способ передачи сообщений прикладного уровня между компьютерными сетями

описание изобретения

1. отрасль техники

способ передачи сообщений прикладного уровня между компьютерными сетями относится к сфере информационных технологий и компьютерной обработки информации.

способ предназначен для защиты от атак, которые используют уязвимости программного кода процессов сетевого обмена узлов обработки информации (серверов или групп серверов) в автоматизированных системах коллективного пользования (дальше - AC).

способ может быть реализован устройством для технической защиты информации в вычислительных (компьютерных) сетях (далее - сети). устройство, реализующее способ предназначено для использования в автоматизированных системах коллективного пользования для защиты узлов обработки информации (серверов или групп серверов) от действий нарушителей, которые получают доступ к AC со стороны вычислительной сети которая предназначена для связи с пользователями (или с определенной группой пользователей) AC (дальше - внешняя сеть).

2. существующий уровень техники

в существующих системах можно выделить несколько типов средств обеспечения защиты внутренней сети [1,2,3,4].

2.1. физическое разделение сетей (перенос данных с помощью внешнего носителя)

предусматривает физическое разветвление внешней и внутренней сети с переносом информации оператором через внешнее запоминающее устройство. для записи и считывания информации во внутренней и внешней сетях выделяются компьютеры, к которым периодически присоединяются внешние запоминающие устройства, которые переносят информацию (прикладные сообщения AC) между сетями в виде файлов.

такой способ защиты является одним из достаточно распространенных в случаях, когда необходимый высокий уровень гарантии безопасности для внутренней сети. в этом

случае, атака на компьютер, который расположен во внешней сети (даже получение над ним полного контроля) не предоставляет нарушителю преимущества, так как доступ к внутренней сети является физически невозможным. единственным путем последующей атаки для нарушителя в этом случае является преднамеренное повреждение файловой структуры носителя информации с целью использования ошибок программного кода, который выполняет поддержку файловых систем во внутренней машине.

существенным минусом такого способа является большой интервал времени переноса оператором данных через внешний носитель информации (единицы минут). также, при использовании этого варианта переноса информации возможна атака путем целенаправленного повреждения файловой структуры внешнего носителя с целью использования уязвимостей программного кода, который выполняет доступ к файлам. предотвращение такой атаки возможно путем обязательного запуска программы верификации файловых структур при монтировании носителя к компьютеру внутренней сети.

разновидностью системы, которая предусматривает физическое разделение сетей являются системы с аппаратной коммутацией конфигурации. отмеченные системы представляют собой автоматическую систему переноса данных с аппаратной коммутацией конфигурации оборудования (в т.ч. с аппаратной коммутацией устройств хранения информации, которые разделяются между шлюзовыми компьютерами внутренней и внешней сетей). они фактически являются автоматическими системами, которые реализуют предыдущий (интерактивный) вариант защиты с тем отличием, что они используют периодическую аппаратную коммутацию носителя вместо интерактивных действий оператора. время переноса информации между сетями существенно уменьшаешься, однако даже при использовании такого подхода он составляет единицы и десятки секунд (даже для передачи коротких сообщений, которые имеют размер в несколько килобайт). это предопределено тем, что время теряется на запись и считывание данных на внешнем носителе и на процедуры монтирования / демонтирования файловой системы (а также на процедуру верификации структуры файловой системы после монтирования).

такие характеристики решения осложняют (или даже делают невозможной) реализацию систем, которые функционируют в режиме ,,OnLine".

2.2. системы экранирования сетей

системы экранирования сетей выполняют анализ пакетов, которые попадают из внешней сети с целью фильтрации и передачи во внутреннюю сеть только тех пакетов, которые разрешены для передачи.

сетевые экраны - являются разновидностью систем экранирования сетей, которые действуют согласно правилам, которые задаются администратором системы. сетевые экраны [2,4] функционируют на уровне сетевого протокола общего назначения и позволяют выполнить ограничение на типы пакетов, которые передаются этим протоколом (наиболее распространенной является фильтрация с целью исключения пакетов, которые направлены на установление соединений со службами внутренней сети, которые закрыты для внешней сети). примеры систем такого типа: межсетевые экраны (fiгеwаll), маршрутизаторы с системой фильтрации типов пакетов (IP Filtеrs).

системы предотвращения вторжений - являются разновидностью систем экранирования сетей, которые выполняют анализ пакетов, которые попадают о сети с целью выявления признаков потенциальных атак. системы предотвращения вторжений [2,4] действуют на уровне сетевого протокола общего назначения и анализируют содержание и контекст пакетов. критерии анализа пакетов базируются на известных на момент анализа атаках и, возможно, дополнительных эмпирических предположениях о возможных вариантах будущих атак. база данных систем предотвращения вторжений обновляется на постоянной или периодической основе на базе анализа информации о найденных на момент выпуска обновлений уязвимостях программного кода в защищаемых системах (аналогично базам данных антивирусных систем). пример системы такого типа: Iпtrustiоп рrеvеsiоп sуstеms (IPS).

системы проактивной фильтрации - анализируют содержание прикладных сообщений, которые передаются общеизвестными протоколами прикладного уровня с целью выявления признаков потенциальных атак.

системы проактивной фильтрации [2] действуют на уровне содержания прикладных сообщений, которые передаются сетевыми протоколами общего назначения с целью выявления признаков потенциальных атак. критерии анализа пакетов базируются на известных на момент анализа атаках и, возможно, дополнительных эмпирических предположениях о возможных вариантах будущих атак. база данных систем проактивной фильтрации обновляется на постоянной или периодической основе на базе анализа

информации о найденных на момент выпуска обновлений уязвимостях программного кода обработки прикладных сообщений в системах, которые защищаются (аналогично базам данных антивирусных систем). системы оперируют данными общеизвестных прикладных протоколов.

пример: системы фильтрации еmаil сообщений на предмет защиты от еmаil вирусов.

3. суть изобретения

3.1. ближайший аналог и его недостатки

ближайшим аналогом предлагаемого способа является способ экранирования сетей, который реализуется с помощью системы аналогичного назначения: аппаратных сетевых экранов.

недостатки существующего способа:

все системы экранирования сетей основаны на сетевых протоколах общего назначения. следовательно, они нуждаются в реализации такого протокола (например, протоколу тср/Iр). реализация такого протокола в средствах защиты может содержать программные ошибки (в связи с его относительной сложностью), что в свою очередь приводит к возможности атак самих средств защиты, которые используют уязвимости, вызванные этими ошибками. как следствие этого, нарушитель может использовать уязвимость для получения полного контроля над средством защиты с последующим отключением функций защиты или даже с последующим использованием средства как ,,плaцдapмa" для атаки на защищаемую систему.

также для сетевых экранов и систем предотвращения вторжений присущ дополнительный недостаток, связанный с тем, что они работают на уровне отдельных пакетов сетевого протокола общего назначения. как следствие, независимо от глубины такого анализа и возможного учета состояния соединения, протокол которым выполняется взаимодействие между средством защиты и защищаемой системой протоколом общего назначения. так как узел защиты должен (кроме защиты) обеспечивать взаимодействие системы с внутренней сетью, часть информационных пакетов протокола общего назначения проходит сквозь него (возможно, с определенными модификациями) и попадает во внутреннюю сеть. более того, назначением серверов AC собственно и является обработка сообщений от клиентов, потому часть пакетов должна обязательно попадать из внешней сети к внутренней сети AC. в программном коде, AC что отвечает за

обработку пакетов, которые прошли фильтр, все равно могут содержаться уязвимости, которые могут приводить к атакам которые ,,пpoзpaчны" для упомянутых средств защиты.

для систем предотвращения вторжений и систем проактивной фильтрации присущ дополнительный недостаток, так как они работают с базами данных известных уязвимостей (а также, возможно, с определенными эмпирическими предположениями относительно вероятных будущих атак). исходя из того, что перечень всех существующих уязвимостей программного кода AC не известен заранее, этот механизм предотвращает только известные атаки (вторжения) и очень ограниченный круг неизвестных атак. в частности такой механизм не может гарантировать защиты от атак ,,нyлeвoгo дня".

программные экраны - это модули, которые включаются в состав стека протоколов операционной системы и выполняют функции средств экранирования сетей.

кроме общих недостатков таких методов фильтрации (перечисленные выше) важным является то, что средства защиты этого типа функционируют под управлением самой защищаемой операционной системы, и соответственно, находятся под воздействием уязвимостей этой операционной системы.

аппаратные экраны - это аппаратные устройства, которые включаются между сетями и выполняют функции систем экранирования сетей (сетевые экраны, фильтры пакетов, анализаторы пакетов, системы предотвращения вторжений).

при ближайшем рассмотрении, средства этого типа функционируют под управлением специализированных операционных систем. необходимость реализации в таких аппаратных средствах сетевых протоколов общего назначения приводит к большому объему программного кода, который в них используется. это, в свою очередь, приводит к тому, что корректность таких систем не может быть проанализирована формальными методами.

результатом такого состояния дел является наличие уязвимостей в программном коде специализированных операционных систем аппаратных средств, что в частности подтверждается выпуском фирмами-поставщиками периодических обновлений программного обеспечения для них.

таким образом, аппаратная реализация принципиально не изменяет ситуацию: кроме общих недостатков таких методов фильтрации (что перечисленные выше) важным является то, что нарушитель потенциально может использовать имеющуюся в специализированный операционной системы аппаратного средства уязвимость для получения контроля над аппаратным средством.

использование вышеперечисленных средств - аналогов для защиты сетей позволяет осложнить нарушителю поиск уязвимости и воссоздание условий, необходимых для ее появления, однако они не предотвращают все возможные атаки.

следует отметить, что указанные недостатки приведенных средств защиты касаются атак, которые используют уязвимости программного кода. для других видов атак (какие не являются предметом настоящего рассмотрения) эти устройства обеспечивают адекватный уровень защиты (например, от определенных типов атак класса ,,oткaз в обслуживании").

3.2. предлагаемое решение

способ передачи сообщений, который предлагается, свободен от отмеченных недостатков благодаря:

использованию специализированного протокола передачи сообщений, который максимально упрощен и ориентирован на передачу одного прикладного сообщения в один момент времени;

использованию промежуточного аппаратного устройства, которое реализует отмеченный протокол и функционирует под управлением программного обеспечения анализ которого выполненный формальными методами;

выполнению передачи сообщения между сетями путем ретрансляции полученного средством сообщения из внутренней памяти средства и только после того, как обработкой входных данных установлен факт полного получения данных сообщения;

стабилизированному выполнению процедур обмена с внутренней сетью аппаратным устройством с обеспечением отсутствия влияния интерфейсов внешней сети на внутренние интерфейсы в процессе информационного обмена.

суть изобретения состоит в том, что предлагается способ передачи сообщения прикладного уровня между компьютерными сетями, который содержит этапы:

ожидание сообщения из внешней сети на входе внешнего сетевого интерфейса шлюза, загрузка сообщения в оперативную память шлюза, и передача сообщения по внутреннему сетевому интерфейсу во внутреннюю сеть.

причем:

- сообщения получаются шлюзом по входному сетевому интерфейсу шлюза в виде последовательности пакетов согласно шлюз-протокола приема,

- загрузка сообщения выполняется в оперативную память шлюза до момента приема всего сообщения, причем в оперативную память одновременно загружается только одно сообщение, передача данных осуществляется шлюзом из собственной оперативной памяти, по выходному интерфейсу в виде последовательности пакетов согласно шлюз- протокола передачи.

3.3. технический результат

техническим результатом, который достигается благодаря применению способа, является обеспечение стабильности условий функционирования программного обеспечения сетевого обмена для внутренней сети AC. это предотвращает возможность воссоздания нарушителем условий, необходимых для использования уязвимостей программного обеспечения AC которое отвечает за процесс сетевого информационного обмена с пользователями.

предложенный подход позволяет упростить внутренние алгоритмы работы шлюза и радикально уменьшить объем кода его программного обеспечения.

технический результат обеспечивается тем, что в процессе работы шлюз получает сообщение по входному сетевому интерфейсу в виде последовательности пакетов согласно специализированному протоколу (далее - шлюз-протокол приема) и загружает его в оперативную память. в процессе приема сообщения выходной сетевой интерфейс шлюза не влияет на соблюдение шлюзом шлюзового протокола приема.

после получения всего сообщения шлюз начинает процесс передачи (ретрансляции) данных сообщения из оперативной памяти по выходному интерфейсу, в виде последовательности пакетов согласно специализированному протоколу (далее - шлюз- протокол передачи).

в процессе передачи сообщения, входной интерфейс шлюза не влияет на соблюдение шлюзом шлюз-протокола передачи. после завершения процедуры передачи сообщения шлюз возвращается в состояние ожидания нового входного сообщения. таким образом,

внешняя сеть взаимодействует с внутренней сетью единственным способом - путем передачи шлюзом прикладного сообщения из памяти шлюза с помощью шлюз-протокола. схема выполнения способа показана на фигуре 1.

3.4. сравнение с аналогом (итоги)

основные отличия заявленного технического решения от аналога перечислены в таблице 1.

таблица 1.

4. вариант осуществления

способ реализуется с помощью дополнительного аппаратно-программного узла, который располагается между внутренней и внешней сетью AC и выполняет функции узла-шлюза защиты (шлюз), который передает информацию между этими сетями.

устройство является сетевым экраном прикладного уровня и предназначено для защиты сервера (серверов) AC (или внутренней сети AC) от атак, которые построены на уязвимостях (ошибках) программного кода, который обеспечивает выполнение функции сетевого обмена информацией сервером (серверами) AC с внешней сетью.

уязвимости (ошибки) могут существовать как в программном коде операционной системы, который реализует стек протоколов, так и в программном коде системного программного обеспечения и(или) программного обеспечения прикладного уровня, который выполняет функции информационного взаимодействия с пользователями AC.

на фигуре 2 изображена структура устройства.

шлюз защиты сетевого обмена является аппаратно-программным комплексом который:

1) находится между сетями;

2) передает информацию между сетями путем ретрансляции сообщений прикладного уровня;

3) реализует специализированный протокол передачи сообщений прикладного уровня, который ориентирован на передачу одного сообщения прикладного уровня в один момент времени;

4) функционирует под управлением программного обеспечения корректность которого с точки зрения соблюдения протокола проанализирована формальными методами.

шлюз оборудован двумя сетевыми интерфейсами, которые обеспечивают его подключение к внутренней и внешней сети. протокол передачи данных через шлюз построен для передачи между сетями одного сообщения прикладного типа за один цикл работы (шлюз-протокол).

шлюз оборудован оперативной памятью, в который полностью сохраняется лишь одно сообщение прикладного уровня. все циклы работы шлюза подобны и однотипны

(между циклами работы шлюз не изменяет внутреннее состояние способом, который влияет на реализацию протокола) то есть с точки зрения реализации протокола шлюз является компонентом без внутренней памяти между сообщениями.

отмеченные факторы позволяют удержать сложность программного кода шлюза в пределах, которые позволяют относительно легко выполнить его анализ формальными методами для гарантирования следования им шлюз-протоколу во время обмена с внутренней сетью AC (или единственным сервером AC в случае подключения последнего непосредственно к шлюзу).

благодаря гарантии следования шлюзом шлюз-протоколу при обмене с внутренней сетью AC все циклы обмена информацией между сетями во внутренней сети подобны и однотипны.

предложенный способ позволяет упростить внутренние алгоритмы работы шлюза и радикально уменьшить объем кода его программного обеспечения. ориентировочный объем программного кода (достигнут на функционирующем опытном образце) составляет около 300 килобайт исходных текстов (около 20 килобайт машинного кода). программное обеспечение шлюза может быть реализовано без использования механизмов программных прерываний (или с очень ограниченным их использованием).

шлюз не использует операционную систему (только загрузчик кода в оперативную память). программный код шлюза может быть размещен в постоянном запоминающем устройстве (пзу) в режиме ,,тoлькo чтение".

отмеченные факторы позволяют удержать сложность программного кода шлюза в пределах, которые позволяют относительно легко выполнить его анализ формальными методами для гарантирования следования им шлюз-протоколу во время обмена с внутренней сетью AC (или единственным сервером AC в случае подключения последнего непосредственно к шлюзу).

как пример возможности выполнения такого анализа возможно привести ,,микpo операционные" системы для пластиковых карт, которые оборудованы микропроцессором (smаrt карты), объем машинного кода в которых также составляет около 20 килобайт и которые получили высокие уровни гарантий (еvаluаtiоп аssurапсе lеvеl [1,5]) путем анализа кода формальными методами [6].

5. промышленная применимость

фактически, способ обеспечивает стабильность условий функционирования программного обеспечения сетевого обмена для внутренней сети AC. это эффективно предотвращает возможность воссоздания нарушителем условий, необходимых для использования уязвимостей программного обеспечения AC которое отвечает за процесс сетевого информационного обмена с пользователями, так как он не может оказать влияния на процесс передачи шлюзом данных во внутреннюю сеть.

при необходимости использования пользователями сетевых протоколов общего назначения для доступа к функциям AC, внешняя сеть могу быть подключена к специальному узлу внешнего конвертора протоколов, которой с одной стороны подключен к внешней сети, а с другой стороны к шлюзу. конвертор протоколов функционирует под управлением стандартного программного обеспечения (например, операционной системы общего назначения) и принимает / передает сообщения полученные с помощью протокола общего назначения и передает / принимает их к внутренней сети с помощью шлюз-протокола.

при необходимости использования во внутренней сети сетевых протоколов общего назначения во внутренней сети устанавливается специальный узел внутреннего конвертера протоколов, которой с одной стороны подключен шлюзу, а другой к внутренней сети. функция внутреннего конвертера протоколов аналогичные функциям внешнего конвертера, которые описаны выше.

при необходимости обеспечения двустороннего информационного обмена между сетями шлюз может быть выполнен или в виде единственного полудуплексного узла или в виде двух однонаправленных симплексных узлов, которые включаются по встречно параллельной схеме (например, к конвертерам протоколов).

в случае необходимости обеспечения высокой пропускной способности возможно параллельное включение нескольких шлюзов с добавлением узла (узлов) во внешней и внутренней сети, которые распределяют нагрузку между ними.

при использовании внешнего конвертера протоколов, даже если нарушитель проведет успешную атаку на конвертер и получит над ним контроль, единственным способом передать сообщение к внутреннюю сети будет передача корректного и завершенного сообщения шлюзу по шлюз-протоколу (что нарушитель и так мог бы сделать как пользователь AC). после отправления такого сообщения к шлюзу у нарушителя нет

возможности повлиять на процесс передачи сообщения во внутреннюю сеть, так как это не предусмотрено шлюз - протоколом, соблюдение которого обеспечивается шлюзом.

таким образом использование шлюза делает атаку, которая использует уязвимости программного кода сетевого обмена такой, которая не предоставляет нарушителю контроля над условиями функционирования внутренней сети.

шлюз вносит в процесс передачи данные относительно небольшую задержку, которая приблизительно равняется удвоенному времени передачи сообщения по шлюз-протоколу с использованием сетевых интерфейсов.

скорость современных сетевых интерфейсов составляет около 1 гбит за секунду (Gigаbit епtегаеt) или даже выше (с использованием других стандартов). фактически, задержка для сообщений, которые имеют размеры несколько килобайт составляет единицы миллисекунд, даже с использованием интерфейсов с пропускной способностью юомбит/сек. (достигнуто на опытном образце). эти скоростные характеристики позволяют использовать шлюз для построения систем, которые работают в режиме ,,OnLine".

6. перечень источников

1. ,,ENCLAVE SECURITY TECHNICAL IMPLEMENT ATION GUIDE". Dеvеlореd bу DISA fоr thе DOD. DISA Fiеld Sесuritу ореrаtiопs, 28 JuIy 2005. Vеrsiоп 3, Rеlеаsе 1. UNсLаSSIFшD (2005).

2. ,,CYBER SECURITY PROGRAM. CYBER SECURITY аRснIтестURе GUIDеLINеS". U S. DераRтмеNт OF ENERGY. DOE G 205.1-1. оffiсе оf thе сhiеf Iпfоrmаtiоп оfϊϊсеr, 3-8-01 (2001).

3. новые технологии обеспечения информационной безопасности. дмитрий зарахович. антивирусная лаборатория «цEбиT». матриалы Vш международной научно- практической конференции ,,бeзoпacнocть информации в информационно телекоммуникационных системах" (11-13 мая 2005 года). департамент специальных телекоммуникационных систем и защиты информации службы безопасности украины. государственный центр информационной безопасности. удк 681.3.06. видавництво: пп «EKM0».

4. ,,Infoгmation Sесuritу: Dеfепsivе ваttlе". аvi сhеslа. INFоRматюN SECURITY маNаGемеNт. JаNUаRY/FевRUаRY 2004.

5. ISо/Iес 15408-1 :2005. Iпfогmаtiоп tесhпоlоgу ~ Sесuritу tесhпiquеs — еvаluаtiоп сritеriа fоr IT sесuritу.

6. Gеrmап Zопеd рrоduсts List. вuпdеsаmt fiir Siсhеrhеit iп dеr Iпfоrmаtiопstесhпik. TL03305. Dесеmbеr 2005.