RU2422892C1 - Способ защиты вычислительной сети - Google Patents

Способ защиты вычислительной сети Download PDF

Info

Publication number
RU2422892C1
RU2422892C1 RU2010114785/08A RU2010114785A RU2422892C1 RU 2422892 C1 RU2422892 C1 RU 2422892C1 RU 2010114785/08 A RU2010114785/08 A RU 2010114785/08A RU 2010114785 A RU2010114785 A RU 2010114785A RU 2422892 C1 RU2422892 C1 RU 2422892C1
Authority
RU
Russia
Prior art keywords
network
packets
parameters
recipient
address
Prior art date
Application number
RU2010114785/08A
Other languages
English (en)
Inventor
Евгений Владимирович Гречишников (RU)
Евгений Владимирович Гречишников
Ирина Владимировна Милая (RU)
Ирина Владимировна Милая
Игорь Юрьевич Санин (RU)
Игорь Юрьевич Санин
Юрий Иванович Стародубцев (RU)
Юрий Иванович Стародубцев
Original Assignee
Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации filed Critical Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2010114785/08A priority Critical patent/RU2422892C1/ru
Application granted granted Critical
Publication of RU2422892C1 publication Critical patent/RU2422892C1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях. Техническим результатом является снижение вероятности обнаружения нарушителем факта использования средств защиты локальной сети путем введения его в заблуждение. Способ предусматривает следующую последовательность действий. Устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном. Формируют базу параметров легитимных пакетов и блокируют поступающие из открытой сети пакеты на период установления легитимности. Запоминают адрес получателя, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов. После завершения анализа формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют ее нелегитимному отправителю. 4 ил.

Description

Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях, и может быть использовано в связных, вычислительных и информационных системах для снижения вероятности вскрытия/обнаружения системы защиты, а именно межсетевого экрана, при защите выделенных технологических сетей, и сетей специального назначения.
Известен способ защиты локальной вычислительной сети межсетевого экрана «Вычислительная сеть с межсетевым экраном и межсетевой экран», по патенту РФ №2214623, класс G06F 15/163, G06F 15/173, опубликованный 20.10.2003, в котором для обеспечения безопасности защищаемой вычислительной сети используют шлюз-компьютер с установленным межсетевым экраном, содержащим как минимум два сетевых интерфейса для обмена потоками сетевых пакетов в соответствии с заданными правилами фильтрации. Межсетевой экран при этом исключен из числа абонентов сети посредством специально настроенной программы, использующей для приема и передачи сетевых пакетов интерфейсы межсетевого экрана, без назначения им логических адресов, скрывающей информацию об их физических адресах. Задание правил фильтрации осуществляется с помощью отдельного интерфейса управления.
Недостатком данного способа является отсутствие механизмов распознавания фактов компьютерных атак и предотвращения попыток вскрытия системы защиты.
Наиболее близким по технической сущности к предлагаемому способу является «Способ обработки сетевых пакетов для обнаружения компьютерных атак», по патенту РФ №2304302, класс G06F 12/14, H04L 12/66, опубликованный 10.08.2007. Способ-прототип заключается в том, что для защиты вычислительных сетей используется шлюз-компьютер с межсетевым экраном, при получении сетевого пакета посредством межсетевого экрана блокируют его, анализируют адрес отправителя и получателя, если сетевой пакет содержит запрос на установление сеанса надежной связи, межсетевой экран самостоятельно обрабатывает их, в случае корректности запросов проводит принудительное установление сеанса связи отправителя сетевых пакетов с их получателем.
Недостатком ближайшего аналога является относительно высокая вероятность обнаружения нарушителем факта использования средств защиты локальной сети.
Техническим результатом при использовании заявленного способа является снижение вероятности обнаружения нарушителем факта использования средств защиты локальной сети путем введения его в заблуждение.
Технический результат достигается тем, что в известном способе защиты вычислительной сети, заключающемся в том, что устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном, формируют базу параметров легитимных пакетов, поступающих на межсетевой экран из открытой сети, в качестве параметров указывают адреса отправителей и адреса получателей, корректно установленные флаги SYN и АСK при запросах на установление связи, блокируют поступающие из открытой сети пакеты на период установления легитимности, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов, при их совпадении пакет считают легитимным и устанавливают соединение получателя защищаемой сети с отправителем, после чего отправляют получателю защищаемой вычислительной сети сетевые пакеты, а при несовпадении анализируемых параметров пакета пакет считают нелегитимным и окончательно блокируют нелегитимные сетевые пакеты, после блокирования поступающих из открытой сети пакетов на период установления их легитимности запоминают адрес получателя, на который отправлен пакет. После завершения анализа пакета, указывающего на его нелегитимность, формируют ICMP квитанцию. В квитанции адрес отправителя заменяют на ранее запомненный адрес получателя и отправляют ее нелегитимному отправителю.
Благодаря новой совокупности существенных признаков в заявленном способе при поступлении нелегитимных пакетов после их выявления формируют ICMP квитанцию, которую отправляют нарушителю, вводя в квитанцию ложную адресную информацию, чем достигается снижение вероятности вскрытия (обнаружения) системы защиты, в частности, выполненной в виде межсетевого экрана.
Заявленный способ поясняется чертежами, на которых показаны:
фиг.1 - вариант схемы взаимодействия защищаемой локальной сети через Интернет с другими пользователями;
фиг.2 - обобщенный алгоритм реализации способа защиты вычислительной сети;
фиг.3 - процесс обмена ICMP квитанциями между абонентами защищаемой сети и абонентами нелегитимной сети без формирования ложной ICMP квитанции;
фиг.4 - процесс обмена ICMP квитанциями между абонентами защищаемой сети и абонентами нелегитимной сети посредством формирования ложной ICMP квитанции.
Заявленный способ реализуется следующим образом.
В настоящее время достаточное количество атак носит разведывательный характер с целью получения информации об используемых средствах защиты локальной сети, таких как, например «ICMP Destination Unreachable Communication Administratively Prohibited», «ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited». Этот тип атак основан на отправке ICMP-пакета атакуемому хосту или другому устройству сети. В случае, если в сети установлены средства защиты, например межсетевой экран, ICMP-пакет возвращается отправителю, что указывает ему на факт установки системы защиты. На данном принципе основаны различные утилиты (nmap, hping), предназначенные непосредственно для сбора маркеров открытых портов, т.е. сбора откликов, посылаемых в ответ на запрос подключения к порту (Alex WebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебное пособие. - М.: Лучшие книги, 2004. - 400 с. Стр. 271-274).
Даже если межсетевой экран настроен таким образом, что блокирует отклики на сканирующие ICMP-пакеты (программа Win Route), злоумышленник может прибегнуть к процедуре отслеживания сетевых маршрутов (утилита tracert) и по отклику однозначно определить используемое средство защиты (межсетевой экран).
В общем случае вычислительная сеть представляет собой совокупность оконечного, периферийного и коммуникационного оборудования (фиг.1). Каждая локальная вычислительная сеть имеет определенное количество каналов связи с другими вычислительными сетями. Объединение локальной сети организации 1 и ее пользователей (1.11, 1.12, …, 1.1n) с адресами (C1, …, Cn) с Интернетом 4 носит характер использования его в качестве транспортной магистрали для связи с другими локальными сетями 2 и их пользователями (2.11, 2.12, …, 2.1n) с адресами (S1, …, Sn). Однако через Интернет 4 открывается доступ к защищаемой сети 1 для пользователей (3.11, 3.12, …, 3.1n) c адресами (R1, …, Rn) других (нелегитимных) локальных сетей 3. Для защиты внутренней сети 1, путем фильтрации нелегитимного трафика, на каналах связи устанавливают шлюз-компьютер с межсетевым экраном 1.4, имеющий свой сетевой адрес (М), который настраивается таким образом, чтобы была обеспечена возможность контроля всего входящего и исходящего трафика.
В данной ситуации, при данной конфигурации межсетевого экрана 1.4 выбирают стратегию защиты: «запрещено все, что не разрешено в явном виде». Такая стратегия облегчает администрирование межсетевого экрана (Запечников С.В., Милославская Н.Г. и др. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 - Средства защиты в сетях. - М.: Горячая линия - Телеком, 2008. - 558 с. Стр.71-77).
При данной организации сетевого взаимодействия представляется возможным использовать заявленный способ защиты вычислительной сети для снижения вероятности обнаружения нарушителем факта использования средств защиты локальной сети. Порядок взаимодействия в такой сети поясняется алгоритмом на фиг.2. Предварительно формируют базу параметров легитимных пакетов (бл.1), которая представляет собой некоторый список идентификаторов, в качестве которых в данном случае используют адреса отправителей (S1, …, Sn) и получателей (C1, …, Cn), a также корректно установленные флаги SYN и АСK при запросах на установление связи.
При получении сетевого пакета с установленным номером протокола ICMP (Internet Control Message Protocol, протокол управляющих сообщений Интернет) блокируют его на период установления легитимности (бл.2). Характер функционирования протокола ICMP, обеспечивающий обратную связь в виде диагностических сообщений, посылаемых отправителю при невозможности доставки его пакета и в других случаях, подробно описан в книге: Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. / М.В.Кульгин. - Спб.: Питер, 2003. - 462 с. Стр.147-160. Выделяют из адресной части заголовка (см. фиг.3) пакета указанный адрес получателя и запоминают его в шлюзе-компьютере 1.4 (бл.3).
Затем анализируют каждый поступающий из открытой сети пакет на предмет соответствия его параметров параметрам заранее сформированной базы легитимных пакетов (бл.4). В случае если параметры пакета полностью совпадают с базой параметров легитимных пакетов (бл.5), отправляют компьютеру открытой сети легитимный ICMP-пакет (бл.6), устанавливают соединение получателя защищаемой сети с отправителем (бл.7) и сетевые пакеты доставляются получателю (бл.8). При установлении нелегитимности анализируемого пакета (см. также фиг.4) формируют посредством шлюза-компьютера 1.4 ложную ICMP квитанцию (бл.9), в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют сформированную ICMP квитанцию нелегитимному отправителю в открытую сеть 4 (бл.10). При получении данной ICMP квитанции, формально от запрашиваемого компьютера, злоумышленник не может однозначно установить факт использования средств защиты, в данном примере межсетевой экран 1.4. При этом сетевые пакеты не доставляют получателю защищаемой сети и окончательно блокируют (бл.11).
На фиг.3 и фиг.4 показан порядок обмена ICMP квитанциями между абонентом (1.11) защищаемой сети 1 с сетевым адресом (C1) и абонентом (3.11) нелегитимной сети 3 с сетевым адресом (R1). На фиг.3 показан установленный порядок обмена ICMP квитанциями, когда в ответной ICMP квитанции сетевым адресом отправителя является адрес (М) межсетевого экрана 1.4, а не адрес (C1) запрашиваемого абонента (1.11) защищаемой сети 1. В этом случае злоумышленник может определить, что в качестве средства защиты используют межсетевой экран. Порядок обмена сформированной посредством шлюза-компьютера с межсетевым экраном 1.4 ложной ICMP квитанцией между абонентом (1.11) защищаемой сети 1 с сетевым адресом (C1) и абонентом (3.11) нелегитимной сети 3 с сетевым адресом R1 поясняется фиг.4. В этом случае в ответной сформированной ICMP квитанции сетевым адресом отправителя является адрес (C1) запрашиваемого абонента (1.11) защищаемой сети 1. При этом злоумышленник не может однозначно определить факт использования средств защиты (межсетевого экрана 1.4).
Таким образом, в заявленном способе благодаря формированию специального ICMP-пакета с заменой адреса получателя посредством межсетевого экрана и отправке этого пакета на адрес нелегитимного отправителя обеспечивается снижение вероятности обнаружения нарушителем факта использования средств защиты, в частности, выполненных в виде межсетевого экрана, что указывает на возможность достижения сформулированного технического результата при использовании заявленного способа.

Claims (1)

  1. Способ защиты вычислительной сети, заключающийся в том, что устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном, формируют базу параметров легитимных пакетов, поступающих на межсетевой экран из открытой сети, в качестве параметров указывают адреса отправителей и адреса получателей, корректно установленные флаги SYN и АСК при запросах на установление связи, блокируют поступающие из открытой сети пакеты на период установления легитимности, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов, при их совпадении пакет считают легитимным и устанавливают соединение получателя защищаемой сети с отправителем, после чего отправляют получателю защищаемой вычислительной сети сетевые пакеты, а при несовпадении анализируемых параметров пакета пакет считают нелегитимным и окончательно блокируют нелегитимные сетевые пакеты, отличающийся тем, что после блокирования поступающих из открытой сети пакетов на период установления их легитимности запоминают адрес получателя, на который отправлен пакет, а после завершения анализа пакета, указывающего на его нелегитимность, формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя и отправляют ее нелегитимному отправителю.
RU2010114785/08A 2010-04-13 2010-04-13 Способ защиты вычислительной сети RU2422892C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010114785/08A RU2422892C1 (ru) 2010-04-13 2010-04-13 Способ защиты вычислительной сети

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010114785/08A RU2422892C1 (ru) 2010-04-13 2010-04-13 Способ защиты вычислительной сети

Publications (1)

Publication Number Publication Date
RU2422892C1 true RU2422892C1 (ru) 2011-06-27

Family

ID=44739394

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010114785/08A RU2422892C1 (ru) 2010-04-13 2010-04-13 Способ защиты вычислительной сети

Country Status (1)

Country Link
RU (1) RU2422892C1 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
RU2680038C1 (ru) * 2018-01-16 2019-02-14 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Способ защиты вычислительных сетей
RU2682432C1 (ru) * 2018-03-26 2019-03-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2686023C1 (ru) * 2018-05-31 2019-04-23 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Способ защиты вычислительных сетей
RU2690749C1 (ru) * 2018-05-22 2019-06-05 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
RU2680038C1 (ru) * 2018-01-16 2019-02-14 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Способ защиты вычислительных сетей
RU2682432C1 (ru) * 2018-03-26 2019-03-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2690749C1 (ru) * 2018-05-22 2019-06-05 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2686023C1 (ru) * 2018-05-31 2019-04-23 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Способ защиты вычислительных сетей

Similar Documents

Publication Publication Date Title
Borkar et al. A survey on Intrusion Detection System (IDS) and Internal Intrusion Detection and protection system (IIDPS)
US7644436B2 (en) Intelligent firewall
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
EP1775910B1 (en) Application layer ingress filtering
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
EP2677793A1 (en) Method and device for countering fingerprint forgery attacks in a communication system
RU2422892C1 (ru) Способ защиты вычислительной сети
Pandey Prevention of ARP spoofing: A probe packet based technique
EP2285041A1 (en) Communication establishing method, system and device
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
KR20110037645A (ko) 분산 서비스 거부 방어 장치 및 그 방법
RU2690749C1 (ru) Способ защиты вычислительных сетей
US7854003B1 (en) Method and system for aggregating algorithms for detecting linked interactive network connections
KR101263381B1 (ko) TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치
RU2684575C1 (ru) Способ управления потоками данных распределенной информационной системы при ddos атаках
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
RU2686023C1 (ru) Способ защиты вычислительных сетей
Korolkov et al. Analysis of attacks in IEEE 802.11 networks at different levels of OSI model
CN102546387A (zh) 一种数据报文的处理方法、装置及系统
RU2680038C1 (ru) Способ защиты вычислительных сетей
Chai et al. A study of security threat for Internet of Things in smart factory
Malliga et al. A backpressure technique for filtering spoofed traffic at upstream routers
Bhaskaran et al. Tracebacking the spoofed IP packets in multi ISP domains with secured communication
ALABDULATIF Potential Security Vulnerabilities of the IEEE 802.15. 4 Standard and a Proposed Solution Against the Dissociation Process.
Liubinskii The Great Firewall’s active probing circumvention technique with port knocking and SDN

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20120414