НПО РТК
  О компании Продукция
 Поддержка Обучение Публикации Контакты

Публикации

Статьи и обзоры
Книги и монографии
Cлайдшоу
Техническая документация



Контактная информация:

Aдрес:

194064, Санкт-Петербург,
Тихорецкий пр., 21

Тел.: +7 (812) 552-0660
Факс: +7 (812) 552-4512

E-mail: info@npo-rtc.ru

Статьи и обзоры


Технология "стелс"

В. С. Заборовский

Обеспечение информационной безопасности сложный и многогранный процесс. В сети Интернет угрозы безопасности являются следствием самого процесса передачи данных. Угрозы возникают как в отношении содержания данных, передаваемых в теле пакетов, так и самого процесса межсетевого обмена. Широкий спектр этих угроз может быть устранен с помощью средств пакетной фильтрации и управления доступом к сетевым ресурсам. Технология "стелс" применяется для повышения эффективности применения этих средств путем организации процесса многоуровневой скрытной фильтрации. Рассмотрим особенности применения этой технологии.

Первое

Технология "стелс" позволяет устранить часть уязвимостей, которые являются следствием процессов межсетевого взаимодействия. Современный стандарт предусматривает разделение функций межсетевого взаимодействия между отдельными протоколами на 7 уровней. Считается, что в целях повышения эффективности управления процессы передачи данных должны происходить только между соседними уровнями, для чего создается специальный стек (конвейер) сетевых протоколов. Однако, для достижения масштабируемости и технологичности разработчики протокольных стеков, например стека TCP/IP, отходят от стандартов модели. Так в модели сети Интернет имеетя только 4 уровня, так как физический и канальный уровни стандартной модели OSI, наряду с прикладным, представительским и сессионным уровнями этой модели объединены в канальный и прикладной мета уровни.

Второе

В основе организации процессов информационного обмена в Интернет лежать различные схемы адресации. Так на канальном уровне (data link layer) используется "плоская" схема адресации, основанная на физических (уникальных) адресах интерфейсов отдельных сетевых устройств. Эти адреса называются адресами доступа к среде передачи (Media Access Control адреса) или МАС адреса. В рамках такой схемы адресации предусмотрен обмен данными непосредственно между сетевыми устройствами - компьютерами или серверами. Для идентификации источника и получателя данных в заголовке передаваемого пакета (например, кадра протокола Ethernet) используются МАС адреса интерфейсов сетевых устройств, что позволяет однозначно определить, откуда данные получены и куда они должны быть переданы.

Для организации взаимодействия между сетями, объединенными в Интернет, используется другая схема адресации, которая имеет иерархическую структуру. Используемый на сетевом уровне логический адрес формируется в соответствии со стандартом Internet Protocol и имеет следующую структуру: логический адрес сети, логический адрес конкретного устройства (абонента) в сети. Считается, что сетевое устройство может иметь несколько интерфейсов, подключенных к различным сетям. В этом случае информационный обмен между сетями происходит в форме коммутации сетевых пакетов между интерфейсами сетевого устройства, подключенного к этим сетям.

Таким образом, в рамках одной локальной сети используется "плоская" схема адресации на основе МАС адресов, а между сетями - иерархическая схема адресации на основе IP адресов (Internet Protocol).

Третье

Защита и управление доступом к ресурсам на канальном и сетевом уровнях осуществляется с помощью специальных устройств, называемых межсетевыми экранами (firewall). Эти устройства функционируют как фильтры пакетов, причем в качестве параметров фильтрации используются различные признаки, позволяющие идентифицировать источник и приемник пакетов, типы приложений, время установления соединений и пр.

Четвертое

Принципиальным отличием межсетевого экрана типа ССПТ, использующего технологию "стелс", от стандартных устройств данного типа является то, что это устройство не является абонентом локальной компьютерной сети, в которой само устройство установлено, поэтому межсетевой экран не участвует в процессах межсетевого взаимодействия между абонентами сети и между сетями, подключенными к Интернет. В результате сам межсетевой экран "прозрачен" для всех типов сетевых протоколов, функционирующих на канальном и сетевом, а следовательно и на всех более высоких уровнях модели OSI. Отсутствие физических (МАС) и сетевых (IP) адресов у межсетевого экрана, а также выделение специального управляющего интерфейса для передачи команд управления и задания правил фильтрации - это ключевые аспекты изобретения, защищенного патентом. Суть изобретения проста и сводится к тому, что межсетевой экран осуществляет фильтрацию пакетов в локальной компьютерной сети, но при этом не является ни источником, ни получателем никаких пакетов от абонентов сети, где он установлен. Поэтому на Ethernet интерфейсах межсетевого экрана за исключением специального выделенного управляющего интерфейса, нет стека TCP/IP. Таким образом, реализация идеи изобретения сводится к тому, что сетевые интерфейсы межсетевого экрана не имеют IP адресов, а их уникальные физические (МАС) адреса "скрываются" с помощью специальных настроек встраиваемой в межсетевой экран операционной системы. Отсутствие MAC и IP адресов делает межсетевой экран ССПТ функциональным аналогом сетевого концентратора (hub), который обычно используется для объединения коммутационных проводов, идущих от различных сегментов одной локальной компьютерной сети (LAN). Однако, в отличие от стандартного сетевого концентратора (hub), который транслирует в соседние сегменты сети физические сигналы, передаваемые по коммутационным проводам, наше устройство более "интеллектуальное", а именно с его помощью реализуются функции коммутации пакетов, но признаки, по которым проводится эта коммутация, основаны не на адресах пакетов, а на правилах фильтрации. В отличие от известных аналогов сетевых устройств, фильтрация пакетов в ССПТ осуществляется на нескольких уровнях модели OSI. Другими словами, правила фильтрации относятся как к параметрам Ethernet кадров или VLAN IEEE 801.1q, так и к параметрам пакетов служебных протоколов (ARP, RARP или ICMP), а также к параметрам пакетов протоколов сетевого (IPv4, IPv6 или IPX) и транспортного (TCP или UDP) уровней.

Итак,

применение "стелс" межсетевых экранов для защиты информации в компьютерных сетях имеет следующие преимущества:

  • реализуется режим многоуровневой и многопротокольной, а не только IP фильтрации
  • не изменяется адресное пространство сети, поэтому не требует перестройки политики маршрутизации или коммутации VLAN
  • межсетевые экраны объединяться в кластеры повышенной производительности и надежности.


О компании Продукция
 Поддержка Обучение Публикации Контакты