RU2252449C1 - Способ защиты информации от несанкционированного доступа в локальной вычислительной сети - Google Patents

Способ защиты информации от несанкционированного доступа в локальной вычислительной сети Download PDF

Info

Publication number
RU2252449C1
RU2252449C1 RU2003125471/09A RU2003125471A RU2252449C1 RU 2252449 C1 RU2252449 C1 RU 2252449C1 RU 2003125471/09 A RU2003125471/09 A RU 2003125471/09A RU 2003125471 A RU2003125471 A RU 2003125471A RU 2252449 C1 RU2252449 C1 RU 2252449C1
Authority
RU
Russia
Prior art keywords
network
frame
service information
frames
information
Prior art date
Application number
RU2003125471/09A
Other languages
English (en)
Other versions
RU2003125471A (ru
Inventor
Ю.Г. Бугров (RU)
Ю.Г. Бугров
В.В. Мирошников (RU)
В.В. Мирошников
А.А. Тесцов (RU)
А.А. Тесцов
Original Assignee
Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации filed Critical Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации
Priority to RU2003125471/09A priority Critical patent/RU2252449C1/ru
Publication of RU2003125471A publication Critical patent/RU2003125471A/ru
Application granted granted Critical
Publication of RU2252449C1 publication Critical patent/RU2252449C1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Изобретение относится к области вычислительной техники и, в частности, к системам защиты информации от несанкционированного доступа. Его использование позволяет получить технический результат в виде повышения защиты информации от несанкционированного доступа в локальной вычислительной сети путем противодействия несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов, сегментов и файлов, перехваченных в среде распространения сетевых кадров. Технический результат достигается за счет того, что осуществляют защитное математическое преобразование служебной информации сетевого кадра перед передачей в среду распространения локальной вычислительной сети. При этом защитному математическому преобразованию подвергается информация, содержащаяся в заголовках сетевых кадров канального уровня, а также в заголовках всех инкапсулированных сетевых пакетов и сегментов. В результате обеспечивается предотвращение самой возможности перехвата сетевых кадров в среде распространения локальной вычислительной сети на нелегитимной рабочей станции и сбора из перехваченных сетевых кадров файлов для дальнейшего несанкционированного использования или криптоанализа. 6 з.п. ф-лы, 2 ил.

Description

Предлагаемый способ относится к области средств вычислительной техники, а именно к системам защиты информации от несанкционированного доступа.
Одним из распространенных средств, используемым для несанкционированного доступа к информации, передаваемой по локальной вычислительной сети, является анализатор протоколов. Анализатор протоколов представляет собой программно-аппаратное средство, подключаемое к среде распространения локальной вычислительной сети и предназначенное для локализации неисправностей и нештатных режимов работы сетевого оборудования посредством перехвата и анализа сетевого трафика. Большинство известных анализаторов протоколов имеет функциональную возможность копировать как весь сетевой трафик, так и сетевые кадры, удовлетворяющие заданным критериям фильтрации, а также осуществлять буферизацию захваченных сетевых кадров, их визуализацию и анализ с целью восстановления исходной информации (файлов). В качестве критериев фильтрации могут использоваться IP-адреса участников информационного обмена, протоколы, использованные для формирования сетевых кадров, МАС-адреса рабочих станций, с которых или на которые отправляются сетевые кадры, а также любые другие параметры сетевых кадров, задаваемые в служебной информации. Служебная информация сетевого кадра включает в себя содержимое всех заголовков и дополнительных служебных полей, формируемых и присоединяемых к сегменту неструктурированных данных, поступающих от приложений в сетевые службы, по мере продвижения сегмента от одного протокола или уровня стандарта взаимодействия открытых систем ISO/OSI к другому.
Противоправное использование анализаторов протоколов является реальной угрозой конфиденциальности информации, передаваемой по локальной вычислительной сети. Анализатор протоколов подключается к сети так же, как и рабочая станция. Отличие состоит в том, что если обычная рабочая станция сети способна получать лишь широковещательные сетевые кадры либо сетевые кадры, адресованные непосредственно ей, то анализатор протоколов способен копировать весь сетевой трафик среды распространения локальной вычислительной сети. Для этого в анализаторах протоколов используются сетевые адаптеры, поддерживающие на аппаратном или программном уровне режим "беспорядочного" захвата (promiscuous mode) сетевых кадров.
Наибольшее распространение в настоящее время нашли анализаторы протоколов Network Monitor производства Microsoft, WinPcap, ScoopLm, WinDump, THC-parasite, SpyNet, Sniffer Pro LAN, Sniffer Basic, Packet Tracer, Iris, Hoppa Analyzer, CommView, ASniffer.
Применяемые способы защиты информации от несанкционированного доступа в среде распространения локальной вычислительной сети (см., например, А.В.Соколов, О.М.Степанюк "Защита от компьютерного терроризма", Справочное пособие - СПб.: БХВ-Петербург: Арлет, 2002) основываются в основном на использовании средств криптографической защиты информации. Существующие в настоящее время средства криптографической защиты информации в локальной вычислительной сети ориентированы на закрытие исходной информации, передаваемой сетевым службам для передачи по локальной вычислительной сети. Недостатком данного подхода является то, что служебная информация не подвергается криптографическим преобразованиям и передается в среде распространения локальной вычислительной сети в открытом виде. При этом, в случае противоправного использования анализаторов протоколов, все сетевые кадры, посредством которых передается исходная информация, могут быть несанкционированно скопированы на физическом уровне. В соответствии с содержанием служебной информации из захваченных сетевых кадров закрытая исходная информация может быть собрана в файлы и подвергнута криптоанализу.
Средства создания виртуальных частных сетей также не обеспечивают защиту сетевых кадров от перехвата на физическом уровне локальной вычислительной сети (см., например, Е.С.Грязнов, С.П.Панасенко "Безопасность локальных сетей", "Мир и безопасность" №2 (46) - 2003, стр.33), так как осуществляют криптографическую защиту заголовка только IP-пакета на сетевом уровне стандарта взаимодействия открытых систем ISO/OSI.
Целью разработанного способа защиты информации от несанкционированного доступа в локальной вычислительной сети является противодействие несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов, сегментов и файлов из несанкционированно перехваченных в среде распространения сетевых кадров.
Указанная цель достигается тем, что защита сетевого трафика от несанкционированного доступа обеспечивается введением в техническую реализацию технологии взаимодействия открытых систем ISO/OSI узла безопасности, размещаемого между подуровнем MAC канального уровня и физическим уровнем стандарта взаимодействия открытых систем ISO/OSI. Перед передачей сетевого кадра в узле безопасности выделяют служебную информацию, предшествующую полю данных уровня приложений стандарта взаимодействия открытых систем ISO/OSI, и осуществляют защитное математическое преобразование выделенной служебной информации. После завершения защитного математического преобразования служебной информации сетевой кадр передают из узла безопасности на физический уровень для дальнейшей трансляции в среде распространения локальной вычислительной сети. При приеме сетевых кадров с физического уровня в узле безопасности выполняют обратное математическое преобразование служебной информации и проверяют легитимность полученных сетевых кадров посредством проверки корректности служебной информации после выполнения обратного математического преобразования. Передачу сетевых кадров на подуровень MAC канального уровня осуществляют в случае положительного результата проверки корректности служебной информации сетевых кадров. В случае отрицательного результата проверки корректности служебной информации сетевых кадров выполняется блокировка передачи сетевых кадров из узла безопасности на подуровень MAC канального уровня.
При этом защитное математическое преобразование выполняют по отношению к информации, содержащейся в заголовках сетевых кадров канального уровня, а также в заголовках всех инкапсулированных сетевых пакетов и сегментов. Таким образом, защитному математическому преобразованию подвергают часть сетевого кадра фиксированного размера, начинающуюся исключительно от начального ограничителя SFD кадра канального уровня и содержащую служебную информацию всех инкапсулированных протоколов от канального до транспортного уровня стандарта взаимодействия открытых систем ISO/OSI.
Предлагаемый способ защиты информации обеспечивает при несанкционированном копировании сетевого кадра из среды распространения локальной вычислительной сети активное противодействие передаче сетевого кадра с канального уровня на более высокие уровни стандарта взаимодействия открытых систем ISO/OSI для дальнейшей сборки сетевых пакетов, сегментов и файлов при отсутствии на нелегитимной станции средств обратного математического преобразование служебной информации с заданной формулой обратного преобразования. Обеспечивается указанная функция безопасности тем, что передачу сетевого кадра осуществляют по среде распространения локальной вычислительной сети со значением контрольной суммы, не соответствующим тому, которое будет рассчитано на нелегитимной рабочей станции локальной вычислительной сети. В результате этого несанкционированно перехваченный сетевой кадр на нелегитимной станции будет отмечен как сбойный. И даже в случае принудительного приема указанного сетевого кадра последний не сможет быть использован для сборки сетевых пакетов, сегментов и файлов, так как в результате защитного математического преобразования вся необходимая для сборки служебная информация будет сокрыта.
Предлагаемый способ защиты информации исключает возможность использования в анализаторах протоколов правил фильтраций, основанных на указании MAC- и IP-адресов легитимных участников информационного обмена и используемых ими протоколов сетевого обмена, тем самым противодействуя несанкционированному использованию анализаторов протоколов для мониторинга и перехвата сетевого трафика на нелегитимной рабочей станции локальной вычислительной сети.
Использование в узле безопасности проверки корректности служебной информации после выполнения обратного математического преобразования обеспечивает своевременное обнаружение факта модификации сетевых кадров и блокирование трансляции несанкционированно модифицированных сетевых кадров с физического уровня на подуровень MAC канального уровня.
Вышеуказанные признаки способа защиты информации от несанкционированного доступа в локальной вычислительной сети в их функциональной взаимосвязи по сравнению с известными способами позволяют сделать вывод о соответствии заявляемого технического решения критерию "новизна".
Предлагаемый способ защиты информации в локальных вычислительных сетях ориентирован не на закрытие исходной информации, передаваемой сетевыми службами, а на предотвращение самой возможности перехвата сетевых кадров в среде распространения локальной вычислительной сети и сбора из перехваченных сетевых кадров файлов для дальнейшего несанкционированного использования или криптоанализа. При этом предлагаемый способ не отрицает возможности использования средств криптографической защиты информации, размещаемой в файлах и полях данных сетевых сегментов, пакетов и кадров. Данный подход приводит к значительному повышению уровня защищенности информации от несанкционированного доступа в локальной вычислительной сети, способен обеспечивать защиту информации без использования средств криптографической защиты информации, а при использовании средств криптографической защиты информации - существенно увеличить время, необходимое для осуществления дискредитации системы криптографической защиты, и значительно ужесточить требования к объему памяти устройств, используемых анализаторами протоколов. Указанные свойства позволяют сделать вывод о соответствии предлагаемого технического решения критерию "изобретательский уровень".
Сущность изобретения поясняется графическими материалами, где на Фиг.1 показана блок-схема устройства, реализующего предложенный способ, а на Фиг.2 приведена структура полей служебной информации сетевого кадра, подвергаемых обработке в устройстве, реализующем предложенный способ.
На Фиг.1 обозначено:
1 - подуровень MAC канального уровня стандарта взаимодействия открытых систем ISO/OSI, включающий узел передачи сетевого кадра 1.1 и узел приема сетевого кадра 1.2;
2 - узел безопасности; состоит: из блока математических преобразований 2.1; блока проверки корректности служебной информации 2.2; блока задания математической формулы 2.3; блока обратных математических преобразований 2.4;
3 - физический уровень стандарта взаимодействия открытых систем ISO/OSI, содержащий узел приема/передачи сетевых кадров.
На фиг.1 приведена блок-схема реализации способа, которая может быть реализована как на аппаратном уровне (в составе сетевого адаптера), так и на аппаратно-программном уровне (в составе драйвера сетевого адаптера). Для обеспечения безопасности информации в локальной вычислительной сети средства, реализующие узел безопасности 2, должны быть установлены на всех легитимных узлах и станциях локальной вычислительной сети, а в узлах безопасности 2 должна быть задана единая формула математического преобразования.
Узел безопасности 2 функционирует следующим образом.
При передаче сетевого кадра из узла передачи 1.1 подуровня MAC канального уровня 1 в блоке математических преобразований 2.1 узла безопасности 2 осуществляется защитное математическое преобразование служебной информации, содержащейся в заголовке сетевого кадра канального уровня и в заголовках инкапсулированных сетевых пакетов и сегментов. Передача преобразованной служебной информации и других частей сетевого кадра, не подвергаемых защитному математическому преобразованию, осуществляется из блока математических преобразований 2.1 в узел приема/передачи сетевых кадров 3.1 физического уровня 3 после завершения всех операций математического преобразования служебной информации.
При приеме сетевого кадра с физического уровня 3 в блоке обратных математических преобразований 2.4 узла безопасности 2 выполняется обратное математическое преобразование служебной информации. После завершения всех операций обратного математического преобразования служебной информации весь сетевой кадр передается в блок проверки корректности служебной информации 2.2.
Блок проверки корректности служебной информации 2.2 осуществляет проверку легитимности полученного сетевого кадра посредством проверки корректности служебной информации после выполнения обратного математического преобразования.
Передача сетевого кадра из блока проверки корректности служебной информации 2.2 в узел приема сетевого кадра 1.2 подуровня MAC канального уровня 1 осуществляется только в случае положительного результата проверки корректности служебной информации сетевого кадра. В качестве критериев корректности служебной информации сетевого кадра используются:
- соответствие сигнатур заголовков сетевых кадров, пакетов и сегментов стандартным значениям;
- соответствие контрольных сумм заголовков и полей данных сетевых кадров, пакетов и сегментов рассчитанным значениям;
- соответствие размеров принятых с физического уровня сетевых кадров, пакетов и сегментов значениям, указанным в соответствующих полях служебной информации.
В случае отрицательного результата проверки корректности служебной информации сетевого кадра осуществляется блокирование передачи сетевого кадра из блока проверки корректности служебной информации 2.2 в узел приема сетевого кадра 1.2 подуровня MAC канального уровня 1. Данная ситуация может иметь место при:
- нарушении целостности сетевого кадра в результате электромагнитных помех в среде распространения физического уровня локальной вычислительной сети;
- нарушении целостности сетевого кадра в результате несанкционированной модификации информации, содержащейся в сетевом кадре;
- получении сетевого кадра с рабочей станции, не использующей средства узла безопасности, что воспринимается как несанкционированное подключение передающей станции к среде распространения физического уровня локальной вычислительной сети;
- получении сетевого кадра с рабочей станции, использующей иной алгоритм (формулу) математического преобразования узла безопасности, что воспринимается как несанкционированное подключение передающей станции к среде распространения физического уровня локальной вычислительной сети.
С помощью блока задания математической формулы 2.3 локально, по определенному событию (например, смена часа, времени суток), либо дистанционно (например, по команде оператора) осуществляется задание алгоритмов вычислений (формул) в блоках математического преобразования 2.1 и обратного математического преобразования 2.4 узла безопасности 2.
На фиг.2 представлены поля служебной информации, подвергаемые защитному математическому преобразованию в узле безопасности 2. В качестве примера рассмотрен стек протоколов ТСР/IР, как наиболее популярный в настоящее время.
Информация из файлов, назначенных для передачи по локальной вычислительной сети, рассматривается протоколом TCP как неструктурированный поток байт. Поступающие данные буферизуются средствами TCP. Для передачи на сетевой уровень из буфера вырезается некоторая непрерывная часть данных, называемая сегментом.
Протокол TCP для каждого сегмента формирует заголовок. Получаемый массив байт, состоящий из заголовка TCP и сегмента, называется ТСР-сегментом.
Заголовок TCP-сегмента имеет следующие поля:
- SP - порт источника (Source Port), идентифицирует процесс-отправитель;
- DP - порт назначения (Destination Port), идентифицирует процесс-получатель;
- SN - последовательный номер (Sequence Number), указывает номер байта, который определяет смещение сегмента относительно потока отправляемых данных;
- AN - подтвержденный номер (Acknowledgement Number), содержит максимальный номер байта в полученном сегменте, увеличенный на единицу, и используется в качестве квитанции;
- HL - длина заголовка (Header Length), указывает длину заголовка сегмента TCP, измеренную в 32-битовых словах;
- RSV - резерв (ReSerVed), поле зарезервировано для последующего использования;
- СВ - кодовые биты (Code Bits), содержат служебную информацию о типе данного сегмента;
- WL - размер окна (Window Length), содержит объявляемое значение размера окна в байтах;
- CS - контрольная сумма (CheckSum) сегмента;
- UP - указатель срочности (Urgent Pointer);
- OPT - опции (OPTions) - это поле имеет переменную длину и может вообще отсутствовать, максимальная величина поля 3 байта; используется для решения вспомогательных задач, например, при выборе максимального размера сегмента;
- PDD - заполнитель (PaDDing) может иметь переменную длину, представляет собой фиктивное поле, используемое для доведения размера заголовка до целого числа 32-битовых слов.
Сформированный ТСР-сегмент с транспортного уровня передается на сетевой уровень технологии взаимодействия открытых систем ISO/OSI в распоряжение протокола IP. Протокол IP для полученного ТСР-сегмента формирует собственный заголовок. Получаемый массив байт, состоящий из сформированного протоколом IP заголовка и TCP-сегмента, называется IP-пакетом. Заголовок IP-пакета имеет следующие поля:
- Vers - номер версии (Version) протокола IP;
- IHL - длина заголовка IP-пакета (IP Header Lenght), измеренного в 32-битовых словах;
- ST - тип сервиса (Service Type), задает приоритетность пакета и критерии выбора маршрута;
- TL - общая длина (Total Length) пакета с учетом заголовка и поля данных;
- ID - идентификатор пакета (Identification) при фрагментации исходного пакета;
- Fs - флаги (Flags) фрагментации пакета;
- FO - смещение фрагмента (Fragment Offset) поля данных текущего пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации;
- TTL - время жизни (Time To Live) пакета, в течение которого пакет может перемещаться по сети;
- Р - идентификатор протокола (Protocol) верхнего;
- HCS - контрольная сумма заголовка (Header CheckSum) IP-пакета;
- DIP - IP-адрес назначения (Destination IP address);
- SIP - IP-адрес источника (Source IP address).
Подуровень LLC канального уровня стандарта взаимодействия открытых систем ISO/OSI представляется единственным протоколом LLC (стандарт 802.2). Протокол LLC формирует из поступившего с сетевого уровня IP-пакета LLC-кадр, имеющий четыре основных поля:
- DSAP - адрес точки входа сервиса назначения (Destination Service Access Point);
- SSAP - адрес точки входа сервиса источника (Source Service Access Point);
- управляющее поле (Control);
- Data - поле данных, содержащее инкапсулированный IP-пакет.
LLC-кадр обрамляется сигнатурой - двумя однобайтовыми полями "Флаг", имеющими значение 7Eh=01111110b и используемыми для определения границ LLC-кадра на МАС-подуровне.
Технология Ethernet (стандарт 802.3) подразумевает формирование на подуровне MAC массива байт, подготовленного для передачи в среде распространения физического уровня стандарта взаимодействия открытых систем ISO/OSI. Указанный массив байт имеет следующую структуру:
- Преамбула - семь байт синхронизации, имеющих одинаковое значение, равное AAh=10101010b.
- SFD - начальный ограничитель кадра (Start of Frame Delimiter) состоит из одного байта с набором битов 10101011. Появление этой комбинации является указанием на предстоящий прием кадра.
- DA - МАС-адрес получателя (Destination Address).
- SA - МАС-адрес отправителя (Sourse Address).
- L - длина (Length) поля данных в кадре.
- Data - поле данных. Может содержать от 0 до 1500 байт. Но если длина поля меньше 46 байт, то используется поле заполнения, чтобы дополнить кадр до минимально допустимой длины. Поле заполнения состоит из такого количества байтов заполнителей, которое обеспечивает определенную стандартом 802.3 минимальную длину поля данных (46 байт).
- FCS - контрольная сумма сетевого кадра (Frame CheckSum), значение которого вычисляется по алгоритму CRC-32.
Выполнение защитного математического преобразования служебной информации, содержащейся в сетевом кадре, реализует следующие операции обеспечения безопасности информации:
1) сетевой кадр не передается с канального уровня на более высокие уровни технологии открытых систем ISO/OSI для дальнейшей обработки, анализа и дефрагментации пакетов и сегментов при несанкционированном копировании сетевого кадра программно-аппаратными средствами, на которых не инсталлированы средства узла безопасности с заданной формулой обратного математического преобразования;
2) сетевой кадр при несанкционированном копировании программно-аппаратными средствами, на которых не инсталлированы средства узла безопасности с заданной формулой обратного математического преобразования, будет отмечен последними как сбойный, так как передается по локальной вычислительной сети с ложным значением поля контрольной суммы сетевого кадра;
3) сетевой кадр при несанкционированном копировании программно-аппаратными средствами, на которых не инсталлированы средства узла безопасности с заданной формулой обратного математического преобразования, будет отмечен последними как сбойный, так как передается по локальной вычислительной сети с ложным значением поля длины сетевого кадра;
4) обеспечивается противодействие несанкционированной модификации сетевого кадра, так как злоумышленнику недоступны значения длины сетевого кадра и контрольные суммы;
5) обеспечивает активное противодействие применению правил фильтрации для несанкционированно используемых анализаторов протоколов, так как сетевой кадр передается по локальной вычислительной сети с математически преобразованными (ложными с точки зрения устройств, не имеющих в своем распоряжении узла безопасности с заданной формулой обратного математического преобразования) значениями МАС-адреса источника информации, МАС-адреса потребителе информации, IP-адреса источника информации, IP-адреса потребителя информации, адреса точки входа сервиса назначения DSAP, адреса точки входа сервиса источника SSAP, типов и версий протоколов;
6) обеспечивает пассивное противодействие несанкционированному применению анализаторов протоколов, так как вызывает у последних переполнение программного буфера, используемого для временного хранения и анализа захваченных сетевых кадров, без применения специальных средств зашумления сетевого трафика;
7) обеспечивается сокрытие топологии вычислительной сети, так как сетевые адреса недоступны злоумышленнику.
Возможность технической реализации заявленного способа поясняется следующим образом.
Узел передачи подуровня MAC канального уровня и узел приема/передачи физического уровня, в разрез которых предлагается размещать узел безопасности, технически реализуются в сетевом адаптере рабочей станции локальной вычислительной сети. Как узел передачи подуровня MAC канального уровня, так и узел приема/передачи физического уровня в современных сетевых адаптерах используют различную элементную базу и не реализуются на одном кристалле интегральной микросхемы. Это позволяет реализацию узла безопасности на базе стандартного сетевого адаптера локальной вычислительной сети. Блоки, входящие в состав узла безопасности и реализующие заявленный способ защиты информации, могут быть реализованы на общеизвестной элементной базе, широко описанной в технической литературе.

Claims (7)

1. Способ защиты информации от несанкционированного доступа в локальной вычислительной сети, основанного на перехвате и анализе сетевого графика, заключающийся в защитном математическом преобразовании информации, содержащейся в заголовках сетевых кадров канального уровня технологии взаимодействия открытых систем ISO/OSI, а также в заголовках всех инкапсулированных в сетевой кадр сетевых пакетов и сегментов, обеспечивающем противодействие несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов и сегментов из несанкционированно перехваченных в среде распространения сетевых кадров, отличающийся тем, что в технологии взаимодействия открытых систем ISO/OSI устанавливают узел безопасности между подуровнем MAC канального уровня и физическим уровнем стандарта взаимодействия открытых систем ISO/OSI, перед передачей сетевого кадра в узле безопасности выделяют служебную информацию, предшествующую полю данных уровня приложений стандарта взаимодействия открытых систем ISO/OSI, осуществляют защитное математическое преобразование служебной информации, передают сетевой кадр с преобразованной служебной информацией из узла безопасности на физический уровень для дальнейшей трансляции в среде распространения локальной вычислительной сети, при приеме сетевых кадров с физического уровня в узле безопасности выполняют обратное математическое преобразование служебной информации, проверяют легитимность полученных сетевых кадров посредством проверки корректности служебной информации после выполнения обратного математического преобразования, осуществляют передачу сетевых кадров на подуровень MAC канального уровня в случае положительного результата проверки корректности служебной информации сетевых кадров, блокируют передачу сетевых кадров на подуровень MAC канального уровня в случае отрицательного результата проверки корректности служебной информации сетевых кадров.
2. Способ по п. 1, отличающийся тем, что защитному математическому преобразованию подвергают только часть сетевого кадра фиксированного размера длиною 64 байта, начинающуюся исключительно от начального ограничителя SFD кадра канального уровня стандарта взаимодействия открытых систем ISO/OSI.
3. Способ по п. 1, отличающийся тем, что блокируют передачу сетевого кадра с канального уровня на более высокие уровни стандарта взаимодействия открытых систем ISO/OSI для дальнейшей сборки сетевых пакетов, сегментов и файлов, минуя обратное математическое преобразование служебной информации при несанкционированном копировании сетевого кадра из среды распространения локальной вычислительной сети.
4. Способ по п. 1, отличающийся тем, что защиту от несанкционированного копирования сетевого кадра осуществляют посредством передачи последнего по среде распространения локальной вычислительной сети со значением контрольной суммы, не соответствующим тому, которое будет рассчитано на нелегитимной рабочей станции локальной вычислительной сети.
5. Способ по п. 1, отличающийся тем, что защиту от несанкционированного копирования сетевого кадра осуществляют посредством передачи последнего по среде распространения локальной вычислительной сети с ложным значением поля длины данных кадра, истинное значение которого восстанавливается после обратного математического преобразования служебной информации сетевого кадра на легитимной рабочей станции локальной вычислительной сети.
6. Способ по п. 1, отличающийся тем, что исключают возможность использования в анализаторах протоколов правил фильтраций, основанных на указании MAC- и IP-адресов легитимных участников информационного обмена и используемых ими протоколов сетевого обмена, тем самым противодействуя несанкционированному использованию анализаторов протоколов для мониторинга и перехвата сетевого трафика на нелегитимной рабочей станции локальной вычислительной сети.
7. Способ по п. 1, отличающийся тем, определяют факт модификации сетевых кадров и блокируют передачу несанкционированно модифицированных сетевых кадров с физического уровня на подуровень MAC канального уровня.
RU2003125471/09A 2003-08-18 2003-08-18 Способ защиты информации от несанкционированного доступа в локальной вычислительной сети RU2252449C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2003125471/09A RU2252449C1 (ru) 2003-08-18 2003-08-18 Способ защиты информации от несанкционированного доступа в локальной вычислительной сети

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2003125471/09A RU2252449C1 (ru) 2003-08-18 2003-08-18 Способ защиты информации от несанкционированного доступа в локальной вычислительной сети

Publications (2)

Publication Number Publication Date
RU2003125471A RU2003125471A (ru) 2005-02-20
RU2252449C1 true RU2252449C1 (ru) 2005-05-20

Family

ID=35218374

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2003125471/09A RU2252449C1 (ru) 2003-08-18 2003-08-18 Способ защиты информации от несанкционированного доступа в локальной вычислительной сети

Country Status (1)

Country Link
RU (1) RU2252449C1 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2461056C2 (ru) * 2007-10-31 2012-09-10 Фёрст Принсиплс, Инк. Защита пакетов сетевых сообщений
RU2591050C2 (ru) * 2013-10-31 2016-07-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Министерства обороны Российской Федерации Способ функционального поражения информационно-технических средств
RU2625046C2 (ru) * 2015-12-18 2017-07-11 Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" Способ многопоточной защиты сетевого трафика и система для его осуществления
RU2705773C1 (ru) * 2019-01-09 2019-11-11 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительной сети от вторжений

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2461056C2 (ru) * 2007-10-31 2012-09-10 Фёрст Принсиплс, Инк. Защита пакетов сетевых сообщений
RU2591050C2 (ru) * 2013-10-31 2016-07-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Министерства обороны Российской Федерации Способ функционального поражения информационно-технических средств
RU2625046C2 (ru) * 2015-12-18 2017-07-11 Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" Способ многопоточной защиты сетевого трафика и система для его осуществления
RU2705773C1 (ru) * 2019-01-09 2019-11-11 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительной сети от вторжений

Also Published As

Publication number Publication date
RU2003125471A (ru) 2005-02-20

Similar Documents

Publication Publication Date Title
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
CN101009607B (zh) 用于检测并防止网络环境中的洪流攻击的系统和方法
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US6202081B1 (en) Method and protocol for synchronized transfer-window based firewall traversal
US8379638B2 (en) Security encapsulation of ethernet frames
US7051365B1 (en) Method and apparatus for a distributed firewall
US20160021224A1 (en) Stealth Packet Communications
WO2007103338A2 (en) Technique for processing data packets in a communication network
US7290281B1 (en) Method and apparatus for cryptographically blocking network denial of service attacks based on payload size
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
EP1574009B1 (en) Systems and apparatuses using identification data in network communication
Daniels et al. Identification of host audit data to detect attacks on low-level IP vulnerabilities
Johnson et al. SOLA: A one-bit identity authentication protocol for access control in IEEE 802.11
US9667650B2 (en) Anti-replay checking with multiple sequence number spaces
CN1777174B (zh) 因特网安全协议高速处理ip分片的方法
RU2252449C1 (ru) Способ защиты информации от несанкционированного доступа в локальной вычислительной сети
US7698452B2 (en) Access-controlling method, repeater, and server
Mazurczyk et al. Steganography in handling oversized IP packets
RU2472217C1 (ru) Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
JP2001111612A (ja) 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体
CN117319138A (zh) 一种基于vpn多级跳转的防追踪抗溯源的数据传输方法
KR101506210B1 (ko) 분산서비스거부 공격 대응 방법

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20070819

NF4A Reinstatement of patent

Effective date: 20100720

MM4A The patent is invalid due to non-payment of fees

Effective date: 20120819