На правах рукописи
Усов Павел Андреевич
ЗАЩИТА ДАННЫХ ОТ УТЕЧКИ ПО СКРЫТЫМ ЛОГИЧЕСКИМ КАНАЛАМ В ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ
Специальность 05.12.13 - УСистемы, сети и устройства телекоммуникацийФ
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата технических наук
Москва - 2011
Работа выполнена на кафедре УЭлектронно-вычислительные средства и информатикаФ Московского авиационного института (национального исследовательского университета).
Научный консультант: кандидат технических наук, доцент, Бутко Анатолий Иванович
Официальные оппоненты: доктор технических наук, профессор, Куприянов Александр Ильич кандидат технических наук, доцент, Медведев Николай Викторович
Ведущая организация: Открытое акционерное общество УКонцерн радиостроения УВегаФ
Защита состоится 20 марта 2012 г. в 10 ч. 00 мин. на заседании диссертационного совета Д212.125.02 при Московском авиационном институте (национальном исследовательском университете), расположенном по адресу: 125993, г. Москва, Волоколамское шоссе, д. 4 в зале заседаний Ученого совета.
С диссертацией можно ознакомиться в библиотеке Московского авиационного института (национального исследовательского университета).
Автореферат разослан 17 февраля 2012 г.
Отзывы и замечания по автореферату в двух экземплярах, заверенные печатью, просьба высылать по вышеуказанному адресу на имя ученого секретаря диссертационного совета.
Ученый секретарь диссертационного совета, к.т.н., доцент А.М. Петраков
Общая характеристика работы
Актуальность темы. При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи для некоторого заранее определенного разработчиками круга угроз.
Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды и Интернет, а также повсеместное внедрение информационных технологий уже не позволяет рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации, сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании традиционных методов обеспечения безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые угрозы безопасности, которые ранее подробно не изучались или их реализация считалась не возможной.
В настоящее время особенно актуальны обозначенные проблемы при создании территориально распределенных сетей. Так как в итоге указанные проблемы способны проявить себя в виде угроз качественно нового уровня. Такие угрозы характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов сетей между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате, даже небольшое повышение уровня безопасности требует серьезного совершенствования подходов к методам защиты информации и научном обосновании принимаемых решений.
К таким угрозам качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к локальным системам в контексте обеспечения конфиденциальности, целостности и доступности. Поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов.
Угрозы со стороны скрытых логических каналов направлены на нарушение конфиденциальности информации.
Современные методы защиты и требования нормативных документов, основанные на стратификации множества угроз по уровням секретности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде. При этом решения, найденные с использованием подобных методик, сильно ограничивают функциональные возможности защищаемой сети. Этот факт особенно остро ставит, помимо вышеуказанных, также задачу разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.
Цель работы. Определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарущения конфиденциальности информации в распределенных телекоммуникационных сетях Решенные задачи. Для достижения обозначенной цели необходимым оказалось решение следующих задач:
Х Проведение анализа существующих моделей и методов обеспечения безопасности для уточнения причин, приводящих к организации скрытых логических каналов.
Х Проведение поиска скрытых логических каналов в обобщенной модели распределенной телекоммуникационной сети.
Х Разработка сценария реализации скрытого логического канала и способа передачи по нему информации.
Х Изучение особенностей передачи данных по скрытому логическому каналу, возникающему в телекоммуникационных сетях работающих с перегрузкой и определение характеристик такого канала.
Х Проведение анализа нормативных документов и определение уровня угрозы утечек данных по скрытым логическим каналам.
Х Изучение принципов управления информационными потоками в современном сетевом оборудовании и создание методики работы эффективного средства защиты.
При решении задачи поиска скрытых логических каналов была разработана обобщенная модель распределенной телекоммуникационной сети и стандартной политики безопасности, на основе которых проводился анализ безопасности связанных систем в целом и их проверки на наличие скрытых логических каналов.
Полученные результаты позволили проанализировать принципы несанкционированной передачи информации в обход стандартной политики и на их основе разработать модель скрытого логического канала. Созданная модель скрытого логического канала позволила теоретически обосновать и доказать работоспособность предложенного метода противодействия утечкам, а также определить основные подходы к созданию эффективного средства защиты.
В результате проведенных исследований было разработано программное обеспечение, позволяющее осуществить взаимодействие передающего и принимающего процессов для организации скрытого логического канала и передачи по нему данных, а также набор конфигурационных сценариев, реализующих метод противодействия утечкам по скрытым логическим каналам. Был проведен эксперимент по имитации скрытого логического канала и его парированию. Эксперимент доказал работоспособность созданного средства защиты в условиях его применения в сетях общего доступа. На основе положительных результатов эксперимента были разработаны рекомендации по внедрению методик защиты и использованию в распределенных телекоммуникационных сетях.
Методы исследований. В процессе решения поставленных задач и анализе результатов эксперимента использовались научные методы описания модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.
Достоверность полученных результатов обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.
Научная новизна работы заключается в следующем:
Х На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях.
Х Создана методика исследования и обнаружения скрытых каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и невмешательства.
Х Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.
Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.
Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.
Публикации. По теме диссертационной работы опубликованы 4 печатные работы в журнале УВопросы защиты информацииФ.
Основные положения выносимые на защиту Х Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD.
Х Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности.
Х Для парирования угроз несанкционированного доступа по крытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика.
Х Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.
Объем и структура работы Объем работы составляет 161 страниц печатного текста, включая 28 рисунков, 4 таблицы, а также список использованной литературы из 108 наименований. Работа состоит из введения, четырех глав, списка использованной литературы и трех приложений.
Содержание работы Во введении приводится обоснование актуальности создания средства защиты телекоммуникационных сетей, объединяющих распределенные вычислительные среды, от скрытых логических каналов, сформулированы цель и задачи исследований, определена научная новизна и практическая ценность работы, указан ее общий объем, дана информация о ее структуре и перечислены полученные результаты.
В первой главе производится обзор широко применяющихся в настоящее время методов защиты информации, различных политик разграничения доступа и моделей информационной защищенности. Среди них особое внимание уделяется политикам Харрисона - Руззо - Ульмна, Белла - ЛаПадула, а также моделям невыводимости и невмешательства. Приводятся их концептуальные основы, обоснования и анализируются особенности работы. Кроме этого делаются выводы о целесообразности рассмотрения скрытых логических каналов в контексте рассматриваемых политик безопасности распределенных телекоммуникационных систем.
В настоящее время, защита телекоммуникационных сетей строится с использованием двух основных типов политик разграничения доступа - дискреционных и мандатных. Основное назначение таких политик - это защита от несанкционированного доступа, однако в каждой из политик она реализуется на основе своих принципов. Политики описываются при помощи отношений субъект - объект и двух базовых операций чтения и записи.
Эти политики имеют одно очень важное отличие - в дискреционной политике правами доступа управляет пользователь, а в мандатной сама система.
В результате при несанкционированном доступе, в случае использования в ней дискреционной политики, злоумышленнику будет достаточно установки стандартными средствами необходимых ему прав для доступа к требуемой информации. В случае же применения мандатной политики, выполнение деклассификации объекта подобным образом окажется невозможным и его перенос на более низкий уровень потребует поиска иных методов, позволяющих действовать в обход системы безопасности.
Соответственно, дискреционная политика разграничения доступа является уязвимой к простым и чрезвычайно популярным сегодня атакам Утроянским конемФ, поскольку вредоносный код, запущенный от имени пользователя, может без ограничений со стороны операционной системы установить все необходимые злоумышленнику права. В системах с мандатным разграничением доступа используется более сложная уязвимость - скрытые логические каналы.
Для анализа скрытых логических каналов в настоящее время применяются две модели - модель невыводимости и модель невмешательства. Первая из них позволяет выявить, имеет ли низкоуровневый субъект возможность определения последовательности операций, исполняемых на высоком уровне, а вторая показывает оказывают ли операции выполняемые на высоком уровне влияние на результат операций исполняемых на низком. С точки зрения этих моделей, информационная система является безопасной от угроз со стороны скрытых логических каналов, когда анализ системы на соответствие обоим моделям дает положительный результат.
В работе, анализ информационной системы на соответствие этим моделям выполняется на основе рассмотрения ее внутренних состояний для субъектов работающих на разных уровнях секретности. Согласно модели Белла - ЛаПадула, в такой системе высокоуровневый субъект имеет доступ на чтение всех объектов, в то время как низкоуровневый может читать только объекты доступные для его уровня доступа. Для обоих субъектов определяется множество операций, вызывающих изменение состояния этих объектов.
Так, с точки зрения модели невыводимости, система будет безопасной только тогда, когда выполнение некоторой последовательности команд на высоком уровне не будет изменять ее состояние, фиксируемое на низком уровне или когда наблюдать за изменением ее состояния окажется невозможным. Но если если это условие не выполняется, то высокоуровневый субъект может вмешаться в работу низкоуровневого. Для ликвидации этого эффекта моделью невмешательства предусматриваются специальные нормализующие последовательности команд, исполнение которых удаляет весь нежелательный вывод в системе.
На основании выполненного обзора были сделаны выводы о том, что рассмотрение скрытых логических каналов в распределенных системах использующих дискреционные политики разграничения доступа, построенные на основе модели Харрисона - Руззо - Ульмана, является нецелесообразным. В случае использования в них мандатного контроля на основе модели Белла - ЛаПадула, анализ и обеспечение их безопасности необходимо проводить в соответствии с моделями невыводимости и невмешательства.
Во второй главе проводится анализ основных подходов к созданию распределенных телекоммуникационных сетей и различных способов реализации в них скрытых логических каналов. Большое внимание уделяется рассмотрению классификации и основных характеристик скрытых логических каналов а также причин приводящих к их появлению. Приводятся методы идентификации и парирования скрытых логических каналов в соответствии с требованиями нормативнымх документов по защите информации.
Распределенная информационная система - это связанная совокупность независимых узлов, линий связи, источников и потребителей информации, совместно реализующих задачи информационного обмена. Так, в зависимости от решаемых задач и характеристик распределенных систем, они будут иметь разные показатели безопасности. При этом, в настоящее время повышение этих показателей до самых высоких уровней неизменно связывается с анализом системы на наличие в ней скрытых логических каналов.
Рисунок 1 - Схема скрытого логического канала передачи данных Скрытыми логическими каналами называются такие каналы, которые позволяют производить передачу данных с нарушением применяемой политики безопасности. Как правило, реализация скрытых логических каналов оказывается возможной за счет использования различных объектов системы, которые изначально не предназначались для передачи информации.
Обобщенная схема скрытого логического канала показана на рис. 1. Она состоит из передатчика и приемника, работающих на разных уровнях секретности, используемых ими кодеров и декодеров, объекта системы, использующегося для обмена блоками информации, и источников шума.
Скрытые логические каналы можно классифицировать по следующим признакам:
Х По типу использования разделяемого ресурса - скрытые логические каналы по хранению и скрытые каналы по времени.
Х По виду синхронизации - синхронные скрытые логические каналы и квазисинхронные скрытые логические каналы.
Х По наличию шума - скрытые логические каналы без шума и скрытые логические каналы с шумом.
Х По типу передачи данных - последовательные скрытые логические каналы и параллельные скрытые логические каналы.
Х По виду защиты от ошибок - скрытые логические каналы без избыточности и скрытые логические каналы с наличием избыточности.
Х По виду защиты от противодействия - скрытые логические каналы без резервирования и скрытые логические каналы с резервированием.
В качестве основных причин приводящих к появлению скрытых логических каналов можно выделить следующие:
1. Значительное повышение сложности технической реализации современных вычислительных систем, приводящей к тому, что исполнение сложных операций начинает приводить к конфликтам при доступе к определенным объектам распределенной системы, которые в таком случае могут быть использованы в роли разделяемых ресурсов.
2. Ошибки или неточности при формулировке политик безопасности, в результате которых появляются пути для УлегальнойФ деклассификации информации, как например в широко известной проблеме системы Z.
3. Намеренное разрешение изначально запрещенных политикой безопасности потоков служебной информации, необходимых для функционирования современных клиент-серверных протоколов.
На основе анализа этих причин были разработаны различные методы поиска и идентификации скрытых логических каналов, наибольшую популярность из которых в виду высокой результативности и эффективности получили методы синтаксического анализа, матрицы разделяемых ресурсов и анализа на невыводимость и невмешательство. При этом исследование информационной системы любым из перечисленных методов заключается в построении ее модели и дальнейшем анализе для выявления разделяемых ресурсов и других путей утечки данных.
Защита распределенных систем и парирование всех найденных скрытых логических каналов может выполняться двумя основными способами - удалением всех тех объектов вычислительной системы, которые могут использоваться в роли разделяемых ресурсов, либо функций приводящих к их активации. Однако главным недостатком такого подхода является то, что его применение может оказаться невозможным в случае, когда удаляемые объекты или функции предназначены для решения основных задач защищаемой системы.
Тем не менее, при невозможности изменения структуры и функциональных характеристик информационной системы, для парирования скрытых логических каналов также можно использовать способ основанный на понижении их пропускной способности. В этом случае результат достигается при помощи генерации шума за счет случайного использования объектов, являющихся разделяемыми ресурсами, а также создания задержек при выполнении потенциально опасных операций. Очевидно, что при реализации защиты этим методом, полной ликвидации угрозы утечек информации не происходит.
По результатам изучения особенностей реализации скрытых логических каналов и методов противодействия утечкам информации, был сделан вывод о том, что повышение эффективности борьбы со скрытыми логическими каналами можно достигнуть путем разработки нового метода защиты, лишенного недостатков свойственных общепринятым подходам к этой проблеме. В частности, такой метод должен учитывать специфику реализации канала для минимизации влияния средств защиты на функциональность распределенной системы, а также включать оценку его качества, что позволит сформировать адекватный угрозе комплекс мер противодействия.
В третьей главе подробно рассматриваются факторы, влияющие на пропускную способность скрытых логических каналов, a также различные методы ее теоретической оценки.
Для оценки уровня угрозы, представляемой скрытыми логическими каналами, определяется их максимальная пропускная способность. В настоящее время известно несколько различных методов такого исследования скрытых логических каналов. В соответствии с ними, любой скрытый логический канал рассматривается как канал без шума с пренебрежимо малым временем установления синхронизации между единственными процессами приема и передачи.
Изменение состояния разделяемого ресурса для передачи данных производится в соответствии с графом рис. 2.
Рисунок 2 - Граф скрытого логического канала Пропускная способность канала передачи данных определяется соотношением log2 N(T ) C = lim (1) T T где N(T ) - число различных сигналов за время T, в каждом конкретном случае можно определить на основе этого графа. Общее время передачи бита рассчитывается путем суммирования времени, необходимого для выполнения каждой операции, и определяется либо на основе технической документации, либо экспериментально. Эти промежутки времени обозначены на графе переменными a, b, c и d.
Также известен метод Миллена, позволяющий решить задачу нахождения C в общем виде, в соответствии с которым она сводится к выражению C = log2 x, (2) где x является наибольшим положительным корнем общесистемного уравнения x-(a+d) - x-a - x-d + 1 - x-(b+c) = 0. (3) Несмотря на достаточную точность расчета пропускной способности, использование этого метода встречает ряд трудностей. В частности, для обеспечения достоверности полученного результата необходимо выполнить измерение времени выполнения операций с необходимой для этого точностью. Кроме того, при больших степенях x решение общесистемного уравнения также может представлять определенные трудности.
В таком случае, для определения пропускной способности скрытых логических каналов можно использовать более простую методику. В этом случае расчет пропускной способности производится на основе выражения C = (4) Tr + Ts + 2Tcs где Tcs - время на переключение задачи и смену контекста операционной системы, а Tr и Ts рассчитываются по формулам:
n Tr(i) + Tenv(i) Tr = (5) n i=n Ts(i) Ts = (6) n i=где n - число возможных комбинаций значений битов и состояний. Соответственно, для двоичного алфавита n=4. Ts и Tr - время, требуемое для передачи и приема одного бита соответственно в каждом из состояний i. Tenv - время восстановления исходного состояния разделяемого ресурса.
В итоге, на основе приведенного в работе сравнения различных методов между собой, в третьей главе был сделан вывод о том, что метод Миллена, основанный на положениях теории информации, как правило, дает более точный результат. Это связанно с меньшим числом сделанных допущений и более точными оценками времени передачи бита в каждом из состояний. Однако, принимая во внимание то, что построение обобщенных формальных моделей распределенных систем также ведется с множеством похожих допущений, для их анализа следует рекомендовать использование упрощенного метода.
В четвертой главе рассматривается обобщенная модель распределенной вычислительной системы, использующей как среду для передачи данных сеть общего пользования. Проводится ее всесторонний анализ на возможные утечки данных, и на основе такого анализа строится модель скрытого логического канала. Определяется круг и уровень угрозы найденной уязвимости. На основе проведенных исследований предлагается эффективный метод парирования скрытых логических каналов и реализация программно-аппаратного комплекса защиты от утечки данных.
Модель любой вычислительной системы можно представить в виде взаимодействующих между собой конечных множеств субъектов и объектов. В распределенных системах эти сущности следует рассматривать на двух различных уровнях - на уровне отдельных компонентов узлов в контексте безопасности локальной системы, и на уровне всей системы целиком, когда в качестве субъектов и объектов выступают уже сами узлы в виде функционально законченных элементов.
Помимо этого, для упрощения проведения дальнейших исследований, построение обобщенной модели распределенной системы выполнялось с учетом следующего. Модель должна:
Х Описывать абсолютно все сущности распределенной системы и телекоммуникационной сети в минимальной конфигурации в виде субъектов и объектов, что позволит применить к модели различные методы анализа.
Х Обладать полным набором команд, необходимых для передачи информации между элементами модели. При этом команды должны представлять собой полностью описанные последовательности действий, которые можно рассматривать с точки зрения синтаксического анализа.
Х Иметь объекты, исполняющие роль переменных внутреннего состояния, которые необходимы для моделей невыводимости и невмешательства.
Х Быть безопасной с точки зрения традиционных подходов к защите информации, что является обязательным условием целесообразности проведения исследования скрытых логических каналов.
Рисунок 3 - Обобщенная модель распределенной системы Построенная с учетом этих требований модель показана на рис. 3. Она состоит из пар субъект-объект, которые выполняют роли взаимодействующих друг с другом процессов. Пара (S1,O1) представляет собой два обменивающихся информацией узла распределенной системы. Система подключена к сети через систему безопасности представленную парами (S2,O2) и (S3,O3). К сети также подключены пользователи, представленные парой субъект-объект (S4,O4).
Кроме этого, в модели имеется объект Och представляющий собой переменную внутреннего состояния отражающую загрузку канала передачи данных.
Мандатная политика безопасности распределенной системы задана формально и относит ее к высокому уровню секретности, а пользователей сети к низкому, что исключает любую утечку данных к пользователям сети общего доступа. То есть передача данных от любого субъекта распределенной системы (S1... S3) к объекту (O4) запрещается. Это требование выполняется применением методов шифрования, например, при помощи протокола IPSec.
Также в модели определенны операции, необходимые для обмена информацией между субъектам и объектами, перечисленные в таблице 1.
Таблица 1 - Операторы модели распределенной вычислительной системы Обозначение Наименование Функция Write(Si,Ok) Запись данных Запись блока данных субъектом Si в объект Ok Read(Si,Ok) Чтение данных Чтение блока данных субъектом Si из объекта Ok Connect(Si,Ok) Установка соеди- Установка соединения по сети межнения ду субъектом Si и объектом Sk Disconnect(Si,Ok) Разрыв соедине- Разрыв соединения по сети между ния субъектом Si и объектом Sk Send(Si,Ok) Удаленная пере- Передача в сеть блока данных от дача данных субъекта Si для объекта Ok Crypt(Si,Ok) Шифрование Шифрование блока данных системой безопасности Si, Ok Decrypt(Si,Ok) Дешифрование Дешифрование блока данных системой безопасности Si, Ok Для упрощения описания шифрованного обмена информацией между S1 и S2, в модель были введены следующие дополнительные функции выраженные через указанные выше базовые операции:
Х SecureConnect() - выполняет установку защищенного шифрованного соединения между системами безопасности передающей (S2, O2) и принимающей (S3, O3) стороны;
Х SecureDisconnect() - выполняет разрыв защищенного шифрованного соединения между системами безопасности передающей (S2, O2) и принимающей (S3, O3) стороны;
Х SecureSend() - выполняет передачу данных по защищенному каналу от Sк S2;
Верность описанной выше политики безопасности по отношению к разрешенному набору операций проверялась ее исследованием на основе метода синтаксического анализа. Для этого была составлена последовательность действий по переносу данных и проведен дальнейший анализ полученных результатов на наличие запрещенных элементов. В результате, операций передачи данных с высокого уровня на низкий обнаружено не было, и следовательно был сделан вывод о корректности политики безопасности и соответственно адекватности построенной модели.
Поиск разделяемых ресурсов в модели проводился на основе SRM метода, процедура применения которого состоит из следующих шагов.
На первом шаге выполняется поиск и определение всех объектов и операций определенных в исследуемой системе. Очевидно, что в данном случае их множества будут ограничены теми сущностями которые были определены в модели распределенной системы.
На втором шаге выполняется построение матрицы разделяемых ресурсов и определение операций выполняющих модификацию и чтение состояния объектов. Эти данные можно получить на основе последовательностей, построенных для метода синтаксического анализа. В результате заполнения матрицы символами R и W, соответствующие действиям УчтениеФ и УзаписьФ, матрица, показанная в таблице 2, примет на высоком и низком уровне следующий вид:
Таблица 2 - Матрица разделяемых ресурсов O1 O2 O3 O4 Och Write W Read W Connect RW RW W Продолжение таблицы Disconnect RW RW W Send RW RW RW Crypt R Decrypt R SecureConnect RW RW RW SecureDisconnect RW RW W SecureSend W RW RW RW Connect RW W Disconnect RW W Send RW RW На заключительном шаге проводится анализ столбцов матрицы с учетом уровня секретности объектов с целью поиска разделяемых ресурсов. Из матрицы видно, что единственным разделяемым ресурсом является Och. При этом, на низком уровне он оказывается доступным на чтение при помощи операции Send, а на высоком для записи операциями Connect, Disconnect, Send, SecureConnect, SecureDisconnect и SecureSend.
Среди перечисленных высокоуровневых операций при интенсивном обмене данными наибольшее влияние на разделяемый ресурс Och будет оказывать операция SecureSend. С учетом этого, можно предложить следующий алгоритм реализации скрытого логического канала:
1. Необходимо выполнить установку всех соединений, как в распределенной системе, так и между пользователями. Для этого используется функция SecureConnect() и операция Connect(S4,O4).
2. На низком уровне производится организация скрытого логического канала путем поглощения всей доступной пропускной способности сети методом непрерывной передачи данных при помощи последовательности команд Send(S4,O4).
3. Высокоуровневый субъект S1 инициирует передачу информации по скрытому логическому каналу путем отправки бита синхронизации. Для чего в течении заранее определенного промежутка времени выполняет функцию SecureSend изменяющую состояние Och.
4. Низкоуровневый субъект S4 постоянно оценивает свою скорость передачи данных путем измерения времени исполнения операций Send. Во время проведения шага 3, в результате перегрузки, пропускная способность канала снижается. Обнаружив это, он выполняет синхронизацию своего таймера реального времени и ожидает определенный промежуток времени.
5. Далее S1 выполняет передачу бита информации. В зависимости от его значения производятся соответствующие изменения состояния канала при помощи SecureSend изменяющей Och.
6. Прием бита информации низкоуровневым субъектом S4 производится способом показанным в шаге 4 за тем исключением, что в зависимости от полученной скорости передачи информации в данный промежуток времени он регистрирует бит У1Ф или У0Ф.
7. Для полной передачи байта необходимо произвести повторение шагов 5 и 6.
8. Шаги 5 - 7 повторяются до полной передачи всей информации.
9. Когда вся информация передана, производится парирование скрытого логического канала, для чего низкоуровневый субъект S4 перестает выполнять команды Send(S4,O4).
10. В конце производится разрыв всех установленных соединений при помощи функции SecureDisconnect() и операции Disconnect(S4,O4).
На этой основе найденный скрытый логический канал можно классифицировать как квазисинхронный последовательный канал по времени без шума и без резервирования.
Для определения круга угроз возможных утечек информации был проведен его анализ на основе моделей невыводимости и невмешательства. Для этого в работе были определены коэффициенты влияния операций на загрузку канала передачи данных и на их основе построена диаграмма взаимодействия распределенной системы и пользователя сети.
Коэффициенты влияния рассчитывались с учетом используемых технологий и протоколов. Полученные значения представлены в таблице 3.
Таблица 3 - Коэффициенты влияния операций Операция: SecureConnect() SecureDisconnect() SecureSend() Коэффициент: 10 8 Операция: Connect() Disconnect() Send() Коэффициент: 3 4 Для проверки модели распределенной системы на невыводимость были проанализированы проверочные последовательности команд разной длины. Анализ показал, что в случае передачи данных по скрытому логическому каналу длинными и короткими случайными последовательностями, модель оказывается полностью невыводимой. Однако при использовании злоумышленником коротких псевдослучайных последовательностей, состоящих из одной операции выполняемой за единицу времени, модель окажется полностью выводимой. Тем не менее, стоит заметить, что в реальных вычислительных сетях общего пользования получение таких условий УмолчанияФ всех подключенных к ней пользователям является чрезвычайно маловероятным.
Построенные проверочные последовательности также были использованы и для проверки модели на невмешательство, которые рассматривались в данном случае как нежелательный ввод в систему. Полученные результаты показаны на рис. 4. Его запрет очевидно приведет к невозможности эксплуатации распределенной системы. Таким образом, в соответствии с описанием модели невмешательства, этот факт также доказывает нарушение безопасности распределенной системы.
Рисунок 4 - Скрытый логический канал с точки зрения невмешательства Обрабатывая полученные результаты можно сделать вывод, что значения Och при анализе на невмешательство значительно превосходят значения полученные при анализе на невыводимость, что позволяет рассматривать именно вмешательство в качестве основной уязвимости.
С целью определения уровня угрозы, возникающей при реализации сценария нарушающего невмешательство, было проведено практическое моделирование взаимодействия двух процессов передающих данные по сети общего доступа. Для этого был разработан пакет программного обеспечения для OC Linux позволяющий реализовать полнофункциональный скрытый логический канал.
Эксперимент проводился в сети полностью соответствующей модели рис. 3.
В ходе эксперимента оценивалась загрузка канала на низком уровне при изменении нагрузки на сеть со стороны высокоуровневого процесса. В результате чего был получен график показанный на рис. 5.
Рисунок 5 - График загрузки канала на низком уровне При этом были измерены промежутки t1 - t5 и рассчитано время передачи бита из различных состояний:
У0Ф - У1Ф = 250 мс У0Ф - У0Ф = 120 мс У1Ф - У0Ф = 175 мс У1Ф - У1Ф = 120 мс Затем на основе выражений (4) - (6) был проведен теоретический расчет максимально возможной пропускной способности скрытого логического канала.
В результате 250 175 2Ts = + + = 166, 4 4 Так как для передачи данных применяется код без возврата к нулю NRZ, то можно принять, что Tr = Ts. И в результате, C = = 2, 989 Бит/с 2 166, 25 + В нормативных документах закреплено, что максимально допустимая пропускная способность скрытого логического канала не должна превышать 0,Бит/с. Поскольку рассчитанная величина оказалась значительно выше этого минимума, то можно сделать вывод о том, что обнаруженную уязвимость можно рассматривать как критическую.
Анализ возможности организации системы защиты с применением подробно рассмотренных во второй главе способов показал, что ликвидация разделяемого ресурса, представленного каналом передачи данных, из распределенной системы оказывается невозможным, зашумление не дает желаемого эффекта, а генерация задержек оказывается чрезвычайно неэффективной.
Однако из описания информационных моделей невыводимости и невмешательства известно, что защита также может быть построена на основе применения особых нормализующих последовательностей команд, удаляющих нежелательный вывод в системе. При этом для их генерации необходимо полностью оценить весь ввод в систему влияющий на Och.
Из формального описания модели распределенной системы видно, что все данные до их передачи по сети проходят через пару (S2,O2), описывающую систему безопасности. Поскольку, в виду особого положения этой системы в модели, через нее выполняются все искомые операции, оценка ввода в систему может быть выполнена простым подсчетом количества передаваемой через нее информации в реальном времени.
Главной особенностью Och является то, что все исполняемые операции изменяют его значение только в сторону увеличения до максимального значения равного доступной для распределенной системы пропускной способности канала передачи данных Cmax. Поэтому, в такой ситуации в качестве УнормальногоФ значения можно принять именно эту величину и формировать нормализующую последовательность на основе сделанной оценки по следующей формуле:
n S(X/w) = Cmax - Phi(i) (7) i=Как было показано на рис. 4, вмешательство проявляется в момент смены последовательностей ввода. При этом, когда объем поступающих данных Phi(i) равен Cmax, то в соответствии с (7), X/w будет равна 0. В случае же низкой активности со стороны распределенной системы, X/w будет принимать значения, которые средством защиты будут преобразованы в определенное число команд, например, SecureSend(). Следовательно, при исполнении S(X/w) низкоуровневый субъект будет все время получать одинаковые значения пропускной способности, что позволяет сделать вывод о безопасности такой системы.
Схема средства защиты основанного на реализации этого принципа показана на рис. 6. Оно представляет из себя простой генератор сетевых пакетов и сумматор с функциями оценивателя. Основным требованием предъявляемым к этому узлу является оценка полезной пропускной способности и подмешивание в общий поток необходимого числа пакетов от генератора в реальном времени.
Несмотря на кажущуюся сложность практической реализации, в работе было представлено достаточно простое и эффективное решение основанное на свободном программном обеспечении и операционной системе Linux.
Рисунок 6 - Схема средства защиты Высокую точность оценки загрузки канала и высокую скорость реакции системы защиты на изменение последовательностей ввода в распределенной системе удалось достичь за счет применения технологий качества обслуживания QoS и алгоритмов ограничения и приоритизации трафика HTB.
Эти свойства разработанной системы защиты удалось подтвердить в результате эксперимента, методика которого заключалась в имитировании нагрузки на линию связи аналогичной при реализации скрытого логического канала и измерении величины потока от генератора и рабочей станции.
На рис. 7 показаны исходные сигналы, поступающие на средство защиты.
a - данные от распределенной системы; б - Данные от генератора Рисунок 7 - Графики входных сигналов.
Суммирование, а также обработка данных алгоритмом HTB внутри системы безопасности представлена на рис. 8, где изображены суммированный и общий исходящий потоки данных. Исходящий поток характеризуется постоянной скоростью и состоит из двух частей - высокоприоритной информации от распределенной системы, а также низкоприоритетных данных от генератора.
a - суммарный поток; б - данные после обработки Рисунок 8 - Графики сигналов внутри системы безопасности.
При этом, в результате их обработки средством защиты, все пакеты от генератора, не проходящие по пропускной способности, отбрасываются, а остальные начинают дополнять поток от распределенной системы до УнормальнойФ величины. То есть сигнал от генератора, проходя обработку в буферах средства защиты, превращается в искомую последовательность S(X/w).
В заключении сформулированы основные выводы по проведенным исследованиям и результатам диссертационной работы.
1. В ходе анализа текущего состояния и тенденций развития технологий в области защиты информации было выявлено, что сейчас большую актуальность приобретают проблемы связанные с реализацией уязвимостей качественно нового уровня представленные скрытыми логическими каналами.
2. Обзор методов борьбы со скрытыми логическими каналами показал, что их применение налагает множество ограничений на работу защищаемой распределенной системы, что, как правило, ухудшает ее функциональные возможности и характеристики. Поэтому эффективная защита от скрытых логических каналов может быть реализована только на основе нового метода лишенного недостатков свойственных, общепринятым подходам к этой проблеме.
3. Для изучения скрытых логических каналов была предложена обобщенная субъектно-объектная модель распределенной системы и формальная политика безопасности. На основании ее исследования и построения матрицы разделяемых ресурсов, а также локализации обнаруженных проблем в безопасности, был сделан вывод, что причины появления скрытых логических каналов сводятся к наличию в модели единственного разделяемого ресурса, представляющего собой линию связи сети общего доступа.
4. Определение круга угроз выполнялось на основе анализа моделей распределенной системы и скрытого логического канала с точки зрения информационных моделей невыводимости и невмешательства. При этом, угроза выводимости была охарактеризована как незначительная, поскольку она проявлялась лишь как частный случай. В то же время, вмешательство наблюдалось достаточно отчетливо, поэтому оно и было названо основной угрозой.
5. Для оценки уровня угрозы вмешательства был проведен практический эксперимент, в ходе которого выполнялось моделирование процессов приводящих к этой уязвимости. В результате, собранные данные о временных промежутках, требуемых процессу для изменения состояния канала передачи данных, позволили теоретически вычислить максимальную пропускную способность скрытого логического канала. При этом, угроза была классифицирована как критическая, поскольку рассчитанное значение оказалось значительно выше максимально допустимой стандартами.
6. В качестве средств борьбы с вмешательством была рассмотрена возможность применения стандартных средств и рекомендаций перечисленных в нормативных документах. Однако анализ их практического использования показал, что такая реализация приводит к нарушению нормальной связности между узлами распределенной системы и невозможности выполнения ей своих функций. На этой основе был сделан вывод о необходимости разработки метода защиты лишенного недостатков, ведущих к нарушению функциональности.
7. За основу для разработки средства защиты были взяты информационные модели невыводимости и невмешательства. На основе их применения было выработано УнормальноеФ условие безопасности, а также способы его достижения из любого состояния информационной системы при произвольной активности ее пользователей. При этом, в процессе разработки методики удалось добиться значительных результатов в сокращении негативного влияния на процессы обмена информацией между отдельными узлами.
8. На основе предложенной методики была также выполнена разработка высокоэффективного средства защиты от скрытых логических каналов. Реализация методики защиты была основана на особенностях реализации обработки пакетов данных в телекоммуникационном оборудовании. Оценка ввода пользователя и формирование УнормализующейФ последовательности, требуемой для достижения безопасного состояния, была выполнена при помощи широко используемых методов обеспечения качества обслуживания QoS.
9. Использование в разработке средства защиты свободного программного обеспечения позволяет добиться простоты его внедрения, низкой стоимости и высоких эксплуатационных показателей.
В итоге можно заключить, что все поставленные в диссертационной работе задачи были успешно выполнены.
Список публикаций 1. Усов П.А. Некоторые аспекты защиты информации в телекоммуникационных сетях // Вопросы защиты информации №2, 202. Усов П.А. Критика систем защиты от утечек информации на основе фильтров содержимого // Вопросы защиты информации №2, 203. Усов П.А. Построение эффективных информационных диодов // Вопросы защиты информации №2, 204. Усов П.А. Использование SELinux для защиты информации на уровне приложений // Вопросы защиты информации №3, 20 Авторефераты по всем темам >> Авторефераты по техническим специальностям