Проектирование локальной вычислительной сети на основе PLC-технологии с использованием сетей Петри

Основные принципы организации сетей абонентского доступа на базе PLC-технологии. Угрозы локальным сетям, политика безопасности при использовании технологии PLC. Анализ функционирования PLC здания инженерно-внедренческого центра ООО "НПП "Интепс Ком".

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 25.11.2012
Размер файла 3,0 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Компания ELCON (Германия) в марте 2007 г анонсировала выпуск модели ELCONnect P-200, которая реализована на базе ИМС компании DS2, поддерживает интерфейс Ethernet и обеспечивает скорость обмена до 220 Мб/с.

Основная информация по производителям аппаратуры класса In-Door третьего поколения приведена в Таблице 1.3.

Таблица 1.3 Основные поставщики оборудования PLC класса In-Door

Фирма изготовитель, страна

PLC-Ethernet мост

Аdapter USB

Аdapter USB/Ethernet

Archnet, Китай,

ATL60140E, 115Mbps

ATL60140U, 115Mbps,

Amigo Тechnology, Тайвань,

AMH-IA13E.

AMH-IA12U

devoloAG,

Германия,

"dLAN Highspeed" HomePlug AV

"dLAN duo" HomePlug AV

ELCON, Германия

Goldpfeil P-LAN-E, 200 Mbps

Goldpfeil P-LAN-U, 200 Mbps

IOGEAR, США,

GHPB31 HomePlug AV

GHPU21 HomePlug AV

Linksys, США,

PLEBR10, HomePlug AV

PLUSB10 HomePlug AV

NETGEAR

США,

XE102 HomePlug AV

XE104 HomePlug AV

GigaFast, США,

185Mbps HomePlug Ethernet Bridge

185Mbps HomePlug

USB Adapter

LEA, Франция,

NetPlug PLN001-01 HomePlug

NetPlug PLN001-03 HomePlug

PowerNet, США

PWR-E 220Mbps

PWR-U 220 Mbps

ZyXEL,

PL-100, HomePlug AV

АСОТЕЛ,РФ,

DYNAMIX PL-E 85 MBps

DYNAMIX PL-U 85 MBps

АСОТЕЛ,РФ,

DYNAMIX PL-E, 85Mbs

Глава 2. Разработка модели безопасности для ЛВС на основе PLC технологии

2.1 Основные угрозы безопасности в ЛВС на основе PLC технологии

Главное отличие сетей, построенных с использованием технологи PLC от классических кабельных сетей, связано с практически неконтролируемой областью между конечными точками сети и возможностью выхода информации за пределы сети по силовым линиям. В достаточно широком пространстве сетей PLC среда никак не контролируется. Современные технологии предлагают крайне ограниченный набор средств управления всей областью развертывания сети. Это позволяет атакующим, находящимся в непосредственной близости от PLC структур, производить целый ряд нападений, которые были невозможны в кабельной сети. Обсудим характерные только для PLC окружения угрозы безопасности, оборудование, которое используется при атаках, проблемы, возникающие при передаче данных от одной точки доступа к другой, укрытия для силовых каналов и криптографическую защиту коммуникаций, организованных по силовым линиям (14, стр.71-73).

1. Подслушивание

Наиболее распространенная проблема в таких открытых и неуправляемых средах, как силовые сети, - возможность анонимных атак. Анонимные вредители могут перехватывать сигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен иметь возможность физического подключения к силовому проводу, через который осуществляется обмен данными, либо иметь технические средства для перехвата наведенных в сети сигналов, во всяком случае, он должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, еще труднее помешать им. Использование специализированных антенн и усилителей дает злоумышленнику возможность находиться на значительном расстоянии от цели в процессе перехвата.

Подслушивание позволяет собрать информацию в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети. Все это пригодится для того, чтобы организовать атаку на сеть. Многие общедоступные сетевые протоколы передают такую важную информацию, как имя пользователя и пароль, открытым текстом. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Даже если передаваемая информация зашифрована, в руках злоумышленника оказывается текст, который можно запомнить, а потом уже раскодировать (См.8).

Итак, здесь существуют два принципиально разных способа перехвата информации: прямое подключение к сети и перехват наведенных сигналов. Методы обнаружения и борьбы с подобными атаками являются принципиально разными и, если с первым типом атак довольно легко справиться, то второй тип подслушивания для PLC сетей особенно опасен и бороться с ним в силу конструктивной специфики сетей особенно сложно.

2. Отказ в обслуживании (Denial of Service - DOS)

Полную парализацию сети может вызвать атака типа DOS. Во всей сети, включая базовые станции и клиентские терминалы, возникает такая сильная интерференция, что станции не могут связываться друг с другом. Эта атака выключает все коммуникации в определенном районе. Если она проводится в достаточно широкой области, то может потребовать значительных мощностей. Атаку DOS на PLC сети трудно предотвратить или остановить - силовые линии полностью контролировать невозможно и избежать подключения к ним источников шумовых помех крайне сложно. Единственным эффективным способом борьбы является изоляция участка, отведенного под использование в сети, с помощью фильтров и трансформаторных устройств.

3. Глушение рабочей станции

Глушение в сетях происходит тогда, когда преднамеренная или непреднамеренная интерференция в сети превышает возможности отправителя или получателя в канале связи, и канал выходит из строя. Атакующий может использовать различные способы глушения.

Глушение рабочей станции при прямом подключе6нии к сети дает мошеннику возможность подставить себя на место заглушенного клиента. Также глушение может использоваться для отказа в обслуживании клиента, чтобы ему не удавалось реализовать соединение. Более изощренные атаки прерывают соединение с рабочей станцией, чтобы затем она была присоединена к станции злоумышленника. Как и в случае атак DOS, требуется прямое подключение к сети в целом или к участку сети, связанному с клиентской станцией.

4. Угрозы криптозащиты

В PLC сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и использованию информации злоумышленниками. Особенно это важно при использовании сетей стандартов HomePlug 1.0 и HomePlug Turbo, поскольку используемый там криптографический механизм разработан с единственным статическим ключом, который применяется всеми пользователями. Управляющий доступ к ключам, частое их изменение и обнаружение нарушений практически невозможны. Исследование WEP-шифрования выявило уязвимые места, из-за которых атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. Существуют средства, которые позволяют злоумышленнику восстановить ключ в течение нескольких часов. Поэтому на WEP нельзя полагаться как на средство аутентификации и конфиденциальности в широкополосной сети. Использовать описанные криптографические механизмы лучше, чем не использовать никаких, но, с учетом известной уязвимости, необходимы другие методы защиты от атак (См.28).

5. Анонимность атак

Возможность физического удаленного подключения к сети, использующей в качестве среды передачи данных силовые линии, обеспечивает полную анонимность атаки. Без соответствующего оборудования в сети, позволяющего определять местоположение, атакующий может легко сохранять анонимность и прятаться где угодно на территории, позволяющей получить прямой доступ к сети в обход средств фильтрования.

2.2 Защита от побочных электромагнитных излучений и наводок в PLC сетях

В последнее время "второе дыхание" получают методы перехвата информации по каналам побочных излучений и наводок (ПЭМИН) элементов локальной сети. Методика защиты отдельных компьютеров достаточно хорошо проработана, подкреплена необходимыми нормативными документами. Задача же защиты информации от утечки по каналам ПЭМИН в локальной сети существенно сложнее, чем для автономно используемых устройств.

Побочные излучения - это радиоизлучения, возникающие в результате любых нелинейных процессов в радиоэлектронном устройстве, кроме процессов модуляции. Побочные излучения возникают как на основной частоте, так и на гармониках, а также в виде их взаимодействия. Радиоизлучение на гармонике - это излучение на частоте (частотах), в целое число раз большей частоты основного излучения. Радиоизлучение на субгармониках - это излучение на частотах, в целое число раз меньших частоты основного излучения. Комбинационное излучение - это излучение, возникающее в результате взаимодействия на линейных элементах радиоэлектронных устройств колебаний несущей (основной) частоты и их гармонических составляющих.

Любая передача электрического сигнала сопровождается электромагнитным излучением. Если электромагнитный сигнал сам не используется как носитель информации (радиоволны), то подобное излучение оказывается крайне нежелательным с точки зрения безопасности. В русскоязычной специализированной литературе используется определение "Побочные электромагнитные излучения и наводки" (ПЭМИН). За рубежом пользуются аббревиатурой TEMPEST (сокращение от Transient Electromagnetic Pulse Emanation Standard) или понятием "компрометирующие излучения" (compromising emanations). Во всех случаях речь идет исключительно о таком явлении, как переходные электромагнитные импульсные излучения работающей радиоэлектронной аппаратуры (12, стр.31-37).

Источниками электромагнитных излучений в локальной сети являются, безусловно, рабочие станции (компьютеры) и активное сетевое оборудование.

В PLC сетях утечки по каналу ПЭМИН возможны двух типов: утечки информации непосредственно с персональных компьютеров и утечки, связанные с передачей данных по силовым кабелям.

Оценочно, по каналу ПЭМИН (побочных электромагнитных излучений и наводок) может быть перехвачено не более 1-2 процентов данных, хранимых и обрабатываемых непосредствен на персональных компьютерах и других технических средствах передачи информации (ТСПИ). Специфика канала ПЭМИН такова, что те самые два процента информации, уязвимые для технических средств перехвата - это данные, вводимые с клавиатуры компьютера или отображаемые на дисплее, то есть, парадоксально, но весьма значительная часть сведений, подлежащих защите, может оказаться доступна для чужих глаз. Для защиты от утечки информации по каналам побочных излучений и наводок применяется экранирование этого оборудования. Для снижения уровня излучений активного оборудования локальной сети это оборудование лучше всего размещать в экранированном шкафу.

Например, стандартная клавиатура обычно имеет очень высокий уровень излучения. В тоже время с клавиатуры вводятся очень критичные с точки зрения безопасности данные, включая пароли пользователей и администратора системы. Излучение клавиатуры относительно узкополосное и сосредоточено, в основном, в области коротких и ультракоротких волн. Для его перехвата может использоваться очень дешевый коротковолновый разведывательный приемник. Учитывая также, что данные, вводимые с клавиатуры, вводятся в последовательном коде и поэтому могут быть легко интерпретированы, излучения, создаваемые клавиатурой, следует считать наиболее опасными.

Однако средства борьбы с источниками излучения, производимыми компьютерным оборудованием, хорошо известны и эффективны. Самым важным фактором защиты является дисциплина пользователей.

Но гораздо больше проблем приносит собственно кабельная система PLC сети. Внутрь защищаемого объема локальной сети любой провод (прежде всего - электрический) может заходить только через специальный фильтр, препятствующий распространению побочных излучений вдоль этих проводов (См. 19).

В настоящее время теория фильтров очень хорошо проработана. Однако, для правильного расчета характеристик фильтра необходимо знать выходное сопротивление источника высокочастотных колебаний (блока питания активного оборудования) и входное сопротивление приемника этих колебаний (электрической сети, от которой данное оборудование запитывается). В нашем случае выходное сопротивление конкретного блока питания еще можно каким-либо образом измерить. Но комплексное внутреннее сопротивление электрической сети мы не будем знать никогда. А оно в зависимости от протяженности линий электропитания, количества и характеристик подключенной к этой сети приборов может не только изменяться по величине, но и менять свой характер. На некоторых частотах комплексное сопротивление может носить емкостной характер, на некоторых индуктивный. И это сопротивление может изменяться при подключении к линии электропитания различных приборов. Поэтому разработка фильтра для подавления излучений в цепях электропитания - это большей частью экспериментальная работа. Хороший результат достигается путем большого количества проб и ошибок. Более того, ни один серийно изготавливаемый фильтр не может полностью выполнять свои функции в широкой полосе частот. Хорошие фильтры - это компромиссное решение, которое только в большинстве случаев удовлетворяет предъявляемым к фильтру требованиям (См.5).

Силовая кабельная система связывает между собой все элементы компьютерной PLC сети. По ней передаются сетевые данные, но вместе с этим она является также приемником всех наводок и средой для переноса побочных электромагнитных излучений (рис.2.1).

Рис.2.1 Источники ПЭМИН в PLC сетях (См.5)

Поэтому следует различать:

Побочное излучение, вызванное передаваемыми по данной линии сигналами (трафиком локальной сети);

Прием и последующее переизлучение побочных излучений от расположенных вблизи других линий и устройств;

Излучение силовой кабельной системой побочных колебаний от элементов сетевого активного оборудования и компьютеров, к которым подключен кабель.

Довольно часто при оценке защищенности кабельной системы интересуются только тем, насколько ослабляется побочное излучение, вызванное сигналами, передаваемые по кабелю в процессе сетевого обмена информацией. Все понимают, что, если по радиоизлучению кабельной системы можно восстановить трафик в локальной сети, то это представляет большую опасность.

По технике электробезопасности все активное оборудование, входящее в состав локальной сети, должно иметь защитное заземление, в том числе - и прежде всего - сама силовая кабельная система. Защитное заземление активного оборудования слабо влияет на излучение информации, циркулирующей в локальной сети. Но оно коренным образом изменяет способность кабелей локальной сети излучать синфазно наведенные на эти кабели колебания, вызванные работой элементов сети. Рассмотрим эквивалентную схему участка локальной сети для побочных излучений элементов компьютера (рис.2.2) (9, стр.116-119):

Рис.2.2 Схема участка локальной сети и вызываемые ПЭМИН без заземления

Побочные излучения элементов компьютера наводятся синфазно на провода силовой кабельной системы. В классических кабельных сетях электрическое поле E, создаваемое наведенным излучением, локализуется в пространстве между жилами кабеля и экранирующей оплеткой. Поэтому оно очень хорошо подавляется (по крайней мере, при применении высококачественных кабелей). Наведенное напряжение приводит к появлению наведенного тока по жилам кабеля Iпр. и его оплетке Iобр. В отсутствии заземления магнитное поле, вызванное протеканием наведенного тока по жилам кабеля, компенсируется магнитным полем, вызванным протеканием этого тока во встречном направлении по оплетке кабеля. Поэтому в незаземленной классической кабельной системе побочные излучения элементов компьютера, проникающие в экранированные кабели локальной сети, могут быть хорошо подавлены.

В PLC сетях заземление является безусловным элементом сети, а силовой кабель не имеет экранирующей оплетки. В этом случае, если все активное оборудование сети заземлено, излучение также вызывает появление наведенного тока Iпр. по жилам кабеля. Однако обратный ток в этом случае протекает как по экранирующей оплетке кабеля Iобр., так и по проводам заземления I'обр. (рис.2.3.).

Рис.2.3 Схема участка локальной сети и вызываемые ПЭМИН с заземлением в сети PLC

В результате в контуре, образованном экранирующей оплеткой кабеля и проводами (шинами) заземления образуется разностный ток DI. Поэтому рассматриваемый контур для наведенного тока в кабеле, оплетке и цепях заземления представляет собой рамочную антенну, иногда просто гигантских размеров - в зависимости от размеров сети и способа организации заземления. Именно этот эффект и приводит к тому, что при подключении хорошо защищенного компьютера к локальной сети уровень излучений компьютера (в первую очередь, магнитной составляющей) значительно возрастает независимо от того, экранированные кабели применяются или нет. Таким образом, PLC сеть с точки зрения ПЭМИН, наведенных в силовом соединительном кабеле, функционирует совершенно аналогично заземленной классической кабельной сети, несмотря на отсутствие каких либо экранирующих устройств на электрических силовых проводах. Особенно хорошо данный эффект проявляется на относительно низких частотах. А ведь во многих случаях именно подавление магнитной составляющей на низких частотах представляет трудности даже для автономного (не подключенного к локальной сети) устройства.

Важно отметить, что рамочная антенна образуется независимо от того, каким образом и как качественно выполнено заземление. Устранить это явление рациональным выбором системы заземления нельзя. Единственный способ уменьшить излучение - это подключение защитного заземления к каждому элементу локальной сети через фильтр, который обладает большим сопротивлением в широкой полосе частот, но малым сопротивлением на частоте 50 Гц. Наиболее эффективно гальваническую и электромагнитную развязку кабелей электропитания PLC сетей от промышленной сети обеспечивает их разделительная система типа "электродвигатель-генератор”. Электропитание допускается также осуществлять через помехоподавляющие фильтры. Иногда для блокирования сигналов в цепях электропитания ТС применяют мотор-генераторы, которые в данном случае выполняют роль механического фильтра. Запрещается осуществлять электропитание технических средств, имеющих выход за пределы защищенной области сети, от защищенных источников электроснабжения без установки помехоподавляющих фильтров. Важно также обеспечить невозможность доступа посторонних лиц к линиям силовых кабелей на расстояние эффективного приема наведенных сигналов (9, стр.122-126).

Важным фактором защиты от ПЭМИН в PLC сетях является использование активного зашумляющего оборудования. Рассмотрим требования, предъявляемые к зашумляющим сигналам. При определении оптимальных параметров шума рассматривают две группы критериев - информационные и энергетические

Сначала по информационным критериям обеспечивают самое высокое качество помехового сигнала, затем выбирают его параметры, при которых обеспечивается зашумление информации при наименьшей мощности шума.

Идеальные маскирующие помеховые сигналы должны создавать такие условия, при которых апостериорная вероятность опознавания была бы равна нулю при максимальной априорной вероятности наличия сигнала с известными параметрами. Это исключает возможность применения для цепей маскировки детерминированных помеховых сигналов, так как они легко распознаются, а поэтому не могут увеличить неопределенность в системе.

Поскольку детерминированные помеховые сигналы обладают низкими потенциальными возможностями маскировки, их можно устранить сравнительно простыми техническими приемами (См.24). Маскирующие помеховые сигналы должны содержать элемент неопределенности. Мерой неопределенности случайных величин или случайного процесса является энтропия. При прочих равных условиях среды маскирующих помеховых сигналов (шумов) лучшим является тот, энтропия которого больше. Шум, создаваемый реальными источниками, имеет ограничения как по максимально достижимым значениям, так и по средней мощности (дисперсии). Следовательно, из всех ограниченных сверху и снизу шумов, представленных одномерным распределением, максимальную энтропию имеет тот, у которого плотность распределения вероятности является равномерной (1, стр.89-90).

В реальных условиях шумовое напряжение ограничено как по средней мощности, так и по максимальным вопросам, в результате чего оптимальное распределение будет отличаться от равномерного и от гауссова. Чтобы обеспечить маскирование при наименьшей мощности шума, параметры маскирующего шума выбирают с учетом параметра защищаемых сигналов. Сигналы, циркулирующие в локальной сети, имеют ограниченный спектр, поэтому для их зашумления энергетически целесообразно выбирать зашумляющие сигналы, лежащие в той же области частот. Следует также учитывать, что статистические параметры информационного сигнала известны злоумышленнику и он может применять приемные устройства с оптимальным фильтром. Исходя из этого необходимо, чтобы шум также прошел оптимальную обработку. Самым сильным маскирующим эффектом при наименьшей мощности шумового генератора будет обладать шум со спектром, повторяющим спектр зашумляемого сигнала.

К настоящему времени сложилась система защиты информационных объектов от утечки информации, включающая проведение организационных, организационно-технических, технических мероприятий и мероприятий по контролю за выполнением защиты (14, стр.99-101). Организационно-технические мероприятия осуществляют путем блокирования возможных каналов утечки информации через действующие в сети устройства с помощью отключения цепей и установки простейших схем и устройств защиты, демонтажа отдельных кабелей, выходящих за пределы контролируемой зоны, изъятий из выделенных помещений устройств, применение которых может привести к утечке секретной информации; перемонтажа отдельных коммутационных устройств и оборудования систем, в том числе систем заземления и электропитания технических средств для внесения их в пределы контролируемой зоны. Процесс завершается составлением инструкции по контролю защищенности локальной сети. Требования к уровню защищенности сети от ПЭМИН зависят от грифа секретности обрабатываемой информации и его дислокации, что учитывается при определении категории объекта и при проведении защитных мероприятий.

2.3 Конфиденциальность, целостность и доступность информации в PLC сетях

Служба защиты информации в локальной сети - это совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Основными службами защиты информации при использовании PLC сетей являются следующие (См.7):

Служба идентификации и установления подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.

Служба управления доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.

Служба конфиденциальности данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.

Служба целостности данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.

Служба контроля участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).

Служба регистрации и наблюдения - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.

Рассмотрим эти службы более подробно, отмечая специфические черты их использования именно в сетях, использующих для передачи данных силовую кабельную проводку.

Идентификация и аутентификация

Первый шаг к обеспечению безопасности ресурсов ЛВС - способность проверить личности пользователей (См.58). Процесс подтверждения (проверки) личности пользователя назван установлением подлинности (аутентификацией). Аутентификация обеспечивает основу для эффективного функционирования других мер и средств защиты, используемых в ЛВС. Например, механизм регистрации позволяет получить информацию об использовании пользователями ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм управления доступом разрешает доступ к ресурсам ЛВС, основываясь на идентификаторе пользователя. Оба этих средства защиты эффективны только при условии, что пользователь, использующий службу ЛВС - действительный пользователь, которому назначен данный идентификатор пользователя

Идентификация требует, чтобы пользователь был так или иначе известен ЛВС. Она обычно основана на назначении пользователю идентификатора пользователя. Однако ЛВС не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя уникального идентификатора (пароль, жетон, отпечаток пальца и т.п.). Чем большее количество таких уникальных вещей предоставлено пользователем ЛВС, тем меньше риск, что кто-то подменит законного пользователя.

Требование, определяющее необходимость аутентификации, должно существовать в большинстве политик безопасности ЛВС. Это требование может содержаться неявно в политике концептуального уровня, которая подчеркивает необходимость эффективного управления доступом к информации и ресурсам ЛВС, или может быть явно выражено в политике относительно ЛВС, в виде заявления, что все пользователи должны быть уникально идентифицированы и аутентифицированы.

В большинстве ЛВС используется механизм идентификации и аутентификации на основе схемы идентификатор пользователя/пароль. Некоторые исследовательские работы детализируют степень простоты, с которой могут угадываться пароли (См.52, p.122). Надлежащий выбор пароля (компромисс между легкостью для запоминания пользователем и трудностью для угадывания другим человеком) всегда был проблемой. Генераторы паролей, которые создают пароли, состоящие из произносимых слогов, позволяют создавать более запоминающиеся пароли, чем те, что создаются генераторами, которые производят просто строки из случайных символов. Программы проверки паролей - это программы, которые позволяют пользователю определить, являются ли новые пароли легкими для угадывания и поэтому недопустимыми. Механизмы с использованием только паролей, особенно те, которые передают по ЛВС пароль в открытом виде (в незашифрованной форме) уязвимы с точки зрения наблюдения и перехвата. Это может стать серьезной проблемой, если ЛВС имеет неконтролируемые связи с внешними сетями (например, если PLC сеть не имеет "закрытого объема", отделенного от промышленных электросетей фильтрами). Поскольку в большинстве случаев малые PLC сети именно так и устроены, то если после рассмотрения всех вариантов аутентификации, политика ЛВС всё же определяет, что системы аутентификации работают только на основе паролей, то самой важной мерой защиты становится надлежащее управление созданием паролей, их хранением, слежением за истечением срока их использования, и удалением.

Для решения этой проблемы могут использоваться более надежные механизмы. Например, механизм, основанный на интеллектуальных картах, требует, чтобы пользователь владел смарт-картой и дополнительно может потребовать, чтобы пользователь знал персональный код идентификации (ПКИ-PIN) или пароль. Смарт-карта реализует аутентификацию с помощью схемы запрос/ответ, использующей указанные выше параметры в реальном масштабе времени. Использование параметров в реальном масштабе времени помогает предотвратить получение злоумышленником неавторизованного доступа путем воспроизведения сеанса регистрации пользователя. Эти устройства могут также шифровать сеанс аутентификации, предотвращая компрометацию информации аутентификации с помощью наблюдения и перехвата.

Механизмы блокировки для устройств ЛВС, автоматизированных рабочих мест или ПК, которые требуют для разблокировки аутентификации пользователя, могут быть полезны для тех пользователей, кто должен часто оставлять рабочее место. Эти механизмы блокировки позволяют пользователям остаться зарегистрированными в ЛВС и покидать свои рабочие места (в течение определенного периода времени, не длиннее заданного), не делая при этом свое рабочее место потенциально доступным злоумышленникам.

Механизмы, которые обеспечивают пользователя информацией об использовании его регистрационного имени, могут предупредить пользователя, что его имя использовалось необычным образом (например, возникли многократные ошибки при регистрации). Эти механизмы включают уведомления о дате, времени, и местоположении последнего успешного сеанса и числе предыдущих ошибок при регистрации. Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службы идентификации и аутентификации, приведены в списке ниже (34, стр.108-112):

механизм, основанный на паролях,

механизм, основанный на интеллектуальных картах

механизм, основанный на биометрии,

генератор паролей,

блокировка с помощью пароля,

блокировка клавиатуры, блокировка ПК или автоматизированного рабочего места,

завершение соединения после нескольких ошибок при регистрации, уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",

механизм аутентификации пользователя в реальном масштабе времени,

криптография с уникальными ключами для каждого пользователя.

Управление доступом

Эта служба защищает сеть против неавторизованного использования ресурсов ЛВС, и может быть обеспечена при помощи механизмов управления доступом и механизмов привилегий.

Управление доступом может быть достигнуто при использовании дискреционного управления доступом или мандатного управления доступом (36, стр.144). Дискреционное управление доступом - наиболее общий тип управления доступом, используемого в ЛВС. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи (или программы, выполняющиеся от их имени) к информации, находящейся в ведении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты тем, что оно реализует решения по управлению доступом, принятые пользователем. Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации (41, стр. 205).

Существуют механизмы управления доступом, которые поддерживают степень детализации управления доступом на уровне следующих категорий: владелец информации, заданная группа пользователей и "мир" (всех других авторизованных пользователей). Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей, и позволяет владельцу файла определить особые права доступа для указанной группы людей, а также для всех остальных (мира). В общем случае, существуют следующие права доступа: доступ по чтению, доступ по записи, и доступ для выполнения. Некоторые операционные системы ЛВС обеспечивают дополнительные права доступа, которые позволяют модификацию, только добавление и т.д. (36, стр.169).

Операционная система ЛВС может поддерживать профили пользователя и списки возможностей или списки управления доступом для определения прав доступа для большого количества отдельных пользователей и большого количества различных групп. Использование этих механизмов позволяет обеспечить большую гибкость в предоставлении различных прав доступа для различных пользователей, которые могут обеспечить более строгий контроль доступа к файлам (или каталогам). Списки управления доступом определяют права доступа специфицированных пользователей и групп к данному файлу или каталогу. Списки возможностей и профили пользователя определяют файлы и каталоги, к которым можно обращаться данным пользователям (или пользователю).

Управление доступом пользователя может осуществляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми. Например, пользователь, который имеет доступ по чтению к каталогу, может читать (и, возможно, копировать) любой файл в этом каталоге. Права доступа к директории могут также обеспечить явный запрет доступа, который предотвращает любой доступ пользователя к файлам в каталоге.

В некоторых реализациях ЛВС можно управлять типами обращений к файлу. (Это осуществляется помимо контроля за тем, кто может иметь доступ к файлу.) Реализации могут предоставлять опцию управления доступом, которая позволяет владельцу помечать файл как разделяемый или заблокированный (монопольно используемый). Разделяемые файлы позволяют осуществлять параллельный доступ к файлу нескольких пользователей в одно и то же время. Блокированный файл будет разрешать доступ к себе только одному пользователю в данный момент времени. Если файл доступен только по чтению, назначение его разделяемым позволяет группе пользователей параллельно читать его.

Эти средства управления доступом могут также использоваться, чтобы ограничить допустимые типы взаимодействия между серверами и рабочими станциями в ЛВС. Большее количество операционных систем ЛВС могут ограничить тип трафика, посылаемого между серверами. Может не существовать никаких ограничений, что приведет к тому, что для всех пользователей будут доступны ресурсы всех серверов (в зависимости от прав доступа пользователей на каждом сервере). А могут и существовать некоторые ограничения, которые будут позволять только определенные типы трафика, например, только сообщения электронной почты, или более сильные ограничения, которые запретят трафик между определенными серверами. Политика ЛВС должна определить, какими типами информации необходимо обмениваться между серверами. На передачу информации, для которой нет необходимости совместного использования ее несколькими серверами, должны быть наложены ограничения. Данный подход особенно важен при работе в сети, имеющей несколько разделенных фрагментов, уровень безопасности соединения между которыми низкий. Ярким примером такой сети является PLC сеть, расположенная в двух соседних зданиях (или на разных этажах одного здания), контроль за кабельным соединением между которыми затруднен или вовсе невозможен.

Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ, чтобы выполнить какую-либо функцию, получить доступ к файлу, и т.д. Механизм привилегий должен включать концепцию минимальных привилегий. Минимальные привилегии определяются как "принцип, согласно которому каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, которые необходимы для выполнения задачи, которую должен решить пользователь." (См.60) Например, принцип минимальных привилегий должен применяться при выполнении функции резервного копирования. Тот, кто авторизован выполнять функцию резервного копирования, должен иметь доступ по чтению ко всем файлам, чтобы копировать их на резервные носители информации. (Однако пользователю нельзя давать доступ по чтению ко всем файлам через механизм управления доступом). Пользователю предоставляют "привилегию" обхода ограничения по чтению (предписанного механизмом управления доступом) для всех файлов, чтобы он мог выполнить функцию резервного копирования. Чем более детальные привилегии могут быть предоставлены, тем больше будет гарантий, что пользователю не будут даны чрезмерные привилегии для выполнения им авторизованной функции. Типы механизмов защиты, которые могли бы быть использованы для обеспечения службы управления доступом, приведены в списке:

механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),

механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,

управление доступом, использующее механизмы мандатного управления доступом, детальный механизм привилегий.

Конфиденциальность данных и сообщений

Служба конфиденциальности данных и сообщений может использоваться, когда необходима секретность информации. Как передняя линия защиты, эта служба может включать в себя механизмы, связанные со службой управления доступом, но может также полагаться на шифрование для обеспечения большего сохранения тайны. Таким образом, если служба управления доступом будет обойдена, к файлу может быть осуществлен доступ, но информация будет все еще защищена, поскольку находится в зашифрованной форме. (Использование шифрования может быть критическим на ПК, которые не обеспечивают службу управления доступом как передней линии защиты.)

Очень трудно управлять неавторизованным доступом к трафику ЛВС, когда он передается по ЛВС. Многие пользователи ЛВС это осознают и понимают проблему. Использование шифрования сокращает риск какого-либо перехвата и чтения проходящих транзитом через ЛВС сообщений, делая сообщения нечитабельными для тех, кто сможет перехватить их. Только авторизованный пользователь, который имеет правильный ключ, сможет расшифровать сообщение после его получения.

Хорошая политика безопасности должна явно указывать пользователям типы информации, которые считаются критичными настолько, что для них требуется применение шифрования. Концептуальная политика безопасности организации может указывать широкие категории информации, которые должны быть обязательно защищены, в то время как политика безопасности конкретной ЛВС может детализировать определенные типы информации и определенные среды, для которых необходима защита при помощи шифрования.

Криптография может быть разделена на использующую секретные ключи или использующую открытые ключи. Криптография секретных ключей основана на использовании единственного криптографического ключа, известного двум сторонам. Один и тот же ключ используется для шифрования и расшифровки данных. Этот ключ хранится в тайне обоими сторонами. Криптография с открытыми ключами - форма криптографии, которая использует два ключа: открытый ключ и секретный ключ. Два ключа связаны, но имеют такое свойство, что по данному открытому ключу в вычислительном отношении невозможно получить секретный ключ (3, стр.117). В криптосистеме с открытыми ключами каждая сторона имеет собственную пару из открытого и секретного ключей. Открытый ключ может быть известен любому лицу; секретный ключ хранится в тайне.

Типы механизмов безопасности, которые могли бы быть реализованы, чтобы обеспечить службу конфиденциальности сообщений и данных, приведены в списке ниже.

технология шифрования файлов и сообщений,

защита резервных копий на носителях,

физическая защита физической среды ЛВС и устройств,

использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).

Целостность данных и сообщений

Служба целостности данных и сообщений помогает защитить данные и программное обеспечение на автоматизированных рабочих местах, файловых серверах и других компонентах ЛВС от неавторизованной модификации. Неавторизованная модификация может быть намеренной или случайной. Эта служба может быть обеспечена при помощи криптографических контрольных сумм и очень детальных механизмов управления доступом и привилегий. Чем больше точность управления доступом или механизма привилегий, тем менее вероятна возможность неавторизованной или случайной модификации.

Служба целостности данных и сообщений также помогает гарантировать, что сообщение не изменено, не удалено или не добавлено любым способом в течение передачи. (Некорректная модификация пакета сообщения обрабатывается на уровне управления доступом к среде, осуществляемого в рамках протокола ЛВС.) Большинство из методов защиты, доступных сегодня, не могут предотвратить модификацию сообщения, но они могут обнаружить модификацию сообщения (если сообщение не удалено полностью).

Использование метода контрольных сумм предусмотрено в стандарте HomePlug Turbo и старше. Он обеспечивает возможность обнаружения модификации. Код Аутентификации Сообщения (Message Authentication Code - MAC) (См. 19), разновидность криптографической контрольной суммы, может защитить против как случайной, так и намеренной, но неавторизованной, модификации данных. MAC первоначально рассчитывается путем применения криптографического алгоритма и секретного числа, называемого ключом, к данным. Начальный MAC сохраняется. Позже данные проверяются с применением криптографического алгоритма и того же самого секретного ключа к данным для вычисления другого MAC; затем этот MAC сравнивается с начальным MAC. Если два MAC равны, тогда данные считаются подлинными. В противном случае предполагается неавторизованная модификация. Любая сторона, которая пробует изменить данные, но не знает при этом ключ, не будет знать, как вычислить MAC, соответствующий измененным данным (См.61).

Для обнаружения модификации данных или сообщений также могут использоваться электронные подписи. Электронная подпись может быть создана при помощи криптографии с открытыми или секретными ключами. При использовании системы с открытыми ключами документы в компьютерной системе подписываются с помощью электронной подписи путем применения секретного ключа отправителя документа. Полученная электронная подпись и документ могут быть затем сохранены или переданы. Подпись может быть проверена при помощи открытого ключа создателя документа. Если подпись подтверждается должным образом, получатель может быть уверен в том, что документ был подписан с использованием секретного ключа его создателя и что сообщение не было изменено после того, как оно было подписано. Поскольку секретные ключи известны только их владельцам, это делает также возможным проверку личности отправителя сообщения третьим лицом. Поэтому электронная подпись обеспечивает две различных службы: контроль участников взаимодействия и целостность сообщения (33, стр.110-115).

Код аутентификации сообщения (MAC) также может использоваться для обеспечения возможности электронной подписи. MAC рассчитывается на основании содержания сообщения. После передачи рассчитывается другой MAC на основании содержания полученного сообщения. Если MAC, связанный с сообщением, которое посылалось, отличается от MAC, связанного с сообщением, которое было получено, тогда имеется доказательство того, что полученное сообщение не соответствует посланному сообщению. MAC также может использоваться, чтобы идентифицировать для получателя лицо, подписавшее информацию. Однако реализация этой технологии по существу не совсем обеспечивает контроль участников взаимодействия, потому что и отправитель информации, и ее получатель используют один и тот же ключ.

Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службу целостности данных и сообщений, представлены в списке ниже.

коды аутентификации сообщения, используемые для программного обеспечения или файлов,

использование электронной подписи, основанной на секретных ключах,

использование электронной подписи, основанной на открытых ключах,

детальный механизм привилегий, соответствующее назначение прав при управлении доступом,

программное обеспечение для обнаружения вирусов,

бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),

автоматизированные рабочие места без накопителей для предотвращения появления подозрительного программного обеспечения,

Контроль участников взаимодействия

Служба контроля участников взаимодействия помогает гарантировать, что субъекты взаимодействия не смогут отрицать участие во взаимодействии или какой-либо его части. Контроль участников взаимодействия с подтверждением отправителя дает получателю некоторую степень уверенности в том, что сообщение действительно прибыло от названного отправителя. Службу контроля участников взаимодействия можно обеспечить с помощью криптографических методов с использованием открытых ключей, реализующих электронную подпись.

Механизм: использование электронных подписей с открытыми ключами.

Регистрация и наблюдение

Эта служба исполняет две функции.

Первая - обнаружение возникновения угрозы. (Однако обнаружение не происходит в режиме реального времени, если не используются какие-либо средства для наблюдения в реальном масштабе времени.) Для всех обнаруженных случаев нарушения безопасности должна иметься возможность проследить действия нарушителя во всех частях системы, что зависит от масштабов регистрации.

Вторая функция этой службы - обеспечение системных и сетевых администраторов статистикой, которая показывает, что система и сеть в целом функционируют должным образом. Это может быть сделано при помощи механизма аудирования, который использует файл журнала в качестве исходных данных и обрабатывает информацию относительно использования системы и ее защиты. Могут также использоваться средства наблюдения за ЛВС, которые помогали бы обнаружить проблемы с ее доступностью по мере их возникновения. Типы механизмов защиты, которые могли бы использоваться, чтобы обеспечить службу регистрации и наблюдения, приведены в списке ниже.

регистрация информации о сеансах пользователей,

регистрация изменений прав пользователей для управления доступом,

регистрация использования критичных файлов,

регистрация модификаций, сделанных в критическом программном обеспечении,

использование инструментов управления трафиком ЛВС,

использование средств аудирования.

Глава 3. Разработка модели безопасности ЛВС на PLC технологии с использованием сетей Петри

3.1 Обзор средств и методов имитационного моделирования

Система-это совокупность объектов, например, людей или механизмов, функционирующих и взаимодействующих друг с другом для достижения определенной цели (18, стр. 20-23). На практике понятие системы зависит от задач конкретного исследования. Так, при рассмотрении вопросов безопасности локальной сети и реакции на них, система должна будет состоять из угроз безопасности, методов защиты и собственно алгоритмов реагирования на угрозы безопасности сети.

Состояние системы определяется как совокупность переменных, необходимых для описания системы на определенный момент времени в соответствии с задачами исследования.

Существуют системы двух типов: дискретные и непрерывные. В дискретной системе переменные состояния в различные периоды времени меняются мгновенно в отличие от непрерывной системы, где переменные меняются беспрерывно во времени. На практике система редко является полностью дискретной или полностью непрерывной, однако в каждой системе, как правило, превалирует один тип изменений, по нему мы и определяем ее либо как дискретную, либо как непрерывную.

В определенные моменты функционирования большинства систем возникает необходимость их исследования с целью получения представления о внутренних отношениях между их компонентами или вычисления их производительности в новых условиях эксплуатации. На рис.3.1 изображены различные способы исследования системы.

При наличии возможности физически изменить систему (если это рентабельно) и запустить ее в действие в новых условиях лучше всего поступить именно так, поскольку в этом случае вопрос об адекватности полученного результата исчезает сам собой. Однако такой подход неосуществим либо из-за слишком больших затрат на его осуществление, либо в силу разрушительного воздействия на саму систему. Более того, система может и не существовать физически на самом деле, быть виртуальной, но мы хотим изучить различные ее конфигурации, чтобы выбрать наиболее эффективный способ реализации, как, например, в случае рассмотрения системы безопасности локальных сетей. Поэтому необходимо создать модель, представляющую систему, и исследовать ее как заменитель реальной системы.

Преобладающее большинство моделей являются математическими. Они, в отличие от физических, уменьшенных в масштабе копий системы, представляют систему посредством логических и количественных отношений, которые затем подвергаются обработке и изменениям, чтобы определить, как бы система реагировала на изменения, если бы существовала на самом деле.

Когда модель достаточно проста, можно вычислить ее соотношения и параметры и получить точное аналитическое решение. Однако некоторые аналитические решения могут быть чрезвычайно сложными и требовать при этом огромных компьютерных ресурсов. В этом случае модель следует изучать с помощью имитационного моделирования, то есть многократного испытания модели с нужными входными данными, чтобы определить их влияние на выходные критерии оценки работы системы.

Рис.3.1 Способы исследования системы (18, стр.51)

Не углубляясь далее в классификацию имитационных моделей, сделаем очевидное заключение о типе создаваемой модели, исходя из специфики поставленной задачи. А именно, целью настоящей дипломной работы является создание динамической стохастической дискретной имитационной модели локальной вычислительной сети. Такие модели иначе именуют дискретно-событийными имитационными моделями.

Дискретно-событийное моделирование используется для построения модели, отражающей развитие системы во времени, когда состояния переменных меняются мгновенно в конкретные моменты времени. Такие моменты времени называются событиями. Событие-мгновенное возникновение, которое может изменить состояние системы. При этом должно сохраняться и обрабатываться довольно большое количество данных, что диктует необходимость применения вычислительных машин.

Динамическая природа дискретно-событийных моделей требует, чтобы мы следили за текущим значением имитационного времени по мере функционирования имитационной модели. Нам необходим также механизм для продвижения имитационного времени от одного значения к другому. В имитационной модели переменная, обеспечивающая текущее значение модельного времени, называется часами модельного времени. Существует два основных подхода к продвижению модельного времени:

продвижение времени от события к событию;

продвижение времени с постоянным шагом.

При использовании первого метода часы модельного времени в исходном состоянии устанавливаются в 0 и определяется время возникновения будущих событий. После этого часы модельного времени переходят на время возникновения ближайшего события, и в этот момент обновляются состояния объектов системы с учетом произошедшего события, а также сведения о времени возникновения будущих событий. Затем часы модельного времени продвигаются ко времени возникновения следующего ближайшего события и т.д. до тех пор, пока не будет выполнено какое-либо условие останова, указанное заранее.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.