Разработка алгоритмов безопасной маршрутизации пакетов сообщений через глобальную информационную сеть

Размещено на http://www.allbest.ru/

SUMMARY

The aim of this graduation research is the secure packet WAN routing logic design on the basis of existing devices, but which have significant deficiencies, or the are not acceptable in these or other cases, depending on the choices of net connections. The above mentioned refers to the field of infrocommunications and can be used for making and developing the new net connections commonly networked. (e. g. internet)

Also there is “The way and the system of advancing transporting canals with guaranteed quality of the net service, working with reports” The imperfection of this device is poor adaptation to the changes of the structure of net connection and also the faint usage the qualities of the conditions of the net resource for choosing the way to forwarding streams.

There some other ways of secure sending the blocks of reports. I must mention, that this analysis has showed, that there are no any analogies of the describing device that indicates for the claimed way of patent condition. In this graduation research the claimed device is illustrated by the drawings. There are block tables of the algorithm realization, commenting during the report.

The economic proof of the utility, examining in this research is guided on the proving the urgency of the subject researches for solving the application tasks

Of the development the science and technology and also on the estimate of the scientific and technical level of obtained results.

The following order of the department of the economic proof is observed.

1. the economic proof conception

2. labor intensiveness and schedule of the research effort running

3. the outlay of the consumptions for carrying out research effort.

4. The total estimate of the efficiency research effort.

The last part of the graduation thesis is the chapter, devoted to the cogitative property, in which the legal patent aspects are viewed. The result of the project is considered to be an application for developing-method.

And at the end of the graduation research there are common conclusions about the done work in the form of small notes, repeating the main sections with the short explanation where the urgency of the carried out work is under coursed.

СОДЕРЖАНИЕ

SUMMARY

ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ

ВВЕДЕНИЕ

1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ СООБЩЕНИЙ ЧЕРЕЗ ГЛОБАЛЬНУЮ ИНФОРМАЦИОННУЮ СЕТЬ

1.1 Основные понятия и определения

1.2 Сетевые технологии на примере глобальной сети Internet

1.3 Проблема защиты передаваемой информации по сети

1.4 Постановка задачи

Выводы по разделу

2. АНАЛИЗ СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ СВЯЗИ

2.1 Способ и система продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающая с протоколом IP

2.2 Способ корректировки маршрутов в сети передачи данных

2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети

Выводы по разделу

3. АЛГОРИТМИЗАЦИЯ ЗАДАЧ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ

3.1 Модель первого алгоритма безопасной маршрутизации

3.2 Модель второго алгоритма безопасной маршрутизации

3.3 Модель третьего алгоритма безопасной маршрутизации

3.4 Модель четвертого алгоритма безопасной маршрутизации

3.5 Модель пятого алгоритма безопасной маршрутизации

3.6 Работа алгоритмов безопасной маршрутизации

Выводы по разделу

4. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ

4.1 Концепция экономического обоснования проведенной работы

4.2 Трудоемкость и календарный план

4.3 Смета затрат

4.4 Расчет себестоимости

4.5 Комплексная оценка эффективности проведенной работы

Выводы по разделу

5. ОХРАНА ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ

5.1 Определение интеллектуальной собственности

5.2 Объекты интеллектуальной собственности

5.3 Личные неимущественные права интеллектуальной собственности

5.4 Имущественные права интеллектуальной собственности

5.5 Результаты разработки технического решения

ДОГОВОР УСТУПКИ ПРАВ НА ИНТЕЛЛЕКТУАЛЬНУЮ СОБСТВЕННОСТЬ

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ

ИБ - информационная безопасность

ЭМВОС - эталонная модель взаимодействия открытых систем

НСД - несанкционированный доступ

НСВ - несанкционированное воздействие

ПО - программное обеспечение

ОС - операционная система

ЭВМ - электронная вычислительная машина

МЭ - межсетевой экран

СБ - сервер безопасности

ДЛ - должностное лицо

СВТ - средство вычислительной техники

РД - руководящий документ

ЗИ - защита информации

РС - развивающаяся система

СЗИ - средство защиты информации

АРМ - автоматизированное рабочее место

ЛВС - локальная вычислительная сеть

ПЭВМ - персональная электронная вычислительная машина

ЛС - локальный сегмент

СС - сеть связи

ИП - информационный поток

СПД - сеть передачи данных

ВВЕДЕНИЕ

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне, мы ни рассматривали последнюю: национальном, отраслевом, корпоративном или персональном.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасности есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Информационная безопасность сейчас это не только крайне важная, но и весьма модная и прибыльная (причем не только в чисто материальном плане) область деятельности. Вполне естественно, что здесь сталкиваются интересы многих ведомств, компаний и отдельных людей, идет энергичная борьба за сферы влияния, а порой и за выживание.

Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботится о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить. Несмотря на свою специфику, система защиты организации при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов.

Как известно, один из важных этапов проведения несанкционированных действий по отношению к какому-либо объекту - это сбор информации, анализ объекта и изучение поведения «жертвы». Пассивное определение характеристик удаленной системы - это метод изучения противника незаметно для последнего. В частности, можно определить роль объекта, его структуру, место в общей структуре, топологию, информацию об оборудовании: тип операционной системы, тип и производителя оборудования, другие технические характеристики, используя только общедоступные сервисы и утилиты, а так же результаты перехвата пакетов путём подмены IP адреса и ложных маршрутизаторов. Несмотря на то, что это не дает 100% точности и объёма необходимой информации, можно получить критическую информацию.

В сложившейся ситуации, необходимо искать новые подходы к обеспечению информационной безопасности. Одним из таких направлений является управление маршрутами информационного обмена абонентов в сети связи.

1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ

1.1 Основные понятия и определения

Для получения требуемой конфигурации сети связи используются:

· приемопередатчики или трансиверы (tranceivers);

· повторители или репитеры (repeaters);

· концентраторы, распределители (hubs), устройства коллективного доступа MAU (Multistation Access Unit).

· Для объединения нескольких локальных сетей применяются:

· мосты (bridges);

· маршрутизаторы (routers);

· шлюзы (gateways).

Трансиверы (приемопередатчики) служат для двунаправленной передачи между адаптером и сетевым кабелем или между двумя сегментами (отрезками) сетевого кабеля.

Основные их функции:

· усиление сигналов;

· преобразование сигналов в другую форму.

Если трансивер производит преобразование электрических сигналов в какие-нибудь другие (оптические, радио, инфракрасные), то его часто называют конвертором среды. Чаще всего применяют оптоволоконные трансиверы, использование которых позволяет значительно увеличить допустимую длину кабеля сети добиться высокой помехоустойчивости и секретности. Оптическая передача осуществляется по двум однонаправленным оптоволоконным кабелям.

Оптоволоконный трансивер FOIRL (Fiber-Optic Inter-Repeater Link) может использоваться как для подключения удаленного абонента, так и для соединения двух сегментов сети.

Функции повторителей (репитеров) проще, чем у трансиверов. Это только восстановление формы сигнала, искаженной прохождением в длинной линии. Они служат простыми двунаправленными ретрансляторами. Основная их цель - увеличение длины сети.

Ни трансиверы, ни повторители не производят абсолютно никакой обработки пакетов, т.е. с этой точки зрения это абсолютно пассивные устройства.

Концентраторы (hubs) используются для подключения нескольких абонентов сети. Делятся на активные и пассивные.

Пассивные (репитерные) концентраторы выполняют функцию собранных в одном месте в единый конструктив нескольких повторителей или трансиверов. Никакой обработки информации они не производят, а только восстанавливают и усиливают сигналы (могут также преобразовывать электрические сигналы в оптические и наоборот). Преимущества такого подхода заключается в следующем.

Все важные точки сети собираются в одном месте. Это облегчает реконфигурацию сети, ее обслуживание, поиск неисправностей.

Отдельные сегменты могут быть выполнены на разных средах, например, на «тонком» и «толстом» коаксиальном кабеле, на оптоволоконном кабеле.

Физически теперь сеть похожа на «звезду» (пассивная звезда), но логически остается шиной.

Активные концентраторы выполняют более сложные функции. Они могут осуществлять преобразование информации или протоколов обмена. Часто такие концентраторы используются в сетях типа «кольцо». Здесь концентратор выступает как равноценный абонент кольцевой сети. При этом все абоненты, подключенные к нему, работают, по сути, в отдельной сети с концентратором типа «звезда», но имеют доступ и к главному кольцу.

В отдельный тип часто выделяют коммутирующие концентраторы или коммутаторы. Они распознают адрес пакета и только в случае необходимости пересылают его в другой сегмент, Это позволяет снизить интенсивность обмена в сети.

Мосты, маршрутизаторы и шлюзы служат для объединения в единую сеть нескольких разнородных сетей, использующих разные протоколы нижнего уровня. Это обеспечивает «прозрачность» сети для протоколов высокого уровня. В связи со сложными функциями они обычно реализуются на базе ПК.

Назначение моста (bridge) - организация обмена между сетями с разными стандартами обмена (Ethernet, Token Ring, Arcnet и т. д.), как это показано на рисунке.

Мосты принимают поступающие пакеты целиком, а не только их адресную часть, и в случае необходимости производят их обработку.

С помощью моста могут объединяться и сегменты одной сети (например, Ethernet). В этом случае каждая из сетей работает со своими пакетами и только при необходимости пакеты передаются в другую сеть через мост.

Маршрутизаторы (routers) применяются только в сильно разветвленных сетях, где имеется несколько параллельных маршрутов для передачи.

Эти устройства не преобразуют протоколы нижнего уровня, поэтому их используют только для связи однородных сетей. Их функция -- выбрать оптимальный путь (маршрут) для каждого пакета. Это делается для избежания чрезмерной загрузки отдельных сегментов сети, а также для обхода поврежденных участков.

Гибридные маршрутизаторы (brouters) представляют собой гибрид моста и маршрутизатора.

Шлюзы (gateways) служат для соединения совершенно разных сетей, например, локальных сетей с глобальными, или локальных сетей с мейнфреймами, использующими совершенно другие правила обмена. В этом случае полностью преобразуется весь поток информации, т. е. коды, форматы, методы управления и т.д.

1.2 Сетевые технологии на примере глобальной сети Internet

Интернет - это все сети, которые взаимодействуя с помощью протокола IP, образуют "бесшовную" сеть для своих пользователей. В настоящее время в Интернет входят десятки тысяч сетей и их число постоянно увеличивается.

Интернет - это сеть с коммутацией пакетов. В одном пакете может быть послано до 65535 байт информации. Каждый пакет (IP-пакет) снабжается адресами отправителя и получателя (см. рис. 1.1).

Рис. 1.1

В наиболее распространенной в настоящее время версии 4 протокола (IPv4) на каждый из адресов отводится поле в 32 бита. Однако, для удобства использования каждый байт адреса записывается в виде десятичной цифры (от 0 до 255). Каждая группа отделяется от следующей точкой (.).

Так как людям удобнее пользоваться символическими именами в дальнейшем была внедрена доменная иерархическая система имен, допускающая произвольное количество составных частей (см. рис. 1.2).

Такая система аналогична иерархии имен файлов. Дерево начинается с точки (.), обозначающей корень. Затем идут, отделяемые точкой, части символической записи имени. Количество уровней не лимитируется, но редко бывает более 5. Например: www.microsoft.com., ftp.asoiu.eltech.ru.



Рис. 1.2

Совокупность имен, у которых старшие части совпадают, образуют домен (domain). Компьютеры, входящие в домен, могут иметь совершенно различные IP-адреса.

Например, домен mgu.ru может содержать компьютеры с адресами:

132.13.34.15

201.22.100.33

14.0.0.6

Корневой домен (1-го уровня) управляется в Интернет центром InterNIC (центр сетевой информации). Для этого разработан стандарт ISO 3266. В соответствии с ним введены двух- или трехбуквенные аббревиатуры для стран и различных типов организаций.

Для верхнего доменного уровня было изначально введено 6 групп высшего уровня: edu - учебные заведения (США); gov - правительственные учреждения США (кроме военных); com - коммерческие организации; mil - военные учреждения (США); org - прочие организации; net - сетевые ресурсы.

По мере роста сети появилась необходимость введения специальной службы -- DNS (Domain Name System) - системы доменных имен. Служба DNS использует в своей работе протокол типа «клиент- сервер» (client - server). DNS-серверы содержат распределенную базу отображений. DNS-клиенты обращаются к этим серверам с запросами об отображении доменного имени в IP-адрес.

Каждый DNS-сервер кроме таблицы отображения имен содержит ссылки на DNS-серверы своих поддоменов. DNS-серверы применяют (для сокращения времени поиска) процедуру кэширования проходящих через них ответов. Сведения сохраняются на срок от нескольких часов, до нескольких дней.

Иерархию протоколов сети Интернет называют стеком TCP/IP.

Структурно стек TCP/IP делится на 4 уровня (см. рис. 1.3):

Рис 1.3: 1 -- прикладной; 2 -- транспортный; 3 -- сетевой (межсетевого взаимодействия); 4 -- сетевых интерфейсов.

Верхний (прикладной) уровень содержит все службы, предоставляемые системой пользовательским приложениям. Он реализуется программными системами, построенными в архитектуре «клиент - сервер». Этот уровень постоянно расширяется за счет включения новых служб. К протоколам данного уровня относятся:

FTP (File Transfer Protocol) -- протокол передачи файлов;

TFTP (Trivial FTP) -- простой протокол передачи файлов;

Telnet -- протокол эмуляции удаленного терминала;

SMTP (Simple Mail Transfer Protocol) -- простой почтовый протокол;

SNMP (Simple Network Management Protocol) -- простой протокол управления сетью;

DNS (Domain Name System) -- протокол разрешения имен;

HTTP (HyperText Transfer Protocol) -- гипертекстовый транспортный протокол и т. д.

Уровень II (транспортный) обеспечивает взаимодействие между прикладными программами. Он управляет потоком информации и отвечает за надежность передачи. На этом уровне реализуется обнаружение ошибок, механизм подтверждения, повторной передачи потерянных или искаженных пакетов.

На уровне функционируют:

· Протокол управления передачей TCP, который обеспечивает надежную доставку сообщений между удаленными системами за счет образования логических соединений. Обмен осуществляется в дуплексном режиме. TCP делит данные на сегменты и передает их IP-уровню.

· Протокол UDP (User Datagram Protocol) обеспечивает дейтаграммную передачу пользуясь услугами протокола IP. Он выполняет функции связующего звена (мультиплексора) между сетевым протоколом и службами прикладного уровня.

· Протокол T/TCP (Transaction Transmission Control Protocol) - протокол управления транзакциями. Был предложен недавно для поддержки передачи транзакций в Internet.

Уровень III стека это уровень межсетевого взаимодействия, который реализует концепцию передачи пакетов в режиме без установления соединения, и является стержнем всей архитектуры TCP/IP. Для передачи используется тот маршрут, который в данный момент представляется наиболее рациональным. Этот уровень называют также уровнем internet в соответствии с его основной функцией -- передачей данных через составную сеть.

Уровень принимает от транспортного уровня пакет с указанием адреса передачи. Пакет инкапсулируется в дейтаграмму, заполняется заголовок и при необходимости используется алгоритм маршрутизации. Аналогично производится прием дейтаграмм и передача пакетов транспортному протоколу.

В качестве основного протокола данного уровня используется протокол IP (Internet Protocol).

К этому же уровню относятся протоколы маршрутизации, такие как:

RIP (Routing Internet Protocol);

OSPF (Open Shortest Path First);

EGP (Exterior Gateway Protocol);

IGP (Interior Gateway Protocol);

ARP (Address Resolution Protocol);

RARP (Reverse Address Resolution Protocol) и т.д.

Уровень IV стека TCP/IP это уровень сетевых интерфейсов, который по своим функциям соответствует физическому и канальному уровням модели OSI.

В стеке протоколов TCP/IP этот уровень не регламентируется. Он отвечает за прием дейтаграмм и их передачу по конкретной сети. Для каждого типа сетей должны быть разработаны соответствующие интерфейсные средства. Например, к таким средствам относится протокол инкапсуляции IP-пакетов в кадры Ethernet (по документу RFC 1042).

Каждый коммуникационный протокол оперирует с некоторой единицей передаваемых данных. В TCP/IP сложилась определенная (традиционная) терминология в этой области (см. рис. 1.4).

Потоком называют данные, поступающие на вход протоколов транспортного уровня TCP и UDP.

Протокол TCP нарезает из потока данных сегменты.

Единицу данных протокола UDP часто называют дейтаграммой. Дейтаграмма - это общее название для единиц данных, которыми оперируют протоколы без установления соединения. К таким протоколам относится и протокол IP.

Рис. 1.4

Дейтаграмму протокола IP называют также пакетом. Единицы данных протоколов, на основе которых IP-пакеты переносятся по сети, называют кадрами (фреймами).

Протокол IP

Является базовым протоколом стека TCP/IP.

Формат дейтаграммы

Дейтаграмма (пакет) протокола имеет формат, показанный на рисунке 1.5.

Поле «номер версии» (4 бита) указывает сейчас почти повсеместно версию IPv4, однако некоторые домены уже переходят на версию IPv6.

Поле «длина заголовка» (4 бита) указывает длину в 32-разрядных словах.

Обычная длина - 5 слов, однако за счет поля опций (options) она может быть увеличена до 15 слов (60 байт).

Поле «тип сервиса» (8 бит) содержит:

Три бита PR, указывающие приоритет пакета (0 - нормальный; 7 - самый высокий). Значение этого поля может приниматься во внимание маршрутизаторами.

Рис. 1.5

Биты D, T и R используются протоколами маршрутизации. Они задают критерий выбора маршрута. D=1 - указывает на необходимость минимизации задержки при доставке данного пакета. T=1 - показывает на желательность максимизации пропускной способности. R=1 - указывает на необходимость обеспечения максимальной надежности доставки. Два последних бита в этом поле зарезервированы.

Поле «общая длина» (2 байта) -- это общая длина в байтах заголовка и поля данных. Максимальная длина составляет 65535 байт. При передаче по разным сетям длина пакета выбирается исходя из размера внутренней области кадра. На рисунке показано такое размещение для сети Ethernet. По стандарту все устройства сети Интернет должны быть готовы принимать дейтаграммы длиной 576 байт.

Передача дейтаграммы в кадре называется инкапсуляцией. Длина пакета выбирается с учетом максимальной длины кадра протокола нижнего уровня, несущего IP-пакеты. Для сети Ethernet - это 1500 байт, для FDDI - 4096 байт.

При необходимости протокол IP выполняет функции фрагментации и сборки. Это разделение дейтаграммы на части и их последующее объединение. Фрагментация осуществляется с учетом максимальной длины единицы передачи MTU (Maximum Transmission Unit) конкретной сети. Формируемые маршрутизатором фрагменты идентифицируются смещением относительно начала исходной дейтаграммы.

Поле «идентификатор пакета» (2 байта) используется для распознавания пакетов, образованных в результате фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля.

Поле «флаги» (3 бита) содержит:

Бит DF (Do not Fragment) = 1 запрещает маршрутизатору фрагментировать данный пакет.

Бит MF (More Fragments) = 1 указывает на то, что данный пакет является промежуточным (не последним) фрагментом.

Третий бит зарезервирован.

Поле «смещение фрагмента» (13 бит) задает смещение в байтах поля данных этого пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации. Это смещение должно быть кратно 8.

Поле «время жизни» (1 байт) указывает предельный срок, в течении которого пакет может перемещаться по сети. Задается в секундах. Каждый маршрутизатор вычитает величину задержки (но не менее 1 сек.) из этой величины. Если параметр становится равным нулю -- пакет уничтожается. (Этот параметр можно считать часовым механизмом самоуничтожения.) На практике каждый маршрутизатор просто вычитает 1 из значения этого поля «Time to live», т.к. скорости в сети высокие и время пересылки между узлами практически всегда не превышает 1 секунды.

Поле «протокол верхнего уровня» (1 байт) указывает, какому протоколу предназначается информация, размещенная в поле данных пакета. Например: 6 -- для протокола TCP; 17 -- протоколу UDP; 87 -- протоколу OSPF и т.д.

Поле «контрольная сумма» (2 байта) применяется для защиты от ошибок заголовка пакета. Это сумма по mod 8 всех 16-битовых слов заголовка. При обнаружении маршрутизатором ошибки пакет отбрасывается.

Поля «адрес отправителя» и «адрес получателя» (по 32 бита).

Поле «опции» является необязательным. Используется обычно при отладке сети. В этом поле может быть, например, указан точный маршрут прохождения дейтаграммы по сети, содержаться временные отметки, данные о безопасности и т.д.

Поле «выравнивание» - это дополнение (при необходимости) нулями до полного 32-битового слова.

Основная функция протокола - это передача дейтаграммы от отправителя до получателя через объединенную систему компьютерных сетей. В каждой очередной сети, лежащей на пути перемещения пакета, протокол IP вызывает средства транспортировки, принятые в этой сети, чтобы с их помощью передать этот пакет на маршрутизатор, ведущий к следующей сети, или непосредственно на узел-получатель. Протокол IP относится к протоколам без установления соединения. Перед этим протоколом не ставится задача надежной доставки сообщения от отправителя к получателю. Этот протокол обрабатывает каждый IP-пакет как независимую единицу, не имеющую связи ни с какими другими IP-пакетами. В протоколе нет механизмов, обеспечивающих достоверность передачи (защищен только заголовок дейтаграммы). В протоколе отсутствует квитирование (передача подтверждений), нет процедуры упорядочивания, повторных передач. При обнаружении ошибок или истечении времени жизни маршрутизатор просто стирает данный пакет. Все вопросы обеспечения надежности доставки решает протокол TCP, работающий непосредственно над протоколом IP. В узле-отправителе задача фрагментации поступающих с прикладного уровня сообщений возлагается на протокол TCP. На промежуточных же узлах фрагментацию должен обеспечивать сам протокол IP. Это делается, если нужно передать пакет в следующую сеть, где используется меньший размер поля данных протокола канального уровня.

Рис. 1.6

В большинстве локальных и глобальных сетей значения MTU (максимальная единица передачи) значительно отличаются. Сеть Ethernet имеет MTU=1500 байт, для сети FDDI значение MTU=4096 байт, сети же Х.25 чаще всего работает с MTU=128 байт.

IP-пакет может быть помечен при передаче как нефрагментируемый (бит DF=1). Это означает для маршрутизаторов запрет этой операции. Если такой пакет поступает в сеть с меньшим MTU, то он просто уничтожается, а узлу-отправителю отправляется ICMP-сообщение. Фрагментирование может выполняться и средствами самой сети. Так поступает, например, сеть ATM, которая с помощью уровня AAL (ATM Adaptation Layer) делит поступающие IP-пакеты на 48-байтовые фрагменты (в ATM размер ячейки равен 53 байтам), а затем вновь их собирает. Поле «идентификатор пакета» (2 байта) используется получателем для сборки фрагментов, относящихся к определенному пакету. Поле «смещение фрагмента» (13 бит) сообщает получателю положение фрагмента во исходном пакете. Флаг MF=0 указывает на то, что данный фрагмент является последним. При фрагментации модуль IP на маршрутизаторе создает несколько новых пакетов и копирует заголовок в каждый из них (меняя признаки фрагментации). Соответствующая часть данных помещается в информационное поле нового фрагмента (см. рис.). Размер этой части должен быть кратен 8 байтам (кроме последнего пакета).

По стандарту каждый модуль IP должен быть способен передать пакет из 68 байт без дальнейшей фрагментации. Надо отметить, что IP-маршрутизаторы не собирают фрагменты пакетов в более крупные пакеты, даже если на пути встречается сеть, допускающая такое укрупнение. Это связано с тем, что фрагменты в Интернет могут проходить по разным маршрутам.

IP-адрес имеет длину 32 бита и обычно записывается в виде 4-х чисел, представляющих значение каждого байта в десятичной форме и разделенных точками. Например: 128.10.2.5 = 10000000000010100000001000000101

Адрес состоит из двух логических частей -- номера сети и номера узла в сети. В зависимости от того, сколько цифр в адресе используются для задания номера сети, выделяют IP-адреса пяти классов: от A до E.

Сети класса А имеют адреса от 1 до 126 (0 - не используется, а 127 - зарезервирован для специальных целей). Число узлов -- 2²⁴ или 16777216.

В сети класса В может быть до 2¹⁶ узлов или 65536.

Сеть класса С может иметь до 2⁸ или 256 узлов.

Для сетей класса D задается групповой адрес multicast. Пакет будут получать все члены группы, которым присвоен такой адрес.

Адреса класса Е зарезервированы для будущих применений. Если весь адрес - одни нули, то он обозначает адрес того узла, который сгенерировал этот пакет. Если в поле номера сети стоят одни нули - считается, что узел назначения принадлежит той же сети, что и узел-отправитель. Если все разряды IP-адреса равны 1, то пакет с таким адресом рассылается всем узлам, находящимся в той же сети, что и узел-источник. Этот режим называется ограниченной широковещательной рассылкой (limited broadcast). Если в поле номера узла назначения стоят только единицы, то такой пакет рассылается всем узлам сети с заданным номером. Такой режим определяется как широковещательное сообщение (broadcast). Например: 192.190.21.255 -- сообщение рассылается всем узлам сети 192.190.21. Адрес с первым байтом равным 127 используется для тестирования взаимодействия процессов внутри одной машины. Образуется «петля» внутри одного узла-отправителя -- данные считаются только что принятыми. Этот адрес обозначается как loopback. Применяются для установления более гибкой границы между номером сети и номером узла.

Маска - это число, которое используется в паре с IP-адресом. Двоичная запись маски содержит единицы в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. (Эти единицы должны представлять непрерывную последовательность). Например, для класса С маска имеет вид: 255.255.255.0.

Может использоваться и другая запись. Например: 185.23.44.206/16 указывает на то, что для адреса сети используется 16 разрядов. Маска может иметь произвольное число разрядов, например:

IP-адрес: 129.64.134.5

Маска: 255.255.128.0, т.е. /17

Здесь маска указывает на то, что для адреса сети используются не 15 бит (как в сети класса В), а 17 бит. Наложив маску на номер получим:

Номер сети: 129.64.128.0

Номер узла: 0.0.6.5

Механизм масок широко распространен в IP-маршрутизации. С их помощью администратор может структурировать свою сеть, не требуя от поставщика услуг дополнительных номеров сетей.

1.3 Проблема защиты передаваемой информации по сети

В данном разделе рассматривается безопасность семейства IP-протоколов. Описываются возможные виды атак.

Стек TCP/IP не обладает абсолютной защищенностью и допускает различные типы атак. Для того, чтобы предпринять подобные атаки, злоумышленник должен обладать контролем над одной из систем, подключенной к Internet. Это возможно, например, в случае, когда злоумышленник взломал какую-то систему или использует собственный компьютер, имеющий соединение с Internet (для многих атак достаточно иметь PPP-доступ).

Атаки на TCP/IP можно разделить на два вида: пассивные и активные. Пассивные атаки на уровне TCP. При данном типе атак злоумышленники никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи. Подслушивание заключается в перехвате сетевого потока и его анализе.

Для осуществления подслушивания необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать; например, к маршрутизатору или PPP-серверу на базе UNIX. Если удастся получить достаточные права на этой машине, то с помощью специального программного обеспечения можно просматривать весь трафик, проходящий через заданные интерфейс.

Второй вариант - злоумышленник получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети "тонкий ethernet" сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно. В данном случае не требуется доступ к UNIX - достаточно иметь PC с DOS или Windows (частая ситуация в университетских сетях).

Поскольку TCP/IP-трафик, как правило, не шифруется, злоумышленник, используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты, например, telnet-сессий и извлекать из них имена пользователей и их пароли.

Следует заметить, что данный тип атаки невозможно отследить, не обладая доступом к системе злоумышленника, поскольку сетевой поток не изменяется. Единственная надежная защита от подслушивания - шифрование TCP/IP-потока или использование одноразовых паролей.

Другой вариант решения - использование интеллектуальных свитчей и UTP, в результате чего каждая машина получает только тот трафик, что адресован ей.

Активные атаки на уровне TCP. При данном типе атак злоумышленник взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.

Активные атаки можно разделить на две части. В первом случае злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести систему-жертву в нерабочее состоянии.

Обладая достаточными привилегиями в Unix (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса не совпадающим с текущим IP-адресом, злоумышленник никогда не получит ответ на отосланный пакет.

Предсказание TCP sequence number. В данном случае цель злоумышленника - притвориться другой системой, которой, например, "доверяет" система-жертва.

IP Hijacking. Если в предыдущем случае злоумышленник инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией "подслушивания" и IP spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов.

Пассивное сканирование. Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта.

1.4 Постановка задачи

Как видно из предыдущих глав проблема защиты передаваемой информации в сетях связи окончательно еще не решена, что уже является достаточным условием для обоснования актуальности темы дипломного проекта.

Существующие способы маршрутизации пакетов сообщений обладают рядом недостатков, среди которых отсутствие адаптации к изменениям структуры сети, низкая скрытность связи и многое другое.

Выбрать маршрут передачи, значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. При этом выбор маршрута осуществляется в узлах сети операторов связи. Наличие таких узлов обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками передаваемой информации о маршруте, что приводит к снижению скрытности связи.

Мое разработанное техническое решение направлено на обеспечение повышенной скрытности связи за счет управления маршрутами информационного обмена между абонентами сети.

ВЫВОДЫ по разделу

1. Представлены основные понятия и определения.

2. Описаны модель и функционирование глобальной информационной сети Internet.

3. Приведены протоколы передачи информации в сети Internet.

4. Произведена оценка состояния проблемы обеспечения информационной безопасности при работе в глобальной сети.

5. Сформулированы задачи на дипломное проектирование.

2. АНАЛИЗ СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ СВЯЗИ

2.1 Способ продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP

Известен способ выбора маршрута в соответствии с условиями занятости сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ № 2271614 МПК H06L 12/38, опубликованному 10.03.2006 г.

Способ заключается в том, что выбор маршрута доставки пакетов в сетях связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом передачи, аналогично функции для услуг, требующих гарантированного качества сервиса QoS. Для прохождения транспортных потоков согласно пути, назначенного менеджером ресурсов в сети доставки, контролируют пограничные маршрутизаторы в соответствии с условиями занятости сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с помощью технологии многоуровневого стека меток.

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи, а так же не полное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков.

2.2 Способы корректировки маршрутов в сети передачи данных

Известен так же способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубликованный 10.10.1998 г.

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки "запись", "стирание".

Недостатком данного способа является так же отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что приводит к низкому качеству выбора.

2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети

Наиболее близким по своей технической сущности к заявленному является «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубликованный 10.05.2005 г.

Способ-прототип заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.

Известный способ-прототип устраняет недостатки аналогов, касающиеся снижения качества выбора маршрута, что обусловлено введением критериев качества маршрутов.

Однако недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.

ВЫВОДЫ по разделу

Как видно из проведенного анализа, существующие способы безопасной маршрутизации обладают рядом недостатков. К этим недостаткам относятся такие как отсутствие адапрации к изменениям структуры сети, не полное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков, низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети, и многие другие.

Разработанные и описанные в дипломном проекте алгоритмы безопасной маршрутизации , отличаются качественно новым подходок к решению проблемы безопасности и направлены на устранение вышеперечисленных недостатков недостатков.

3. АЛГОРИТМИЗАЦИЯ ЗАДАЧИ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ СООБЩЕНИЙ

3.1 Модель первого алгоритма безопасной маршрутизации

Рис. 3.1

В первом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X ? 2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающей адреса узлов сети IP_УС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, адрес сервера безопасности IP_СБ, идентификаторы ID_а и адреса IP_а абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ? 2 параметров безопасности и их значения b_xy, где y = 1,2,…,Y. Вычисляют комплексный показатель безопасности k_x? для каждого x-го узла сети. Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IP_УС и адреса абонентов IP_а сети, а так же информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы ID_а, ID_СБ и соответствующие им адреса IP_а, IP_СБ абонентов сети и сервера безопасности. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ? j, в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n = 1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. После этого выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы ID_аj и адреса IP_аj всех j-х абонентов. Отправляют сформированные сообщения всем i-м абонентам сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения ID_а выбирают его адрес IP_а и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте. При подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IP_УС подключения нового абонента, его идентификатор ID_ан и адрес IP_ан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.

Комплексный показатель безопасности k_x? для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности b_xy.

Число N_ij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:

,

где _ преобразованная матрица смежности вершин графа сети связи, а M = M_р-1, K - соответственно число строк и столбцов матрицы, M_р - число строк исходной матрицы смежности; равное общему количеству узлов сети связи; _ транспонированная матрица к .

3.2 Модель второго алгоритма безопасной маршрутизации

Рис. 3.2

Во втором варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X ? 2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IP_УС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив правил разграничения доступа, адрес сервера безопасности IP_СБ, идентификаторы ID_а и адреса IP_а абонентов, подключенных к сети связи, данные о разграничении доступа между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ? j. Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ? 2 параметров безопасности и их значения b_xy, где y = 1,2,…,Y. Вычисляют комплексный показатель безопасности k_x? для каждого x-го узла сети. Формируют матрицу доступа, для чего запоминают в массиве правил разграничения доступа идентификаторы ID_а абонентов и соответствующие им данные о разграничении доступа. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IP_УС и адреса абонентов IP_а сети, а так же информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы ID_а, ID_СБ и соответствующие им адреса IP_а, IP_СБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IP_УС подключения нового абонента, его идентификатор ID_ан и адрес IP_ан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-ого абонента запрос о возможности доступа к j-му абоненту сети, включающий идентификаторы i-ого ID_аi и j-ого ID_аj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. Проверяют по матрице доступа наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му абоненту сети ответ об отсутствии его доступа к j-му абоненту сети. При наличии доступа формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n = 1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из N_ij возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . В случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. После этого выбранный безопасный маршрут запоминают, формируют сообщение, включающее запомненный маршрут и адрес IP_аj j-ого абонента. Отправляют сформированное сообщение i-му абоненту сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения ID_а выбирают его адрес IP_а и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.

Комплексный показатель безопасности k_x? для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности b_xy.

Число N_ij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:

,

где _ преобразованная матрица смежности вершин графа сети связи, а M = M_р-1, K - соответственно число строк и столбцов матрицы, M_р - число строк исходной матрицы смежности; равное общему количеству узлов сети связи; _ транспонированная матрица к .

3.3 Модель третьего алгоритма безопасной маршрутизации

Рис. 3.3

В третьем варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X ? 2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IP_УС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, допустимый показатель безопасности маршрута k^доп, адрес сервера безопасности IP_СБ, идентификаторы ID_а и адреса IP_а абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ? 2 параметров безопасности и их значения b_xy, где y = 1,2,…,Y. Вычисляют комплексный показатель безопасности k_x? для каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IP_УС и адреса абонентов IP_а сети, а так же информацию о наличии связи между узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы ID_а, ID_СБ и соответствующие им адреса IP_а, IP_СБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IP_УС подключения нового абонента, его идентификатор ID_ан и адрес IP_ан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-ого абонента запрос на безопасный маршрут к j-му абоненту сети, где i = 1,2,…, j = 1,2,…, и i ? j, включающий идентификаторы i-ого ID_аi и j-ого ID_аj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n = 1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. Сравнивают средний показатель безопасности выбранного маршрута с предварительно заданным допустимым показателем безопасности маршрута k^доп. При выполнении условия < k^доп формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута между i-м и j-м абонентами сети. А при выполнении условия ? k^доп, выбранный безопасный маршрут запоминают. Формируют сообщение, включающее запомненный маршрут и адрес IP_аj j-ого абонента. Отправляют сформированное сообщение i-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения ID_аj выбирают его адрес IP_а и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.