автореферат диссертации по радиотехнике и связи, 05.12.13, диссертация на тему:Информационная безопасность транспортных протоколов телекоммуникационных сетей

кандидата технических наук
Карпухин, Евгений Олегович
город
Москва
год
2011
специальность ВАК РФ
05.12.13
Диссертация по радиотехнике и связи на тему «Информационная безопасность транспортных протоколов телекоммуникационных сетей»

Автореферат диссертации по теме "Информационная безопасность транспортных протоколов телекоммуникационных сетей"

005010760

На правах рукописи

КАРПУХИН Евгений Олегович

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ТРАНСПОРТНЫХ ПРОТОКОЛОВ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

Специальность: 05.12.13 - «Системы, сети и устройства телекоммуникаций»

Автореферат диссертации на соискание учёной степени кандидата технических наук

• 1 ЫАР Ш

Москва- 2012

005010760

Работа выполнена на кафедре 402 «Радиосистемы передачи информации и управления» Московского авиационного института (национального исследовательского университета)

Защита диссертации состоится «20» марта 2012 г. в 12:00 часов на заседании диссертационного совета Д 212.125.02 Московского авиационного института (национального исследовательского университета) по адресу: 125993, г.Москва, А-80, ГСП-3, Волоколамское шоссе, д. 4.

С диссертацией можно ознакомиться в библиотеке Московского авиационного института (национального исследовательского университета) «МАИ».

Автореферат разослан: «/У» 02* 2012 г.

Научный руководитель:

кандидат технических наук, доцент Михайлов Владимир Юрьевич

Официальные оппоненты:

Сердюков Петр Николаевич '

доктор технических наук, профессор,

ФКУ НПО «Специальная техника и связь» МВД

России, главный научный сотрудник

Ватутин Сергей Иванович

кандидат технических наук, старший научный сотрудник, ОАО «Российские космические системы», начальник сектора

Центр информационных технологий в проектировании Российской академии наук (ЦИТП РАН)

Ведущая организация:

Ученый секретарь

диссертационного совета Д 212.125.02 кандидат технических наук, доцент

А.М. Петраков

Общая характеристика работы

Актуальность темы исследования

Роль транспортных протоколов в надежном, скоростном и безопасном информационном взаимодействии весьма высока: для выполнения своей главной функции — доставки и сборки пакетов - они используют плохо защищенные открытые служебные процедуры, методы и алгоритмы. Применение открытых, в том числе и транспортных, протоколов обладает весомыми достоинствами, главным из которых является гарантия совместимости информационных процессов в оговоренных протоколами границах.

Среди стандартных протоколов, широко поддерживаемых производителями, наибольшей производительностью и надежностью, а следовательно, и наибольшей популярностью, пользуется протокол TCP (Transmission Control Protocol). Однако протокол TCP подвержен атакам, наиболее распространенной и опасной из которых является hijacking, что подтверждается ежеквартальным отчетом компании Cisco, признанного мирового лидера в области сетевых технологий.

Известны пути, которые направлены на оптимизацию производительности протокола TCP. Вопросами улучшения производительности протоколов информационного взаимодействия, в том числе и протокола TCP, занимались Ю.А. Семенов, V. Jacobson, A. Grieco, S. Mascolo, G. Huston, S. Charoenpanyasak, X. Cui, L. Cui и другие.

К сожалению, любые предлагаемые способы и методы повышения производительности обеспечиваются за счет снижения безопасности. Однако исследование количественных характеристик в известных работах отсутствует.

Существует единственный способ защиты транспортных протоколов от деструктивных действий злоумышленника' — шифрование всего потока данных с помощью технологии IPSec (IP Security), которая стандартизирована на сетевом уровне протокола IP 6-ой версии. Недостатком технологии IPSec

являются дополнительные накладные расходы на формирование служебных пакетов и данных, а также на само шифрование, что приводит к увеличению трафика и снижению производительности компьютеров.

Таким образом, разработка методов повышения защищенности процессов информационного взаимодействия в высокопроизводительных открытых телекоммуникационных системах и сетях является важной и актуальной задачей, не решенной в полной мере на сегодняшний день.

Целью работы является повышение защищенности транспортных протоколов открытых телекоммуникационных систем путем управления протокольными процедурами.

Объект исследования - открытые информационно-телекоммуникационные сети, а предмет исследования - безопасность транспортных протоколов открытых телекоммуникационных сетей и методы управления протокольными процедурами.

Методы исследования

Для реализации намеченной цели исследования и решения поставленных задач в диссертации были использованы методы и подходы на основе теории вероятности, математической статистики, теории массового обслуживания, имитационного и полунатурного моделирования. Научная новизна работы

1. Модель злоумышленника, модифицирующая пакеты отправителя, особенностью которой является то, что идентификатор атакующего пакета экстраполируется на величину, равную объему данных, переданных за время формирования деструктивного пакета.

2. Новый метод формирования TCP-пакетов, отличающийся от стандартного тем, что идентификаторы последовательных пакетов рандомизируются по заданному правилу, в соответствии с которым на приемной стороне осуществляется сборка пакетов, а поле «Options» содержит закодированные синхроданные.

3. Модель оценки временных задержек сетевой архитектуры, отличительной особенностью которой является то, что для рассылки пакетов используются стандартные программные средства, а для точной регистрации событий применяется модифицированный протокольный драйвер сетевой архитектуры.

4. Модель СМО злоумышленника, отличающаяся тем, что в качестве характеристики потока заявок используется найденное из регистрации событий модифицированного драйвера распределение задержек обработки пакетов драйвером сетевой архитектуры.

Практическая значимость работы

1. Разработан драйвер-фильтр сетевой архитектуры, генерирующий и регистрирующий значимые события при приемо-передаче пакета на канальном уровне.

2. Создана имитационная модель атак класса hijacking, используемая для определения условий их реализуемости.

3. Выработаны рекомендации по рандомизации идентификаторов пакетов и исследована их эффективность при использовании рандомизированной последовательности пакетов в современных телекоммуникационных сетях.

Основные положения, выносимые на защиту

1. Модель злоумышленника, модифицирующего пакеты отправителя и устанавливающего значение идентификатора атакующего пакета путем экстраполяции идентификатора перехваченного пакета на величину, равную объему данных, переданных за время формирования деструктивного пакета. Модель гарантирует формирование пакета, атакующего стандартного абонента за минимально возможное время.

2. Метод формирования идентификаторов последовательных рандомизированных TCP-пакетов, гарантирующих при сборке пакетов на

приемной стороне защиту от атаки класса hijacking типа «прогнозирование идентификатора».

3. Модель системы массового обслуживания злоумышленника для оценки среднего времени реализации атаки на стандартного абонента, использующая в качестве характеристики потока заявок полученное распределение задержек обработки пакетов драйвером сетевой архитектуры.

4. Имитационная модель атаки, включающая компьютеры отправителя и злоумышленника, реализующего метод рандомизации последовательности пакетов, получателя, объединенные компьютерной сетью с регулируемой пропускной способностью для оценки результативности атаки класса hijacking типа «повторная отправка пакета».

Публикации

Основные результаты изложены в 8 публикациях, включая сборники тезисов докладов конференций, в том числе 3 статьях в изданиях, рекомендованных ВАК и одной монографии. Апробация работы

Результаты исследования докладывались и обсуждались на Всероссийских конференциях и семинарах в 2009-2011 годах, а также научно-технических конференциях и семинарах в МАИ и МИЭТ.

- Научно-практическая конференция студентов и молодых ученых

МАИ «Инновации в авиации и космонавтике - 2010», - Москва, 2010.

Научно-практическая конференция студентов и молодых ученых

МАИ «Инновации в авиации и космонавтике - 2011», - Москва, 2011.

- 10-я Международная конференция «Авиация и космонавтика -

2011»,-Москва, 2011.

Достоверность

Достоверность полученных результатов обоснована адекватным применением математических методов, корректностью постановок решаемых задач, практической реализацией и апробацией результатов работы.

Внедрение результатов

Основные научно-технические результаты, полученные автором в процессе работы над диссертацией, нашли применение в ОАО «ЦНПО «СФЕРА» в ОКР «Создание прикладного потребительского центра и системы информационного обеспечения потребителей Министерства обороны Российской Федерации». Также результаты работы внедрены в учебный процесс на каф. 402 при подготовке дипломированных специалистов по специальности «Комплексная защита объектов информатизации», что подтверждается соответствующими актами о внедрении. Структура диссертационной работы

Диссертация состоит из введения, 4 глав с 9 таблицами и 52 иллюстрациями, заключения, библиографического списка, состоящего из 77 наименований, и пяти приложений. Общий объём работы составляет 179 страниц.

Основное содержание работы

Во введении дана постановка научной задачи и изложены характеристики решаемой проблемы. Обоснована актуальность и практическая значимость темы диссертации, сформулирована цель диссертационной работы и задачи, которые необходимо решить для её достижения.

В первой главе описаны основные транспортные протоколы, рассмотрены направления и методы оптимизации протоколов информационного взаимодействия, проанализированы их достоинства и недостатки, приведены варианты реализации атак на протокол TCP и предложен метод защиты от атаки класса hijacking, связанной с прогнозированием идентификаторов последовательности ТСР-пакетов.

Открытые транспортные протоколы выполнены по общеизвестным стандартам, и не создают проблем с совместимостью. Стандарты создает специальная комиссия Интернет-разработок (Internet Engineering Task Force, IETF). Чтобы протокол стал стандартом, требуется выполнение множества

разнообразных условий. Поэтому используются те протоколы, которые проходят процедуру стандартизации. Однако при разработке протоколов TCP и UDP (User Datagram Protocol) не были учтены особенности современных информационных процессов и среды. Для парирования угроз можно выполнить следующие процедуры.

1) Подправить протоколы вплоть до транспортного (прикладного) уровня. Этот прием используется в любой операционной системе. Хорошо известны и последствия данного подхода - любое новое исправление потенциально создает новую уязвимость.

2) Разработать новые протоколы и заменить ими существующие (в большей степени TCP, в меньшей UDP). Примерами таких протоколов служат SCTP (Stream Control Transmission Protocol) и DCCP (Datagram Congestion Control Protocol). Они отвечают тем целям, которые ставились перед разработчиками, но реализуют свои достоинства только при активной поддержке данных протоколов как производителями сетевого оборудования, так и разработчиками ОС (операционных систем).

3) Оптимизировать параметры стандартных протоколов.

Стандарты дают возможность изменять ряд протокольных параметров (размер окна получателя, разнообразные опции протокола), что может быть использовано при реализации транспортного протокола под определенную ОС. Следует выделить статическую (изменение параметров, требующее перезагрузку ОС) и динамическую (изменение параметров во время работы системы) оптимизацию параметров протоколов.

4) Произвести внутриуровневую оптимизацию протокола.

Внутриуровневая оптимизация транспортного протокола - это

повышение производительности и безопасности внутри транспортного уровня. Повышение эффективности работы протокола может быть реализовано за счет:

- перехода с одного протокола на другой, если оба протокола позволяют решить задачу информационного взаимодействия с разной степенью эффективности (оптимизация выбора протокола);

- улучшения работы алгоритмов протокола (оптимизация алгоритма);

- уменьшения или увеличения времени, которое необходимо для перехода из одного состояния в другое (оптимизация события).

5) Использовать межуровневые связи протоколов информационного взаимодействия для гибкого и оперативного реагирования на изменяющиеся условия каждого из взаимодействующих уровней.

Связи между протоколами, которые принадлежат разным уровням стека ТСРЯР, можно использовать для повышения эффективности телекоммуникационной системы, для чего следует воспользоваться одним из методов, приведенным ниже.

- Оптимизация двух и более уровней путем создания новых интерфейсов между ними.

Новые интерфейсы будут использованы для обмена служебной информацией между уровнями (рис. 1)

Рис. 1. Создание новых интерфейсов Рис. 2. Взаимодействие нескольких между уровнями уровней через единую точку

управления

- Оптимизация взаимодействия уровней путем централизации управления ими.

Данный метод улучшает качество взаимодействия между уровнями, так как их поведением управляет единая служба (рис. 2).

- Создание новых протокольных элементов (компонентов).

Создание новых протокольных элементов (компонентов) допускает возможность дублирования части или даже всех их функций затрагиваемых уровней, обеспечивая гибкость при оценке данных (рис. 3).

протоколов

Наиболее опасная уязвимость протокола TCP связана с приемом пакетов от злоумышленника, имеющих допустимый идентификатор. Следует выделить три основных варианта реализации атаки на протокол TCP:

- атака типа «угадывание», заключающаяся в том, что злоумышленник не имеет информации о текущем значении идентификатора TCP-пакета и генерирует пакеты с деструктивными данными по некоторому правилу (например, с одним и тем же идентификатором);

- атака типа «прогнозирование идентификатора», состоящая в прогнозировании идентификатора TCP-пакета путем экстраполяции значений идентификаторов последовательности ТСР-пакетов;

- атака типа «повторная отправка пакета», заключающаяся в модификации пакета отправителя путем добавления в пакет деструктивных

данных (установка флага RST, SYN, добавление своих данных в содержимое пакета).

Атака типа «прогнозирование идентификатора» гарантирует осуществление деструктивного воздействия за минимально возможное время. Суть этой атаки состоит в следующем: злоумышленник исследует входящий поток пакетов на наличие TCP-соединения с определенными IP-адресами и номерами портов, определяет скорость передачи данных по этому соединению, и на основании данной информации создает пакет с деструктивными данными, экстраполируя номер идентификатора атакующего пакета. При попадании идентификатора атакующего пакета в диапазон значений идентификаторов пакетов, которые могут быть обработаны получателем, реализуется деструктивное воздействие.

Для защиты от этого типа атаки предлагается метод, заключающийся в разрушении детерминизма. Этого можно достичь путем рандомизации последовательности пакетов и управления процессом их сборки внутри транспортного уровня.

Выводы к Главе 1:

1. Проведен сравнительный анализ основных транспортных протоколов телекоммуникационных сетей (TCP, UDP и SCTP), по результатам которого обоснована необходимость повышения защищенности протокола TCP.

2. Выявлены основные направления повышения производительности и безопасности протокола TCP.

3. Исследованы существующие варианты улучшения производительности протокола TCP и способы обеспечения безопасности транспортных протоколов.

4. Предложены пути и методы повышения безопасности протоколов информационного взаимодействия.

5. Выделены направления и методы повышения безопасности транспортных протоколов телекоммуникационных сетей, обладающие наилучшими характеристиками.

6. По результатам анализа вариантов проведения атак класса hijacking на протокол TCP доказано, что атака типа «прогнозирование идентификатора» реализуется за минимально возможное время.

7. Обоснована необходимость разработки метода рандомизации последовательности пакетов и управления процессом их сборки.

Во второй главе произведено обоснование и выбор формальных методов анализа модели злоумышленника. Модель злоумышленника может быть описана формальными методами (граф атак, сеть Петри), математическим аппаратом теории вероятности (статистические и Марковские модели, модели массового обслуживания), а также имитационным моделированием атаки.

Моделирование систем с использованием графов атак основано на модели конечных автоматов. Переходы между узлами происходят на основе применения детерминированных правил, при этом учитывается текущее состояние системы и тип произошедшего события. Целью является достижение необходимой вершины. Модель предусматривает анализ условий, необходимых для достижения цели атаки, поэтому может использоваться для оценки безопасности программной системы или компьютерной сети.

Однако реальный процесс возникновения и развития атакующего воздействия на сеть является вероятностным в нескольких аспектах: во-первых, вероятностным событием является само возникновение нарушителя (он может появиться или не появиться в случайный момент времени); во-вторых, случайной величиной будет выбранный тип атаки; в-третьих, при наличии всех необходимых условий, успешная реализация атаки - тоже процесс, реализуемый с определенной вероятностью, а не строго детерминированный. Поэтому сеть Петри, моделирующая эти процессы, будет сетью со случайными срабатываниями переходов.

Представим модель атакующего, реализующего один из вариантов атаки класса hijacking при помощи иерархической сети Петри.

Вероятность перехода Р3 характеризует вероятность успешного

проведения атаки на протокол TCP, а вероятность Р2 - вероятность неудачи при реализации атаки (Рг +Р3 =1).

Этот способ хорошо иллюстрирует процесс осуществления атаки, однако получение вероятностей для моделирования атаки класса hijacking требует использование аппарата теории вероятности и математической статистики, так как для данного класса атак отсутствуют экспертные оценки.

Р1 - появление злоумышленника Р2 - злоумышленник производит атаку РЗ - атака реализована Р4 - атака завершена

Т1 - злоумышленник начал генерировать пакеты Т2 - попытка реализации атаки неудачна ТЗ - попытка осуществления атаки реализована Т4 - принято решение о продолжении атакн Т5 - принято решение о прекращении атаки

Рис. 4. Сеть Петри, моделирующая атаки класса hijacking Основньм параметром, который может быть найден применением вероятностного подхода, является время формирования пакета с деструктивными данными tfp. Этот параметр зависит от количества пакетов, поступающих на сетевой интерфейс компьютера злоумышленника (интенсивности потока заявок) и времени, необходимого для обслуживания одного пакета.

Система массового обслуживания (СМО) характеризуется следующим набором параметров:

1) Распределением длительности интервалов между заявками

Р4

входящего потокар(Я);

2) Дисциплиной обслуживания заявок Д

3) Числом обслуживающих приборов (каналов) К;

4) Распределением длительности обслуживания заявок приборами (каналами) р(Ь).

Указанный набор параметров полностью определяет порядок функционирования системы. В модели злоумышленника (см. рис. 5) обсуживающим прибором будет являться компьютер злоумышленника, заявками, поступающими на вход сетевого адаптера — пакеты. Однако для описания модели компьютера злоумышленника в терминах СМО необходимо определить распределение длительности интервалов между заявками входящего потока и распределение длительности обслуживания заявок компьютером злоумышленника.

потока заявок обслуживания заявок

Рис. 5. Функциональная схема компьютера злоумышленника в терминах

СМО

Выводы к Главе 2:

1. Обоснован состав параметров, описывающих временные характеристики формирования злоумышленником пакета с деструктивными данными.

2. Для определения времени формирования пакета с деструктивными данными выбран математический аппарат теории массового обслуживания.

3. Для получения характеристик СМО обоснована необходимость исследования временных задержек сетевой архитектурой компьютера злоумышленника.

В третьей главе представлены результаты разработки метода рандомизации последовательности пакетов и управления процессом их сборки,

предложена модель оценки временных характеристик сетевой архитектуры с применением легально модифицированного протокольного драйвера, автоматизирующего рассылку и регистрацию событий! На основе результатов измерения временных задержек сетевой архитектуры выбрана модель СМО, использующая в качестве характеристики потока заявок найденную оценку времен обслуживания.

Найдено существование условий, при выполнении которых атакующее действие злоумышленника будет гарантированно реализовано:

- передача данных происходит через открытый канал связи по протоколу TCP;

- злоумышленник перехватывает пакеты полностью и без ошибок;

- каждый последующий идентификатор пакета может быть получен из' предыдущего по формуле /,+/ = (lj,+MSSi)(mod 2"), где MSS( - размер i-ro сегмента TCP, п — количество бит в заголовке пакета, выделенных под поле Sequence Number (SN), I2, ... In~ идентификаторы пакетов.

Отсюда следует необходимость защиты соединения от вмешательства злоумышленника. Для этого предлагается метод, заключающийся в оптимизации производительности и безопасности процесса информационного взаимодействия, состоящего в рандомизации последовательности пакетов и управлении процессом их сборки.

Суть метода заключается в следующем: каждый идентификатор /„ ТСР-пакета заменяется на некоторое случайное число Rt, взятое из диапазона от 0 до 2" (Ii-tR,). На стороне получателя производится обратное преобразование (Л, -+/,). Это преобразование существенно осложняет задачу злоумышленнику по манипуляции соединением.

Общий принцип реализации этого метода изображен на рис. 6.

Рис. 6. Схема реализации информационной системы, использующей метод рандомизации последовательности пакетов и управления процессом их сборки

При реализации предложенного метода злоумышленник не сможет прогнозировать диапазон доступных номеров пакета (атака типа «прогнозирование идентификатора»), и будет вынужден перехватывать последовательность пакетов от защищающейся стороны и вносить в эти пакеты деструктивные данные (атака типа «повторная отправка пакета»). Однако для осуществления данной атаки ему потребуется затратить некоторое время. Определим временные составляющие, которые вносят задержку в формировании пакета с деструктивными данными.

Величину t,pjria необходимо учитывать злоумышленнику вначале проведения атаки, так как эта характеристика определяет время, в течение которого на злоумышленника будет оказывать влияние процесс привязки сетевого устройства.

, =_К_

/pmin .ш / W (W Yi

... X1 max? |_р ' max/ I max/ | | I

iiRTTX 2 \ 2 X

где X - интенсивность потока заявок (пакетов);

ц — интенсивность обслуживания заявок (пакетов);

Рр, — вероятность потери пакета;

Ть - время, затраченное на привязку драйвера сетевого устройства;

~ максимальное окно г'-го получателя; ЯЛ; - время, затрачиваемое на передачу пакета до ;'-го получателя и

получения на этот пакет подтверждения.

Все пакеты, пришедшие на сетевой интерфейс злоумышленника, передаются программному обеспечению атакующего (ПОА). В ПОА производится поиск 1Р-адреса получателя и номера порта программы получателя, на которую и направлена атака злоумышленника. Если такой адрес и порт найдены, пакет подвергается дальнейшей обработке. Атакующий создает пакет с деструктивными данными и отправляет его в сеть (рис. 7).

I-------------------------------

Компьютер злоумышленника

Рис. 7. Структурная схема работы сетевой части компьютера злоумышленника, используемой для осуществления атаки на защищающуюся сторону

Основная часть времени, затрачиваемая атакующим на формирование пакета с деструктивными данными, приходится на нахождение пакета в очереди. Средняя длина очереди будет определять среднее время нахождения пакета в очереди:

г Л

query ^ '

где tqKry - среднее время нахождения пакета в очереди;

L - средняя длина очереди.

Обоснован Пуассоновский тип поступления заявок на вход сетевого адаптера. Путем статистического анализа получен экспоненциальный закон распределения времен обслуживания заявок сетевой архитектурой. Так как обработка заявок производится одним устройством - компьютером злоумышленника, имеющим буфер N. то следует выбрать СМО М/М/1ЛЧ.

Для модели СМО М/МЛ/Ы среднее время нахождения пакета в очереди составляет:

Выводы к Главе 3:

1. Предложен метод рандомизации последовательности пакетов и управления процессом их сборки.

2. Предложен способ синхронизации подсистем идентификации защищающейся стороны, состоящий в формировании идентификаторов ТСР-пакетов с использованием алгоритма генерации псевдослучайных чисел на основе линейного регистра сдвига с обратной связью и передаче приемной стороне в поле «Options» закодированных синхроданных.

3. Получена аналитическая оценка времени, на интервале которого сказывается влияние привязки адаптера на длину очереди.

4. Разработана модель оценки временных задержек сетевой архитектуры с использованием драйвера, основанного на регистрации низкоуровневых событий, на базе которой было получено среднее время, необходимое для обработки одного пакета NDIS драйвером.

5. На основе характеристики потока заявок в NDIS архитектуре получено распределение времен обслуживания пакетов, использованных в

дальнейшем для определения количественных характеристик обслуживающего устройства в модели СМО.

6. Дана оценка эффективности предложенного метода, заключающаяся в отношении времени доставки до получателя легального пакета к времени получения им пакета с деструктивными данными от злоумышленника.

В четвертой главе разработана модель атак класса hijacking, модель рандомизации идентификаторов TCP-пакетов, а также проведена апробация полученных в работе аналитических результатов.

Модель атаки класса hijacking включает компьютер отправителя, на котором запущена программа, реализующая деструктивное воздействие на TCP-соединение между отправителем и получателем, ограничитель пропускной способности канала и компьютер получателя. Программа, создающая деструктивное воздействие на TCP-соединение между отправителем и получателем, перехватывает TCP-пакеты, идущие от приложения, работающего на порту под №Х. На основе перехваченного TCP-пакета эта программа формирует пакет с деструктивными данными и отправляет его на сетевой интерфейс (сетевой интерфейс №2), отличный от используемого по умолчанию ОС для передачи данных до компьютера получателя (сетевой интерфейс №1, см. рис.8).

На ограничитель пропускной способности канала поступают пакеты: одни - от приложения отправителя (сетевой интерфейс №1), а другие — от программы, создающей деструктивное воздействие на информационное взаимодействие между отправителем и получателем, которое осуществляется по протоколу TCP (сетевой интерфейс №2). Манипулируя отношением пропускной способности первого и второго канала, можно добиться того, что пакет от деструктивной программы придет на компьютер получателя раньше, чем от приложения отправителя, и, следовательно, будет раньше обработан протоколом TCP, вызвав деструктивное воздействие.

Сетевой интерфейс №1

Г

Приложение, реализующее информационное взаимодействие с получателем по протоколу TCP на порту под Л°Х

Ограничитель пропускной способности каналов

Программа, создающая деструктивное воздействие ■if на ТСР-приложение,

Компьютер отправителя

работающее на порту под №Х

Сетевой интерфейс №2

Компьютер получателя

Рис. 8. Имитационная модель атаки класса hijacking типа «повторная отправка пакета»

В работе был произведен анализ областей применения метода рандомизации последовательности пакетов и управления процессом их сборки. По результатам этого анализа выделены две основные области применения -пассивные оптические сети с архитектурой FTTx и беспроводные сети с централизованной архитектурой.

На рис. 9 приведены результаты сравнения производительности операций по генерированию псевдослучайного числа (ПСЧ) и хешированию TCP-пакета. Показано среднее время генерирования одного 32-битного ПСЧ с использованием алгоритма генерации ПСЧ на основе линейного регистра сдвига с обратной связью и хеширования пакетов по алгоритму MD5, имеющих разную длину.

Как видно, операция хеширования пакета, имеющего различный объем, проигрывает по производительности алгоритму генерации ПСЧ на основе линейного регистра сдвига с обратной связью. Так как хеширование пакета с использованием алгоритма MD5 является частью протокола Authentication Header, входящего в состав технологии IPSec, то можно сделать вывод о том, что предлагаемый метод рандомизации последовательности пакетов и

управления процессом их сборки обеспечивает лучшую производительность при небольших дополнительных накладных расходах, затрачиваемых на периодическую передачу коэффициентов порождающего многочлена и вектора начального состояния регистра сдвига.

Линейный регистр Алгоритм Алгоритм Алгоритм

сдвига с ойратмой хеширования MD5 хеширования MOS хеширования MD5

свммо ($шм*р шкета 20 (рмыер пакета 50» (рймер пакета

байт} СайП 15С0бзй1}

Рис. 9. Результаты эксперимента по замеру производительности

Выводы к Главе 4:

1. На основе модели атак класса hijacking была доказана реализуемость атаки типа «повторная отправка пакета» на стек протоколов TCP/IP ОС семейства Windows путем передачи деструктивного пакета по маршруту через канал, имеющий большую пропускную способность, чем канал, по которому передавался пакет с данными защищающейся стороны.

2. Исследованы различные маршруты по передаче пакета в сети Интернет и показана возможность использования злоумышленником более короткого пути для осуществления атаки типа «повторная отправка пакета».

3. Показана реализуемость метода рандомизации последовательности пакетов и управления процессом их сборки путем рандомизированной модификации идентификаторов TCP-пакетов на стороне отправителя, передачи

этой последовательности TCP-пакетов через сеть Интернет, и её сборки на стороне получателя.

4. Определены . области применения метода рандомизации последовательности пакетов и управления процессом их сборки.

5. Исследована . производительность предложенного метода рандомизации последовательности пакетов, заключающаяся в измерении времени выполнения операций по генерации псевдослучайных чисел и хеширования ТСР-пакета.

В заключении приведены основные теоретические и практические результаты диссертационной работы.

В приложениях приведены: программный код на языках C/C++ и С# компонентов — автоматизирующих рассылку и регистрацию событий сетевой архитектуры на уровне драйвера, основанного на регистрации низкоуровневых событий; реализующих имитационную модель атаки класса hijacking; имитирующих рандомизацию идентификаторов пакетов и генерацию ПСЧ. Также приводятся результаты эксперимента по оценке времени передачи пакета с одного сетевого интерфейса на другой при использовании архитектуры NDIS.

Основные результаты работы

1. Разработан метод внутриуровневой оптимизации протокола информационного взаимодействия, состоящий в рандомизации последовательности пакетов и управления процессом их сборки, позволяющий повысить уровень защищенности процессов информационного взаимодействия.

2. Предложена модель оценки временных задержек сетевой архитектуры, состоящая из программных компонентов, автоматизирующих рассылку и регистрацию событий сетевой архитектуры на уровне драйвера, основанного на регистрации низкоуровневых событий.

3. Получена модель СМО злоумышленника, использующая в качестве характеристики потока заявок найденную оценку времен обслуживания.

4. Предложена модель злоумышленника, состоящая в анализе идентификаторов пакетов с последующей генерацией атакующего пакета, которая гарантирует осуществление деструктивного воздействия за минимально возможное время при условии, что абоненты используют детерминированный алгоритм формирования идентификаторов пакетов.

5. Создана модель атак класса hijacking, заключающаяся в анализе идентификаторов TCP-пакетов на одном сетевом интерфейсе с последующей отправкой деструктивного пакета на другой сетевой интерфейс, и используемая для определения условий, при которых реализуется данная атака.

6. Разработано программное обеспечение, позволяющее оценить время передачи пакета от одного сетевого интерфейса к другому на уровне NDIS путем регистрации событий в реализации драйвера NDIS, используемого для оценки временных характеристик.

Основные результаты диссертации изложены в

следующих публикациях:

1. Карпухин Е.О. Анализ способов оптимизации транспортных протоколов в открытых телекоммуникационных системах. // Журнал «Телекоммуникации», №9, 2011 г. - М.: ООО «Наука и технологии», 2011г. - с. 15-21

2. Карпухин Е.О., Витомский Е.В. Использование технологии фильтрации при разработке защищенных телекоммуникационных систем. // Журнал «Вестник Московского авиационного института», т. 16, №7, 2009 г. -М.: МАИ, 2009.-с. 57-60

3. Карпухин Е.О., Сееднов А.С., Смирнов С.Н. Применение методов оптимизации протоколов в современных информационно-телекоммуникационных системах. // Журнал «Информационно-измерительные и управляющие системы», №8,2011 г. - М.: «Радиотехника», 2011г. - с. 44-48

4. Борискина Е.П., Витомский Е.В., Карпухин Е.О., Корнилов А.М., Неволйн А.О. Безопасное информационное взаимодействие. Под редакцией Мазепы Р.Б., Михайлова В.Ю., М.': МАИ-ПРИНТ, 2010 г. - раздел 2, с.44-76.

5. Карпухин Е.О. Методы оптимизации транспортных протоколов в системах информационного взаимодействия! // Научно-практическая конференция студентов и молодых ученых МАИ «Инновации в авиации и космонавтике - 2010». 26-30 апреля 2010 года. Москва. Сборник тезисов докладов. - СПб.: Мастерская печати, 2010. - с.86.

6. Карпухин Е.О. Использование методов оптимизации протоколов информационного взаимодействия в открытых телекоммуникационных системах. // Научно-практическая конференция студентов и молодых ученых МАИ «Инновации в авиации и космонавтике - 2011». 26-30 апреля 2011 года. Москва. Сборник тезисов докладов. - М:МЭИЛЕР, 2011. - с.51

7. Карпухин Е.О. Способ защиты TCP-соединений от деструктивных действий злоумышленника при передаче данных по пассивным оптическим сетям с архитектурой FTTO. // 10-я Международная конференция «Авиация и космонавтика - 2011».8—10 ноября 2011 года. Москва. Тезисы докладов. -СПб.: Мастерская печати, 2011. - с. 214-215

8. Карпухин Е.О. Анализ эффективности применения протоколов информационного взаимодействия. // Межвузовский сборник научных трудов «Информационные технологии и системы» - М.: МИЭТ, 2009. - с. 10-21

Множительный центр МАИ (НИУ) Заказ- от iS. 02. 2012. г. Тираж/00 экз.

Текст работы Карпухин, Евгений Олегович, диссертация по теме Системы, сети и устройства телекоммуникаций

61 12-5/1830

Московский авиационный институт . (национальный исследовательский университет)

На правах рукописи

Карпухин Евгений Олегович

Информационная безопасность транспортных протоколов телекоммуникационных сетей

Специальность 05.12.13 - «Системы, сети и устройства телекоммуникаций»

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель -к.т.н., доцент В. Ю. Михайлов

Москва - 2011

Оглавление

Список терминов, условных сокращений и обозначений...........................7

Введение.........................................................................................................10

1. Постановка задачи.....................................................................................15

1.1. Основные транспортные протоколы телекоммуникационных сетей....................................................................................................................15

1.1.1. Протокол TCP..............................................................................15

1.1.2. Протокол UDP..............................................................................17

1.1.3. Протокол SCTP............................................................................19

1.1.4. Сравнительный анализ протоколов транспортного уровня....24

1.2. Анализ проблем оптимизации транспортных протоколов............26

1.2.1. Низкая производительность в беспроводных сетях................26

1.2.2. Проблемы безопасного функционирования основных транспортных протоколов............................................................................27

1.3. Особенности решения задачи оптимизации открытых транспортных протоколов................................................................................28

1.3.1. Совершенствование протокола TCP для улучшения производительности при передаче данных по сети...................................30

1.3.2. Варианты оптимизации протокола TCP в беспроводных сетях .........................................................................................................................33

1.3.3. Способы обеспечения безопасности транспортных протоколов .........................................................................................................................35

1.3.3.1. Шифрующие протоколы 3 5

1.3.3.2. Технология MD5 Authentication 36

1.4. Направления и методы оптимизации протоколов информационного взаимодействия.......................... .......................................36

1.4.1. Параметрическое направление оптимизации протоколов

информационного взаимодействия.............................................................37

1.4.1.1. Максимальный размер окна получателя............................38

1.4.1.2. Опция «временные метки»..................................................39

1.4.1.3. Опция «выборочные подтверждения»...............................40

1.4.1.4. Параметр TcpFinWait2Delay................................................41

1.4.1.5. Параметры KeepAliveTime и KeepAlivelnterval................42

1.4.1.6. TcpAckFrequency и DelayedACK........................................43

1.4.1.7. Защита от syn-flood атак......................................................43

1.4.2. Внутриуровневое направление оптимизации протоколов информационного взаимодействия.............................................................44

1.4.2.1. Метод оптимизации протокола...........................................44

1.4.2.2. Метод оптимизации алгоритма...........................................44

1.4.2.3. Метод оптимизации событий протокола...........................45

1.4.3. Межуровневое направление оптимизации протоколов информационного взаимодействия.............................................................45

1.4.3.1. Оптимизация двух и более уровней путем создания новых интерфейсов между ними............................. ............................................47

1.4.3.2. Оптимизация взаимодействия уровней путем централизации управления ими...............................................................48

1.4.3.3. Создание новых протокольных элементов (компонентов) .....................................................................................................................49

1.4.4. Сравнительный анализ направлений и методов оптимизации открытых транспортных протоколов..........................................................50

1.4.5. Анализ направлений и методов оптимизации протокола TCP для повышения его безопасности................................................................53

1.5. Варианты реализации атак на протокол TCP..................................54

1.5.1. Атака типа «угадывание»...........................................................55

1.5.2. Атака типа «прогнозирование идентификатора»....................57

1.5.3. Атаки типа «повторная отправка пакета».................................58

1.6. Обоснование способа решения поставленной задачи....................59

1.7. Формулировка проблем в границах поставленной задачи............60

2. Математические методы описания злоумышленника...........................62

2.1. Формализованный подход к описанию модели злоумышленникабЗ

2.1.1. Граф атак......................................................................................63

2.1.2. Сети Петри...................................................................................64

2.2. Вероятностный подход к моделированию процессов компьютера злоумышленника...............................................................................................66

2.2.1. Статистические модели..............................................................67

2.2.2. Марковские модели.....................................................................69

2.2.3. Модели массового обслуживания..............................................69

2.3. Имитационные методы моделирования компьютера злоумышленника...............................................................................................73

2.4. Обоснование выбора математической модели злоумышленника. 75 3. Разработка методов решения задачи.......................................................77

3.1. Обоснование метода рандомизации последовательности пакетов и управления процессом их сборки....................................................................77

3.2. Модель защищающейся стороны.....................................................79

3.2.1. Способы безопасного обмена ключами....................................79

3.2.2. Синхронизация подсистем идентификации защищающейся стороны...........................................................................................................81

3.3. Модель злоумышленника..................................................................84

3.3.1. Влияние этапа привязки адаптера на длину очереди..............87

3.3.1.1. Использование свободного ресурса компьютера злоумышленника.......................................................................................87

3.3.1.2. Влияние протокола TCP на уменьшение очереди............88

3.3.1.3. Результаты и выводы...........................................................91

3.3.2. Определение среднего времени нахождения пакета в очереди. .........................................................................................................................94

3.3.2.1. Тип поступления заявок на вход сетевого адаптера злоумышленника.......................................................................................95

3.3.2.2. Тип обслуживания заявок компьютером злоумышленника .....................................................................................................................95

3.3.2.3. Среднее время пребывания пакета в очереди...................99

3.4. Оценка эффективности предложенного метода рандомизации

последовательности пакетов и управления процессом их сборки.............101

4. Апробация результатов разработки.......................................................104

4.1. Разработка компьютерных (имитационных) моделей атак и защиты..............................................................................................................104

4.1.1. Модель для оценки условий реализуемости атаки класса hijacking........................................................................................................ 104

4.1.2. Модель для оценки производительности защитного преобразования идентификатора пакета...................................................105

4.1.3. Модель для оценки реализуемости метода рандомизации последовательности пакетов......................................................................107

4.1.4. Модель для оценки времени передачи пакета от отправителя до получателя и количества узлов между ними.......................................108

4.2. Планирование эксперимента...........................................................109

4.2.1. Набор программ и программных компонент для выполнения экспериментальной части...........................................................................109

4.2.1.1. Программы для реализации атаки класса hijacking........109

4.2.1.2. Программа для модификации идентификатора ТСР-пакета........................................................................................................110

4.2.1.3. Модуль генерации хеш-функции по алгоритму MD5.... 111

4.2.1.4. Модуль генерации псевдослучайных чисел на основе М-последовательности.................................................................................112

4.2.2. Планирование эксперимента по оценке условий реализуемости атаки класса hijacking........................................................112

4.2.3. Планирование эксперимента по оценке производительности защитного преобразования идентификатора пакета................................113

4.2.4. Планирование эксперимента по оценке реализуемости метода рандомизации последовательности пакетов.............................................113

4.2.5. Планирование эксперимента по оценке времени передачи пакета от отправителя до получателя и количества узлов между ними 114

4.3. Результаты эксперимента................................................................114

4.3.1. Результаты эксперимента по оценке условий реализуемости атаки класса hijacking..................................................................................114

4.3.2. Результаты эксперимента по оценке производительности защитного преобразования идентификатора пакета................................117

4.3.3. Результаты эксперимента по оценке реализуемости метода рандомизации последовательности пакетов.............................................118

4.3.4. Результаты эксперимента по оценке времени передачи пакета от отправителя до получателя и количества узлов между ними............122

4.4. Результаты и рекомендации по применению метода рандомизации последовательности пакетов в различных областях....................................126

4.4.1. Области, пригодные для применения метода рандомизации последовательности пакетов и управления процессом их сборки.........126

4.4.1.1. Пассивные оптические сети с архитектурой FTTx.........126

4.4.1.2. Беспроводные сети с централизованной архитектурой. 128

Заключение...................................................................................................130

Список используемой литературы.............................................................132

Приложение 1...............................................................................................141

Приложение 2...............................................................................................154

Приложение 3...............................................................................................158

Приложение 4...............................................................................................163

Приложение 5...............................................................................................175

Список терминов, условных сокращений и обозначений

АН (Authentication Header) - протокол, входящий в состав технологии IPSec;

AN (Acknowledgment number) - порядковый номер подтверждения TCP-пакета;

BGP (Border Gateway Protocol) - протокол граничного шлюза, предназначенный для обмена информацией о маршрутах между автономными системами;

CPN (Colored Petri Net) - раскрашенные сети Петри;

CRC (Cyclic Redundancy Check) - алгоритм вычисления контрольной суммы, предназначенный для проверки целостности передаваемых данных;

CWND (Congestion Window) - окно отправителя;

DCCP (Datagram Congestion Control Protocol) - протокол транспортного уровня модели OSI, разрабатываемый IETF и предоставляющий механизмы для отслеживания перегрузок в сети, но не гарантирующий доставку пакетов в нужном порядке;

DUPACK (duplicate АСК) - повторная отправка квитанции;

ЕАР (Extensible Authentication Protocol) - расширяемый протокол аутентификации;

FEC (Forward Error Correction) - техника кодирования/декодирования, позволяющая исправлять ошибки;

FTP (File Transfer Protocol) - протокол передачи файлов;

HTML (HyperText Markup Language) - язык разметки гипертекста;

HTTP (Hypertext Transport Protocol) - протокол передачи гипертекста;

ICMP (Internet Control Message Protocol) - протокол межсетевых управляющих сообщений;

IETF (Internet Engineering Task Force) - специальная комиссия Интернет-разработок;

IKE (Internet Key Exchange) - протокол, используемый для защищенного согласования и доставки идентифицированного материала;

IP (Internet Protocol) - межсетевой протокол Интернета;

IPSec (Internet Protocol Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP;

LFSR (Linear Feedback Shift Registers) - регистр сдвига с линейной обратной связью;

MAC (Media Access Control) - управление доступом к среде;

MD5 (Message Digest 5) - 128-битный алгоритм хеширования, разработанный профессором Рональдом JI. Ривестом;

MIC (Message Integrity Code) - специальный набор символов, который добавляется к сообщению, и предназначенный для обеспечения его целостности и аутентификации источника данных;

MSS (Maximum Segment Size) - параметр, определяющий максимальный размер блока данных в байтах для ТСР-пакета;

MTU (Maximum Transmission Unit) - единица измерения максимального размера блока (в байтах), который может быть передан на канальном уровне сетевой модели OSI;

NDIS (Network Driver Interface Specification) - спецификация интерфейса сетевых драйверов;

RFC (Request for Comments) - запрос комментариев (общепринятый вид представления электронных спецификаций);

RTO (Retransmission Timeout) - окончание времени на осуществление попыток по передачи пакета с данными;

RTT (Round Trip Time) - время, затраченное на передачу пакета до получателя и квитанции до отправителя;

RWIN (Receive Window) - окно получателя;

SACK (Selective Acknowledgement) - опция выборочного подтверждения потерянных пакетов;

SCTP (Stream Control Transmission Protocol) - протокол транспортного уровня в компьютерных сетях, реализующий надежную передачу данных;

SMTP (Simple Mail Transfer Protocol) - простой протокол передачи почты;

SN (Sequence number) - порядковый номер TCP-пакета;

TCP (Transmission Control Protocol) - протокол управления передачей;

UDP (User Datagram Protocol) - протокол пользовательских дейтаграмм;

Модель OSI (Open Systems Interconnection basic reference model) -абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов;

ОС - операционная система;

ПИВ - протоколы информационного взаимодействия;

ПО - программное обеспечение;

ПОА - программное обеспечение атакующего;

ПСЧ - псевдослучайное число;

СИВ - система информационного взаимодействия;

СМО - система массового обслуживания;

ТКС - телекоммуникационная система.

Введение

Актуальность темы.

Роль транспортных протоколов в надежном, скоростном и безопасном информационном взаимодействии весьма высока: для выполнения своей главной функции - доставки и сборки пакетов - они используют плохо защищенные открытые служебные процедуры, методы и алгоритмы. Применение открытых, в том числе и транспортных, протоколов обладает весомыми достоинствами, главным из которых является гарантия совместимости информационных процессов в оговоренных протоколами границах.

Среди стандартных протоколов, широко поддерживаемых производителями, наибольшей производительностью и надежностью, а следовательно, и наибольшей популярностью, пользуется протокол TCP. Однако протокол TCP подвержен атакам, наиболее распространенной и опасной из которых является hijacking, что подтверждается ежеквартальным отчетом компании Cisco [1], признанного мирового лидера в области сетевых технологий.

Известны пути, которые направлены на оптимизацию производительности протокола TCP. Вопросами улучшения производительности протоколов информационного взаимодействия, в том числе и протокола TCP, занимались Ю.А. Семенов, V. Jacobson, A. Grieco, S. Mascolo, G. Huston, S. Charoenpanyasak, X. Cui, L. Cui и другие.

К сожалению, любые предлагаемые способы и методы повышения производительности обеспечиваются за счет снижения безопасности. Однако исследование количественных характеристик в известных работах отсутствует.

Существует единственный способ защиты транспортных протоколов от деструктивных действий злоумышленника - шифрование всего потока данных с помощью технологии IPSec, которая стандартизирована на сетевом

уровне протокола IP 6-ой версии. Недостатком технологии IPSec являются дополнительные накладные расходы на формирование служебных пакетов и данных, а также на само шифрование, что приводит к увеличению трафика и снижению производительности компьютеров.

Таким образом, разработка методов повышения защищенности процессов информационного взаимодействия в высокопроизводительных открытых телекоммуникационных системах и сетях является важной и актуальной задачей, не решенной в полной мере на сегодняшний день.

Объект исследования - открытые информационно-телекоммуникационные сети, а предмет исследования - безопасность транспортных протоколов открытых телекоммуникационных сетей и методы управления протокольными процедурами.

Целью работы является повышение защищенности транспортных протоколов открытых телекоммуникационных систем путем управления протокольными процедурами.

Для достижения поставленной в работе цели использовались следующие методы исследования: методы и подходы на основе теории вероятностей, математической статистики, теории массового обслуживания, имитационного и полунатурного моделирования.

Научная новизна исследования состоит в том, что предложены:

1. Модель злоумышленника, модифицирующая пакеты отправителя, особенностью которой является то, что идентификатор атакующего пакета экстраполируется на величину, равную объему данных, переданных за время формирования деструктивного пакета.

2. Новый метод формирования TCP-пакетов, отличающийся от стандартного тем, что идентификаторы последовательных пакетов рандомизируются по заданному правилу, в соответствии с которым на приемной стороне осуществляется сборка пакетов, а поле «Options» содержит закодированные синхроданные.

3. Модель оценки временных задержек сетевой архитектуры, отличительной особенностью которой является то, что для рассылки пакетов используются стандартные программные средства, а для точной регистрации событии применяется модифицированный протокольный драйвер сетевой архитектуры.

4. Модель СМО злоумышленника, отличающаяся тем, что в качестве характеристики потока заявок используется найденное из регистрации событий модифицированного драйвера распределение задержек обработки пакетов драйвером сетевой архитектуры.

Практическая значимость исследования.

1. Разработан драйвер-фильтр сетевой архитектуры, генерирующий и регистрирующий