Функции сенсоров и анализаторов

На информационную сферу ГСПД

Механизм обнаружения и предотвращения воздействий нарушителя

 

СОИБ ГСПД, построенная на базе вышерассмотренных ГСПД, не обеспечивает защиты от воздействий нарушителя, исходящих от внедренных в средства связи «закладок», «вирусов» и т.д. (ВН-3), что может привести к реализации следующих последствий ВН-3:

 

• нарушению конфиденциальности информационной сферы узлов ГСПД:

• НСД к информации, хранимой в узлах ГСПД;

• НСД к программному обеспечению узлов ГСПД.

• нарушению целостности информационной сферы узлов ГСПД:

• несанкционированное модифицирование программного обеспечения узла ГСПД;

• несанкционированное уничтожение программного обеспечения узла ГСПД;

• несанкционированное модифицирование информации, хранимой в узлах ГСПД;

• несанкционированное уничтожение информации, хранимой в узлах ГСПД;

• внесение заведомо ложной информации в узлы ГСПД.

• нарушение доступности информационной сферы узлов ГСПД:

• отказ в доступе к узлу ГСПД;

• нарушение работоспособности узла ГСПД.

• нарушению конфиденциальности информационной сферы ЦУС:

• НСД к информации, хранимой в ЦУС;

• НСД к программному обеспечению ЦУС.

• нарушению целостности информационной сферы ЦУС:

• несанкционированное модифицирование программного обеспечения ЦУС;

• несанкционированное уничтожение программного обеспечения ЦУС;

• несанкционированное модифицирование информации, хранимой в ЦУС;

• несанкционированное уничтожение информации, хранимой в ЦУС;

• внесение заведомо ложной информации в ЦУС.

• нарушению доступности информационной сферы ЦУС:

• отказ в доступе к ЦУС;

• нарушение работоспособности ЦУС.

 

Для устранения возможности реализации рассмотренных последствий ВН СОИБ ГСПД может быть оснащена механизмами обнаружения и предотвращения ВН-3.

Для обнаружения ВН-3 необходимо оснастить СПБ-М и СПБ-С СОИБ ГСПД двумя дополнительными компонентами: сенсорами и анализаторами. В этом случае СПБ-М будет обеспечивать защиту узлов ГСПД, а СПБ-С - защиту ЦУБ и ЦУС. Рассмотрим функции сенсоров и анализаторов более подробно.

 

 

Сенсоры выполняют функции формирования банка данных, содержащего сведения об информации, передаваемой в ГСПД. На основе содержимого созданного банка данных анализатор проводит процедуру обнаружения ВН. Данные, на основе которых осуществляется обнаружение включают в себя информацию о пакетах данных, передаваемых в ГСПД, а именно: дату и время прохождения пакета данных, длину пакета данных, содержимое заголовка пакета данных, количество пакетов данных и т.д. Например, для IP-сетей сенсор должен регистрировать следующую информацию:

 

• время и дата получения пакета данных;

• длину заголовка пакета данных;

• длину поля данных пакета;

• IP-адрес получателя пакета данных;

• IP-адрес отправителя пакета данных;

• номер порта отправителя информации;

• номер порта получателя информации;

• тип протокола;

• дополнительную информацию о протоколах транспортного уровня (номер подтверждения и порядковый номер пакета в протоколе TCP и др.);

• дополнительную информацию о протоколах прикладного уровня (протоколы управления маршрутизацией, протоколы управления сетевыми ресурсами и т.д.);

• порядковый номер пакета.

 

Такая информация может быть извлечена из пакетов данных, проходящих через СПБ-М, либо получена посредством анализа журналов аудита узлов ГСПД. Однако, программное обеспечение большинства фирм, производящих маршрутизаторы, коммутаторы, мультиплексоры и другие узлы ГСПД, является закрытым продуктом, что не позволяет добавлять к нему дополнительные программные модули для извлечения информации о текущем состоянии работы ГСПД. Поэтому, сенсоры МСБ должны извлекать требуемую информацию из пакетов данных, проходящих через МСБ. После занесения в банк, данных информации о перехваченных пакетах, информация из банка данных поступает на вход анализатора СПБ-М.

 

АнализаторыСПБ-М предназначены для обработки информации, помещённой в журнал аудита безопасности сенсорами СПБ-М. На основе этой информации анализатор строит предположения о проводимых в ГСПД ВН-3. Как отмечалось, обнаружение ВН-3 может осуществляться двумя методами: методом анализа информации на базе профилей работы ГСПД и методом анализа информации на базе сигнатур ВН. СПБ-М должен реализовывать гибридный метод анализа, т.е. одновременно должны использоваться оба метода анализа информации, извлечённой из банка данных, сформированного сенсорами. Именно гибридный метод анализа информации позволяет наиболее эффективно обнаруживать ВН-3. В случае, если анализатор СПБ-М обнаружит ВН-3, то информация о ВН должна быть немедленно передана в ЦУБ администратору безопасности. Помимо описания обнаруженного ВН в ЦУБ должна быть передана часть записей банка данных, относящаяся к обнаруженному ВН.

Информация, занесённая сенсорами в банк данных, должна обрабатываться анализатором СПБ-М только в том случае, если эта информация предназначена для узла ГСПД, безопасность которого обеспечивает СПБ-М. Особенности работы анализаторов СПБ-М проиллюстрируем на примере сегмента ГСПД, изображённого на рис. 17.1.

Анализаторы СПБ-М1 и СПБ-М2 должны будут обрабатывать только зарегистрированную в журнале аудита информацию, которая предназначается для СПБ-М1. В то же время анализаторы СПБ-М3 и СПБ-М4 должны будут обрабатывать только информацию, предназначенную для СПБ-М2.

 

Рисунок 17.1 - Структура СОИБ ГСПД

 

Обработка информации сенсоров может осуществляться СПБ-М на сетевом, транспортном и прикладном уровнях модели ВОС. На сетевом уровне модели ВОС должны анализироваться параметры протоколов IP и ICMP. На транспортном уровне анализу подлежат параметры протоколов TCP и UDP. На прикладном уровне модели ВОС должны анализироваться параметры протоколов маршрутизации (например, параметры протоколов RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System - Intermediate System) и BGP (Border Gateway Protocol)) и протоколов управления объектами ГСПД (например, протоколы SNMP (Simple Network Management Protocol), CMIP (Common Management Information Protocol)). Поскольку анализироваться должно не всё содержимое пакетов данных, а только параметры рассмотренных выше протоколов, то такое ограничение на объём анализируемой информации позволяет минимизировать время, необходимое для обработки поступающей в анализатор информации. За счёт этого влияние на общую производительность ГСПД будет минимальным.

Анализаторы и сенсоры, которыми должны быть оснащены СПБ-С СОИБ для обеспечения информационной безопасности ЦУБ и ЦУС, выполняют те же функции, что и сенсоры и анализаторы СПБ-М.

 

Механизм предотвращения последствий ВН-3 реализуется при помощи включения в состав СПБ-М специального блока фильтрования пакетов данных, который функционирует по следующему алгоритму. В случае, если анализатор СПБ-М обнаружит ВН-3, реализуемое определённым пакетом или последовательностью пакетов данных, то анализатор СПБ-М даёт блоку фильтрования команду удаления этих пакетов данных из общего информационного потока. В случае, если содержимое пакета данных не представляет опасности для ИБ ГСПД, блок фильтрования передаёт его дальше по маршруту его следования. Таким образом, удаляя пакеты данных, которые представляют угрозу возможности реализации опасного последствия ВН, СПБ-М не даёт возможности нарушителю реализовать ВН-3. Схематично алгоритм предотвращения последствий ВН-3 изображён на рис. 17.2.

Блок фильтрования представляет собой простейший триггер, который разрешает или запрещает дальнейшее прохождение пакета в зависимости от результата работы анализатора.

 

Рассмотренные выше функции обнаружения и предотвращения реализации ВН-3 могут быть реализованы в СПБ-М и СПБ-С посредством внесения дополнительных программных модулей. Такие модули могут быть написаны на любом языке программирования, в рамках которого можно организовать доступ к низкоуровневым функциям сетевого адаптера. В качестве примера интерфейса прикладного программирования, при помощи которого можно получить прямой доступ к функциям адаптера, можно привести интерфейс WINPCAP. При использовании этого интерфейса программные модули, отвечающие за обнаружение и предотвращение ВН-3, могут быть написаны на языках программирования C++ или Object Pascal. В качестве технологии формирования банка данных, создаваемого сенсорами МСБ и ССБ, могут быть использованы системы управления базами данных Oracle, MS SQL Server, Sybase и др. Функции чтения и записи информации в банк данных, содержащий сведения о пакетах данных, передаваемых в ГСПД, могут быть выполнены при помощи структурированного языка запросов SQL. В качестве интерфейсов доступа к банку данных могут выступать интерфейсы ODBC, ADO и OLEDB. Процедура обнаружения ВН может быть описана в рамках алгоритмического языка, что также позволяет реализовать функции обнаружения на любом из перечисленных выше языков программирования. Выбор конкретного языка программирования зависит от типа ОС, в рамках которой функционирует СПБ-М и СПБ-С.

 

 

Рисунок 17.2 - Алгоритм предотвращения реализации воздействий нарушителя

 

Для того, чтобы задержки, возникающие при обработке пакетов сенсорами и анализаторами СОИБ, были минимальными необходимо оснастить СПБ-М и СПБ-С аппаратными ресурсами с большой вычислительной мощностью.

Необходимо также отметить, что после успешного обнаружения и предотвращения ВН необходимо проведение процедуры локализации и устранения источника ВН. Эта задача не входит в состав функций сенсоров и анализаторов СПБ-М и СПБ-С и её выполнение должно быть возложено на ЦУБ. Она может быть выполнена на базе информации, полученной из журналов аудита СПБ-А, СПБ-С и СПБ-М.