г.), X Международной научно-технической конференции «Новые информационные технологии и системы (НИТиС-2012)» (г. Пенза, ПТУ, 27-29 ноября 2012 г.), Международной научно-технической конференции «Фундаментальные и прикладные исследования в современном мире» (г. Санкт-Петербург, СПбГПУ, 20-22 июня 2013 г.), П-ой Международной научно-технической и научно-методической конференции «Актуальные проблемы ин-фотелекоммуникаций в науке и образовании» (г. Санкт-Петербург, СПбГУТ, 26-27 февраля 2013 г.), XIV Санкт-Петербургской Международной конферен-
ции «Региональная информатика (РИ-2014)» (г. Санкт-Петербург, 29-31 октября 2014 г.), IV-ой Международной научно-технической и научно-методической конференции «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (г. Санкт-Петербург, СПбГУТ, 3-4 марта 2015 г.).
Публикации. Основные результаты диссертационного исследования опубликованы в 15-ти научных работах, из них: 4 работы в изданиях, входящих в перечень рецензируемых научных изданий, рекомендованных ВАК; 1 результат интеллектуальной деятельности (патент на полезную модель); 9 работ в других изданиях и материалах (трудах) конференций.
Структура и объем работы. Диссертационная работа состоит из введения, основной части (содержащей 3 раздела), заключения и списка литературы. Общий объем работы - 132 страницы. Работа содержит 35 рисунков и 16 таблиц. Список литературы включает 140 библиографических источников.
Создание топологической карты сети
Научный и чисто практический интерес в контексте безопасности глобальных телекоммуникационных сетей представляет механизм управления маршрутизацией - применение правил в процессе маршрутизации по выбору или исключению конкретных сетей, звеньев данных или ретрансляторов. Согласно пп. 5.3.7.1 - 5.3.7.1 ГОСТ «маршруты могут выбираться либо динамически, либо путем такого предварительного распределения, которое использует только физически защищенные подсети, ретрансляторы или звенья данных»; «при обнаружении постоянных попыток манипуляции данными оконечные системы могут передать поставщику сетевой услуги команду на установление соединения через другой маршрут»; «инициатор соединения может установить запрет на использование маршрутов, что требует исключения из маршрута заданных подсетей, звеньев данных или ретрансляторов».
Такое «предварительное распределение, запрет на использование маршрутов и установление соединения через другой маршрут» поглощается понятием доверенная маршрутизация (ДМ), под которой понимается процесс планирования передачи информационных потоков по вычисленному маршруту через (доверенные) узлы, исключающие возможность подмены, модификации или внедрения информации в проходящие через них потоки данных [1]. С позиций общеархитектурных механизмов защиты она реализует, так называемую, доверительную функциональность, согласно которой: «Любая функциональность, непосредственно обеспечивающая механизмы защиты или доступ к ним, должна быть заслуживающей доверия» (см. п. 5.4.1.1 ГОСТ). Можно сказать, что ДМ реализует формулу «управление маршрутизацией + доверительная функциональность».
С целью определения содержания и последующей реализации доверенной маршрутизации автором в работах [55, 56] проанализированы известные стандартизованные механизмы сетевой защиты, также претендующие на доверенность образуемой ими телекоммуникационной среды - MPLS и VPN.
VPN (от англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, которая создается «поверх» другой ТКС за счет туннелирования, основанного на RFC-1234 [68]. Для обеспечения безопасности трафика используется шифрование, то есть применяется формула «шифрование + доверительная функциональность». Механизм поддерживает различные протоколы и масштабируемость. В работе автора [55] показано, что безопасность с помощью шифрования и туннелирования не препятствует недоверенной сети или сетевым узлам участвовать в маршрутизации данных - будучи частью туннеля, это промежуточное маршрутизирующее оборудование может исследовать, копировать или модифицировать данные, даже если пакеты зашифрованы.
Технология MPLS (от англ. Multiprotocol Label Switching - многопротокольная коммутация по меткам) реализует коммутацию пакетов в многопротокольных сетях, используя общеархитектурный механизм меток [69,70], и в этом смысле работает по формуле «управление маршрутизацией + метки защиты». Несмотря на то, что MPLS дает преимущества управления потоками данных (повышает производительность, интегрирует IP и ATM-сети, позволяет создавать виртуальные каналы), существует проблема потери целостности и конфиденциаль-
ности трафика, проходящего через сеть MPLS [71-73]. В то время как гипотетически механизм ДМ гарантирует целостность и конфиденциальность сетевого трафика. В работе автора [56] анализируются и сравниваются эти два механизма по отношению к безопасности данных, QoS и масштабируемости сети.
Осуществим прототипирование метода реализации механизма ДМ, усилив традиционные этапы механизма управления маршрутизацией требованиями доверительной функциональности.
Во-первых, поскольку основным принципом ДМ является прокладывания точного маршрута через конкретные узлы в сети, то первым этапом метода должно быть определение и изучение ее структуры - то есть топологии. Классически, под топологией понимается способ описания конфигурации сети и схема расположения ее устройств, что является недостаточным для прокладывания доверенного маршрута. Следовательно, необходимо получение более детальной информации о структуре сети с учетом всех доступных межузловых маршрутов, а именно - топологической карты. Формально, такая карта имеет вид двунаправленного графа, узлами которого является маршрутизирующее оборудование (МО), а ребрами - доступные маршруты для пересылки пакетов между ними.
Во-вторых, хотя топологическая карта сети и дает информацию о наличии узлов и возможных маршрутах между ними, однако характеристики каждого конкретного узла, на основании которых можно судить о его применимость в качестве промежуточной точки маршрута, на данной карте не представлены. Для этого предназначен второй этап метода ДМ - расширенная идентификация узлов сети. В данном случае под идентификацией понимается сбор информации об узле, которая позволит отнести его к списку доверенных.
В-третьих, требование доверенности к маршруту означает разделение всех узлов (и, соответственно, их МО) на два типа - «доверенные» и «недоверенные» с дальнейшим построением маршрута только из узлов «первого» типа. Вычисление такого (доверенного) маршрута является отдельным (третьим) этапом метода ДМ. Представляется, что алгоритм, реализующий этап, может быть не только бинарным, но и способным учитывать некий заданный уровень доверия к узлам.
Механизм ДМ должен обеспечить строгое следование сетевых пакетов по вычисленному на предыдущем (третьем) этапе маршруту, так как их проход даже через один не доверенный узел может быть критичным. Таким образом, четвертый этап метода ДМ заключается в принудительной отправке (маршрутизации) пакетов через выбранные доверенные узлы.
С учетом вышеизложенного, гипотетический метод реализации механизма ДМ имеет следующую этапность: 1) Создание топологической карты сети; 2) Расширенная идентификация узлов сети; 3) Вычисление доверенного маршрута; 4) Принудительная маршрутизация. Исследуем возможности и ограничения реализации механизма ДМ «штатными» средствами, под которыми понимаются утилиты и протоколы, являющиеся стандартными и применяемые в сетях TCP/IP без каких-либо модификаций. Рассмотрим способ реализации каждого этапа различными алгоритмами с последующим их сравнением. В случае отсутствия доступных реализаций произведем обоснование на разработку соответствующего средства.
Принудительная маршрутизация
Элементы системы взаимодействуют с помощью специального информационного канала - КИВ, который может быть локальным или сетевым, и при этом должен являться защищенным и скрытым (за счет построения на базе широкораспространенных протоколов).
Резюмируем требования к функционалу элементов СУ ДМ. Для МДМ это работа с сетью, поддержка шифрования, отправка «инструкций-действий» и анализ «инструкций-результатов», контролирование состояния системы, работа с БД, генерация сетевых пакетов, запуск сетевых утилит, вывод информации для анализа, синхронизация этапов, их алгоритмов и общее согласования процесса ДМ, предоставление интерфейса для управления Методом. Для АДМ это также работа с сетью и поддержка шифрования, обработка «инструкций-действий» и их выполнение с возвратом «инструкций-результатов», идентификация подконтрольного узла, управление конфигурацией подконтрольного оборудования.
Опишем архитектуру СУ ДМ с помощью структуры взаимосвязи ее элементов, программной структуры каждого элемента, их интерфейсов и протокола взаимодействия, учитывая, что каждую группу функциональных возможностей реализуют составляющий элемент программные модули (модульная парадигма программирования) .
Изучение принципов современного управления сетью [18-20, 24-30, 119], существующих типов архитектур [21-23, 31-37, 120-123], а также подходов к идентификации и работе с БД, вопросов сетевой безопасности и мониторинга позволило синтезировать следующую структуру СУ ДМ (рисунок 2.8). Представленная структура СУ ДМ соответствует сформированным выше требованиям. МДМ является центральным, а АДМ - подчиненными элементами. МДМ взаимодействует с АДМ через сетевой защищенный информационный канал посредством запросов «инструкций-действий» и ответов «инструкций-результатов». БД связана с МДМ локальным незащищенным информационным каналом. Также часть функционала МДМ, такого как запросы к серверам WHOIS и построение карты сетевой топологии, выполняются с помощью стандартных утилит и протоколов через открытую сеть. МДМ имеет средства вывода собранной информации в формализированном виде: эта информация будет использована для получения удаленного доступа к оборудованию узлов и внедрения АДМ (будет выполнен этап преобразования узлов в доверенные).
Для программной реализации требуемого функционала МДМ элемент целесообразно выполнить из следующих программных модулей. Во-первых, необходим основной модуль выполнения этапов метода ДМ (ВЭДМ-модуль). Он должен обеспечить взаимодействие всех остальных модулей, инициализацию, выполнение, синхронизацию и мониторинг их алгоритмов. Во-вторых, для управления ВЭДМ-модулю необходим модуль интерфейса взаимодействия (ИВ-модуль), поддерживающий операции внешнего запуска Метода, его остановки и базового контроля (например, ведение логов, приостановка, внесение изменений в промежуточные данные). В-третьих, модуль сетевого взаимодействия менеджера (СВМ-модуль) обеспечит взаимодействие МДМ с сетью, такое как отправка и прием пакетов, шифрование данных, запуск сетевых утилит. В-четвертых, взаимодействие с БД целесообразно также вынести в отдельный модуль (БД-модуль), который будет предоставлять высокоуровневый интерфейс для работы с данными другим модулям (например, получение IP-адресов доверенного маршрута). В-пятых, для поддержания маршрута в состоянии доверенного требуется наличие модуля проверки узла (ПУ-модуль). В-шестых, для двухэтапного обеспечения процесса преобразования узлов в доверенные целесообразно выделить отдельный модуль контроллинга узлов (КУ-модуль). И, в-седьмых, для принудительной маршрутизации потребуется соответствующий модуль (ПМ-модуль).
Модуль анализа информации (АИ-модуль) предназначен для аналитической обработки информации. БД расположена на рабочей станции в начальном узле (то есть, локально) и хранит информацию, используемую в процессе выполнения Метода. Модульная программная структура МДМ, включая все внутренние и внешние взаимодействия, приведена на фрагменте а) рисунка 2.9.
ВЭДМ-модуль по сути управляет БД-модулем, СВМ-модулем и АИ-модулем, которые можно считать вспомогательными в рамках структуры элемента. БД-модуль осуществляет взаимодействие с БД посредством инструкций, предоставляя лишь данные по запросу. СВМ-модуль поддерживает весь сетевой функционал, в частности посылку инструкций к АДМ.
ПУ-модуль осуществляет мониторинг состояния системы путем проведения периодической расширенной идентификации узлов на доверенном маршруте средствами СВМ-модуля. В случае обнаружения недоверенного узла на пути передаваемых данных ПУ-модуль сигнализирует об этом в ВЭДМ-модуль, что приводит к мгновенному прекращению использования уже недоверенного маршрута с возможным поиском иного - доверенного. Таким образом, ПУ-модуль работает параллельно с ВЭДМ-модулем в фоновом режиме и, в этом смысле, является «демоном МДМ».
Типовые сценарии функционирования механизма ДМ
Первым экспериментом определим зависимость влияния одновременно действующих факторов на отклики разработанной имитационной модели ТКС с ДМ.
Наименование (содержание) оцениваемых факторов, модельное имя соответствующей входной переменной, а также нижний и верхний уровни (в предположении перекрытия возможного диапазона изменений, исходя из опыта) приведены в таблице 3.1. Таблица 3.1 - Оцениваемые факторы
Фактор Уровни Наименование (содержание) Имя переменной в модели Входная переменная -1 1 допустимое время передачи time limit Xi 500 1000 заданное время передачи сообщения по сети tz X2 150 500 математическое ожидание времени контроллинга time control Хз 1 50 математическое ожидание времени обработки в узле timenode X4 1 50 предельная интенсивность контроллинга control limit x5 0.0 1.0 математическое ожидание времени между отказами узлов timecrash x6 200 2000 математическое ожидание времени восстановления исправности узла timerestore x7 50 200
С целью получения наиболее полной и достоверной информации о поведении ТКС с ДМ спланируем и проведем дробный факторный эксперимент с общим количеством наблюдений 2 . Согласно [135] план, построенный по такому способу, обладает свойствами симметричности, нормированности, ортогональности и ротатабельности, что обеспечивает повышение качества проводимого эксперимента. Матрица планирования дробного факторного эксперимента для 7-факторного случая и 32 наблюдений приведена в таблице 3.2.
Для вероятности недоставки сообщения функция «ЛИНЕЙН» возвращает массив, который описывает полученную прямую у\ (см. таблицу 3.5), где: se\, se2,..., sen - стандартные значения ошибок для коэффициентов т\, т2,..., тп; г2 -коэффициент детерминированности; sey - стандартная ошибка для оценки у; F -F-наблюдаемое значение; df- степени свободы; sspez -регрессионная сумма квадратов; ssocm -остаточная сумма квадратов.
Из анализа таблицы 3.5 видно, что коэффициент детерминированности г2 равен 0,9801..., что указывает на сильную корреляцию между независимыми пе 86 ременными и вероятностью недоставки сообщения. Используем F-статистику, чтобы доказать неслучайность получения результатов с таким высоким значением Гі. Положим вероятность ошибочного вывода о том, что имеется сильная зависимость, а= 0,05. Для получения критического значения F-распределения воспользуемся встроенной Ехсеї-функцией «FPACITOEP»: FKpum = 2,422628534... Значение F-наблюдаемое из таблицы 3.5 гораздо больше FKpum (169,1004 » 2,423), так что гипотеза об отсутствии связи между независимыми переменными и вероятностью недоставки сообщения отвергается. Аналогично для уравнений (3.3 - 3.5): 96,126 » 2,423; 34,717 » 2,423; 21,785 » 2,423.
Вычисленные с помощью встроенной Ехсеї-функцией «FPACIT» значения вероятностей получения наибольшего значения F также чрезвычайно малы: 7,6179Е-19; 5,40104Е-16; 4,70913Е-11; 6,01274Е-09.
Проведенные F-проверки позволяют сделать вывод, что полученные уравнения множественной линейной регрессии (3.2 - 3.5) можно использовать для предсказания значений вероятности недоставки сообщения, вероятности своевременной доставки, интенсивности контроллинга и среднего времени передачи сообщения.
Оценим влияние факторов на вероятность недоставки сообщения, для чего отобразим коэффициенты уравнения (3.2) в виде гистограммы (см. рисунок 3.5).
В результате графического анализа рисунка 3.5 установлено, на что prop fail - вероятность недоставки сообщения - факторы влияют следующим образом (см. таблицу 3.6). time_limit
То есть, наибольшее «положительное» (со знаком «+») влияние на вероятность недоставки сообщения по сети оказывает время обработки в узле: чем меньше производительность маршрутизатора, тем дольше передаются сообщения и тем больше у них «шансов» не уложиться в допустимое время передачи и «сойти с дистанции»,- что не противоречит здравому смыслу. Соответственно, собственно допустимое время передачи влияет на вероятность недоставки сообщения по сети «отрицательно» (со знаком «-»), но не так сильно. Предельная интенсивность контроллинга также увеличивает живучесть ТКС за счет увеличения количества доверенных маршрутизаторов и, в этом смысле, влияет на вероятность недоставки сообщения по сети «отрицательно».
«Отрицательно» на вероятность недоставки сообщения по сети влияет время между отказами: чем надежнее маршрутизаторы, тем меньше «шансов» у сообщения получить отказ в обслуживании и быть удаленным из сети,- правда это влияние относительно слабое. Практически на вероятность недоставки сообщения по сети не влияют: время восстановления узла, так как всегда можно перенаправить трафик на исправный (контролируемый) узел; аналогично - время контроллинга, так как доминируют в передаче трафика все же «штатные маршрутизаторы». По определению заданное время передачи сообщения никак не влияет на вероятность его недоставки по сети.
Оценим влияние факторов на вероятность своевременной доставки, для чего отобразим коэффициенты уравнения (3.3) в виде гистограммы (см. рисунок 3.6).
Вполне очевидно, что наиболее «положительное» влияние на вероятность доставки сообщения по сети за время, не менее заданного, оказывает собственно заданное время передачи. Надежность маршрутизаторов через время между отказами также «положительно» сказывается на «шансах» сообщения добраться до пункта назначения и, тем самым, на вероятности своевременной доставки, однако значительно слабее.
Также очевидно, что чем меньше производительность маршрутизатора, тем дольше передаются сообщения по сети и тем больше у них «шансов» не уложиться в заданное время, тем самым время обработки в узле оказывает сильное «отрицательное» влияние на вероятность своевременной доставки.
Практическое отсутствие влияния времени восстановления узла и времени контроллинга на вероятность своевременной доставки сообщения по сети имеет аналогичное (см. таблицу 3.7) объяснение. Что касается допустимого времени передачи, то оно не влияет на вероятность своевременной доставки сообщения по сети в силу «поглощения» заданного времени передачи.
Оценка информационной безопасности глобальных ТКС при использовании механизма ДМ
Согласно критичности типовых УИБ (таблица 3.13, рисунок 3.13) и влияния на них механизма ДМ (таблица 3.14) можно сделать следующие выводы. Во-первых, механизм ДМ не действует на угрозы с заведомо низким значением критичности, что не сильно снижает усредненную оценку механизма. Во-вторых, хотя угрозы сбоев технических средств и отказов ПО, лишь ослабляемые механизмом, и имеют высокую критичность, однако они, как правило, носят непреднамеренный характер и могут быть устранены соответствующими организационно-техническими мероприятиями (созданием резервных блоков питания, своевременным обновлением аппаратных элементов и ПО, применением электромагнитных экранов и т.п.). В-третьих, большинство всех угроз (10 из 16) полностью устраняется механизмом ДМ, что доказывает его достаточно высокую эффективность в борьбе с УИБ в глобальных ТКС.
Синтезированный ранее метод ДМ (Раздел 1-е использованием только «штатных» средств TCP/IP; Раздел 2-е использованием специализированных средств и системы управления) предназначен изначально для исследования свойств механизма ДМ и поэтому с точки зрения возможности организации «до 106 веренной сети передачи данных поверх недоверенной» обладает целым рядом недостатков.
Во-первых, он использует заведомо недостаточные по функционалу штатные средства, что приводит к необходимости разработки новых и их не всегда удачному согласованию с существующими (например, идентификации узлов с помощью внедрения агентов). Во-вторых, метод позволяет учесть лишь ряд требований к доверенному маршруту (например, его построение заново без возможности использования уже существующих, доверенных). И, в-третьих, при реализации метода никак не учитываются особенности его реального внедрения в существующую сеть.
Все эти недостатки существенно ограничивают возможность использования предложенного метода ДМ для организации «доверенной сети поверх недоверенной», что актуализирует задачу совершенствования реализации механизма ДМ и создания новых соответствующих алгоритмов и процедур.
Рассмотрим возможные подходы (варианты) к реализации механизма ДМ с учетом полученных новых знаний.
1) Одним из требований к методу реализации механизма ДМ является согласованное выполнение его этапов. Полярными вариантами здесь выступают централизованная диспетчеризация (см. п. 2.2) и децентрализованное функционирование. В первом случае отправка данных возможна только из центрального элемента (например, менеджера ДМ), который и берет на себя ответственность за построение и использования доверенного маршрута. Во втором, каждый из элементов сети может являться источником передаваемых сообщений и потому выступает равноправным элементом распределенной системы управления ДМ. Реализация механизма ДМ по второму варианту обладает большей универсальностью и отказоустойчивостью, однако реализуется более сложно и может инспирировать новые коллизии. В частности, экстренное прекращение передачи данных в случае компрометации маршрута для распределенного варианта представляется крайне нетривиальной задачей.
2) Процесс организации передачи данных по доверенным маршрутам может обладать различной степенью автоматизации; в этом контексте предложенный метод ДМ можно считать автоматизированным. Тем не менее управление процессом может быть смещено как в сторону большей автоматизации, так и быть более контролируемым оператором. Вариант механизма, при котором подготовкой данных для передачи, выбором доверенного маршрута, его контролем, мониторингом и проч. занимается построенная система будет считаться полностью автоматическим. Полярный, полностью ручной, вариант предполагает участие оператора на всех этапах. Реализация первого варианта необходима, когда требуется удобство и многократность использования механизма ДМ. Реализация второго - когда необходима высокая гарантия передачи отдельных блоков данных в условиях враждебной среды; тогда оператор должен полностью контролировать процесс, реагируя на возникающие угрозы и экстренно принимая ситуативные решения.
3) На текущий момент не существует полноценно работающих реализаций механизма ДМ, а особенности функционирования глобальной ТКС не предполагают его простого развертывания. Таким образом, возникает задача по внедрению механизма ДМ в сети TCP/IP. В зависимости от требований к параметрам такого внедрения, возможна как постепенная поддержка отдельными узлами сети механизма ДМ, так и построение новой подсети в рамках существующей, изначально поддерживающей этот механизм. Постепенное внедрение функционала ДМ в узлы сети может быть сопряжено с необходимостью нового функционала одних узлов сочетаться с функционалом менее безопасных и «конкурирующих» за сетевую среду других. Замена же целой группы узлов на поддерживающие механизм ДМ в случае возникновения ошибок в реализации или конфигурации нарушит работоспособность целого участка глобальной сети. Тем не менее, построенная и отлаженная таким образом подсеть будет более надежной и безопасной.
4) Несмотря на то, что наличие доверенного маршрута необходимо лишь на время передачи данных, его наличие до и после собственно передачи может быть применено для улучшения отдельных характеристик механизма ДМ. Так, под 108 держка актуального доверенного маршрута между отдельными передачами позволит как сократить время на его повторное создание, так и осуществлять мониторинг за состоянием безопасности сети. Первое следует из того, что будет отсутствовать этапы, подобные идентификации узлов и выбору доверенного маршрута. Второе же будет возможно по оценке отказов узлов и нарушению доверенности маршрута. Однако постоянная поддержка доверенного маршрута может быть не достаточно скрытной, а, следовательно, механизм ДМ будет сильнее подвержен атакам злоумышленника.
5) Поскольку в любой реализации механизма ДМ должно присутствовать управление маршрутом посредством транзитных узлов, то необходим специальный протокол (некий формализованный набор соглашений и форматов) такого управления. Протокол должен обеспечивать доставку маршрутизирующей информации узлам и результатов создания ими доверенного маршрута. Данные протокола могут являться частью передаваемых данных (а точнее, располагаться в отдельных секциях пакета, таких, как опция IP-пакета для задания маршрутизации от источника). Альтернативной такого расположения может быть создание отдельного канала управления маршрутизацией, с помощью которого перед началом передачи данных все транзитные узлы будут оповещены о том, как пакеты с данными необходимо перенаправлять.
Первый вариант можно считать более стандартным, поскольку он, скорее всего, будет использовать штатные сетевые средства - следовательно, он практически не потребует специальной реализации и может функционировать в существующей сетевой среде. Второй является более трудоемким и требуемым разработки дополнительного функционала. Например, для него необходимо будет решать задачу идентификации пакетов для того, чтобы маршрутизации подверглись только лишь требуемые передаваемые данные, а не все, проходящие через узел. Тем не менее, создание канала управления маршрутизацией сделает ее более гарантированной (поскольку канал априори будет поддерживать подтверждение принятия информации узлами) и даст большие возможности по ее управлению (например, позволит, как экстренно прекратить передачу или изменить ее маршрут для выбранного узла, так и узнать о состоянии последнего).