RU2472217C1 - Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) - Google Patents

Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) Download PDF

Info

Publication number
RU2472217C1
RU2472217C1 RU2012103796/08A RU2012103796A RU2472217C1 RU 2472217 C1 RU2472217 C1 RU 2472217C1 RU 2012103796/08 A RU2012103796/08 A RU 2012103796/08A RU 2012103796 A RU2012103796 A RU 2012103796A RU 2472217 C1 RU2472217 C1 RU 2472217C1
Authority
RU
Russia
Prior art keywords
network
datagram
address
network datagram
route
Prior art date
Application number
RU2012103796/08A
Other languages
English (en)
Inventor
Владимир Игоревич Андрианов
Ольга Александровна Баленко
Владимир Владимирович Бухарин
Владимир Владимирович Дворядкин
Александр Владимирович Кирьянов
Юрий Иванович Стародубцев
Станислав Сергеевич Трусков
Original Assignee
Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2012103796/08A priority Critical patent/RU2472217C1/ru
Application granted granted Critical
Publication of RU2472217C1 publication Critical patent/RU2472217C1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к области защиты информации в компьютерных системах и сетях. Техническим результатом является повышение достоверности обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм. Способ заключается в следующем: после выделения адресов отправителя SA и получателя SB формируют mj маршрут передачи сетевой дейтаграммы Pi, по внешней сети между защищенными компьютерными сетями в виде последовательности доверенных узлов S1, S2, SVj, который записывают в поле «Опции» сетевой дейтаграммы. Формируют сетевую дейтаграмму с адресом получателя SB и адресом ближайшего к нему доверенного узла SVj в соответствии с маршрутом передачи mi сетевой дейтаграммы Pi. Шифруют сетевую дейтаграмму с использованием криптографического ключа K и повторяют действия, начиная с формирования сетевой дейтаграммы и ее шифрования до формирования сетевой дейтаграммы с адресом получателя S1 и адреса отправителя SA. Передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, которую принимают на доверенном узле по адресу получателя S1. Дешифруют сетевую дейтаграмму с использованием криптографического ключа K и записывают в память шлюз-компьютера значения поля «Опции». Формируют новое значение поля «Опции» с учетом адреса пройденного доверенного узла, которое записывают в поле «Опции». Значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы. 2 н. и 1 з.п. ф-лы, 7 ил.

Description

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области способов и устройств защиты информации в компьютерных системах и сетях, и может быть использовано в связных, вычислительных и информационных системах для обнаружения злонамеренных воздействий на компьютерные системы, соединенные компьютерными сетями, при обмене данными правительственными, правоохранительными, оборонными, банковскими и промышленными учреждениями посредством локальных и глобальных компьютерных сетей.
Известен способ организации локальной компьютерной сети и межсетевого экрана [Купреенко С.В., Заборовский B.C., Шеманин Ю.А. Вычислительная сеть с межсетевым экраном и межсетевой экран. Патент РФ №2214623, кл. G06F 15/163, 15/173], заключающийся в том, что защита внутренней сети обеспечивается с помощью межсетевого экрана, представляющего собой комплекс аппаратных и программных средств, содержащий, по меньшей мере, два сетевых интерфейса для обмена двунаправленными потоками сетевых пакетов между сетевыми интерфейсами межсетевого экрана и осуществляющий фильтрацию транслируемых сетевых пакетов в соответствии с заданными правилами фильтрации. При этом межсетевой экран исключен из числа абонентов сети путем такой настройки программы управления межсетевого экрана, при которой эта программа использует для приема и передачи пакетов сетевые интерфейсы межсетевого экрана без назначения им логических адресов, скрывает информацию об их физических адресах, а задание правил фильтрации осуществляется с помощью отдельного интерфейса управления, не имеющего связи с сетевыми интерфейсами межсетевого экрана.
Однако способ имеет недостатки, заключающиеся в отсутствии механизмов контроля сетевых дейтаграмм внутри защищаемой сети, возможности посылки сетевых дейтаграмм с подложным адресом отправителя сетевой дейтаграммы, а также возможности беспрепятственного перехвата и модификации содержимого сетевых дейтаграмм.
Известен способ межсетевого экранирования [Shrikhande N.V. Application specific distributed firewall. Патент США №6721890, кл. H04L 009/00], сущность которого заключается в децентрализации средств межсетевого экранирования путем установки межсетевых экранов на все компьютеры защищаемой сети и синхронизации правил фильтрации сетевых дейтаграмм через единый выделенный сервер. При этом на защищаемых компьютерах дублируются правила и функции средств межсетевого экранирования, а синхронизация производится через сетевую службу удаленного управления единым реестром записей ОС Windows.
Недостатки данного способа связаны с высокой вычислительной нагрузкой на защищаемые компьютеры, необходимостью развертывания и эксплуатации выделенного сервера для синхронизации правил фильтрации сетевых дейтаграмм, малой эффективностью фильтрации в случае необходимости быстрого реагирования на угрозы возникновения компьютерных атак.
Известен способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей [Балард Д., Рэтлифф Б. Microsoft Internet Security and Acceleration (ISA) Server 2000. Справочник администратора. M.: Русская Редакция, 2004 г., 332 стр.], заключающийся в том, что для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, устанавливаемый на каналах связи защищаемой сети с другими сетями, а также клиентскую часть межсетевого экрана на защищаемых компьютерах, с помощью которых при обнаружении сетевой дейтаграммы Р1 анализируют адреса отправителя S1 и получателя R1 дейтаграммы, а также номер инкапсулированного протокола Т1. На защищаемых компьютерах устанавливается дополнительный мини-экран, который перед каждой пересылкой сетевой дейтаграммы осуществляет запрос к шлюзу-межсетевому экрану на соответствие сетевой дейтаграммы принятой сетевой политике безопасности и при необходимости блокирует эту сетевую дейтаграмму. Для осуществления запроса используется специальный защищенный протокол взаимодействия, построенный на базе протокола TCP стека протоколов TCP/IP.
Недостатками данного способа являются высокая вычислительная нагрузка на защищаемые компьютеры и уменьшение пропускной способности каналов передачи данных за счет организации запросов к шлюзу-межсетевому экрану, отсутствие защиты против подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм.
Наиболее близким по технической сущности к предлагаемому способу является способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей по патенту RU №2314562, МПК G06F 21/22. Опубл. 10.01.2008 г., бюл. №1. Способ заключается в следующих действиях: для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, межсетевой экран проверяет сетевые дейтаграммы в соответствии с заданным оператором списком правил доступа в компьютерную сеть, записывает в дейтаграммах пометки, соответствующие правилам доступа, затем осуществляет прозрачную ретрансляцию корректных дейтаграмм, а на стороне получателя пропускает или блокирует сетевые дейтаграммы в соответствии с указанными внутри пометками.
Недостатком способа-прототипа является низкая достоверность обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм, обусловленная выполнением соответствующих действий по обнаружению подмены только в локальной защищенной сети, при этом не учитывается возможность подмены во внешней сети и соответственно возможность несанкционированного проникновения в защищаемую информационно-вычислительную сеть.
Целью заявленных технических решений является разработка способа (вариантов) обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей, обеспечивающего повышение достоверности обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм за счет скрытия истинных адресов отправителя и получателя сетевых дейтаграмм путем шифрования сетевых дейтаграмм и последовательной передачи между доверенными узлами информационно-вычислительной сети в соответствии с информацией о маршруте передачи.
В заявленном изобретении поставленная цель (в первом варианте) достигается тем, что в известном способе для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ K и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы Pi выделяют адрес отправителя SA, адрес получателя SB, которые сравнивают с соответствующими значениями адресов SA и SB, размещенных в поле «Опции» заголовка сетевой дейтаграммы, принимают решение о подлинности адресов отправителя и получателя сетевой дейтаграммы, в случае несовпадения блокируют сетевую дейтаграмму, дополнительно после выделения адресов отправителя SA и получателя SB формируют маршрут mj, где j=1, 2, 3,… - номер маршрута передачи сетевой дейтаграммы Pi, где i=1, 2,…, по внешней сети между защищаемыми компьютерными сетями в виде последовательности адресов доверенных узлов S1, S2,… SVj, где Vj - номер последнего доверенного узла на mj маршруте, на пути передачи сетевой дейтаграммы, затем записывают mj маршрут в поле «Опции» сетевой дейтаграммы. Формируют сетевую дейтаграмму с адресом получателя SB и адресом ближайшего к нему доверенного узла SVj в соответствии с маршрутом передачи mj сетевой дейтаграммы Pi. Шифруют сетевую дейтаграмму с использованием криптографического ключа K и повторяют действия, начиная с формирования сетевой дейтаграммы и ее шифрования до формирования сетевой дейтаграммы с адресом S1 первого доверенного узла и адресом отправителя SA. Передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, которую принимают на следующем доверенном узле. Дешифруют сетевую дейтаграмму с использованием криптографического ключа K и записывают в память шлюз-компьютера значения поля «Опции» полученного пакета. Формируют новое значение поля «Опции» с учетом адреса очередного пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета. Причем действия передачи, приема, дешифрования сетевой дейтаграммы, а также формирования и записи значений поля «Опции» повторяют на каждом доверенном узле маршрута mj. Значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.
В заявленном изобретении поставленная цель (во втором варианте) достигается тем, что в известном способе для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ K и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы Pi выделяют адрес отправителя SA, адрес получателя SB, которые сравнивают с соответствующими значениями адресов SA и SB, размещенных в поле «Опции» заголовка сетевой дейтаграммы, принимают решение о подлинности адресов отправителя и получателя сетевой дейтаграммы, в случае несовпадения блокируют сетевую дейтаграмму, дополнительно список адресов S1, S2, S3… доверенных узлов. Формируют массив M=(m1, m2,… mj,… mM), для каждого доверенного узла, маршрутов передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями в виде последовательности доверенных узлов на пути передачи сетевой дейтаграммы mj=(S1, S2,… Sr,… SVj), где Vj - номер последнего доверенного узла на mj маршруте, на пути передачи сетевой дейтаграммы и запоминают в нем сформированные маршруты для всех доверенных адресов получателей и отправителей. После выделения адресов отправителя SA и получателя SB выбирают один из возможных маршрутов mj и считывают из массива M значение первого доверенного узла на маршруте передачи сетевой дейтаграммы, соответствующие значениям адреса отправителя SA, адреса получателя SB и выбранному номеру маршрута j. Записывают в поле «Опции» сетевой дейтаграммы Pi адрес отправителя SA, адрес получателя SB и выбранный номер маршрута j. Формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, шифруют сетевую дейтаграмму с использованием сформированного криптографического ключа K. Передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D. Принимают безопасную сетевую дейтаграмму D на очередном доверенном узле и дешифруют ее с использованием криптографического ключа K. Записывают в память шлюз-компьютера значения поля «Опции» полученного пакета. Считывают из массива M значение следующего доверенного узла Sr на маршруте mj передачи сетевой дейтаграммы, соответствующего значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, имеющимся в поле «Опции». Формируют новое значение поля «Опции» с учетом адреса пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета. Формируют безопасную сетевую дейтаграмму с адресом получателя Sr и адресом отправителя Sr-1. Повторяют действия начиная с передачи, приема безопасной сетевой дейтаграммы и ее дешифрования с использованием криптографического ключа K до передачи по каналу связи сетевой дейтаграммы со сформированными адресами получателя SB и отправителя SVj. Значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.
Один из возможных маршрутов mj передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями выбирают по случайному закону.
Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет скрытия истинных адресов отправителя и получателя сетевых дейтаграмм путем шифрования сетевых дейтаграмм и последовательной передачи между доверенными узлами информационно-вычислительной сети в соответствии с информацией о маршруте передачи.
Заявленный способ поясняется чертежами, на которых:
на фиг.1 представлена схема, поясняющая построение рассматриваемой сети;
на фиг.2 - схема, поясняющая порядок формирования (в первом варианте) маршрута передачи пакетов сообщений в ИВС;
на фиг.3 - блок-схема алгоритма (в первом варианте) обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (ИВС);
на фиг.4 - схема, поясняющая порядок формирования заголовка безопасной сетевой дейтаграммы;
на фиг.5 - схема, поясняющая порядок формирования (во втором варианте) маршрута передачи пакетов сообщений в ИВС;
на фиг.6 - маршрутно-адресная таблица для формирования безопасной сетевой дейтаграммы;
на фиг.7 - блок-схема алгоритма (во втором варианте) обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (ИВС).
Реализация заявленного способа по первому варианту поясняется следующим образом.
В качестве ИВС (фиг.1) рассматривается сеть, состоящая из маршрутизаторов 1 внешней сети и доверенных узлов 2, на которых используют шлюз-компьютер с межсетевым экраном. Порядок передачи сетевой дейтаграммы от абонента SA к абоненту SB в заявленном способе поясняется на фиг.2. Принимают сетевую дейтаграмму из защищаемой информационно-вычислительной сети. Выделяют адрес отправителя SA и адрес получателя SB (блок 3 фиг.3) сетевой дейтаграммы Pi, где i=1, 2, 3,…
При передаче пакетов по сети промежуточные маршрутизаторы 1 осуществляют их маршрутизацию по адресной информации (фиг.2), имеющейся в заголовке пакета [правила представления заголовка пакета определяется ГОСТ Р ИСО/МЭК 7498-1-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр.13]. При формировании маршрута передачи mj (блок 4 фиг.3), соответствующего сетевой дейтаграмме Pi, по внешней сети 3 между защищаемыми информационно-вычислительными сетями (SA, SB) в виде последовательности доверенных узлов 2 (21, 22,… 2Vj) на пути передачи сетевой дейтаграммы с соответствующими им адресами S1, S2,… SVj, где Vj - номер последнего узла на mj маршруте передачи. На фиг.1 выделен жирно маршрут m1 передачи дейтаграммы, включающий четыре доверенных узла 2 с соответствующими адресами S1, S2, S3, S4. Формируют криптографический ключ K (блок 5 фиг.3), заданный пользователем и хранящийся на шлюзах-компьютерах доверенных узлов 2.
Записывают в поле «Опции» (блок 6 фиг.3) сетевой дейтаграммы Pi маршрут передачи Mi. Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах) [RFC 791, Internet Protocol, 1981, сентябрь, стр.14-22].
На фиг.4 поясняется порядок формирования безопасной сетевой дейтаграммы при передаче по маршруту m1, включающему четыре доверенных узла 2. Первый пакет П1 является исходным, в заголовке которого указаны адреса отправителя SA и получателя SB. На первом этапе (блок 7 фиг.3) при формировании сетевой дейтаграммы (второй пакет П2) выполняют шифрование информационного поля данных с использованием криптографического ключа K (блок 8 фиг.3), с указанием в заголовке адреса получателя SB и адреса ближайшего к нему доверенного узла 24 отправителя, в рассматриваемом примере S4, в соответствии с маршрутом передачи m1 сетевой дейтаграммы.
На втором этапе при формировании сетевой дейтаграммы (третий пакет П3) производят инкапсуляцию полученной дейтаграммы (П2), которую шифруют с использованием криптографического ключа K, в информационное поле новой дейтаграммы с заголовком 3, включающим адреса получателя S4 и адрес отправителя S3.
На третьем этапе при формировании сетевой дейтаграммы (четвертый пакет П4) производят инкапсуляцию полученной дейтаграммы (П3), которую шифруют, в информационное поле новой дейтаграммы с заголовком 2, включающим адреса получателя S3 и адрес отправителя S2.
На последнем этапе (блок 9 фиг.3) при формировании сетевой дейтаграммы (пятый пакет П5) производят инкапсуляцию полученной дейтаграммы (П4), которую шифруют, в информационное поле новой дейтаграммы с заголовком 1, включающим адреса получателя S2 и адрес отправителя S1.
Полученная дейтаграмма будет являться безопасной сетевой дейтаграммой D. Данные действия производятся на первом доверенном узле 21 (шлюз-компьютер с межсетевым экраном) на маршруте передачи исходной сетевой дейтаграммы с адресами отправителя SA и получателя SB.
Передают сформированную безопасную сетевую дейтаграмму D в канал связи внешней сети (блок 10 фиг.3). При получении безопасной сетевой дейтаграммы D (блок 11 фиг.3) на доверенном узле 22 по адресу получателя S2 выполняют дешифрование сетевой дейтаграммы с использованием криптографического ключа K (блок 12 фиг.3). Получают дейтаграмму с адресом отправителя S2 и адресом получателя S3. Записывают в поле «Опции» (блок 13 фиг.3) адрес пройденного доверенного узла S2 и передают сформированную дейтаграмму в канал связи.
Действия, производимые с безопасной сетевой дейтаграммой на маршруте ее передачи, осуществляются на каждом доверенном узле (блок 14 фиг.3).
На последнем узле, по маршруту продвижения дейтаграммы, будет получена сетевая дейтаграмма с адресом получателя SB и адресом отправителя S4. Осуществляется сравнение значений поля «Опции», записанных в начале маршрута, с полученными значениями после передачи сетевой дейтаграммы (блок 15 фиг.3), в случае несовпадения маршрута принимают решение о блокировке сетевой дейтаграммы (блок 16 фиг.3).
Таким образом, в первом варианте заявленный способ за счет скрытия истинных адресов отправителя и получателя сетевых дейтаграмм путем шифрования сетевых дейтаграмм и последовательной передачи между доверенными узлами информационно-вычислительной сети в соответствии с информацией о маршруте передачи позволяет повысить достоверность обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм.
Реализация заявленного способа по второму варианту поясняется алгоритмом (фиг.7), схемой (фиг.5) и объясняется следующим образом.
Отличие второго варианта от первого заключается в том, что формируют множество M=(m1, m2,… mj,… mM) маршрутов передачи сетевых дейтаграмм (блок 3 фиг.7) по внешней сети между защищаемыми компьютерными сетями (SA, SB) в виде последовательности адресов доверенных узлов 2 на пути передачи сетевой дейтаграммы mj=(S1, S2,… Sr,… SVj), где Vj - номер последнего доверенного узла 2 по j-му маршруту передачи, которые запоминают в массив маршрутов M (блок 4 фиг.7). Массив M имеет вид маршрутно-адресной таблицы (фиг.6), в которой каждой паре абонентов указаны имеющиеся маршруты и их номера. На фиг.6 представлены маршруты передачи сетевых дейтаграмм для одной пары абонентов SA, SB.
При поступлении очередной сетевой дейтаграммы считывают из массива M значение первого доверенного узла 21 на маршруте mj передачи сетевой дейтаграммы, соответствующее значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, который выбирают из возможных маршрутов (блок 7 фиг.7), например, по случайному закону.
Кроме того, записывают в поле «Опции» (блок 8 фиг.7) сетевой дейтаграммы Pi адрес отправителя SA, адрес получателя SB и заданный номер маршрута j.
В сформированной сетевой дейтаграмме, с адресом получателя S1 и адресом отправителя SA, шифруют информационную часть пакета с использованием криптографического ключа K (блок 9, 10 фиг.7). Затем передают по каналу связи сформированную безопасную сетевую дейтаграмму D (блок 11 фиг.7).
При приеме безопасной сетевой дейтаграммы (блок 12 фиг.7), на каждом доверенном узле 2r-1, выполняется ее дешифрование и осуществляется определение значения следующего доверенного узла 2r на маршруте mj передачи сетевой дейтаграммы, из массива маршрутов M (фиг.6) по соответствующим значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, имеющимся в поле «Опции» (блок 13, 14, 15 фиг.7). После шифрования сформированной сетевой дейтаграммы, имеющей адрес получателя Sr, адрес отправителя Sr-1, новое значение поля «Опции» с учетом адреса пройденного доверенного узла 2r-1 передают в канал связи (блок 16, 17, 18 фиг.7).
На последнем доверенном узле 2Vi по маршруту передачи сетевой дейтаграммы (блок 19 фиг.7), как и в первом варианте, осуществляется сравнение значений поля «Опции», записанных в начале маршрута, с полученными значениями после передачи сетевой дейтаграммы (блок 20 фиг.7), в случае несовпадения маршрута принимают решение о блокировке сетевой дейтаграммы (блок 21, 22 фиг.7).
Таким образом, во втором варианте заявленный способ за счет скрытия истинных адресов отправителя и получателя сетевых дейтаграмм путем шифрования сетевых дейтаграмм и формирования пути передачи в соответствии с маршрутно-адресной информацией на доверенных узлах информационно-вычислительной сети также позволяет повысить достоверность обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм.

Claims (3)

1. Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей, заключающийся в том, что для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ K и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы Pi выделяют адрес отправителя SA, адрес получателя SB, которые сравнивают с соответствующими значениями адресов SA и SB, размещенных в поле «Опции» заголовка сетевой дейтаграммы, принимают решение о подлинности адресов отправителя и получателя сетевой дейтаграммы, в случае несовпадения блокируют сетевую дейтаграмму, отличающийся тем, что после выделения адресов отправителя SA и получателя SB формируют маршрут mj, где j=1, 2, 3,… - номер маршрута, передачи сетевой дейтаграммы Pi, где i=1, 2,…, по внешней сети между защищаемыми компьютерными сетями в виде последовательности адресов доверенных узлов S1, S2,… SVj, где Vj - номер последнего доверенного узла на mj маршруте, на пути передачи сетевой дейтаграммы, затем записывают mj маршрут в поле «Опции» сетевой дейтаграммы, формируют сетевую дейтаграмму с адресом получателя SB и адресом ближайшего к нему доверенного узла SVj в соответствии с маршрутом передачи mj сетевой дейтаграммы Pi, шифруют сетевую дейтаграмму с использованием криптографического ключа K и повторяют действия, начиная с формирования сетевой дейтаграммы и ее шифрования до формирования сетевой дейтаграммы с адресом S1 первого доверенного узла и адресом отправителя SA, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, которую принимают на следующем доверенном узле, дешифруют сетевую дейтаграмму с использованием криптографического ключа K и записывают в память шлюз-компьютера значения поля «Опции» полученного пакета, формируют новое значение поля «Опции» с учетом адреса очередного пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета, причем действия передачи, приема, дешифрования сетевой дейтаграммы, а также формирования и записи значений поля «Опции» повторяют на каждом доверенном узле маршрута mj, значения, заданные в поле «Опции» сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.
2. Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей, заключающийся в том, что для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ K и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы Pi, где i=1, 2, 3,…, выделяют адрес отправителя SA, адрес получателя SB, которые сравнивают с соответствующими значениями адресов SA и SB, размещенных в поле «Опции» заголовка сетевой дейтаграммы, принимают решение о подлинности адресов отправителя и получателя сетевой дейтаграммы, в случае несовпадения блокируют сетевую дейтаграмму, отличающийся тем, что формируют список адресов S1, S2, S3… доверенных узлов, формируют массив M=(m1, m2,… mj,… mM) для каждого доверенного узла маршрутов передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями в виде последовательности доверенных узлов на пути передачи сетевой дейтаграммы mj=(S1, S2,… Sr,… SVj), где Vj - номер последнего доверенного узла на mj маршруте, на пути передачи сетевой дейтаграммы и запоминают в нем сформированные маршруты для всех доверенных адресов получателей и отправителей, после выделения адресов отправителя SA и получателя SB выбирают один из возможных маршрутов mj и считывают из массива М значение первого доверенного узла на маршруте передачи сетевой дейтаграммы, соответствующие значениям адреса отправителя SA, адреса получателя SB и выбранному номеру маршрута j, записывают в поле «Опции» сетевой дейтаграммы Pi адрес отправителя SA, адрес получателя SB и выбранный номер маршрута j, формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, шифруют сетевую дейтаграмму с использованием сформированного криптографического ключа K, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, принимают безопасную сетевую дейтаграмму D на очередном доверенном узле, дешифруют сетевую дейтаграмму с использованием криптографического ключа K, записывают в память шлюз-компьютера значения поля «Опции» полученного пакета, считывают из массива М значение следующего доверенного узла Sr на маршруте mj передачи сетевой дейтаграммы, соответствующего значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, имеющимся в поле «Опции», формируют новое значение поля «Опции» с учетом адреса пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета, формируют безопасную сетевую дейтаграмму с адресом получателя Sr и адресом отправителя Sr-1, повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы и ее дешифрования с использованием криптографического ключа K до передачи по каналу связи сетевой дейтаграммы со сформированными адресами получателя SB и отправителя SVj, значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.
3. Способ по п.2, отличающийся тем, что маршрут mj передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями выбирают по случайному закону.
RU2012103796/08A 2012-02-03 2012-02-03 Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) RU2472217C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012103796/08A RU2472217C1 (ru) 2012-02-03 2012-02-03 Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012103796/08A RU2472217C1 (ru) 2012-02-03 2012-02-03 Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)

Publications (1)

Publication Number Publication Date
RU2472217C1 true RU2472217C1 (ru) 2013-01-10

Family

ID=48806231

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012103796/08A RU2472217C1 (ru) 2012-02-03 2012-02-03 Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)

Country Status (1)

Country Link
RU (1) RU2472217C1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2697698C2 (ru) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Способ обработки сетевого трафика с использованием межсетевого экранирования
RU2763261C1 (ru) * 2020-11-25 2021-12-28 Юрий Иванович Стародубцев Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US6721890B1 (en) * 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6721890B1 (en) * 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2697698C2 (ru) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Способ обработки сетевого трафика с использованием межсетевого экранирования
RU2763261C1 (ru) * 2020-11-25 2021-12-28 Юрий Иванович Стародубцев Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем

Similar Documents

Publication Publication Date Title
US11005817B1 (en) Optimizing connections over virtual private networks
Shi et al. Dynamic distributed honeypot based on blockchain
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
Zhipeng et al. VPN: a boon or trap?: a comparative study of MPLs, IPSec, and SSL virtual private networks
US10841840B2 (en) Processing packets in a computer system
WO2014046604A2 (en) Method and device for network communication management
Alotaibi et al. Security issues in protocols of TCP/IP model at layers level
Aghaei-Foroushani et al. IP traceback through (authenticated) deterministic flow marking: an empirical evaluation
Dakhane et al. Active warden for TCP sequence number base covert channel
RU2586840C1 (ru) Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
RU2472217C1 (ru) Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)
Shah et al. TCP/IP network protocols—Security threats, flaws and defense methods
Trabelsi et al. Covert file transfer protocol based on the IP record route option
Bejarano et al. Security in IP satellite networks: COMSEC and TRANSEC integration aspects
Joshi Network security: know it all
RU2314562C1 (ru) Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
Murugesan et al. Review on ipv6 security vulnerability issues and mitigation methods
Black Techniques of network steganography and covert channels
US20150039881A1 (en) Triggering an Internet Packet Protocol Against Malware
Apiecionek et al. Authentication over internet protocol
Pohly et al. MICSS: A realistic multichannel secrecy protocol
Ahmed et al. Architecture based on tor network for securing the communication of northbound interface in sdn
US11593481B2 (en) System and method employing virtual ledger
Heer et al. End-host Authentication and Authorization for Middleboxes based on a Cryptographic Namespace
Caldas et al. Inferring legacy iot device behavior over a layer 2 TLS tunnel

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20140204