Корнієнко Б.Я., Дяченко О.С.,
Марголін М.В.
Національний авіаційний університет, Україна
Захист інформації в
інформаційно-комунікаційній мережі із забезпеченням якості обслуговування
В
останні роки персонал багатьох компаній відчуває необхідність в установці
мережевих підключень до центральних офісах для доступу до корпоративних баз
даних. Зростає попит на недорогі захищені підключення, встановлені між
віддаленими користувачами та офісами, або між офісами. Незважаючи на те, що
виділені канали та орендовані лінії зарекомендували себе як надійні і безпечні
засоби зв'язку, витрати на їх реалізацію не прийнятні для більшості компаній.
Широке
поширення мережі Інтернет разом з доступною вартістю її використання перетворює
Інтернет в економічно ефективне середовище передачі даних. Безпека даних в
такому середовищі передачі є актуальним завданням. Необхідно розробити
архітектуру системи захищеного доступу до корпоративної базі даних в мережі
Інтернет.
Наявність
інформаційного обміну між комп'ютерами мережі, призводить до того, що
досягнення інформаційної безпеки в комп'ютерних мережах включає дві базові
завдання:
-
захисту підключених до публічних каналах зв'язку локальних
мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього
середовища;
-
захисту інформації в процесі передачі по відкритих каналах
зв'язку.
Вирішення цих
завдань пов'язане із з'ясуванням причин виникнення уразливостей в
обчислювальних мережах і методах їх подолання [1-2].
На сьогоднішній день методи забезпечення інформаційної
безпеки можна розділити на дві категорії [1]:
- адміністративні;
- програмно-апаратні.
Адмінстративні
методи захисту є найбільш простими і дешевими методами захисту від
інформаційних руйнуючих дій.
Для захисту від
аналізу мережевого трафіку необхідно передбачити елементарний криптозахист
переданих по мережі ідентифікаторів (імен) і автентифікаторів (паролів). Тому
рекомендується не використовувати базові протоколи для віддаленого
авторизованого доступу до ресурсів обчислювальних систем.
Захист
від атак, направлених на використання алгоритмів віддаленого пошуку - на кожен
хост усередині сегмента встановити файл з таблицею відповідності ІР і
Ethemet-адрес, а також файл з таблицею відповідності IP-адрес іменам хостов.
Тоді у мережевих ОС відпадає необхідність у використанні віддаленого
ARP-пошуку. Це також частково вирішить проблему віддаленого DNS-пошуку.
Захист
від відмови в обслуговуванні. У зв'язку з тим, що на даний момент неможливий
контроль за маршрутом повідомлення в мережах стандарту IPv6, існує тільки один
варіант захисту від даної загрози - використовувати як можна більш потужні
комп'ютери. Чим більше число і частота роботи процесорів, чим більший об'єм
оперативної пам'яті, тим більш надійною буде робота мережевої операційної системи,
коли на неї обрушиться спрямований шторм помилкових запитів на створення
з'єднання. Крім того, необхідно використовувати операційні системи з
внутрішньої чергою, здатної вмістити велику кількість запитів на підключення.
Захист
від атак, пов’язаних з недоліками в системі автентифікації. При
взаємодії об'єктів мережі необхідно завжди встановлювати віртуальний канал
передачі повідомлень, а в якості базового «захищеного» протоколу
використовувати протокол TCP і мережні ОС, в яких початкове значення
ідентифікатора TCP-з'єднання дійсно генерується випадковим чином.
Програмно-апаратні
методи захисту. До програмно-апаратних засобів забезпечення інформаційної
безпеки засобів зв'язку в обчислювальних мережах відносяться:
- програмно-апаратні
шифратори мережевого трафіка;
- Firewall
- прилади, реалізовані на базі програмно-апаратних засобів.
Firewall-пристроєм
називається програмно-апаратний засіб, здатний реалізувати принаймні одну з
наступних функцій:
- багаторівнева
фільтрація мережного трафіку;
- Proxy-схема з
додатковою ідентифікацією й аутентифікації користувачів на Firewall-хості;
- створення
приватних мереж з «віртуальними» IP-адресами.
Зі зростаючою популярністю
Інтернету пропускна здатність багатьох мереж знижується до критичних позначок.
Ця проблема особливо актуальна в мережах із загальним середовищем передачі,
таких як Ethernet, оскільки в них весь трафік обробляється однаково, і навіть
один додаток може переповнити мережу. Якість обслуговування (Quality of
Service, QoS) — це набір компонентів, що допускає диференціацію і кращу обробку
даних в мережі. QoS-сумісна мережа:
-
запобігає зловживанням
мережевими ресурсами з боку неадаптованих протоколів (таких, як UDP);
-
оптимально розподіляє
ресурси між негарантованим (best-effort) трафіком, а також трафіком з високим
або низьким пріоритетом;
-
резервує ресурси для
користувачів, що мають права;
-
визначає черговість
доступу до ресурсів для різних користувачів.
Generic Quality of Service (GQoS) -
це реалізація QoS фірмою Microsoft. Протокол ATM також допускає використання служби
QoS, оскільки вона вбудована в нього спочатку.
Для роботи QoS необхідно:
- пристрої в мережі, такі, як
маршрутизатори і комутатори, знайомі з цією диференціацією служб;
- локальні робочі станції, здатні
визначати пріоритетність трафіку, який вони поміщають в мережу;
- компоненти політики безпеки: кому
і в якому розмірі дозволено використовувати наявну пропускну здатність;
- протокол резервування ресурсів
(Resource Reservation Protocol, RSVP) — сигнальний протокол, використовуваний
для зв'язку між QoS-відправниками та QoS-приймачами.
Протокол RSVP пов'язує воєдино
компоненти мережі, додатки і параметри політики безпеки. Він передає запити
резервування ресурсів по мережі, які можуть складатися з різних середовищ
передачі. RSVP передає QoS-запити користувачів всім мережевим пристроям,
дозволяючи їм резервувати ресурси. У результаті вузли мережі вказують, чи
відповідає мережа потрібному рівню обслуговування.
RSVP резервує мережеві ресурси,
задаючи наскрізні потоки в мережі. Потік — це мережевий шлях, пов'язаний з
одним або декількома відправниками, одним або декількома приймачами і певним
рівнем QoS. Вузол, що відправляє дані, які потребують певний рівень
обслуговування, відправляє передбачуваному приймачу або приймачам повідомлення
PATH з вимогами до пропускної здатності. Відповідні параметри передаються по
шляху передбаченим приймачам.
Приймаючий вузол, зацікавлений у
цих даних, резервує ресурси для потоку (і весь шлях від відправника), посилаючи
відправнику повідомлення RESV(резервувати). Після цього проміжні RSVP-пристрої
визначають, чи можуть вони виконати вимоги до пропускної здатності і чи має
користувач право запитувати ці ресурси. Якщо відповідь в обох випадках
позитивна, кожний з пристроїв резервує ресурси і передає відправнику повідомлення
RESV.
Коли відправник отримує
повідомлення RESV, починається передача даних QoS. Періодично кожна кінцева
точка всередині потоку посилає повідомлення PATH і RESV, щоб підтвердити
резервування і отримати мережеву інформацію про зміни пропускної здатності.
Періодичне оновлення повідомлень PATH і RESV також дозволяє протоколу RSVP
залишатися динамічним і «на льоту» виявляти кращі (наприклад, більш швидкі)
маршрути.
Слід зазначити,
що це одностороннє резервування, навіть якщо додаток запрошує пропускну
здатність і для передачі, і для прийому. Один сеанс ініціалізується для вимог
передачі, інший - для вимог прийому.
Література
1.
Корниенко Б.Я. Информационная безопасность и технологии компьютерных сетей
: монография / Б.Я. Корниенко // ISBN 978-3-330-02028-3, LAMBERT
Academic Publishing, Saarbrucken, Deutschland. − 2016. – 102 с.
2. Корниенко
Б.Я. Кибернетическая безопасность – операционные системы и протоколы / Б.Я. Корниенко // ISBN 978-3-330-08397-4, LAMBERT
Academic
Publishing,
Saarbrucken,
Deutschland.
− 2017. – 122 с.