Развитие атак типа отказ в обслуживании в распределённых инфокоммуникационных системах и методы их обнаружения

При проведении аутентификации протоколами TLS используется инфраструктура публичных ключей (Public Key Infrastructure, PKI) и технология асимметричной криптографии.Расшифровка трафика при отсутствии на стороне злоумышленника приватных ключей также может реализовываться с использованием технологий атак на криптографические системы. В силу того, что внешние атаки на криптосистемы требуют больших временных затрат и вычислительных мощностей, реализация атак возможна только с объектами информации, которые имеют соответствующую стоимость.Хотя с увеличением размера ключей возрастает необходимое время на расшифровку данных, полной гарантии защиты передаваемых давать нельзя.Системы VipNet предполагают следующие варианты авторизации пользователей в системе [8]:вход с использованием предустановленного ключа (наиболее простой метод);вход с использованием сертификата;авторизация через ввод логина и пароля.Выпуск сертификатов производится удостоверяющими центрами. Заверение сертификатов, производится аккредитованными доверенными организациями, выполняющими роль удостоверяющих центров.Создание открытых ключей, предоставляемых для публичного использования, могут производить компании, имеющие аккредитацию на ведение данной деятельности и имеющие опубликованный открытий ключ, доступный для абонентов системы файлового обмена в криптографических системах.Если сеть VPN разворачивается для решения задач внутреннего документооборота, то создается самостоятельный удостоверяющий центр, выпускающий самоподписанные сертификаты. Полномочия таких сертификатов не выходят за пределы компании, соответственно их использование возможно только в системах внутреннего документооборота.Самоподписанные сертификаты в системе VipNet используются как публичные ключи, посредством которых на узлах сети VPN производится шифрование трафика. Для расшифровки данных в данном случае используются приватные ключи.Создание сертификатов производится в соответствии со стандартом X.509. Данный стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями.В системе реализована автоматизированная система оборота сертификатов.Подсистемы системы защиты передачи данных в беспроводных сетях включают[22]:Клиентскую часть, устанавливаемую на сетевых узлах, которая обеспечивает возможности установки связи с сервером администрирования и защиту передаваемых данных путем шифрования и фильтрации сетевых пакетов по правилам, установленным на стороне администратора;Серверную часть (Координатор), которая производит фильтрацию передаваемого трафика за пределы локальной сети;Консоль Администратора, используемую для создания правил фильтрации трафика, использования алгоритмов шифрования, управление рабочими местами пользователей, подключаемыми учетными записями.В системе обеспечено предоставление следующих сервисов [17]:Режима внутреннего обмена сообщениями и файлами, в которой обеспечивается выполнение требований к защите;Режима работы с корпоративным защищенным сервером электронной почты;Возможности автоматизации файлового обмена по FTP (настройка правил пересылки файлов определенным группам абонентов, которые настраиваются в соответствии с масками файлов). На рисунке 29 приведен пример настройки фильтрации трафика.Рисунок 32 – Настройки фильтрации трафикаНа рисунке 30 приведен режим ввода новых фильтров для работы сети VipNet.Рисунок 33 - Режим ввода новых фильтров для работы сети VipNetСистема VipNet позволяет проводить настройку сетевых протоколов.Рисунок 34 – Настройка сетевых протоколов3.3. Использование системы«Континент» для защиты от внешних программно-математических воздействийОсновной функцией аппаратно-программного комплекса шифрования (АПКШ) «Континент» является обеспечение безопасности передачи данных через общедоступные (незащищенные) сети посредством использования криптографических методов, что предполагает передачу данных через открытые каналы зашифрованном виде. В АПКШ «Континент» входят компоненты, посредством которых обеспечивается удаленный доступ пользователей к информационным ресурсам защищенной корпоративной сети с сетевых узлов, находящихся в удаленных сегментах сети. Для получения доступа к информационным ресурсам необходимо установить клиентскую часть системы «Континент-АП», которая позволяетустановить соединения с удаленными серверами с проведением проверки пользовательских полномочий. В системе, в которую проведена установка АПКШ «Континент», проводится установка виртуального сетевого устройства, настройки которого проводятся администратором.Для получения сертификата ключа аутентификации «Континент-АП» необходимо выполнить: - Сформироватьзакрытый ключ аутентификации, файл запроса на получение сертификата аутентификации; -Передать заявку и запрос на получение сертификата ключа аутентификации на Сервере доступа;-установить полученный сертификатав клиентскую часть системы Континент-АП. Шифрование канала проводится как с использованием собственного криптопровайдера «Континент-АП», либо с подключением криптографических модулей системы «Крипто-Про».Основные возможностии системы «Континент» [6]:Наличие модуля криптографической защиты данных;Передача трафика в зашифрованном виде реализована с использованием российских криптографических алгоритмов в рамках требований ГОСТ 28147-89 в режиме гаммирования с обратной связью.Возможность аутентификации / идентификации удаленных пользователейВозможность идентификации и аутентификации удаленных пользователей при установке соединения между абонентскими пунктами и сервером доступа "Континент" с использованием сертификатов открытых ключей. Реализация схемыоснована на сертификатах стандарта X.509. Возможно использованиедвух вариантов работы с сертификатами: в качестве доверенного центра сертификации использование сервера доступа –и доверенного центра- внешнего центра сертификации. Также возможна интеграция с «УЦ КриптоПро».Наличие модуля поддержки ключевых носителей различного видаВозможно использование в качестве ключевых носителей различных видов накопителейСуществует возможность хранения ключей на сертифицированных носителях.Возможность предоставления удаленного доступа пользователей к ресурсам защищаемой сети через шифрованные каналыВозможность подключения пользователей с мобильных устройств;Обеспечение приемлемых скоростных характеристик при шифровании канала Возможность поддержки динамически назначаемых IP-адресов.Возможность назначения правил фильтрации и прав доступа пользователей к информационным ресурсам защищенной сети.Прозрачный обмен трафиком с защищенными сегментами сети для любых прикладных приложений (в том числе VoIP и видеоконференций).Доступ как по выделенным, так и коммутируемым каналам связи с использованием различных способов подключения к сети Интернет посредством технологий: Dial-UP, xDSL, выделенная линия, Wi-Fi, GPRS, 3G, WiMAX, спутниковые каналы связи.Наличие интегрированного межсетевого экрана3.4. Обеспечение защиты от внешних атак с помощью DLP-системОбеспечение эффективной защиты возможно при использовании проактивных модулей защиты (DLP-системы), реактивных модулей (работающих с архивом событий), а также административных компонент, посредством которых возможен учет событий, связанных с защитой информации в системе.Посредством проактивных технологий проводится анализ потоков информации и блокировка / протоколирование фактов, связанных с попытками передачи защищаемых данных.С помощью реактивных модулей обеспечиваются возможности протоколирования и архивации сведений при обнаружении фактов утечек информации за пределы корпоративной сети или несанкционированного копирования на неучтенные носители. Также имеются возможности работы с журналом событий, включая проведение выборок по пользователям, типам событий, времени фиксации.Функционал, связанный с контролем активности пользователей, позволяет вести мониторинг и оперативно реагировать на попытки несанкционированной передачи или копирования информации.Функционал, связанный с управлением системой, предполагает проведение настроек мониторинга, учет защищаемых ресурсов, критериев обнаружения инцидентов информационной безопасности. Программное обеспечение класса DLP, обеспечивает возможности точного сравнения данных, работу с шаблонами ключевых фраз, организацию файлового хранилища для помещения в карантин данных, подозрительных на наличие в передаваемой информации защищаемых ресурсов. Рассмотрим принципы классификации DLP-систем.Для внедрения того или иного решения класса DLPнеобходимо обеспечить его максимальное соответствие системной архитектуре предприятия. Системы класса DLPклассифицируются на активные, пассивные и комбинированные.В пассивных DLP-системах анализ событий происходит постфактум, отсутствуют возможности своевременного блокирования событий, но при этом имеется полный набор инструментов анализа протоколов с выводом полной информации об инциденте.Использование данного типа систем эффективно, когда более важно определение источника утечки информации, чем проведение блокировки активности злоумышленника. Системы проводят анализ аккаунтов в системах электронной почты, мессенджерах, используют снифферы, анализаторы трафика.Системы копируют сообщения в специальный архив и далее проводят полный анализ их атрибутов (дата, отправитель, получатель, контент, характер передаваемого сообщения, уровень конфиденциальности). В активных DLP-системах реализован сервис блокировки данных при обнаружении признаков утечки. В настройках системы определяется критерий отнесения данных к запрещенным для передачи. Весь трафик, выходящий за пределы локальной сети компании, проходит через анализатор, который имеет возможности контроля и фильтрации. Недостаток использования системы – замедление работы приложений, работающих с внешними Интернет-ресурсами, а также недостаточный набор инструментов для анализа трафика. Для обучения сотрудников работе защищаемой информацией в некоторых DLP-системах возможна настройка работы с уведомлениями, которые отсылаются пользователям при попытке передачи запрещенных данных. Комбинированные DLP-системы востребованы в случаях, когда нужен одновременно и подробный анализ трафика и своевременная блокировка передачи данных. В данном случае активная часть системы проводит фильтрацию трафика, подозрительного на наличие передачи запрещённых данных, пассивный компонент проводит анализ с формированием отчета для администратора о обнаружении признаков утечки конфиденциальных данных. На рисунке 4 приведена архитектура комбинированной DLP-системы.Рисунок 35 – Схема архитектуры комбинированной DLP-системыРабота систем DLPвключает использование алгоритмов выявления прецедентов утечки информации различного вида: вероятностных, детерминистских, комбинированных. Вероятностные алгоритмы производят лингвистический анализ передаваемых данных, сканируют их «цифровые отпечатки». Алгоритмы в данном случае не требуют значительных вычислительных мощностей, но при этом результат анализа не гарантирует полноты проведения анализа трафика по признакам утечки конфиденциальной информации. Использование детерминированного подхода (анализ меток файлов), обеспечивает надежность выявления признаков утечки информации, при этом данные алгоритмы не обладают достаточным уровнем гибкости. Посредством комбинированных алгоритмов возможно проведение анализа среды хранения информационных ресурсов и мониторинга процесса обработки данных, что обеспечивает возможности получения оптимального эффекта при выявлении фактов утечки информации и соблюдения требований к защищенности при хранении данных. При анализе данных в DLP-системах используются алгоритмы контекстного и лингвистического анализа, работы с цифровыми отпечатками, сопоставления файловых ресурсов с шаблонными, работы с регулярными выражениями и словарями. Работа с шаблонами и словарями эффективна в некоторых областях, например, при контроле платежных реквизитов, номеров документов и идентификаторов другого вида [17].При использовании контекстных и лингвистических алгоритмов проводится построение статистических отчетов, анализируются морфологические признаки содержимого передаваемых файлов, анализируется контекст, категория получателя данных. Указанный алгоритм является эффективным при работе с для динамическими данными. При работе с цифровыми отпечатками проводится анализ атрибутов файлов, информации о времени создания, владельце, версии, контрольной сумме. Настройка активных DLP-систем предполагает, что весь исходящий трафик проходит через модуль анализа, который осуществляет поиск признаков запрета на передачу контента с использованием алгоритмов [20]:Анализасигнатур через поиск в массиве данных признаков запрещенной информации например, по наличию текста, внесенного в специальный словарь, с которым проводится сверка;Лингвистические алгоритмы работают с словоформами, проводят анализ всего потока текста (через расчет уровня встречаемости определенных слов);Работа с цифровыми отпечатками предполагает контрольных сумм передаваемых файлов;Использование регулярных выражений предполагает возможности поиска схожих шаблонов и форматов передаваемых данных (например, при передаче СНИЛС, ИНН, платежных реквизитов);Метки - установка на файлы, содержащие конфиденциальную информацию, специальных «меток»;Алгоритмы искусственного интеллекта в DLP-системах обеспечивают возможности обучения системы в целях выявления объектов, имеющих признаки передачи конфиденциальных сведений. Схема контроля трафика с помощью DLP-системы показана на рисунке 5.Рисунок 36 - Схема контроля трафика с помощью DLP-системыНа рисунке 6 приведена схема архитектуры DLP-системы.Рисунок 37 – Схема архитектуры DLP-системыМетод стоп-слов предполагает вычисления количество выявленных в потоке данных последовательностей символов, внесенных администратором в словарь, содержащий признаки конфиденциальности. При превышении определенного порога частоты трафик приобретает признак подозрения на наличие запрещенного контента.Выводы по разделуРассмотрев технологию обеспечения защиты распределенных систем на платформе Lotus, было показано, что на каждом из сервером в древовидной архитектуре эффективно использовать систему класса DLP, которая осуществляет анализ проходящего через систему трафика с использованием специализированных алгоритмов. При этом особенности архитектуры показывают, что данные меры не создают дополнительной нагрузки на сервер и не снижает производительность его работы.ВыводыСравнительная характеристика систем VipNetи Континент показывает схожесть технологий в части обеспечения защиты трафика, возможности подключения к ресурсам корпоративных сетей из удаленных площадок, возможность хранения ключей на сертифицированных ключевых носителях. Отличие систем – в «Континент» имеется поддержка внешнего криптопровайдера «Крипто-Про». Система VipNetработает некорректно, если на рабочей станции используется несколько криптографических систем. Таким образом, более универсальной для обеспечения защиты каналов связи и шифрования является система «Континент».ЗаключениеВ рамках данной работы проведен анализ систем обеспечения защиты ресурсов распределенных сетей от атак на отказ в обслуживании. Специфика проведения внешних атак связана со сложностью обнаружения, а успешная реализация атаки может привести к краже персональных данных, а также оперативной информации.В теоретической части работы проведен анализ алгоритмов проведения сетевых атак, классификация признаков реализации атак на отказ в обслуживании. Показано, что проведение атак на распределенные системы может привести как к отказам в работе прикладных программных систем, так и к невозможности проведения обмена данными между сегментами ИТ-инфраструктуры. Отсутствие возможности обмена данными между сегментами распределенных систем не позволяет получать консолидированную информацию, проводить ее актуализацию, что создает сложности в выполнении операций, связанных с должностными функциями специалистов предприятий.В качестве механизмов защиты от атак на отказ в обслуживании рассматриваются:настройка сетевого оборудования, установленного между корпоративной сетью и внешними сетевыми ресурсами;использование систем фильтрации трафика;использование систем шифрования трафика;использование VPN-систем.Список использованных источниковАтаки MITM. Алгоритмы защиты. [Электронный ресурс]. Режим доступа: https://www.kaspersky.ru/blog/chto-takoe-chelovek-poseredine/740/ (Дата обращения 20.10.2021)HTTPS Everywhere. Описание. Электронный ресурс]. Режим доступа: https://download-browser.ru/https-everywhere/ (Дата обращения 20.10.2021)Сетевая защита информации. [Электронный ресурс]. Режим доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/Сетевые атаки и их виды. [Электронный ресурс]. Режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-ataka (Дата обращения 20.10.2021)Сетевые атаки и их виды. [Электронный ресурс]. Режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-ataka(Дата обращения 20.10.2021)СКЗИ «Континент-АП». Общая характеристика. [Электронный ресурс]. Режим доступа:https://www.securitycode.ru/products/skzi-kontinent-ap/Аникин Д. В. Информационная безопасность и защита информации: учебное пособие / Д.В. Аникин. - Барнаул: Изд-во Алтайского государственного университета, 2018. - 196 с.Ахметов И. В., Карабельская И. В., Губайдуллин И. М., Сафин Р. Р. Моделирование бизнес-процессов: учебное пособие. - Уфа: Уфимский государственный университет экономики и сервиса, 2015. - 67 с. Бабиева Н. А., Раскин Л. И. Проектирование информационных систем: учебно-методическое пособие / Н. А. Бабиева, Л. И. Раскин. - Казань: Медицина, 2014. – 200с.Баранников Н. И., Яскевич О. Г. Современные проблемы проектирования корпоративных информационных систем / Н. И. Баранников, О. Г. Яскевич; ФГБОУ ВПО "Воронежский гос. технический ун-т". - Воронеж: Воронежский государственный технический университет, 2014. - 237 с. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта : УГТУ, 2016. - 69 с.Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сГорев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва : ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Никифоров С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова. - Хабаровск : Изд-во ТОГУ, 2018. – 81с.