RU2422892C1 - Способ защиты вычислительной сети - Google Patents
Способ защиты вычислительной сети Download PDFInfo
- Publication number
- RU2422892C1 RU2422892C1 RU2010114785/08A RU2010114785A RU2422892C1 RU 2422892 C1 RU2422892 C1 RU 2422892C1 RU 2010114785/08 A RU2010114785/08 A RU 2010114785/08A RU 2010114785 A RU2010114785 A RU 2010114785A RU 2422892 C1 RU2422892 C1 RU 2422892C1
- Authority
- RU
- Russia
- Prior art keywords
- network
- packets
- parameters
- recipient
- address
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях. Техническим результатом является снижение вероятности обнаружения нарушителем факта использования средств защиты локальной сети путем введения его в заблуждение. Способ предусматривает следующую последовательность действий. Устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном. Формируют базу параметров легитимных пакетов и блокируют поступающие из открытой сети пакеты на период установления легитимности. Запоминают адрес получателя, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов. После завершения анализа формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют ее нелегитимному отправителю. 4 ил.
Description
Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях, и может быть использовано в связных, вычислительных и информационных системах для снижения вероятности вскрытия/обнаружения системы защиты, а именно межсетевого экрана, при защите выделенных технологических сетей, и сетей специального назначения.
Известен способ защиты локальной вычислительной сети межсетевого экрана «Вычислительная сеть с межсетевым экраном и межсетевой экран», по патенту РФ №2214623, класс G06F 15/163, G06F 15/173, опубликованный 20.10.2003, в котором для обеспечения безопасности защищаемой вычислительной сети используют шлюз-компьютер с установленным межсетевым экраном, содержащим как минимум два сетевых интерфейса для обмена потоками сетевых пакетов в соответствии с заданными правилами фильтрации. Межсетевой экран при этом исключен из числа абонентов сети посредством специально настроенной программы, использующей для приема и передачи сетевых пакетов интерфейсы межсетевого экрана, без назначения им логических адресов, скрывающей информацию об их физических адресах. Задание правил фильтрации осуществляется с помощью отдельного интерфейса управления.
Недостатком данного способа является отсутствие механизмов распознавания фактов компьютерных атак и предотвращения попыток вскрытия системы защиты.
Наиболее близким по технической сущности к предлагаемому способу является «Способ обработки сетевых пакетов для обнаружения компьютерных атак», по патенту РФ №2304302, класс G06F 12/14, H04L 12/66, опубликованный 10.08.2007. Способ-прототип заключается в том, что для защиты вычислительных сетей используется шлюз-компьютер с межсетевым экраном, при получении сетевого пакета посредством межсетевого экрана блокируют его, анализируют адрес отправителя и получателя, если сетевой пакет содержит запрос на установление сеанса надежной связи, межсетевой экран самостоятельно обрабатывает их, в случае корректности запросов проводит принудительное установление сеанса связи отправителя сетевых пакетов с их получателем.
Недостатком ближайшего аналога является относительно высокая вероятность обнаружения нарушителем факта использования средств защиты локальной сети.
Техническим результатом при использовании заявленного способа является снижение вероятности обнаружения нарушителем факта использования средств защиты локальной сети путем введения его в заблуждение.
Технический результат достигается тем, что в известном способе защиты вычислительной сети, заключающемся в том, что устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном, формируют базу параметров легитимных пакетов, поступающих на межсетевой экран из открытой сети, в качестве параметров указывают адреса отправителей и адреса получателей, корректно установленные флаги SYN и АСK при запросах на установление связи, блокируют поступающие из открытой сети пакеты на период установления легитимности, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов, при их совпадении пакет считают легитимным и устанавливают соединение получателя защищаемой сети с отправителем, после чего отправляют получателю защищаемой вычислительной сети сетевые пакеты, а при несовпадении анализируемых параметров пакета пакет считают нелегитимным и окончательно блокируют нелегитимные сетевые пакеты, после блокирования поступающих из открытой сети пакетов на период установления их легитимности запоминают адрес получателя, на который отправлен пакет. После завершения анализа пакета, указывающего на его нелегитимность, формируют ICMP квитанцию. В квитанции адрес отправителя заменяют на ранее запомненный адрес получателя и отправляют ее нелегитимному отправителю.
Благодаря новой совокупности существенных признаков в заявленном способе при поступлении нелегитимных пакетов после их выявления формируют ICMP квитанцию, которую отправляют нарушителю, вводя в квитанцию ложную адресную информацию, чем достигается снижение вероятности вскрытия (обнаружения) системы защиты, в частности, выполненной в виде межсетевого экрана.
Заявленный способ поясняется чертежами, на которых показаны:
фиг.1 - вариант схемы взаимодействия защищаемой локальной сети через Интернет с другими пользователями;
фиг.2 - обобщенный алгоритм реализации способа защиты вычислительной сети;
фиг.3 - процесс обмена ICMP квитанциями между абонентами защищаемой сети и абонентами нелегитимной сети без формирования ложной ICMP квитанции;
фиг.4 - процесс обмена ICMP квитанциями между абонентами защищаемой сети и абонентами нелегитимной сети посредством формирования ложной ICMP квитанции.
Заявленный способ реализуется следующим образом.
В настоящее время достаточное количество атак носит разведывательный характер с целью получения информации об используемых средствах защиты локальной сети, таких как, например «ICMP Destination Unreachable Communication Administratively Prohibited», «ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited». Этот тип атак основан на отправке ICMP-пакета атакуемому хосту или другому устройству сети. В случае, если в сети установлены средства защиты, например межсетевой экран, ICMP-пакет возвращается отправителю, что указывает ему на факт установки системы защиты. На данном принципе основаны различные утилиты (nmap, hping), предназначенные непосредственно для сбора маркеров открытых портов, т.е. сбора откликов, посылаемых в ответ на запрос подключения к порту (Alex WebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебное пособие. - М.: Лучшие книги, 2004. - 400 с. Стр. 271-274).
Даже если межсетевой экран настроен таким образом, что блокирует отклики на сканирующие ICMP-пакеты (программа Win Route), злоумышленник может прибегнуть к процедуре отслеживания сетевых маршрутов (утилита tracert) и по отклику однозначно определить используемое средство защиты (межсетевой экран).
В общем случае вычислительная сеть представляет собой совокупность оконечного, периферийного и коммуникационного оборудования (фиг.1). Каждая локальная вычислительная сеть имеет определенное количество каналов связи с другими вычислительными сетями. Объединение локальной сети организации 1 и ее пользователей (1.11, 1.12, …, 1.1n) с адресами (C1, …, Cn) с Интернетом 4 носит характер использования его в качестве транспортной магистрали для связи с другими локальными сетями 2 и их пользователями (2.11, 2.12, …, 2.1n) с адресами (S1, …, Sn). Однако через Интернет 4 открывается доступ к защищаемой сети 1 для пользователей (3.11, 3.12, …, 3.1n) c адресами (R1, …, Rn) других (нелегитимных) локальных сетей 3. Для защиты внутренней сети 1, путем фильтрации нелегитимного трафика, на каналах связи устанавливают шлюз-компьютер с межсетевым экраном 1.4, имеющий свой сетевой адрес (М), который настраивается таким образом, чтобы была обеспечена возможность контроля всего входящего и исходящего трафика.
В данной ситуации, при данной конфигурации межсетевого экрана 1.4 выбирают стратегию защиты: «запрещено все, что не разрешено в явном виде». Такая стратегия облегчает администрирование межсетевого экрана (Запечников С.В., Милославская Н.Г. и др. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 - Средства защиты в сетях. - М.: Горячая линия - Телеком, 2008. - 558 с. Стр.71-77).
При данной организации сетевого взаимодействия представляется возможным использовать заявленный способ защиты вычислительной сети для снижения вероятности обнаружения нарушителем факта использования средств защиты локальной сети. Порядок взаимодействия в такой сети поясняется алгоритмом на фиг.2. Предварительно формируют базу параметров легитимных пакетов (бл.1), которая представляет собой некоторый список идентификаторов, в качестве которых в данном случае используют адреса отправителей (S1, …, Sn) и получателей (C1, …, Cn), a также корректно установленные флаги SYN и АСK при запросах на установление связи.
При получении сетевого пакета с установленным номером протокола ICMP (Internet Control Message Protocol, протокол управляющих сообщений Интернет) блокируют его на период установления легитимности (бл.2). Характер функционирования протокола ICMP, обеспечивающий обратную связь в виде диагностических сообщений, посылаемых отправителю при невозможности доставки его пакета и в других случаях, подробно описан в книге: Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. / М.В.Кульгин. - Спб.: Питер, 2003. - 462 с. Стр.147-160. Выделяют из адресной части заголовка (см. фиг.3) пакета указанный адрес получателя и запоминают его в шлюзе-компьютере 1.4 (бл.3).
Затем анализируют каждый поступающий из открытой сети пакет на предмет соответствия его параметров параметрам заранее сформированной базы легитимных пакетов (бл.4). В случае если параметры пакета полностью совпадают с базой параметров легитимных пакетов (бл.5), отправляют компьютеру открытой сети легитимный ICMP-пакет (бл.6), устанавливают соединение получателя защищаемой сети с отправителем (бл.7) и сетевые пакеты доставляются получателю (бл.8). При установлении нелегитимности анализируемого пакета (см. также фиг.4) формируют посредством шлюза-компьютера 1.4 ложную ICMP квитанцию (бл.9), в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют сформированную ICMP квитанцию нелегитимному отправителю в открытую сеть 4 (бл.10). При получении данной ICMP квитанции, формально от запрашиваемого компьютера, злоумышленник не может однозначно установить факт использования средств защиты, в данном примере межсетевой экран 1.4. При этом сетевые пакеты не доставляют получателю защищаемой сети и окончательно блокируют (бл.11).
На фиг.3 и фиг.4 показан порядок обмена ICMP квитанциями между абонентом (1.11) защищаемой сети 1 с сетевым адресом (C1) и абонентом (3.11) нелегитимной сети 3 с сетевым адресом (R1). На фиг.3 показан установленный порядок обмена ICMP квитанциями, когда в ответной ICMP квитанции сетевым адресом отправителя является адрес (М) межсетевого экрана 1.4, а не адрес (C1) запрашиваемого абонента (1.11) защищаемой сети 1. В этом случае злоумышленник может определить, что в качестве средства защиты используют межсетевой экран. Порядок обмена сформированной посредством шлюза-компьютера с межсетевым экраном 1.4 ложной ICMP квитанцией между абонентом (1.11) защищаемой сети 1 с сетевым адресом (C1) и абонентом (3.11) нелегитимной сети 3 с сетевым адресом R1 поясняется фиг.4. В этом случае в ответной сформированной ICMP квитанции сетевым адресом отправителя является адрес (C1) запрашиваемого абонента (1.11) защищаемой сети 1. При этом злоумышленник не может однозначно определить факт использования средств защиты (межсетевого экрана 1.4).
Таким образом, в заявленном способе благодаря формированию специального ICMP-пакета с заменой адреса получателя посредством межсетевого экрана и отправке этого пакета на адрес нелегитимного отправителя обеспечивается снижение вероятности обнаружения нарушителем факта использования средств защиты, в частности, выполненных в виде межсетевого экрана, что указывает на возможность достижения сформулированного технического результата при использовании заявленного способа.
Claims (1)
- Способ защиты вычислительной сети, заключающийся в том, что устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном, формируют базу параметров легитимных пакетов, поступающих на межсетевой экран из открытой сети, в качестве параметров указывают адреса отправителей и адреса получателей, корректно установленные флаги SYN и АСК при запросах на установление связи, блокируют поступающие из открытой сети пакеты на период установления легитимности, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов, при их совпадении пакет считают легитимным и устанавливают соединение получателя защищаемой сети с отправителем, после чего отправляют получателю защищаемой вычислительной сети сетевые пакеты, а при несовпадении анализируемых параметров пакета пакет считают нелегитимным и окончательно блокируют нелегитимные сетевые пакеты, отличающийся тем, что после блокирования поступающих из открытой сети пакетов на период установления их легитимности запоминают адрес получателя, на который отправлен пакет, а после завершения анализа пакета, указывающего на его нелегитимность, формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя и отправляют ее нелегитимному отправителю.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010114785/08A RU2422892C1 (ru) | 2010-04-13 | 2010-04-13 | Способ защиты вычислительной сети |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010114785/08A RU2422892C1 (ru) | 2010-04-13 | 2010-04-13 | Способ защиты вычислительной сети |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2422892C1 true RU2422892C1 (ru) | 2011-06-27 |
Family
ID=44739394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2010114785/08A RU2422892C1 (ru) | 2010-04-13 | 2010-04-13 | Способ защиты вычислительной сети |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2422892C1 (ru) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2648949C1 (ru) * | 2017-03-10 | 2018-03-28 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб |
RU2680038C1 (ru) * | 2018-01-16 | 2019-02-14 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации | Способ защиты вычислительных сетей |
RU2682432C1 (ru) * | 2018-03-26 | 2019-03-19 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
RU2686023C1 (ru) * | 2018-05-31 | 2019-04-23 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" | Способ защиты вычислительных сетей |
RU2690749C1 (ru) * | 2018-05-22 | 2019-06-05 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
-
2010
- 2010-04-13 RU RU2010114785/08A patent/RU2422892C1/ru not_active IP Right Cessation
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2648949C1 (ru) * | 2017-03-10 | 2018-03-28 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб |
RU2680038C1 (ru) * | 2018-01-16 | 2019-02-14 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации | Способ защиты вычислительных сетей |
RU2682432C1 (ru) * | 2018-03-26 | 2019-03-19 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
RU2690749C1 (ru) * | 2018-05-22 | 2019-06-05 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
RU2686023C1 (ru) * | 2018-05-31 | 2019-04-23 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" | Способ защиты вычислительных сетей |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Borkar et al. | A survey on Intrusion Detection System (IDS) and Internal Intrusion Detection and protection system (IIDPS) | |
US7644436B2 (en) | Intelligent firewall | |
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
EP1775910B1 (en) | Application layer ingress filtering | |
JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
EP2677793A1 (en) | Method and device for countering fingerprint forgery attacks in a communication system | |
RU2422892C1 (ru) | Способ защиты вычислительной сети | |
Pandey | Prevention of ARP spoofing: A probe packet based technique | |
EP2285041A1 (en) | Communication establishing method, system and device | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
KR20110037645A (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
RU2690749C1 (ru) | Способ защиты вычислительных сетей | |
US7854003B1 (en) | Method and system for aggregating algorithms for detecting linked interactive network connections | |
KR101263381B1 (ko) | TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치 | |
RU2684575C1 (ru) | Способ управления потоками данных распределенной информационной системы при ddos атаках | |
Pilli et al. | Data reduction by identification and correlation of TCP/IP attack attributes for network forensics | |
RU2686023C1 (ru) | Способ защиты вычислительных сетей | |
Korolkov et al. | Analysis of attacks in IEEE 802.11 networks at different levels of OSI model | |
CN102546387A (zh) | 一种数据报文的处理方法、装置及系统 | |
RU2680038C1 (ru) | Способ защиты вычислительных сетей | |
Chai et al. | A study of security threat for Internet of Things in smart factory | |
Malliga et al. | A backpressure technique for filtering spoofed traffic at upstream routers | |
Bhaskaran et al. | Tracebacking the spoofed IP packets in multi ISP domains with secured communication | |
ALABDULATIF | Potential Security Vulnerabilities of the IEEE 802.15. 4 Standard and a Proposed Solution Against the Dissociation Process. | |
Liubinskii | The Great Firewall’s active probing circumvention technique with port knocking and SDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20120414 |