Для реализации различных сервисов защиты информации в се-тях, построенных на базе коммуникационной архитектуры TCP/IP. используется ряд типовых механизмов и протоколов защиты. Решение, соответствующее практическим потребностям, обычно может быть получено как определенная их комбинация. Среди всех меха-низмов защиты, применяемых для целей электронной коммерции и электронного документооборота, важнейшее место занимают средства образования защищенных каналов передачи информации. Здесь мы рассмотрим стандартные протоколы, предназначенные для ре-шения этой задачи.
Очень широкое распространение за последние годы получили локальные и глобальные компьютерные сети на основе коммуникационной архитектуры TCP/IP. Одна из причин популярности TCP/IP - хорошо разработанная система функций защиты информа-ции, закрепленная рекомендациями серии RFC, которые публикуются международной организацией IETF (Internet Engineering Task Force). В связи с этим они являются основной нормативно-техничес-кой базой реализации информационных систем, предназначенных для целей электронной коммерции.
В сетях, основанных на архитектуре TCP/IP, наибольшее рас-пространение получили два метода реализации защищенных кана-лов передачи информации. Один из них - применение стандартных механизмов и протоколов защиты информации, определяемых ар-хитектурой безопасности IPSec. Это рамочная модель (frame-work), включающая четыре компонента:
протокол АН - Authentication Header;
протокол ESP - Encapsulating Security Payload;
протокол IPcomp -IP payload compression;
рамочную модель IKE - Internet Key Exchange.
Для каждого из них (занимающих свое место среди протоколов коммуникационной архитектуры TCP/IP) описываются форматы, за-головки, специфические криптографические механизмы и режимы их применения. Архитектура IPSec добавляет к IP-пакетам проверку целостности, подлинности (аутентичности), шифрование и защиту от повтора пакетов. Она используется для обеспечения безопасности соединений между оконечными пользователями и для создания за-щищенных туннелей между шлюзами.
Архитектура IPSec была создана для обеспечения способности к взаимодействию. При корректной реализации она не оказывает никакого влияния на сети и хосты, не поддерживающие ее. Модель не зависит от используемых криптографических алгоритмов и допускает включение новых алгоритмов по мере их появления. Архитектура поддерживается дня коммуникационных протоколов IPv4 и IPv6 (в по-следнем случае она является обязательным компонентом коммуникационной архитектуры). Конкретная реализация того или иного крипто-графического алгоритма для использования протоколами в архитектуре IPSec называется преобразованием (transform). Например, алгоритм DES, используемый протоколом ESP в режиме сцепления блоков, в терминологии IPSec называется преобразованием ESP DES-CBC. Преобразования, пригодные для использования в протоколах, публи-куются в рекомендациях серии RFC, принятых IETF.
Архитектура IPSec базируется на двух главных компонентах: защищенных ассоциациях (Security Associations - SA) и туннелиро- вании.
Защищенная ассоциация - это однонаправленное (симплексное) ло-гическое соединение между двумя системами, поддерживающими IP-
Sec, которое однозначно идентифицируется тремя параметрами, где Security Parameter Index (SPI) - 32-битовая величина, используемая для иден-тификации различных SA с одним и тем же адресом получателя и про-токолом безопасности (SPI переносится в заголовке протокола безо-пасности - АН или ESP; SPI имеет только локальное значение, так как определяется создателем SA; обычно SPI выбирается системой- получателем во время установления SA); IP destination address - IP- адрес системы-получателя, который может быть адресом единичной системы, а также адресом широковещательной или групповой рассыл-ки; однако текущие механизмы управления SA определены только для адресов единичных систем; Security protocol - величина, которая указывает на выбор протокола АН или ESP.
Защищенная ассоциация может быть установлена в одном из двух режимов: транспортном или туннельном, в зависимости от ре-жима протокола в этой ассоциации. Напомним, что SA является симплексным соединением, следовательно, для двунаправленной связи между двумя системами, поддерживающими IPSec, должны быть определены две SA, по одной в каждом направлении.
Каждая отдельно взятая SA предоставляет сервисы безопасности для трафика, переносимого ею либо через протокол АН, либо через протокол ESP, но не через оба протокола сразу. Другими словами, для соединения, которое должно быть защищено одновременно протоко-лами АН и ESP, в каждом направлении должны быть определены две ассоциации. В этом случае все множество SA, которые определены для соединения, носит название связки защищенных ассоциаций (SA bundle). Ассоциации, входящие в связку, не обязательно должны за-вершаться в одной и той же конечной точке. Например, мобильный хост мог бы использовать SA с протоколом АН для связи между собою и межсетевым экраном (МЭ) и другую SA с протоколом ESP, которая продолжается до хоста, расположенного позади МЭ.
Реализация IPSec поддерживает две базы данных (БД), связанные с SA.
Security Policy Database (SPD) - база данных политики безопас-ности, которая специфицирует те сервисы безопасности, которые должны предоставляться IP-трафику. Они зависят от таких факторов, как адреса источников и получателей, «внутриполосный» или «внеполосный» характер трафика и т. п. БД содержит упорядоченный список записей о политике, раздельных для «внутриполосного» и «внеполосного» трафика. Эти записи могут специфицировать, что часть трафика должна миновать обработку через механизмы архи-тектуры IPSec, часть должна быть вообще удалена, а остальной трафик должен быть обработан модулем, реализующим функции архи-тектуры IPSec. Записи в этой БД похожи на правила межсетевого экранирования или пакетной фильтрации.
Security Association Database (SAD) - база данных защищенных ассоциаций, которая содержит параметрическую информацию о ка-ждой SA, в том числе алгоритмы и ключи, используемые протоко-лами АН и ESP, последовательные номера ассоциаций, режимы про-токолов и время жизни SA. Для «внеполосной» обработки записи SPD указывают на записи в SAD, т. е. SPD определяет, какие SA должны быть использованы для данного пакета. Для «внутриполос- ной» обработки SAD служит средством определения способа обра-ботки пакета.
Пользовательский интерфейс реализации IPSec обычно либо скрывает эти БД, либо представляет их в более дружественном виде.
Туннелирование, или инкапсуляция, - это обычный метод защиты для сетей с маршрутизацией пакетов. Он заключается в том, что па-кеты, передаваемые в сети, «оборачиваются» в новые пакеты, так как к первоначальному пакету приписывается новый заголовок и, возможно, хвостовик. Исходный пакет целиком становится заполне-нием нового пакета более низкоуровневого протокола (рис. 4.2).
Новый IP- заголовок ^Щ^Л"Г^Врк^ ;" > - Заполн єш щ ІР^п лк
Исходная (инкапсулированная) дейтаграмма становится заполнением нового IP-пакета
Рис. 4.2. Принцип туннелирования (инкапсуляции) протоколов
Туннелирование часто используется для того, чтобы перенести трафик какого-либо протокола через сеть, которая не поддерживает этот протокол непосредственно. Например, протоколы NetBIOS или IPX могут быть инкапсулированы в IP-пакеты для переноса их через глобальную сеть, построенную в архитектуре ТСРЛР. Туннелирова- ние можно использовать и для целей защиты информации. Так и происходит в архитектуре IPSec: туннелирование применяется для того, чтобы обеспечить сплошную защиту передаваемых пакетов, включая и заголовки инкапсулируемых пакетов. Если пакеты шиф-руются, то злоумышленник не может извлечь оттуда, к примеру, адрес получателя пакетов (в отсутствие туннелирования он это легко смог бы сделать). Таким образом, от постороннего наблюдателя мо-жет быть скрыта внутренняя структура частной сети.
Туннелирование требует промежуточной обработки исходного пакета при маршрутизации. Адрес получателя, указанный во внешнем заголовке, обычно является адресом межсетевого экрана или маршрутизатора, поддерживающего архитектуру IPSec. Он получает инкапсулированный пакет, извлекает из него содержимое исходного пакета и посылает его оконечному получателю. Дополнительные затраты на обработку компенсируются повышением уровня безопас-ности.
Замечательным преимуществом туннелирования IP-пакетов является способность обмениваться пакетами с частными ІР-адресами между двумя внутренними сетями организаций через публичный канал, который требует, чтобы узлы имели уникальные глобальные адреса. Так как инкапсулированный заголовок не обрабатывается маршрутизаторами в сети Интернет, достаточно, чтобы только око-нечные точки туннеля (шлюзы) имели бы глобально присвоенные адреса. Хосты в частных сетях (интранет-сетях) за ними могут иметь частные адреса (например, вида Ю.х.х.х). Так как глобальные ІР- адреса становятся дефицитными, такой метод взаимосвязи сетей приобретает большое значение. Модель туннелирования в архитек-туре безопасности IPSec описана в рекомендации RFC 2003 - «IP Encapsulation within IP».
Далее мы рассмотрим протоколы архитектуры IPSec, более ин-тересные с технической, нежели с алгоритмической точки зрения, так как их криптографическая «начинка» довольно проста.
Итак, первым компонентом архитектуры безопасности IPSec является протокол АН. Он используется для того, чтобы обеспечить целостность и подлинность IP-дейтаграмм. С его помощью также возможна защита и от повтора пакетов. Хотя его использование рас-сматривается как необязательное, сервис защиты от повтора пакетов должен быть реализован в любой системе, совместимой с архитек-турой IPSec. Сервисы не требуют установки соединений, следова-тельно, должны быть обеспечены для каждого пакета в отдельности. Протокол АН используется в двух режимах: транспортном и тун-нельном.
Протокол АН обеспечивает подлинность для возможно большей части IP-дейтаграмм. В транспортном режиме некоторые поля IP- заголовка изменяются при маршрутизации, поэтому их значения не могут быть предсказаны получателем. Эти поля называются пере-менными (mutable) и не защищаются протоколом АН. Переменные поля пакета IPv4 таковы:
поле, указывающее тип сервиса (Type of service - TOS); поле флагов; поле смещения фрагмента (Fragment offset); поле времени жизни пакета (Time to live - TTL); поле контрольной суммы заголовка (header checksum).
Когда требуется защита этих полей, должно быть использовано туннелирование. Заполнение IP-пакета рассматривается как неизме-няемое и в любом случае защищается методом АН.
Протокол АН идентифицируется номером протокола 51, присво-енным IANA. Заголовок протокола непосредственно предшествует заголовку протокола АН, содержащему эту величину в своих полях.
Обработка методом, предусмотренным протоколом АН, приме-нима только к нефрагментированным IP-пакетам. Однако IP-пакет с заголовком АН может быть фрагментирован промежуточным мар-шрутизатором. В этом случае получатель сначала собирает пакет, а затем применяет к нему обработку в соответствии с методом, пре-дусмотренным АН. Если при начале обработки оказывается, что ІР- пакет предположительно разбит на фрагменты (поле смещения не-нулевое или флаг More fragments установлен в единицу), он удаляет-ся. Это предотвращает атаку методом перекрытия фрагментов (over-lapping fragment attack), которая возможна при некорректном ис-пользовании алгоритма сборки фрагментов и позволяет искажать пакеты и пересылать их через МЭ.
Пакеты, которые не проходят аутентификацию, удаляются и ни-когда не доставляются на верхние уровни. Этот режим значительно уменьшает вероятность успешного проведения атак, приводящих к отказу в обслуживании, цель которых заключается в том, чтобы блокировать связь с хостом или шлюзом, наводняя их «поддельными» пакетами.
Формат АН-заголовка (рис. 4.3) описан в RFC 2402. В него вхо-дят следующие поля:
«Следующий заголовок» - Next header (8 бит); «Длина заполнения пакета» - Payload length (8 бит); Зарезервированное поле (16 бит, установленных в 0); «Индекс параметра безопасности» - Security Parameter Index (SPI) (32 бита);
«Код аутентификации сообщения» - Authentication data (32 бита для IPv4, 64 бита для IPv6).
" .АН- ¦ "
л J Л ГОЛОВОК-./
ЕР-заголовок Заполнение IP-пакет а
^Сиед: заголовок \ Дтата.запрЛнегаи^;". ¦^ЬаіУез.^ві"фЬвжо;-"-
j;.jv".>": іуі"ійдексі гі{ірпмвт]їгі¦ $ёзЬпас>гостн^^Ріу//йv;} ?
¦; yVi.. ¦ ;">¦. "¦ ігіорЯДКОЕЬШ"НОМф- Шкёга к-ПОСЛЄД(ІВ"аТельНОСТІІ
; іЛ", u.:: г^ -К о д1. луг енті 1фїік аці иГ t6o бщейія j .
32 бита >-
Рис. 4.3. Формат заголовка протокола АН в соответствии с RFC 2402
Заголовок АН в транспортном режиме вставляется в пакет сразу после заголовка IP-пакета (рис. 4.4). Если дейтаграмма уже имеет заголовок IPSec, заголовок АН помещается перед ним. Транспортный режим используется хостами, но не шлюзами. Шлюзам не тре-буется поддерживать транспортный режим. Преимуществом транспортного режима является меньшая вычислительная сложность, не-достатком - отсутствие проверки подлинности изменяемых полей.
ЕР-заголовок
Заполнение ІР-пакета
і"*. -
ІР-заголовок:., "АІІ- -заголовок- Заполненне ЕР-пакета
-с ->-
Дейтаграмма с АН-зпгачовком в транспортом режиме
Обеспечена аутенпгіность (кроме изменяемых псшеп) Рис. 4.4. Заголовок протокола АН в транспортном режиме
Исходная ІР-деґпаграмма
; „ "АІІ- -заголовок-
ІР-заголовок
Заполнение ЕР-пакета
АН в туннельном реэ/симе использует ранее рассмотренную кон-цепцию туннелирования. При этом конструируется новая 1Р-дей- таграмма, в то время как исходная становится ее заполнением. АН в транспортном режиме применяется к полученной дейтаграмме (рис. 4.5). Туннельный режим используется всякий раз, когда око-нечным узлом защищенной ассоциации является шлюз. Так, между двумя МЭ всегда используется туннельный режим.
Заполнение IP-пакета
ІР- заголовок
Исходная IP-дейтаграмма
ІР-
заголовок
Заполненне ІР-пакета
В туннельном реэ/симе
Туннелирован- ная дейтаграмма Дейтаграмма с АН-заголовком в туннельном режиме
Шлюзы часто также поддерживают и транспортный режим. Этот режим разрешен, когда шлюз действует как хост, т. е. в случаях, когда трафик предназначен самому шлюзу. Например, команды SNMP могут быть направлены шлюзу, используя транспортный режим.
В туннельном режиме IP-адреса внешних заголовков не обяза-тельно должны быть теми же самыми, что и адреса внутренних за-головков. Например, два шлюза могут организовать АН-туннель, который используется для того, чтобы гарантировать подлинность
всего трафика между сетями, которые они соединяют. Это типичный случай применения туннельного режима.
Преимуществом туннельного режима является полная защита инкапсулируемых ІР-дейтаграмм и возможность использования ча-стных адресов. Однако этот режим приводит к дополнительной вы-числительной работе узлов сети.
Протокол ESP используется для обеспечения целостности, под-линности и для шифрования ІР-дейтаграмм, а также (факультативно) для защиты от повторной передачи пакетов. Эти сервисы пре-доставляются без установления соединения, поэтому они должны применяться для каждого пакета в отдельности. Множество требуе-мых сервисов выбирается при установлении защищенной ассоциа-ции (SA). Вместе с тем существуют и некоторые ограничения: проверка целостности пакета и аутентификация используются совместно;
защита от повтора может выбираться только в совокупности с проверкой целостности и аутентификацией; защита от повтора может быть выбрана только получателем па-кетов.
Шифрование может быть выбрано независимо от других сервисов. Если шифрование разрешено, рекомендуется, чтобы проверка целостности и аутентификация также были включены. Если исполь-зуется одно только шифрование, злоумышленник может искажать пакеты для того, чтобы осуществить атаку криптоаналитика.
Хотя и аутентификация (с проверкой целостности) и шифрова-ние необязательны, всегда выбирается по меньшей мере одна из этих функций, так как в противном случае использование протокола ESP вообще не имеет смысла.
Протокол ESP идентифицируется номером протокола 50, при-своенным IANA. Заголовок протокола (IPv4, IPv6 или расширение) непосредственно предшествует ESP-заголовку, который и содержит эту величину протокола.
Обработка по методу ESP" применима только к нефрагментиро- ванным IP-пакетам. Однако IP-пакет с примененным к нему ESP может быть фрагментирован промежуточными маршрутизаторами. В этом случае получатель сначала собирает пакет, а затем применяет к нему обработку, предусмотренную протоколом ESP. Если 1Р-па-
кет, который предположительно является фрагментированным, по-ступает для обработки на уровень протокола ESP, он удаляется. Это предотвращает атаку методом перекрытия фрагментов пакетов.
Если выбраны и шифрование и аутентификация с проверкой це-лостности, то получатель вначале проверяет аутентичность пакета и, только если этот шаг завершился успешно, производит расшифровку заполнения пакета. Этот порядок позволяет сэкономить вычисли-тельные ресурсы и уменьшить уязвимость системы защиты к атакам, приводящим к отказу в обслуживании.
Формат пакета при применении ESP (рис. 4.6) описан в RFC 2406. Он более сложен, чем при применении АН, так как включает не только заголовок, но также и концевик и код аутентификации пакета. Заполнение пакета инкапсулируется между заголовком и концевиком, что и дало имя этому методу защиты.
| ІР- заголовок f/^pp"-i: заголовок. Заполненпе IP-пакета Конце"-..
.Іл/"ВІГК^ І^шфикащиі^1
Индекспараметр д. бе зопа єно сш- (SE1)
ч. ESP-чаго ловок
ПорядковыГьномер^ пакета в последовательности
к
Заполнение пакета (поле переменной длины)
^Дополнение (от;.О до.
ЬЪд"арденП"фжащ-пгсообщеим^!: щтг.
ESP-концевик
І"івМІГіГ.і"С"ї
«Индекс параметра безопасности» - SPI - Security Parameter Index (32 бита);
«Порядковый номер пакета в последовательности» - Sequence number (32 бита);
поле заполнения, т. е. данные, полученные от протокола более высокого уровня - Payload data (обязательное, переменной длины); дополнение предыдущего поля до длины, кратной 256 байт, - Padding (от 0 до 255 байт, установленных в 0); длина предыдущего поля дополнения - Pad length (8 бит); «Следующий заголовок» - Next header (8 бит, обязательное); «Код аутентификации сообщения» - Authentication data (пере-менной длины).
Как и протокол АН, протокол ESP может использоваться в двух режимах: транспортном и туннельном.
ESP в транспортном реэ/симе. В этом режиме ESP-заголовок следует сразу после IP-заголовка, как показано на рис. 4.7. Если дей-таграмма уже имеет IPSec-заголовок, то ESP-заголовок должен следовать перед первым из них. Концевик протокола ESP и необяза-тельный код аутентификации добавляются к заполнению.
Защита информации в каналах связи - важнейший вопрос организации безопасности на предприятии. На сегодняшний день используют много способов успешно защитить информацию, передаваемую по каналам связи внутри корпорации или во внешний мир.
Защита связи и информации осуществляется при помощи двух методов. Это метод защиты, основанный на физическом ограничении доступа непосредственно к каналу связи, а также преобразование сигнала (шифрование), которое не позволит злоумышленнику прочитать передаваемую информацию без специального ключа.
В первом способе защита канала связи организовывается ограничением доступа к аппаратуре, по которой передается информация. Используется, в основном, в крупных компаниях и правительственных структурах. Данный метод действует лишь в том случае, если информация не поступает во внешний мир.
Защита информации в каналах связи во всех остальных случаях выполняется благодаря шифрованию данных. Шифрование передаваемой информации, если говорить о классических компьютерных сетях, может выполняться на различных уровнях сетевой модели OSI. Чаще всего преобразование данных происходят на сетевом или прикладном уровнях.
В первом случае шифрование данных осуществляется непосредственно на аппаратуре, которая является отправителем информации, а расшифровка - на приемнике. Данный вариант наиболее эффективно защитит передаваемые данные, однако для его реализации необходимо постороннее программное обеспечение, которое работало бы на прикладном уровне.
Во втором случае шифрование осуществляется непосредственно на узлах канала связи в локальной или глобальной сети. Этот способ защиты связи менее действенный, чем первый, и для должного уровня защиты информации требует реализацию надежных алгоритмов шифрования.
Защита информации в каналах связи также организовывается при построении виртуальных каналов VPN. Данная технология позволяет организовать защищенное соединение с указанным шифрованием по особому виртуальному каналу. Такая технология обеспечивает целостность и конфиденциальность передаваемой по каналу связи информации.
К таким устройствам относятся:
благодаря которым можно взять под контроль состояние эфира внутри или снаружи предприятия. Это один из действенных методов защиты связи еще на ранней стадии нейтрализовать несанкционированный доступ к источнику информации.
Методы защиты информации в канале связи можно разделить на две группы:
· методы, основанные на ограничении физического доступа к линии и аппаратуре связи
· методы, основанные на преобразовании сигналов в линии к форме, исключающей (затрудняющей) для злоумышленника восприятие или искажение содержания передачи.
Методы первой группы в рассматриваемом варианте построения защищенной связи имеют весьма ограниченное применение, так как на основном протяжении линия связи находится вне ведения субъекта, организующего защиту. В то же время, по отношению к аппаратуре терминала и отдельных участков абонентской линии применение соответствующих мер необходимо.
Ограничение физического доступа предполагает исключение (затруднение):
Непосредственного подключения аппаратуры злоумышленника к электрическим цепям аппаратуры абонентского терминала;
Использования для перехвата информации электромагнитных полей в окружающем пространстве и наводок в отходящих цепях, сети питания и заземления;
Получение злоумышленником вспомогательной информации об используемом оборудовании и организации связи, облегчающей последующее несанкционированное вмешательство в канал связи.
Методы преобразования речевого сигнала, препятствующий перехвату информации:
Аналоговый
А. Частотные преобразования
А1.Инверсия спектра
А2.Перестановка полос
А2.1.Статическая перестановка
А2.2.Переменная перестановка под управлением криптоболоков
Б. Временные преобразования
Б1.Временная инверсия
Б2.Перестановка отрезков
Б2.1.Статическая перестановка
Б2.2.Переменная перестановка под управлением криптоблока
Цифровой:
B.Преобразование в код с последующим шифрованием:
B1.Кодирование звука со скоростью 32-64Кб/сек.
АБ – комбинированные мозаичные преобразования = связь А1 и Б1, связь А2.2. и АБ, Б2.2. и АБ
24. Способы и средства защиты информации в функциональных каналах связи. Защита речевой информации в канале связи путем преобразования сигнала. Защита цифровой информации.
Способы защиты от утечки по радиоэлектронному каналу:
| Вид радиоэлектронного канала утечки информации | Способы защиты | ||
| Информационное скрытие(является программным типом скрытия информации. Оно достигается изменением или созданием ложного информационного портрета сообщения, физического объекта или сигнала.) | Энергетическое скрытие | ||
| Электрический КУИ (возникает за счет нежелательных электромагнитных связей между двумя цепями) | Экранирование Заземление Фильтрация Ограничение Отключение Использование буферных устройств | Линейное зашумление | |
| Электромагнитный КУИ (возникает за счет различного вида побочных электромагнитных излучений (ЭМИ)) | Шифрование, дезинформирование | Экранирование Заземление | Пространственное зашумление |
Для защиты информации, передаваемой по функциональным каналам связи наиболее эффективным является применение информационных методов скрытия информации, а именно шифрования. Следует отметить, что для защиты информации, передаваемой по радиоканалу, из технических методов защиты именно информационные будут единственно приемлемы. Это объясняется тем, что носитель информации (электромагнитная волна) не имеет четких границ в пространстве и локализовать ее какими либо техническими средствами невозможно.
Для защиты информации, передаваемой по проводным линиям связи возможно применить методы энергетического скрытия. Это возможно из-за того, что проводник имеет четкие границы в пространстве. Для защиты от бесконтактного съема из пассивных способов применяют экранирование кабелей с заземлением экрана, из активных – линейное зашумление.
Для защиты от утечки информации по электрическому каналу из пассивных способов применяют фильтрация, ограничение опасных сигналов, защитное отключение, а также экранирование линий, выходящих за пределы контролируемой зоны с заземлением экранирующей оболочки. В отличие от защиты проводного функционального канала связи, в этом случае экранируются участки проводника, проходящие рядом с техническими средствами и другими проводниками, несущими информацию ограниченного доступа, с целью исключения взаимного влияния и наведения в проводнике, выходящем за пределы контролируемой зоны информационного сигнала.
Средства защиты.
Фильтры - электронные устройства, которые пропускают сигналы одного диапазона (диапазонов) частот и не пропускают другого (других) диапазонов. Если фильтр пропускает сигналы низких частот и не пропускает сигналы высоких частот, то такие фильтры называются фильтры низких частот (ФНЧ). Если наоборот, то фильтры высоких частот (ВФЧ). ФНЧ используют для исключения (ослабления) просачивания информационных сигналов ТСПИ(технические средства приема, обработки, хранения и передачи информации), имеющих более высокие частоты, в цепи электропитания, заземления, в линии, выходящие за пределы контролируемой зоны.
Ограничение опасных сигналов заключается в том, что электронное устройство – ограничитель, пропускает сигналы высокого уровня и не пропускает слабые сигналы, которые могут возникнуть в результате наводок или на выходе элементов, обладающих «микрофонным эффектом».
Фильтр сетевой ФАЗА-1-10 предназначен для предотвращения утечки информации от ПЭВМ и других технических средств передачи информации по линиям питающей сети, выходящими за пределы выделенного помещения или за границы контролируемой зоны, за счет подавления наводок опасных (информативных) сигналов.
Активным способом защиты является линейное зашумление . Системы линейного зашумления (СЛЗ) применяются в случаях:
· недостаточных уровней переходных затуханий между влияющими и подверженными влиянию кабелями и соединительными линиями;
· воздействия на цепи, провода и устройства вспомогательной аппаратуры низкочастотных электромагнитных полей основной аппаратуры;
· наличия электроакустических преобразований во вспомогательной аппаратуре.
К мероприятиям защиты информации от утечки по электромагнитному каналу с использованием пассивных средств относятся локализация излучений путем экранирования и заземления технических средств, а также экранирование целых помещений.
Изделие обеспечивает снижение уровней ПЭМИН от устанавливаемых технических средств в широком диапазоне частот и предназначены для экранирования рабочих мест и помещений для обработки режимной информации и проведения испытаний (мониторинга) различной радиоэлектронной на наличие ПЭМИН (Побочные ЭлектроМагнитные Излучения и Наводки).
К техническим мероприятиям с использованием активных средств относятся пространственное зашумление.
Системы пространственного электромагнитного зашумления коллективные (СПЗ-К) или индивидуальные (СПЗ-И) применяются для создания маскирующих помех в окружающем ОТСС(Основные технические средства и системы) или ВТСС(Вспомогательные технические средства и системы) пространстве.
В состав СПЗ, как правило, входит следующее оборудование:
· генераторы шума;
· усилители, обеспечивающие необходимую мощность маскирующих шумов в заданном диапазоне частот;
· оконечные устройства (антенны) для создания магнитной и электрической составляющих маскирующих помех системы пространственного электромагнитного зашумления коллективной (СПЗ-К), однообмоточные или трехобмоточные «точечные» излучатели в системе пространственного электромагнитного зашумления индивидуальной (СПЗ-И), кабельная и распределительная сеть линейного зашумления в СПЗ-К;
· согласующие и коммутирующие устройства;
· пульты контроля токов и напряжений в оконечных устройствах.
Устройство активной защиты информации ВЕТО-М предназначено для радиоэлектронного подавления технических средств негласного съема информации и систем дистанционного управления, использующих радиоканал, а также маскировки побочных электромагнитных излучений технических средств и систем, обрабатывающих конфиденциальную информацию и (или) установленных в помещениях, предназначенных для проведения секретных совещаний. Помимо задач противодействия техническим средствам разведки прибор может использоваться для блокирования каналов дистанционного управления радиоуправляемых взрывных устройств.
Защита речевой информации в канале связи путем преобразования сигнала.
Существует несколько типов преобразования.
1. Преобразования с инверсией спектра и статическими перестановками спектральных компонент речевого сигнала
Процесс инверсии спектра сигнала при передаче и его восстановления при приеме иллюстрируется на рисунке 2.
Схема инвертора представляет собой балансный смеситель. При частоте гетеродина (маломощный генератор электрических колебаний, применяемый для преобразования частот сигнала в супергетеродинных радиоприёмниках, приёмниках прямого преобразования, волномерах и пр.) Fг, равной сумме граничных частот Fн и Fв преобразуемого сигнала (3700 Гц для стандартного телефонного канала с Fн = 300 Гц и Fв = 3400 Гц) нижняя полоса частот после смесителя воспроизводится в исходной полосе частот, т.е. в полосе канала в инверсном виде. При приеме производится повторная инверсия и исходный сигнал восстанавливается.
Качество восстановленной речи зависит от качества (на передающей и на приемной сторонах) смесителей, фильтров, ограничивающих спектр входного сигнала и выделяющих нижнюю полосу частот преобразованного сигнала, а также от коррекции на приемной стороне частотных искажений канала, влияние которых также сказывается инверсно: затухание канала в высокочастотной части спектра на приеме сказывается в низкочастотной части сигнала и наоборот.
При перехвате сигнал с инвертированным спектром может быть легко восстановлен любым аналогичным аппаратом, а при соответствующей тренировке - воспринят человеком непосредственно.
Для повышения стойкости защиты некоторые изготовители вводят переменную частоту гетеродина, устанавливаемую партнерами по договоренности в форме числового кода-пароля, вводимого в аппарат при переходе в защищенный режим.
Возможности такого дополнительного частотного сдвига, приводящего к несовпадению спектра передаваемого сигнала и номинальной частотной полосы канала связи и, соответственно, к ухудшению качества восстановленной речи, ограничены несколькими сотнями герц. Достигаемый эффект весьма условен. При прослушивании восстановленного сигнала, в случае неравенства частот гетеродинов на передаче и на приеме, в первый момент возникает ощущение неестественной и непонятной речи, которое, однако, почти не мешает воспринимать ее смысл после некоторой адаптации.
Наиболее существенным положительным качеством рассматриваемого преобразователя) является её автономность, т.е. отсутствие необходимости во взаимной синхронизации передающего и приемного аппарата и, соответственно, отсутствие задержки связи на время проведения синхронизации и возможных срывов защищенного режима из-за качества канала, недостаточного для проведения синхронизации. Если удалось установить связь в открытом режиме после включения партнерами инверторов будет реализован и защищенный режим.
Положительными качествами такой аппаратуры также являются:
Дешевизна (цены инверторов спектра порядка 30 - 50 USD);
Возможность построения схем, не вносящих задержку сигнала;
Малая критичность к качеству используемого канала связи и предельная простота в управлении.
Аппаратура может включаться между телефонным аппаратом и линией в стандартный двухпроводной стык между телефонным аппаратом и микротелефонной трубкой, может использоваться в виде накладки на микротелефонную трубку с акустической передачей преобразованного сигнала. Переход в защищенный режим происходит по взаимной договоренности партнеров после установления соединения. Переход происходит немедленно после нажатия соответствующей клавиши (или другого управляющего действия). Включение и выключение защищенного режима осуществляется каждым партнером самостоятельно, синхронизация действий не требуется.
При разговоре в линии прослушивается характерный сигнал, по структуре полностью повторяющий передаваемую речь. Восстановленный сигнал имеет высокое качество. В дешевых аппаратах с недостаточной фильтрацией возможно наличие свистящих тонов и изменение тембра голоса говорящего. Наличие посторонних шумов в помещении, из которого ведется передача, сказывается на качестве восстановленного сигнала так же, как в открытом режиме, на стойкость защитного преобразования почти не влияет.
2. Преобразования с временными перестановками (скремблированием) и временной инверсией элементов речевого сигнала со статическим законом перестановки.
Данный класс аппаратуры требует наличия в своем составе блока запоминания сигнала с управляемым доступом по записи и считыванию. Временная перестановка элементарных отрезков речевого сигнала и восстановление их последовательности на приеме занимают соответствующий интервал времени. Поэтому обязательным свойством такой аппаратуры является заметная задержка сигнала на приемной стороне. Процессы преобразования сигнала показаны на рисунке 4.
Чем меньше длительность элементарных отрезков, на которые разбивается исходный речевой сигнал и чем больше элементов участвуют в операции перестановки, тем сложнее процесс восстановления речи по перехваченному линейному сигналу.
Однако при передаче по каналу связи возникают краевые искажения элементарных отрезков. При восстановлении речи на приемной стороне это приводит к появлению “сшивок”, ухудшающих качество восстановленного сигнала. С учетом характеристик реальных телефонных каналов длительность элементарных отрезков сигнала ограничена снизу на уровне 15 - 20 миллисекунд.
Увеличение числа перемешиваемых элементов мозаики - увеличение “глубины перестановки” - ограничено возрастанием задержки восстановленного сигнала на приеме. При диалоге заметные неудобства возникают при задержке более 0,3 сек, а при задержке более 1 сек диалог становится невозможным. Оба указанных фактора определяют глубину перестановки на уровне 16 - 64 элементарных отрезков речи.
Маскирующее воздействие на структуру сигналов в линии связи может быть достигнуто временной инверсией (воспроизведением в обратном направлении по отношению к записи) всех или отдельных отрезков. Такое преобразование неэффективно на коротких отрезках (с продолжительностью менее длительности одного элементарного звука речи). Применение длинных отрезков уменьшает возможность их перемешивания. Поэтому временная инверсия применяется исключительно как дополнительное преобразование в комбинации с временными перестановками. При этом наиболее эффективна временная инверсия всех отрезков.
Временные перестановки и временная инверсия при правильном выборе параметров перестановки исключают непосредственное прослушивание речи в канале связи, но при анализе записи или при оперативном анализе сигнала на месте перехвата статическая перестановка, повторяющаяся из кадра в кадр, легко выявляется по спектральным и амплитудным связям отрезков, в результате чего исходная речь может быть восстановлена с применением несложной аппаратуры (ПЭВМ с аудиоплатой).
В то же время по своему составу и сложности алгоритма аппаратура с фиксированными перестановками незначительно отличается от аппаратуры с переменными перестановками, управляемыми криптоблоком. Поэтому в настоящее время для цепей защиты информации применяются почти исключительно аппараты с переменными перестановками.
3. Преобразования с временными или частотными перестановками (скремблированием) с переменными перестановками под управлением криптоблока и комбинированные мозаичные преобразования
Применение переменных перестановок позволяет значительно затруднить восстановление исходной речи по перехвату сигнала в канале. При правильном выборе криптоалгоритма удачный подбор перестановки на одном интервале никак не способствует подбору перестановок на последующих интервалах. Кроме того, введение криптоалгоритма с индивидуальным ключом исключает возможность использования для перехвата однотипного аппарата.
Аппаратура строится на базе сигнальных процессоров, имеет в своем составе АЦП(Аналого-цифровой преобразователь - устройство, преобразующее входной аналоговый сигнал в дискретный код), ЦАП(Цифро-аналоговый преобразователь - устройство для преобразования цифрового (обычно двоичного) кода в аналоговый сигнал), криптоблок управления перестановкой, систему ввода или формирования ключа. Обязательным этапом рабочего процесса является начальная синхронизация взаимодействующих аппаратов и их последующая подсинхронизация.
Как следствие, эта аппаратура заметно дороже аппаратуры частотной инверсии - 200 - 400 USD за единицу.
Основными положительными качествами аппаратуры мозаичных преобразований - скремблеров - являются:
Относительно высокая стойкость защиты передаваемого речевого сигнала, исключающая его непосредственное прослушивание даже при наличии группы высокотренерованных аудиторов и требующая для восстановления речи значительных затрат времени при использовании специализированных измерительно-вычислительных комплексов, применяемых государственными спецслужбами;
Относительно низкая стоимость;
Простота эксплуатации (для моделей, специально разработанных для непрофессионального пользователя).
К недостаткам данного класса аппаратуры следует отнести:
Задержку восстановленного сигнала на приемной стороне, требующую привыкания и затрудняющую диалог;
Наличие эха, зависящего от параметров коммутируемой линии связи;
Задержку связи на время прохождения процесса синхронизации аппаратов;
Возможность срыва синхронизации на плохих каналах.
В июле 1997 г. вышел руководящий документ "Средства вы-числительной техники. Межсетевые экраны. Защита от несанк-ционированного доступа к информации. Показатели защищенно-сти от несанкционированного доступа" Гостехкомиссии при Пре-зиденте РФ (полный текст можно найти в информационном бюл-летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло-кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по-ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин-формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Устанавливается пять классов защищенности МЭ: 5 (самый низкий) -- применяется для безопасного взаимодействия АС клас-са 1 Д с внешней средой, 4 -- для 1 Г, 3 -- 1 В, 2 -- 1 Б, 1 (самый вы-сокий) -- для 1А. (Напомним, что Гостехкомиссией РФ установ-лено девять классов защищенности АС от НСД, каждый из кото-рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли-чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон-фиденциальности, и не все пользователи имеют равные права дос-тупа.)
В приведена некоторая справочная информация, где даны описания не-скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:
1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;
2) средство защиты от НСД в сетях передачи данных по про-токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;
3) аппаратно-программный комплекс "Застава-Джет" компа-нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;
4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;
5) партия средств программного обеспечения межсетевого эк-рана FireWall-1 фирмы Checkpoint Software Technologies;
6) комплекс защиты информации от НСД "Data Guard/24S";
7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;
8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;
9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по-зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;
10) Firewall/Plus фирмы Network-1 Software and Technologies.
Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.
Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре-шает проблему безопасности сети и позволяет:
* скрыть от пользователей глобальной сети структуру интра-сети (IP-адреса, доменные имена и т.д.);
* определить, каким пользователям, с каких хостов, в на-правлении каких хостов, в какое время, какими сервисами можно пользоваться;
* описать для каждого пользователя, каким образом он дол-жен аутентифицироваться при доступе к сервису;
* получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.
ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль-зования.
ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);
HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе-чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо-пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер-вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей ПАНДОРА позволяет при-менять следующие схемы аутентификации:
· обычный Unix-пароль;
· S/Key, MDauth (одноразовые пароли).
· РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.
· FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)
· HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Система сбора статистики и генерации отчетов позволяет со-брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.
ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.
Прозрачный режим работы proxy-серверов позволяет внутрен-ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.
ПАНДОРА поставляется вместе с исходными текстами основ-ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян-варя 1997 г. и действителен до 16 января 2000 г: " ...система защи-ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе меж-сетевого экрана "Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за-щищенности участка интрасети, соответствует техническим усло-виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы. Защита от несанк-ционированного доступа к информации. Классификация автомати-зированных систем и требования по защите информации" в части администрирования для класса ЗБ".
Задача выбора МЭ для каждого конкретного применения - это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк-ционированное вторжение. Однако, учитывая широкий спектр не-обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эф-фективности МЭ служит вовсе не его способность к отказу в пре-доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио-нированы без ненужного замедления работы системы.
И в заключение данного раздела приведем некоторые рекомен-дации по выбору МЭ, которые выработала Ассоциация "Конфидент".
1). Цена. Она колеблется существенно -- от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в сред-нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи-тельными и соизмеримыми со стоимостью самого МЭ -- напри-мер, как в случае использования компьютеров Sun под управлени-ем ОС Solaris. Поэтому с точки зрения экономии разумно приме-нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.
2). Фильтрация. Большинство МЭ работает только с семейст-вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при-меняется в классическом варианте -- для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти-ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо-димой для внутреннего МЭ является способность фильтрации на уровне соединения -- например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про-дуктах (например. Firewall Plus и Eiron Firewall).
3). Построение интрасети -- при объединении сети организа-ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз-можностей, имеется в Netware: службы каталогов, управления, пе-чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.
4). Простота эксплуатации. Чтобы снизить текущие эксплуа-тационные расходы, лучше отдать предпочтение простым в экс-плуатации продуктам с интуитивно понятным графическим ин-терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответ-ствуют два продукта -- Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
Российский стандарт шифрования данных ГОСТ 28147-89
Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локаль-ных вычислительных сетей и автономных компьютеров.
Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем крипто-графическим требованиям, сложившимся в мировой практике. Он также по-зволяет осуществлять криптозащиту любой информации, независимо от сте-пени ее секретности.
В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.
Необходимо отметить, что алгоритм ГОСТ 28147-89 полностью удовле-творяет всем требованиям криптографии и обладает всеми достоинствами алгоритма DES, но лишен его недостатков. В частности, за счет использова-ния специально разработанных имитовставок он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. В качестве недостатка российского алгоритма надо отметить большую слож-ность его программной реализации и недостаточно высокую скорость работы.
СУБД “Линтер-ВТ” , разработанной ВНИИ автоматизации управления в непромышленной сфере воронежской фирмой “Рэлекс”, производство которых сертифицировано. Специалисты Лос-Аламосской лаборатории в США считают, что СУБД “Линтер-ВТ” не уступает СУБД фирмы Oracle (“родная” Oracle, чтобы быть сертифицированной, требует доработки, а, кроме того, любой западный продукт может получить сертификат только на определенные партии продуктов, поскольку их производство находится за рубежом).
Криптографические средства семейства “Верба-О” производства МОПНИЭИ(сертифицированы ФАПСИ) . Универсальность установок по умолчанию. Внутренние изменения интерфейса при смене средств незначительны. Спектр применения интерфейса системы защиты информации, приведенного в качестве примера,продукта, приведённого в качестве примера, в весьма широк. Это системы контроля доступа к ресурсам банковской системы (как локальное использование в офисе банка для операторов и клиентов, так и контроль удаленного доступа), системы “банк-клиент”, платежи через Интернет, защищенная почта и многие другие.
Данная настройка Iptables рассчитана на схему с использованием 2 сетевых интерфейсов.
Рис 5
Программа позволяет задать правила, которым должны соответствовать проходящие через брандмауэр IP-пакеты. Эти правила, как и все настройки Linux, записываются в текстовый файл, находящийся в папке /etc. Последовательность правил называется цепочкой (CHAIN). Для одного и того же сетевого интерфейса используются несколько цепочек. Если проходящий пакет не соответствует ни одному из правил, то выполняется действие по умолчанию.
Для определений правил используются несколько таблиц:
Используется для изменения заголовка пакета. Допускается выполнять только нижеперечисленные действия:
Действие TOS выполняет установку битов поля Type of Service в пакете. Это поле используется для назначения сетевой политики обслуживания пакета, т.е. задает желаемый вариант маршрутизации. Однако, следует заметить, что данное свойство в действительности используется на незначительном количестве маршрутизаторов в Интернете. Другими словами, не следует изменять состояние этого поля для пакетов, уходящих в Интернет, потому что на роутерах, которые таки обслуживают это поле, может быть принято неправильное решение при выборе маршрута.
Действие TTL используется для установки значения поля TTL (Time To Live) пакета. Есть одно неплохое применение этому действию. Мы можем присваивать определенное значение этому полю, чтобы скрыть наш брандмауэр от чересчур любопытных провайдеров (Internet Service Providers). Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами. и тогда они начинают проверять значение TTL приходящих пакетов и используют его как один из критериев определения того, один компьютер "сидит" на подключении или несколько.
Действие MARK устанавливает специальную метку на пакет, которая затем может быть проверена другими правилами в iptables или другими программами, например iproute2 . С помощью "меток" можно управлять маршрутизацией пакетов, ограничивать траффик и т.п.
Используется для выполнения преобразований сетевых адресов NAT (Network Address Translation). Только первый пакет из потока проходит через цепочки этой таблицы, трансляция адресов или маскировка применяются ко всем последующим пакетам в потоке автоматически. Для этой таблицы характерны действия:
Действие DNAT (Destination Network Address Translation) производит преобразование адресов назначения в заголовках пакетов. Другими словами, этим действием производится перенаправление пакетов на другие адреса, отличные от указанных в заголовках пакетов.
SNAT (Source Network Address Translation) используется для изменения исходных адресов пакетов. С помощью этого действия можно скрыть структуру локальной сети, а заодно и разделить единственный внешний IP адрес между компьютерами локальной сети для выхода в Интернет. В этом случае брандмауэр, с помощью SNAT , автоматически производит прямое и обратное преобразование адресов, тем самым давая возможность выполнять подключение к серверам в Интернете с компьютеров в локальной сети.
Маскировка (MASQUERADE ) применяется в тех же целях, что и SNAT , но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP.
В этой таблице должны содержаться наборы правил для выполнения фильтрации пакетов. Пакеты могут пропускаться далее, либо отвергаться (действия ACCEPT и DROP соответственно), в зависимости от их содержимого. Конечно же, мы можем отфильтровывать пакеты и в других таблицах, но эта таблица существует именно для нужд фильтрации. В этой таблице допускается использование большинства из существующих действий, однако ряд действий, которые мы рассмотрели выше в этой главе, должны выполняться только в присущих им таблицах.
Так же можно осуществлять фильтрацию по состоянию соединения. Допустимыми являются состояния NEW, ESTABLISHED, RELATED и INVALID. В таблице, приводимой ниже, рассматриваются каждое из возможных состояний.
|
Состояние |
Описание |
|
Признак NEW сообщает о том, что пакет является первым для данного соединения. Это означает, что это первый пакет в данном соединении, который увидел модуль трассировщика. Например если получен SYN пакет являющийся первым пакетом для данного соединения, то он получит статус NEW. Однако, пакет может и не быть SYN пакетом и тем не менее получить статус NEW. Это может породить определенные проблемы в отдельных случаях, но может оказаться и весьма полезным, например когда желательно "подхватить" соединения, "потерянные" другими брандмауэрами или в случаях, когда таймаут соединения уже истек, но само соединение не было закрыто. |
|
|
Состояние RELATED одно из самых "хитрых". Соединение получает статус RELATED если оно связано с другим соединением, имеющим признак ESTABLISHED. Это означает, что соединение получает признак RELATED тогда, когда оно инициировано из уже установленного соединения, имеющего признак ESTABLISHED. Хорошим примером соединения, которое может рассматриваться как RELATED, является соединение FTP-data, которое является связанным с портом FTP control, а так же DCC соединение, запущенное из IRC. Обратите внимание на то, что большинство протоколов TCP и некоторые из протоколов UDP весьма сложны и передают информацию о соединении через область данных TCP или UDP пакетов и поэтому требуют наличия специальных вспомогательных модулей для корректной работы. |
|
|
Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. Схема установки состояния ESTABLISHED достаточна проста для понимания. Единственное требование, предъявляемое к соединению, заключается в том, что для перехода в состояние ESTABLISHED необходимо чтобы узел сети передал пакет и получил на него ответ от другого узла (хоста). После получения ответа состояние соединения NEW или RELATED будет заменено на ESTABLISHED. |
|
|
Признак INVALID говорит о том, что пакет не может быть идентифицирован и поэтому не может иметь определенного статуса. Это может происходить по разным причинам, например при нехватке памяти или при получении ICMP-сообщения об ошибке, которое не соответствует какому либо известному соединению. Наверное наилучшим вариантом было бы применение действия DROP к таким пакетам. |
