RU2810193C1 - Способ защиты вычислительных сетей - Google Patents

Способ защиты вычислительных сетей Download PDF

Info

Publication number
RU2810193C1
RU2810193C1 RU2023100318A RU2023100318A RU2810193C1 RU 2810193 C1 RU2810193 C1 RU 2810193C1 RU 2023100318 A RU2023100318 A RU 2023100318A RU 2023100318 A RU2023100318 A RU 2023100318A RU 2810193 C1 RU2810193 C1 RU 2810193C1
Authority
RU
Russia
Prior art keywords
network
addresses
network devices
computer network
subnet
Prior art date
Application number
RU2023100318A
Other languages
English (en)
Inventor
Роман Викторович Максимов
Артём Александрович Москвин
Сергей Петрович Соколовский
Виктор Викторович Починок
Иван Сергеевич Ворончихин
Александр Павлович Теленьга
Александр Александрович Горбачёв
Сергей Сергеевич Каверин
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Application granted granted Critical
Publication of RU2810193C1 publication Critical patent/RU2810193C1/ru

Links

Abstract

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в повышении степени защиты вычислительных сетей, а также в снижении ресурсоемкости защиты и повышении доступности санкционированных сетевых устройств Технический результат достигается за счёт обеспечения возможности изменения IP-адресов сетевых устройств в рамках нескольких подсетей без разрыва установленных между ними критически важных сетевых соединений, а также за счёт снижения степени централизации процесса смены IP-адресов путем обеспечения локализации их смены сетевыми устройствами в рамках предварительно задаваемого и распределяемого DHCP-сервером множества. 1 з.п. ф-лы, 8 ил.

Description

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol /Internet Protocol).
Известен «Способ и устройство для анонимного обмена данными с использованием сети с динамически изменяемым адресным пространством» по патенту США № US 20120117376 А1, класс H04L 29/06 (2006.01), опубл. 04.05.2012. Известный способ включает следующую последовательность действий. На сетевых устройствах вычислительной сети устанавливают специальное программное обеспечение, принимают входящие пакеты сообщений, считывают значения служебных полей протокола, затем формируют свой собственный специальный протокол. Принцип работы сформированного специального протокола основан на изменении сетевого адреса и полей протокола через заданные интервалы времени. После формирования специального протокола, параметры доставки пакетов сообщений, например, такие как IP-адрес, сопоставляют с конечными узлами в сети. Конечные сетевые устройства представляют собой сетевые устройства получатель/отправитель пакетов, расположенные в сети. Сетевые устройства, участвующие в процессе, имеют средства для синхронизации изменений изменяемых параметров, доставки их по сети и способны полностью обмениваться данными друг с другом. Периодическое изменение параметров доставки с течением времени в итоге приводит к запутыванию информации об активных сетевых узлах или сетевых службах вычислительной сети. Таким образом, злоумышленник, сканирующий вычислительную сеть, сталкивается с множеством динамических параметров, которые понятны только участвующим в информационном обмене сетевым узлам. Конфигурирование специального программного обеспечения может быть реализовано одним из трех типов управления: по времени (синхронная), по факту сканирования, постоянная на всех без исключения пакетах/кадрах.
Недостатком данного способа является относительно низкая результативность защиты вычислительных сетей. Низкая результативность защиты обусловлена тем, что в аналоге скорость информационного обмена между отправителем и получателем пакетов сообщений снижается ввиду установленного дополнительного специального программного обеспечения, расходующего ресурсы сети на преобразование исходящих пакетов в свой собственный протокол, что в свою очередь приведет к перегрузке вычислительной сети.
Известен способ защиты вычислительных сетей, описанный в статье Кравцов К.Н. «Передача данных в сетях с динамической рандомизацией адресного пространства» // Нижегородский государственный технический университет им. Р.Е. Алексеева, Нижний Новгород, 2016, на стр. 273-277. Известный способ заключается в следующем. Значение реального IP-адреса защищаемого терминала не является публично доступной информацией. Чтобы получить доступ к серверу, клиент должен пройти авторизацию на предмет того, является ли он доверенным для этого сервера. Если авторизация пройдена успешно, то клиенту сообщают пул IP-адресов серверов и клиентов в вычислительной сети, а также ключ генерации псевдослучайной последовательности адресов для осуществления изменяемой адресации (идентификатор сессии). Так как эти данные сообщают клиенту некоторым сервером-менеджером только на этапе установки соединения, то возможные перерывы в работе сервера-менеджера, которые не влияют существенным образом на работу всей сети в целом. Также на этом этапе клиенту задают IP-адрес для инициализации защищаемого ресурса. Шлюзы подсетей доступа к серверу являются основными структурными элементами предлагаемой архитектуры, которые поддерживают постоянные сеансы обмена сообщениями. Такая процедура авторизации и установки расширенных защищенных соединений сервера и клиента может быть выполнена на этапе первоначального конфигурирования вычислительной сети или ее элементов. Под расширенными защищенными соединениями понимают сессии передачи данных между терминалом клиента и сервером, которые осуществляются при помощи динамической смены адресов отправителя и получателя пакетов сообщений. После установки соединения клиенты обмениваются сообщениями с сервером по IP-адресу, полученному при его инициализации в сети. При этом адрес назначения каждого следующего отправляемого пакета сообщений определяется терминалом клиента динамически из полученного пула IP-адресов путем расчета специальной хэш-функции, которая отображает метку времени передаваемого IP-пакета и идентификатора текущей расширенной защищенной сессии на номер IP-адреса во множестве IP-адресов вычислительной сети. Таким образом, осуществляется изменение реального IP-адреса получателя пакетов сообщений, отправляемых от клиента к серверу, с фиксированного IP-адреса, полученного при инициализации в сети, на виртуальный, рассчитанный по псевдослучайному закону.
Недостатком данного способа является относительно высокая ресурсоемкость способа защиты, обусловленная тем, что каждый клиент сети отправляет пакет сообщений не одному определенному IP-адресу, а большому количеству различных IP-адресов в защищаемой сети, что при наличии большого количества сетевых узлов спровоцирует перегрузку канала связи.
Известен способ защиты вычислительных сетей, описанный в статье Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, 2005, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды tap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов tap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды tap, а для сетевых устройств, между которыми установлено критическое соединение продлевают аренду IP-адресов на такое же время tap, до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени tap.
Недостатком данного способа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена разрывом критически важных активных соединений между сетевыми устройствами, а также реконфигурацией значений IP-адресов узлов защищаемой вычислительной сети в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки IP-адресов узлов при их относительно большом количестве и может привести к вычислению злоумышленником алгоритма функционирования системы защиты и ее обходу. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированные промежутки времени tap вне зависимости от условий функционирования и действий злоумышленника, что может привести к несвоевременному переводу вычислительной сети в заранее определенную, защищенную конфигурацию. Относительно высокая ресурсоемкость аналога связана с возможностью ложного срабатывания системы защиты, что может привести к необоснованному увеличению вычислительного ресурса на реконфигурацию параметров вычислительной сети.
Наиболее близким по своей технической сущности к заявленному, способом-прототипом является «Способ защиты вычислительных сетей» по патенту РФ №2716220 МПК G06F 21/60, H04L 29/06 опубл. 06.03.2020 г. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. Формируют DHCP-сервером для сетевых устройств вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. После этого направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщения от DHCP-сервера и задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. Затем устанавливают сетевые соединения между сетевыми устройствами вычислительной сети. После приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Далее сравнивают его с идентификаторами санкционированных информационных потоков и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков передают пакет сообщений получателю, после чего принимают из канала связи следующий пакет сообщения. При несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети. В случае несовпадения IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений. В ином случае формируют ответные сообщения от DHCP-сервера, содержащие новый номер подсети, IP-адреса сетевых устройств для новой подсети, их время продолжительности аренды для новой подсети, следующий номер подсети, IP-адрес DHCP-сервера, параметры синхронизации установленного часового пояса и времени. Далее, после направления с DHCP-сервера сетевым устройствам вычислительной сети ответных сообщений, содержащих вышеперечисленные сетевые параметры принимают эти сообщения каждым сетевым устройством вычислительной сети. После этого задают каждому сетевому устройству вычислительной сети полученные параметры для функционирования в новой подсети.
Известный способ-прототип обеспечивает расширение области применения за счет изменения IP-адресов узлов защищаемой вычислительной сети в рамках задаваемого диапазона подсетей, повышение результативности защиты за счет изменения IP-адресов узлов защищаемой вычислительной сети через произвольные интервалы времени, изменяемые адаптивно в зависимости от условий функционирования и действий злоумышленника, а так же понижение ресурсоемкое™ защиты за счет отсутствия необоснованных изменений IP-адресов, вызванных ложными срабатываниями.
Недостатком способа-прототипа является относительно низкая результативность защиты, относительно высокая ресурсоемкость защиты и относительно низкая доступность санкционированных сетевых устройств. Относительно низкая результативность защиты связана с изменением в момент обнаружения несанкционированных информационных потоков IP-адресов только у сетевых устройств, не имеющих критически важных активных сетевых соединений, что может привести к совершению компьютерных атак на сетевые устройства, имеющие критически важные активные сетевые соединения. Относительно высокая ресурсоемкость способа-прототипа связана с пропорциональным увеличением количества служебных пакетов сообщений в канале связи при высокой интенсивности управления DHCP-сервером сменой IP-адресов сетевых устройств вычислительной сети. Относительно низкая доступность санкционированных сетевых устройств связана с тем, что при увеличении количества и интенсивности несанкционированных информационных потоков сетевые устройства вычислительной сети будут преимущественно находиться в режиме реконфигурации параметров сетевого соединения и будут недоступными для осуществления полезного информационного обмена.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты, снижение ресурсоемкости защиты и повышение доступности санкционированных сетевых устройств. Повышение результативности защиты достигают за счет обеспечения возможности изменения IP-адресов сетевых устройств в рамках нескольких подсетей без разрыва установленных между ними критически важных сетевых соединений. Снижение ресурсоемкости защиты и повышение доступности санкционированных сетевых устройств достигают за счет снижения степени централизации процесса смены IP-адресов путем обеспечения локализации их смены сетевыми устройствами в рамках предварительно задаваемого и распределяемого DHCP-сервером множества.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают множество {IP}={IP1, IP2, …, IPN} IP-адресов сетевых устройств вычислительной сети, где N - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Затем задают множество {МАС}={МАС1, МАС2, …, МАСМ} МАС-адресов сетевых устройств вычислительной сети, где М - максимальное количество сетевых устройств в вычислительной сети. Далее задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети где d - номер подсети DHCP-сервера, d=1, 2, …, D, где D - максимальное количество номеров подсетей. После этого для каждого подмножества d задают IP-адреса DHCP-серверов где - IP-адрес DHCP-сервера, Далее задают DIP=[1, 2, …, D] - массив памяти для хранения номеров подсетей DHCP-сервера. После этого задают - максимальное значение времени аренды всех IP-адресов подсети с номером d. Затем задают NA - массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. Далее задают множество {CIPt}={CIP1, CIP2, …, CIPT} идентификаторов сетевых соединений между сетевыми устройствами вычислительной сети, где Т - максимальное количество идентификаторов сетевых соединений. После этого задают At - маркер активности соединения CIPt между сетевыми устройствами вычислительной сети. Задают С=[CIP1, CIP2, …, CIPT] - массив памяти для хранения идентификаторов сетевых соединений. Затем задают множество идентификаторов критически важных соединений между абонентами вычислительной сети. После этого задают - массив памяти для хранения идентификаторов критически важных соединений между сетевыми устройствами вычислительной сети, которые не подлежат разрыву. Далее задают множество {TS}≥1 идентификаторов санкционированных информационных потоков. После этого задают множество IP-адресов ложных абонентов подсети d где ƒ - максимальное допустимое количество ложных IP-адресов сетевых устройств подсети d. Затем подключают сетевые устройства к вычислительной сети. Далее направляют сетевыми устройствами вычислительной сети сообщения для DHCP-сервера с IP-адресом После этого принимают DHCP-сервером с IP-адресом сообщения от сетевых устройств вычислительной сети. Затем устанавливают на DHCP-сервере соответствие MAC- и IP-адресов. Далее запоминают соответствие MAC- и IP-адресов в массиве памяти NA. После этого формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, значения времени продолжительности их аренды номер подсети d и IP-адрес выбранного DHCP-сервера для обратившихся с запросом сетевых устройств вычислительной сети. Далее направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети. Затем принимают каждым сетевым устройством вычислительной сети сообщения от DHCP-сервера. После этого направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор. Далее задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, значения времени продолжительности их аренды номер подсети d и IP-адрес выбранного DHCP-сервера. После этого удаляют из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. Затем устанавливают соединения между сетевыми устройствами вычислительной сети. Далее назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPt. После этого запоминают идентификаторы CIPt в массиве памяти С. Затем принимают из канала связи пакет сообщений. Далее выделяют из заголовка принятого пакета сообщений идентификатор информационного потока. После этого сравнивают его с идентификаторами санкционированных информационных потоков из множества {TS}. При совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков из множества {TS} передают пакет сообщений получателю и вновь принимают из канала связи следующий пакет сообщений. При несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков из множества {TS} сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети из множества {FIPd}. При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов из множества {FIPd} игнорируют принятый пакет сообщений. В ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов из множества {FIPd} сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают МАС-адрес сетевого устройства из массива NA DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива DIP следующий номер подсети, для чего увеличивают номер подсети d на единицу (d=d+1). Затем вновь формируют массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. После этого формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые уникальные IP-адреса, формируют DPCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды следующий номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. Далее направляют с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые IP-адреса, значение времени продолжительности их аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. После этого принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые IP-адреса, значение времени продолжительности аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера Далее сравнивают принадлежит ли идентификатор соединения между сетевыми устройствами вычислительной сети CIPt множеству идентификаторов критически важных соединений из массива СС. В случае если идентификатор соединения CIPt не принадлежит множеству идентификаторов критических соединений СС, то направляют с DHCP-сервера сообщение сетевым устройствам вычислительной сети о прекращении аренды текущего IP-адреса, для чего задают После этого задают каждому сетевому устройству вычислительной сети новые IP-адреса, новое значение времени продолжительности аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. В ином случае, то есть, когда соединение является критически важным, считывают маркеры активности соединений At идентификаторов CIPt из множества СС. Далее сравнивают, является ли критически важное соединение активным. В случае если оно не активно At=0, то задают для каждого сетевого устройства вычислительной сети новые уникальные IP-адреса, значение времени продолжительности аренды IP-адресов номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. В ином случае вновь считывают маркеры активности соединений At идентификаторов CIPt из множества СС.
В предварительно заданные исходные данные дополнительно задают множество {d}={d1, d2, …, D} номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети, где D - максимальное количество номеров подсетей. Затем задают подмножество IP-адресов физических сетевых интерфейсов сетевых устройств, находящихся в подсети d, где Z=M, a Z - максимальное количество всех IP-адресов физических сетевых интерфейсов сетевых устройств. Далее задают множество {k}={k1, k2, …, K} номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети, где {k}∉{d}, а K - максимальное количество номеров подсетей. Затем задают подмножества IP-адресов логических интерфейсов сетевых устройств, находящихся в подсети к, где Z+V=N, а V - максимальное количество всех IP-адресов логических интерфейсов сетевых устройств. После этого задают IPdhcp - IP-адреса DHCP-сервера для подсетей d и k. Затем задают DIP=[1, 2, …, D] - массив памяти DHCP-сервера для хранения номеров подсетей физических сетевых интерфейсов сетевых устройств вычислительной сети. После этого задают KIP=[1, 2, …, K] - массив памяти DHCP-сервера для хранения номеров подсетей логических интерфейсов сетевых устройств вычислительной сети. Далее задают tmax - максимальное значение времени аренды каждого из IP-адресов подсетей d и k. Затем задают NA - массив памяти DHCP-сервера для хранения матрицы соответствия MAC- и IP-адресов физических и логических интерфейсов сетевых устройств вычислительной сети. После этого задают множество {FIP] - {FIP1, FIP2, …, FIPƒ] ложных IP-адресов логических интерфейсов сетевых устройств вычислительной сети, где а ƒ - максимальное допустимое количество ложных IP-адресов логических интерфейсов сетевых устройств вычислительной сети. Затем после подключения сетевых устройств к вычислительной сети направляют с физических и логических интерфейсов сетевых устройств вычислительной сети сообщения к DHCP-серверу для получения ими номеров подсетей {d} и {k}, IP-адресов из подмножеств {IPd} и {IPk}, времени продолжительности аренды tmax этих IP-адресов, а также параметров синхронизации установленного часового пояса. Далее принимают DHCP-сервером сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети. После этого устанавливают соответствие МАС-адресов, IP-адресов физических интерфейсов и IP-адресов логических интерфейсов сетевых устройств. Затем запоминают на DHCP-сервере соответствие МАС-адресов, IP-адресов физических интерфейсов и IP-адресов логических интерфейсов сетевых устройств в массиве памяти NA. Далее формируют DHCP-сервером для физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения, содержащие номера подсетей {d} и {k}, IP-адреса из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса. Затем направляют с DHCP-сервера сформированные ответные сообщения для физических и логических интерфейсов сетевых устройств вычислительной сети. После этого принимают каждым физическим и логическим интерфейсом сетевых устройств вычислительной сети сообщения от DHCP-сервера. Далее направляют от физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети, подтверждающие их выбор. После этого задают для физических и логических интерфейсов сетевых устройств вычислительной сети номера подсетей {d} и {k}, IP-адреса из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса. Далее устанавливают сетевые соединения между сетевыми устройствами вычислительной сети с использованием только логических интерфейсов. Затем задают логическим интерфейсам сетевых устройств вычислительной сети подсеть k1 в качестве основной для приема и передачи сообщений. Далее после назначения установленным соединениям вычислительной сети идентификаторов CIPt, их запоминания в массиве памяти С, приема из канала связи пакета сообщений и выделения из его заголовка идентификаторов, последующего сравнения выделенных идентификаторов с идентификаторами санкционированных информационных потоков в случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков из множества сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств вычислительной сети из множества {FIP}. После этого при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP} игнорируют принятый пакет сообщений. В ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP} сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом логических интерфейсов сетевых устройств вычислительной сети из множества {IPk} и с каждым IP-адресом физических интерфейсов сетевых устройств вычислительной сети из множества {IPd}. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают МАС-адрес сетевого устройства из массива NA DHCP-сервера. В случае их несовпадения, направляют с DHCP-сервера для логических интерфейсов сетевых устройств в подсети k1 сообщения о прекращении аренды текущих IP-адресов, для чего устанавливают tmax=0. Затем задают логическим интерфейсам сетевых устройств вычислительной сети очередную подсеть в качестве основной для информационного обмена до момента появления следующего несанкционированного информационного потока. В случае если очередной вновь заданный номер подсети логических интерфейсов сетевых устройств меньше K, то принимают из канала связи следующий пакет сообщений. В ином случае, если очередной вновь заданный номер подсети логических интерфейсов сетевых устройств равен номеру K, то вновь формируют множество номеров подсетей подмножества IP-адресов и время их аренды tmax. Затем вновь устанавливают в массиве памяти NA соответствия MAC-, IP-адресов физических интерфейсов сетевых устройств и вновь сформированных IP-адресов для логических интерфейсов сетевых устройств вычислительной сети. После этого направляют DHCP-сервером ответные сообщения для логических интерфейсов сетевых устройств вычислительной сети, содержащие сформированные номера подсетей из множества {k'}, IP-адреса из подмножеств и время их аренды tmax. Затем принимают каждым логическим интерфейсом сетевых устройств вычислительной сети сообщения, содержащие сформированные номера подсетей из множества {k'}, IP-адреса из подмножеств и время их аренды tmax. Далее задают каждому логическому интерфейсу сетевых устройств подсетей {k1, k2, …, K-l} новые номера подсетей IP-адреса из подмножеств и время их аренды tmax. После этого в случае обнаружения информационных потоков с несанкционированными идентификаторами в подсети K, направляют с DHCP-сервера для логических интерфейсов сетевых устройств вычислительной сети сообщение о прекращении аренды IP-адресов в подсети K, для чего устанавливают их время аренды tmax=0. Далее задают логическим интерфейсам сетевых устройств новую подсеть в качестве основной для приема и передачи сообщений. Затем задают каждому логическому интерфейсу сетевых устройств подсети K новые номера подсетей K', IP-адреса в этой подсети, время их аренды tmax.
Максимальное количество логических сетевых интерфейсов K выбирают в пределах от 5 до 4000.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет обеспечения возможности изменения IP-адресов сетевых устройств в рамках нескольких подсетей без разрыва установленных между ними критически важных сетевых соединений, снижение ресурсоемкости защиты и повышение доступности санкционированных сетевых устройств за счет снижения степени централизации процесса смены IP-адресов путем обеспечения локализации их смены сетевыми устройствами в рамках предварительно задаваемого и распределяемого DHCP-сервером множества.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - Схема защищаемой вычислительной сети;
фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей (начало);
фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей (продолжение);
фиг. 3 - Схема последовательности распределения IP-адресов DHCP-сервера и клиентов;
фиг. 4 - Структура соответствия MAC- и IP-адресов;
фиг. 5 - Структура идентификаторов соединения между сетевыми устройствами вычислительной сети;
фиг. 6 - Пример последовательности перехода на очередной логический сетевой интерфейс с новым IP-адресом;
фиг. 7 - Схема добавления новых IP-адресов на сетевые устройства вычислительной сети без разрыва сетевого соединения;
фиг. 8а - Экранные формы, демонстрирующие результативность смены IP-адресов сетевых устройств, между которыми было установлено сетевое соединение без множественной адресации;
фиг. 8б - Экранные формы, демонстрирующие результативность смены IP-адресов сетевых устройств, между которыми было установлено сетевое соединение с множественной адресацией.
Реализация заявленного способа объясняется следующим образом.
Возможности существующих средств сетевой защиты, включая средства криптографической защиты информации, не позволяют в должной мере обеспечить требуемый уровень защищенности вычислительных сетей от реализации угроз безопасности информации, определенных, например, в «Банке данных угроз безопасности информации ФСТЭК» сети Интернет (см. https://bdu.fstec.ru), таких как «УБИ.034 Угроза использования слабостей протоколов сетевого/локального обмена данными», «УБИЛ 40 Угроза приведения системы в состояние «отказ в обслуживании»», «УБИ.099 Угроза обнаружения хостов» и других, направленных на идентификацию состава, структуры и алгоритмов функционирования вычислительных сетей, приведенных в руководящих документах ФСТЭК России. Этому способствует в первую очередь статичность структурно-функциональных характеристик вычислительной сети (IP- и МАС-адресов, сетевых портов взаимодействия, доменных имен и др.), а также использование вычислительной сетью ресурсов сетей связи общего пользования. В качестве мер защиты, направленных на нивелирование вышеприведенных угроз, могут выступать такие меры, как, например, определенные Приказом ФСТЭК Российской Федерации №239 от 25.12.2017 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (в ред. Приказа ФСТЭК РФ от 26.03.2019 №60): «ЗИС.35 Управление сетевыми соединениями», «ЗИС.37 Перевод информационной системы в безопасное состояние», «ЗИС.8 Сокрытие архитектуры и конфигурации информационной системы.
Одной из перспективных технологий защиты вычислительных сетей, позволяющей скрывать истинные структурно-функциональные характеристики вычислительных сетей или их элементов и формировать о них ложное представление у злоумышленника является технология Moving Target Defense (MTD), описанная, например, в статье Carvalho М., Ford R. Moving target defense for computer networks, IEEE Security & Privacy, vol. 12, no. 2, 2014, на стр. 73-76. Технология MTD направлена на динамическое изменение компонентов вычислительных сетей в целях ограничения эффективности ведения сетевой разведки и реализации последующих деструктивных воздействий злоумышленником. Одно из направлений технологии MTD подразумевает динамическое изменение параметров сети, таких как используемые протоколы (включая протоколы маршрутизации), IP-адреса и сетевые порты, МАС-адреса, алгоритмы шифрования, используемые для идентификации узла источника и пункта назначения, а также маршруты передачи трафика (информационные направления).
С другой стороны, изменение параметров вычислительной сети напрямую влияет на качество связи. Понятие «качество связи» описано, например, в книге Макаренко С.И. Модели системы связи в условиях преднамеренных дестабилизирующих воздействий и ведения разведки. Монография. - СПб.: Наукоемкие технологии, 2020. на стр. 28, и характеризует ее способность обеспечивать своевременную, достоверную и безопасную передачу сообщений. Однако, не все протоколы транспортного уровня способны обеспечить необходимое качество связи при динамическом изменении параметров сети.
Так, традиционно применяемый в качестве протокола передачи сообщений - TCP, функциональные возможности которого описаны в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://ietf.org/rfc/rfc793), в рамках установленного сетевого соединения между сетевыми устройствами, использует только один IP-адрес, и в случае перевода вычислительной сети в безопасное состояние, будет приводить к разрыву критически важных активных сетевых соединений, что, в свою очередь, не гарантирует своевременность информационного обмена. Протокол передачи сообщений UDP, функциональные возможности которого описаны в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://ietf.org/rfc/rfc768), является протоколом без подтверждения доставки датаграммы, что не гарантирует достоверную и безопасную передачу сообщений.
Данные ограничения снимают протоколы передачи данных, которые могут содержать в рамках установленного сетевого соединения множество предварительно заданных IP-адресов. Например, множественная адресация сетевого соединения поддерживается протоколом транспортного уровня SCTP, функциональные возможности которого описаны в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://rfc-editir.org/rfc/rfc4960). При этом реконфигурация параметров сетевого соединения никак не влияет на непрерывность процесса информационного обмена между сетевыми устройствами вычислительной сети.
Вместе с этим, создание сетевого соединения с множественной адресацией и дальнейшее конфигурирование его параметров, например, таких как «Перечень IP-адресов сетевого соединения», «Значение основной подсети для осуществления информационного обмена» и т.п.технически предполагает использование одного физического, и несколько логических сетевых интерфейсов с закрепленными за ними IP-адресами.
В способе-прототипе дополнительные пулы IP-адресов логических сетевых интерфейсов предварительно не задаются, ввиду чего реализация функциональных возможностей протоколов, поддерживающих множественную адресацию, технически не предоставляется возможной. Таким образом, в случае одновременной смены IP-адресов всех сетевых устройств вычислительной сети, сетевые соединения будут разрываться, информационный обмен будет прерывается, что снижает результативность способа-прототипа.
В основу заявленного способа будут заложены принципы, реализующие направления динамического изменения параметров вычислительной сети, описанные, например, в статье Okhravi Н., Hobson Т., Bigelow D., Streilein W. Finding focus in the blur of moving-target techniques. Security & Privacy, IEEE, 12(2), 2014, на стр. 2-12., а в целях обеспечения необходимого качества связи, предполагается применение сетевых соединений с множественной адресацией.
Заявленный способ реализуют следующим образом. В общем случае (см. фиг. 1) вычислительная сеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов 102 для составления отчетов, периферийного и коммуникационного оборудования 103, 104, ретранслирующего сетевой трафик корреспондентов, объединенного физическими линиями (каналами) связи, соединяющих М сетевых устройств вычислительной сети в единую инфраструктуру, в том числе с использованием сети связи общего пользования 105.
Между сетевыми устройствами вычислительной сети установлены сетевые соединения с множественной адресацией 106. Поскольку для создания такого типа сетевого соединения необходимо, чтобы входящие в них IP-адреса различных подсетей были закреплены за различными сетевыми интерфейсами, и ввиду ограниченного количества физических сетевых интерфейсов, предлагается на каждом физическом интерфейсе создавать множество логических интерфейсов. Способ создания логических сетевых интерфейсов известен и описан, например, в книге Одом, Уэнделл. Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICNDI 100-101, акад. изд.: Пер. с англ. - М.: ООО «И.Д. Вильяме», 2015 г, на стр. 480-483. Максимальное количество логических сетевых интерфейсов равняется 4095, поскольку в одном физическом соединении путем мультиплексирования могут быть организовано 4095 логических каналов, что определено стандартом 802.1Q, описанным в открытом стандарте Института инженеров электротехники и электроники (IEEE, Institute of Electrical and Electronics Engineers) сети Интернет (см, например, https://standards.ieee.org/ieee/802.1Q/6844/).
Поскольку все логические сетевые интерфейсы создаются на основе одного физического сетевого интерфейса, то любое деструктивное воздействие на него повлияет и на работоспособность логических сетевых интерфейсов, поэтому с целью минимизации обращений к физическому сетевому интерфейсу в заявленном способе защиты физический сетевой интерфейс не используется при создании сетевых соединений с множественной адресацией.
Для защиты вычислительной сети и введения в заблуждение злоумышленника 107 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов ее сетевых устройств за счет изменения номера подсети логического сетевого интерфейса, выделенной в качестве основной для приема и передачи пакетов сообщений. Например, смена основного для информационного обмена подсети в рамках сетевого соединения с множественной адресацией по протоколу SCTP осуществляется посредством вызова функции «SETPRIMARY» с соответствующими параметрами, что описано в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://rfc-editir.org/rfc/rfc4960)
На фиг. 2а, 26 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:
множество {IP}={IP1, IP2, …, IPN} IP-адресов сетевых устройств вычислительной сети, где N - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети;
множество {МАС}={МАС1, МАС2, …, МАСМ} МАС-адресов сетевых устройств вычислительной сети, где М - максимальное количество сетевых устройств в вычислительной сети;
множество {d}={d1, d2, …, D} номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети, где D - максимальное количество номеров подсетей;
подмножества IP-адресов для физических сетевых интерфейсов сетевых устройств, находящихся в подсети d, где Z - максимальное количество всех IP-адресов для физических сетевых интерфейсов сетевых устройств;
множество {k}={k1, k2, …, K} номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети, где K - максимальное количество номеров подсетей, причем{k}∉{d};
подмножества IP-адресов для логических интерфейсов сетевых устройств, находящихся в подсети k, где V - максимальное количество всех IP-адресов для логических интерфейсов сетевых устройств,
IP -адреса IPdhcp DHCP-сервера для каждой подсетей d и k;
массив памяти DHCP-сервера DIP=[1, 2, …, D] для хранения номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети;
массив памяти DHCP-сервера KIP=[1, 2, …, K] для хранения номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети;
tmax - максимальное значение времени аренды каждого из IP-адресов подсетей d и k;
массив памяти DHCP-сервера NA для хранения матрицы соответствия MAC- и IP-адресов физических и логических интерфейсов сетевых устройств вычислительной сети;
множество{CIPt}={CIP1, CIP2, …, CIPT} идентификаторов сетевых соединений между сетевыми устройствами вычислительной сети, где Т - максимальное количество идентификаторов сетевых соединений;
С=[CIP1, CIP2, …, CIPT] - массив памяти для хранения идентификаторов сетевых соединений CIPT;
множество {TS}≥1 идентификаторов санкционированных информационных потоков;
множество {FIP}={FIP1, FIP2, …, FIPƒ} IP-адресов ложных сетевых устройств вычислительной сети, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети,
Для снижения возможностей злоумышленника по вскрытию истинных IP-адресов из множества предварительно заданных (см. блок 1 на фиг. 2а) {IP}={IP1, IP2, …, IPN,}, их изменение осуществляют в рамках нескольких вычислительных сетей.
Для формирования вычислительной сети предварительно задают (см. блок 1 на фиг. 2а) {МАС}={МАС1, МАС2, …, МАСМ} МАС-адресов сетевых устройств вычислительной сети, где М - максимальное количество сетевых устройств в вычислительной сети, множество {d}={d1, d2, …, D} номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети, где D - максимальное количество номеров подсетей, а также подмножества IP-адресов для физических сетевых интерфейсов сетевых устройств, находящихся в подсети d, где Z - максимальное количество всех IP-адресов для физических сетевых интерфейсов сетевых устройств.
Для создания сетевого соединения с множественной адресацией, предварительно задают (см. блок 1 на фиг. 2а) множество {k}={k1, k2, …, K} номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети, где K - максимальное количество номеров подсетей, причем{k}∉{d}, а также подмножества IP-адресов для логических интерфейсов сетевых устройств, находящихся в подсети k, где V - максимальное количество всех IP-адресов для логических интерфейсов сетевых устройств.
После этого, в предварительно заданные исходные данные, для каждой подсети d и k, в целях исключения возможности для злоумышленника реализовать компьютерную атаку на DHCP-сервер, описанную, например, в книге Бирюков А.А. Информационная безопасность: защита и нападение. - М: ДМК Пресс, 2016, на стр. 51-53, задают (см. блок 1 на фиг. 2а) IP-адреса IPdhcp DHCP-сервера для этих подсетей, чем обеспечивают невозможность использования ложного DHCP-сервера злоумышленником.
Также задают (см. блок 1 на фиг.2а) массив памяти DIP=[1, 2, …, D] для хранения номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети, и массив памяти KIP=[1, 2, …, K] для хранения номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети.
Предварительно задают (см. блок 1 на фиг. 2а) tmax - максимальное значение времени аренды каждого из IP-адресов подсетей d и k. Первоначально, для предоставления максимального (бесконечного) времени аренды IP-адресов сетевым устройствам вычислительной сети значение параметра tmax устанавливают равным Параметр указывается 32-битовым беззнаковым словом в секундах, позволяющим задать интервал от 0 приблизительно до 100 лет, что достаточно для работы DHCP-сервера и описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).
После этого, для контроля применения логических сетевых интерфейсов сетевых устройств задают (см. блок 1 на фиг. 2а) массив памяти DHCP-сервера NA для хранения матрицы соответствия MAC- и IP-адресов физических и логических интерфейсов сетевых устройств вычислительной сети.
Далее, для идентификации санкционированных и нелегитимных информационных потоков между сетевыми устройствами вычислительной сети, задают (см. блок 1 на фиг. 2а) множество идентификаторов сетевых соединений между сетевыми устройствами вычислительной сети, где Т - максимальное количество идентификаторов сетевых соединений, причем каждый идентификатор сетевых соединений включает в себя множества IP-адресов отправителя и получателя пакетов сообщений, тип протокола взаимодействия, порты взаимодействия. После этого в предварительно заданные исходные данные задают (см. блок 1 на фиг. 2а) массив памяти С=[CIP1, CIP2, …, CIPT] для хранения идентификаторов CIPt.
Для возможности проверки на легитимность адресов отправителя и получателя у корреспондирующих сетевых устройств в предварительно заданные исходные данные задают (см. блок 1 на фиг. 2а) множество идентификаторов санкционированных информационных потоков {TS}≥1, в качестве которых принимают идентификационные признаки соединений, содержащие протоколы и порты взаимодействия.
Далее формируют механизм идентификации несанкционированных информационных потоков, который заключается в создании ложных IP-адресов вычислительной сети с целью учета и реагирования на поступающие к ним запросы со стороны злоумышленника. Для этого в предварительно заданные исходные данные задают (см. блок 1 на фиг. 2а) множество {FIP}={FIP1, FIP2, …, FIPƒ} ложных IP-адресов сетевых устройств вычислительной сети, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети, Первый столбец таблицы ложных IP-адресов (см. табл. 4 на фиг. 5) [FIP] содержит ложный IP-адрес и номер сети. Во втором столбце представлены соответствующие значения маски сети.
После этого подключают (см. блок 2 на фиг. 2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг. 2а) с физических и логических интерфейсов сетевых устройств вычислительной сети сообщения к DHCP-серверу для получения номеров подсетей [d] и [k], IP-адресов из подмножеств {IPd} и {IPk}, времени продолжительности их аренды tmax, а также параметров синхронизации установленного часового пояса.
Схема протокольного обмена сообщениями между сетевыми устройствами (клиентами) 108 и DHCP-сервером 109, имеющем как физические, так и логические сетевые интерфейсы, показана на фиг. 3 и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131). Для распространения пулов IP-адресов из разных логических сетей в одном сегменте физической сети, DHCP-сервером создаются суперобласти способом, описанным, например, в учебном пособии Платуновой С.М. Администрирование сети в Windows Server 2012. - СПб: НИУ ИТМО, 2015, на стр. 38-39. Суперобласть является административной возможностью DHCP-сервера. С помощь суперобластей можно группировать несколько стандартных областей в административный элемент. Для сетевых соединений с множественной адресацией возможно использовать суперобласти DHCP-сервера для группировки и активации отдельных диапазонов областей IP-адресов, используемых в сети. Таким образом, DHCP-сервер может активизировать и представлять клиентам аренду IP-адресов в нескольких областях в рамках одной физической сети.
После этого принимают (см. блок 4 на фиг. 2а) DHCP-сервером сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети.
Затем, после установления (см. блок 5 на фиг. 2а) на DHCP-сервере соответствия МАС-адресов, IP-адресов физических интерфейсов и IP-адресов логических интерфейсов сетевых устройств, запоминают (см. блок 6 на фиг. 2а) это соответствие в массиве памяти NA.
Массив памяти DHCP-сервер NA. для хранения матрицы соответствия MAC- и IP-адресов физических и логических интерфейсов сетевых устройств вычислительной сети представлен в виде таблицы (см. фиг. 4), где первая строка содержит MAC-адреса сетевых устройств вычислительной сети с назначенными IP-адресами физических сетевых интерфейсов, первый столбец содержит соответствующие IP-адреса для логических сетевых интерфейсов каждого сетевого устройства вычислительной сети.
Далее формируют (см. блок 7 на фиг. 2а) DHCP-сервером для физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения, содержащие номера подсетей{d} и {k}, IP-адреса из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса. Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.
После этого направляют (см. блок 8 на фиг. 2а) с DHCP-сервера сформированные ответные сообщения для физических и логических интерфейсов сетевых устройств вычислительной сети.
Принимают (см. блок 9 на фиг. 2а) каждым физическим и логическим интерфейсом сетевых устройств вычислительной сети сообщения от DHCP-сервера.
После этого сетевые устройства направляют (см. блок 10 на фиг. 2а) от физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор.
Далее DHCP-сервер принимает (см. блок 11 на фиг. 2а) сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети, подтверждающие их выбор.
Затем задают (см. блок 12 на фиг. 2а) для физических и логических интерфейсов сетевых устройств вычислительной сети номера подсетей {d} и {k}, IP-адресов из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса.
Затем удаляют (см. блок 13 на фиг. 2а) из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор.
После этого устанавливают (см. блок 14 на фиг. 2а) сетевые соединения между сетевыми устройствами вычислительной сети с использованием только логических интерфейсов 110 (см. фиг. 5). Пример установления сетевого соединения с множественной адресацией описан, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://rfc-editir.org/rfc/rfc4960) и включает в себя такие шаги, как обмен служебными пакетами при верификации сетевого соединения, а также обмен сетевыми параметрами, в том числе содержащими доступные для сетевого соединения множества IP-адресов.
Далее задают (см. блок 15 на фиг. 2а) логическим интерфейсам сетевых устройств вычислительной сети подсеть k1 в качестве основной для приема и передачи сообщений.
Далее назначают (см. блок 16 на фиг. 2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPt. Затем установленные идентификаторы CIPt запоминают (см. блок 17 на фиг. 2а) в массиве памяти С.
Принимают (см. блок 18 на фиг. 2а) из канала связи пакет сообщения от отправителя 111 получателю 112 (см. фиг. 5), далее анализатором пакетов 113 (см. фиг. 5) выделяют (см. блок 19 на фиг. 2а) из заголовка принятого пакета сообщения идентификатор информационного потока сетевого соединения CIPt и сравнивают (см. блок 20 на фиг. 2а) его с идентификаторами санкционированных информационных потоков из множества {TS} (см. табл. 1 на фиг. 5) для определения возможности дальнейшей передачи пакета адресату. В таблице 1 в столбце слева представлены санкционированные протоколы взаимодействия, в столбце справа представлены порты взаимодействия санкционированных протоколов. В таблице 2, 3 представлены IP-адреса отправителя и получателя, текущий протокол взаимодействия, порт протокола взаимодействия.
При совпадении выделенного идентификатора информационного потока сетевого соединения CIPt (см. табл. 2 на фиг. 5) с идентификатором санкционированных информационных потоков из множества {TS} (см. табл. 1 на фиг. 5), передают (см. блок 21 на фиг. 2а) пакет сообщений получателю и принимают (см. блок 18 на фиг. 2а) из канала связи следующий пакет сообщения.
Однако, в случае несовпадении выделенного идентификатора CIPt (см. табл. 3 на фиг. 5) с идентификаторами санкционированных информационных потоков из множества {TS} (см. табл. 1 на фиг. 5), сравнивают (см. блок 22 на фиг. 2б) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств вычислительной сети из множества {FIP} (см. табл. 4 на фиг. 5). В таблице 4 представлены IP-адреса и соответствующая маска сети ложных сетевых устройств.
При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP}, игнорируют (см. блок 23 на фиг. 2б) принятый пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP) определяют, является ли отправитель пакета сообщений санкционированным абонентом или злоумышленником 114 (см. фиг. 5). Для этого сравнивают (см. блок 24 на фиг. 2б) IP-адрес отправителя пакетов сообщений с каждым IP-адресом логических интерфейсов сетевых устройств вычислительной сети из множества {IPk} и с каждым IP-адресом физических интерфейсов сетевых устройств вычислительной сети из множества {IPd}, и в случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным злоумышленником, для чего исключают (см. блок 25 на фиг. 2б) МАС-адрес сетевого устройства из массива NA DHCP-сервера 115 (см. фиг. 5), тем самым изолируют злоумышленника от дальнейшего информационного обмена в вычислительной сети при последующей смене IP-адресов сетевых устройств и коммуникационного оборудования 116, 117 (см. фиг. 5).
В случае когда отправитель пакетов сообщений 118 (см. фиг. 6) имеет нелегитимный IP-адрес, осуществляют изменение текущей подсети (119 на фиг. 6), для чего направляют (см. блок 26 на фиг. 2б) с DHCP-сервера для логических интерфейсов сетевых устройств в подсети k1 сообщения о прекращении аренды текущих IP-адресов, для чего устанавливают (120 на фиг. 6).
Получив сообщение от DHCP-сервера о прекращении аренды текущего IP-адреса основного логического сетевого интерфейса, задают (см. блок 27 на фиг. 2б) логическим интерфейсам сетевых устройств вычислительной сети очередную (121 на фиг. 6), подсеть в качестве основной для информационного обмена, до момента появления следующего несанкционированного информационного потока, обеспечив тем самым снижение ресурсоемкости и увеличение доступности санкционированных сетевых устройств в процессе смены IP-адресов путем локализации их смены в рамках предварительно задаваемого и распределяемого DHCP-сервером множества.
В случае, если очередной заданный номер подсети логических интерфейсов сетевых устройств меньше К (см. блок 28 на фиг. 2б), то принимают (см. блок 18 на фиг. 2а) из канала связи следующий пакет сообщений.
В ином случае, если очередной заданный номер подсети логических интерфейсов сетевых устройств равен номеру К (122 на фиг. 7), с целью повышения результативности защиты, связанной с изменением IP-адресов защищаемой сети всех сетевых устройств, в том числе имеющих активные сетевые соединения, вновь формируют (см. блок 29 на фиг. 2б) множества номеров подсетей подмножества IP-адресов и время их аренды tmax.
Затем вновь устанавливают (см. блок 30 на фиг. 2б) в массиве памяти NA соответствия MAC-, IP-адресов физических интерфейсов сетевых устройств и вновь сформированных IP-адресов для логических интерфейсов сетевых устройств вычислительной сети.
Далее направляют (см. блок 31 на фиг. 2б) DHCP-сервером ответные сообщения для логических интерфейсов сетевых устройств вычислительной сети, содержащие сформированные номера подсетей из множества {k'}, IP-адреса из подмножеств и время их аренды tmax (123 на фиг. 7).
После чего принимают (см. блок 32 на фиг. 2б) каждым логическим интерфейсом сетевых устройств вычислительной сети сообщения, содержащие сформированные номера подсетей из множества {k'}, IP-адреса из подмножеств и время их аренды tmax.
Затем задают (см. блок 33 на фиг. 2б) каждому логическому интерфейсу сетевых устройств подсетей {k1, k2, …, K-1} новые номера подсетей IP-адреса из подмножеств {IPk} и время их аренды tmax (124 на фиг. 7).
В случае обнаружения информационных потоков с несанкционированными идентификаторами в подсети К, направляют (см. блок 34 на фиг. 2б) с DHCP-сервера для логических интерфейсов сетевых устройств вычислительной сети сообщение о прекращении аренды IP-адресов в подсети К, для чего устанавливают их время аренды (125 на фиг. 7), после чего задают (см. блок 35 на фиг. 2б) логическим интерфейсам сетевых устройств новую подсеть (126 на фиг. 7) в качестве основной для приема и передачи сообщений.
После этого задают (см. блок 36 на фиг. 2б) каждому логическому интерфейсу сетевых устройств подсети K новые номера подсетей K', IP-адреса в этой подсети, время их аренды tmax (127 на фиг. 7).
Закончив цикл обновления IP-адресов сетевого соединения, сетевые устройства продолжают осуществлять информационный обмен.
В рассматриваемом способе защиты вычислительных сетей максимальное количество логических сетевых интерфейсов K выбирают в пределах от 5 до 4000.
Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа и проведения натурного эксперимента. Суть эксперимента - оценка непрерывности процесса информационного обмена между сетевыми устройствами вычислительной сети при реконфигурации параметров сетевого соединения в способе-прототипе и при программной реализации заявленного способа.
Для проведения эксперимента использовалась вычислительная сеть (см. фиг. 8а, фиг. 8б), состоящая из двух (М=2) сетевых устройств 128 с предустановленными операционными системами Astra Linux 1.6 и между которыми установлены сетевые соединения с использованием различных протоколов транспортного уровня, DHCP-сервера 129 с предустановленной операционной системой Debian 8, коммуникационного оборудования и анализатора пакетов 130 Wireshark, принцип работы которого известен и описан, например, в справочном руководстве Wireshark (см. например, https:// wireshark.org/faq.html)
Для обнаружения активных сетевых устройств в вычислительной сети злоумышленником 131 применяется сетевой сканер NMAP, принцип работы которого известен и описан, например, в справочном руководстве NMAP (см. например, https://nmap.org/man/ru). По результатам сканирования злоумышленник может идентифицировать тип и версию операционной системы, открытые порты, запущенные сервисы и службы для последующей эксплуатации их уязвимостей и реализации компьютерных атак.
На первом этапе (см. фиг. 8а), при сканировании злоумышленником вычислительной сети, осуществлялся перевод в другую подсеть за счет смены DHCP-сервером IP-адресов для сетевых устройств, между которыми установлено сетевое соединение 132 без множественной адресации, как предусмотрено в способе-прототипе. Для установления такого типа сетевого соединения, для примера, применялся протокол транспортного уровня TCP.
На втором этапе (см. фиг. 8б), при сканировании злоумышленником вычислительной сети, перевод в другую подсеть осуществляется посредством смены IP-адресов на один из множества доступных, предварительно заданных DHCP-сервером в рамках установленного сетевого соединения с множественной адресацией 133, как это предусмотрено в заявленном способе. Для установления сетевого соединения с множественной адресацией, для примера, применялся протокол транспортного уровня SCTP.
На первом этапе эксперимента (см. фиг. 8а), представлены результаты перевода сетевых устройств в другую подсеть. По причине отсутствия у сетевых устройств дополнительных IP-адресов, происходит разрыв сетевого соединения, о чем сообщается в столбце «Info» 134. Дальнейшая передача сообщений будет доступна только после установления нового сетевого соединения.
На втором этапе эксперимента (см. фиг. 8а), представлены результаты перевода сетевых устройств в другую подсеть при использовании сетевых соединений с множественной адресацией между сетевыми устройствами. Так, при обнаружении сканирования злоумышленником вычислительной сети, был осуществлен переход на очередной предварительно заданный для установленного сетевого соединения с множественной адресацией IP-адрес из подсети 140.30.191.0. После проверки доступности новых IP-адресов служебным пакетом «HEARTBEAT» 135 и получения соответствующего подтверждения, информационных обмен возобновился, о чем свидетельствует появление пакета «DATA» 136.
Проведенный эксперимент показал, что смена IP-адресов сетевых устройств на очередные, предварительно заданные DHCP-сервером, в рамках установленного сетевого соединения с множественной адресацией, не приводит к разрыву активных сетевых соединений, обеспечивая тем самым непрерывность процесса информационного обмена.
Таким образом, в заявленном способе обеспечивается достижение сформулированной цели, заключающейся в повышении результативности защиты за счет обеспечения изменения IP-адресов сетевых устройств в рамках нескольких подсетей без разрыва установленных между ними критически важных сетевых соединений, в снижении ресурсоемкости защиты и повышение доступности санкционированных сетевых устройств за счет снижения степени централизации процесса смены IP-адресов путем обеспечения локализации их смены сетевыми устройствами в рамках предварительно задаваемого и распределяемого DHCP-сервером множества.

Claims (2)

1. Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают множество {IP}={IP1, IP2, …, IPN} IP-адресов сетевых устройств вычислительной сети, где N - максимально допустимое значение количества IP-адресов сетевых устройств вычислительной сети, затем задают множество {МАС}={МАС1, МАС2, …, МАСМ} MAC-адресов сетевых устройств вычислительной сети, где М - максимальное количество сетевых устройств в вычислительной сети, далее задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети где d - номер подсети DHCP-сервера, d=1, 2, …, D, где D - максимальное количество номеров подсетей, после этого для каждого подмножества d задают IP-адреса DHCP-серверов где - IP-адрес DHCP-сервера, далее задают DIP = [1, 2, …, D] - массив памяти для хранения номеров подсетей DHCP-сервера, после этого задают - максимальное значение времени аренды всех IP-адресов подсети с номером d, затем задают NA - массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, далее задают множество {CIPt}={CIP1, CIP2, …, CIPT} идентификаторов сетевых соединений между сетевыми устройствами вычислительной сети, где Т - максимальное количество идентификаторов сетевых соединений, после этого задают At - маркер активности соединения CIPt между сетевыми устройствами вычислительной сети, задают С=[CIP1, CIP2, …, CIPT] - массив памяти для хранения идентификаторов сетевых соединений, затем задают - множество идентификаторов критически важных соединений между абонентами вычислительной сети, после этого задают - массив памяти для хранения идентификаторов критически важных соединений, между сетевыми устройствами вычислительной сети, которые не подлежат разрыву, далее задают множество {TS}≥1 идентификаторов санкционированных информационных потоков, после этого задают множество IP-адресов ложных абонентов подсети d где ƒ - максимально допустимое количество ложных IP-адресов сетевых устройств подсети d, затем подключают сетевые устройства к вычислительной сети, далее направляют сетевыми устройствами вычислительной сети сообщения для DHCP-сервера с IP-адресом после этого принимают DHCP-сервером с IP-адресом сообщения от сетевых устройств вычислительной сети, затем устанавливают на DHCP-сервере соответствие MAC- и IP-адресов, далее запоминают соответствие MAC- и IP-адресов в массиве памяти NA, после этого формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, значения времени продолжительности их аренды номер подсети d и IP-адрес выбранного DHCP-сервера для обратившихся с запросом сетевых устройств вычислительной сети, далее направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети, затем принимают каждым сетевым устройством вычислительной сети сообщения от DHCP-сервера, после этого направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор, далее задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, значения времени продолжительности их аренды номер подсети d и IP-адрес выбранного DHCP-сервера, после этого удаляют из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, затем устанавливают соединения между сетевыми устройствами вычислительной сети, далее назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPt, после этого запоминают идентификаторы CIPt в массиве памяти С, затем принимают из канала связи пакет сообщений, далее выделяют из заголовка принятого пакета сообщений идентификатор информационного потока, после этого сравнивают его с идентификаторами санкционированных информационных потоков из множества {TS}, при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков из множества {TS} передают пакет сообщений получателю и вновь принимают из канала связи следующий пакет сообщений, при несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков из множества {TS} сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети из множества {FIP}, при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов из множества {FIP} игнорируют принятый пакет сообщений, в ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов из множества {FIP), сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd и в случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают МАС-адрес сетевого устройства из массива NA DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива DIP следующий номер подсети, для чего увеличивают номер подсети d на единицу (d=d+l), затем вновь формируют массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, после этого формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые уникальные IP-адреса, формируют DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды следующий номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, далее направляют с DHCP-сервера сетевым устройствам вычислительной сети ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые IP-адреса, значение времени продолжительности их аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, после этого принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые IP-адреса, значение времени продолжительности аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера далее сравнивают, принадлежит ли идентификатор соединения между сетевыми устройствами вычислительной сети CIPt множеству идентификаторов критических соединений из массива СС, в случае если идентификатор соединения CIPt не принадлежит множеству идентификаторов критических соединений СС, то направляют с DHCP-сервера сообщение сетевым устройствам вычислительной сети о прекращении аренды текущего IP-адреса, для чего задают после этого задают каждому сетевому устройству вычислительной сети новые IP-адреса, новое значение времени продолжительности аренды номер подсети d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, в ином случае, то есть, когда соединение является критически важным, считывают маркеры активности соединений At идентификаторов CIPt из множества СС, далее сравнивают, является ли критически важное соединение активным, и в случае если оно не активно At=0, то задают для каждого сетевого устройства вычислительной сети новые уникальные IP-адреса, значение времени продолжительности аренды IP-адресов номер подсети d+l и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, иначе, вновь считывают маркеры активности соединений At идентификаторов CIPt из множества СС, отличающийся тем, что в предварительно заданные исходные данные дополнительно задают множество {d}={d1, d2, …, D} номеров подсетей для физических сетевых интерфейсов сетевых устройств вычислительной сети, где D - максимальное количество номеров подсетей, подмножество IP-адресов физических сетевых интерфейсов сетевых устройств, находящихся в подсети d, где Z - M, a Z - максимальное количество всех IP-адресов физических сетевых интерфейсов сетевых устройств, далее задают множество {k}={k1, k2, …, K} номеров подсетей для логических интерфейсов сетевых устройств вычислительной сети, где {k}∉{d}, а K - максимальное количество номеров подсетей, затем задают подмножества IP-адресов логических интерфейсов сетевых устройств, находящихся в подсети k, где Z+V=N, а V - максимальное количество всех IP-адресов логических интерфейсов сетевых устройств, после этого задают IPdhcp - IP-адреса DHCP-сервера для подсетей d и k, затем задают DIP=[1, 2, …, D)] - массив памяти DHCP-сервера для хранения номеров подсетей физических сетевых интерфейсов сетевых устройств вычислительной сети, после этого задают KIP=[1, 2, …, K] - массив памяти DHCP-сервера для хранения номеров подсетей логических интерфейсов сетевых устройств вычислительной сети, далее задают tmax - максимальное значение времени аренды каждого из IP-адресов подсетей d и k, затем задают NA - массив памяти DHCP-сервера для хранения матрицы соответствия MAC- и IP-адресов физических и логических интерфейсов сетевых устройств вычислительной сети, после этого задают множество {FIP}={FIP1, FIP2, …, FIPƒ} ложных IP-адресов логических интерфейсов сетевых устройств вычислительной сети, где а ƒ - максимально допустимое количество ложных IP-адресов логических интерфейсов сетевых устройств вычислительной сети, затем после подключения сетевых устройств к вычислительной сети направляют с физических и логических интерфейсов сетевых устройств вычислительной сети сообщения к DHCP-серверу для получения ими номеров подсетей {d} и {k}, IP-адресов из подмножеств {IPd} и {IPk}, времени продолжительности аренды tmax этих IP-адресов, а также параметров синхронизации установленного часового пояса, далее принимают DHCP-сервером сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети, после этого устанавливают соответствие MAC-адресов, IP-адресов физических интерфейсов и IP-адресов логических интерфейсов сетевых устройств, запоминают на DHCP-сервере соответствие MAC-адресов, IP-адресов физических интерфейсов и IP-адресов логических интерфейсов сетевых устройств в массиве памяти NA, далее формируют DHCP-сервером для физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения, содержащие номера подсетей {d} и {k}, IP-адреса из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса, затем направляют с DHCP-сервера сформированные ответные сообщения для физических и логических интерфейсов сетевых устройств вычислительной сети, после этого принимают каждым физическим и логическим интерфейсом сетевых устройств вычислительной сети сообщения от DHCP-сервера, далее направляют от физических и логических интерфейсов сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, затем принимают DHCP-сервером сообщения от физических и логических интерфейсов сетевых устройств вычислительной сети, подтверждающие их выбор, после этого задают для физических и логических интерфейсов сетевых устройств вычислительной сети номера подсетей {d} и {k}, IP-адреса из подмножеств {IPd} и {IPk}, время продолжительности их аренды tmax, а также параметры синхронизации установленного часового пояса, далее устанавливают сетевые соединения между сетевыми устройствами вычислительной сети с использованием только логических интерфейсов, затем задают логическим интерфейсам сетевых устройств вычислительной сети подсеть k1 в качестве основной для приема и передачи сообщений, далее после назначения установленным соединениям вычислительной сети идентификаторов CIPt, их запоминания в массиве памяти С, приема из канала связи пакета сообщений и выделения из его заголовка идентификаторов, последующего сравнения выделенных идентификаторов с идентификаторами санкционированных информационных потоков в случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков из множества {TS}, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств вычислительной сети из множества {FIP), после этого при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP} игнорируют принятый пакет сообщений, в ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами логических интерфейсов сетевых устройств из множества {FIP} сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом логических интерфейсов сетевых устройств вычислительной сети из множества {IPk} и с каждым IP-адресом физических интерфейсов сетевых устройств вычислительной сети из множества {IPd}, в случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают МАС-адрес сетевого устройства из массива NА DHCP-сервера, а в случае их несовпадения направляют с DHCP-сервера для логических интерфейсов сетевых устройств в подсети k1 сообщения о прекращении аренды текущих IP-адресов, для чего устанавливают tmax=0, затем задают логическим интерфейсам сетевых устройств вычислительной сети очередную подсеть в качестве основной для информационного обмена до момента появления следующего несанкционированного информационного потока, в случае если очередной вновь заданный номер подсети логических интерфейсов сетевых устройств меньше K, то принимают из канала связи следующий пакет сообщений, в ином случае, если очередной вновь заданный номер подсети логических интерфейсов сетевых устройств равен номеру K, то вновь формируют множество номеров подсетей подмножества IP-адресов время их аренды tmax, устанавливают в массиве памяти NA соответствия MAC-, IP-адресов физических интерфейсов сетевых устройств и вновь сформированных IP-адресов для логических интерфейсов сетевых устройств вычислительной сети, после этого направляют DHCP-сервером ответные сообщения для логических интерфейсов сетевых устройств вычислительной сети, содержащие сформированные номера подсетей из множества {k'}, IP-адреса из подмножеств и время их аренды tmax, затем принимают каждым логическим интерфейсом сетевых устройств вычислительной сети сообщения, содержащие сформированные номера подсетей из множества {k}, IP-адреса из подмножеств и время их аренды tmax, далее задают каждому логическому интерфейсу сетевых устройств подсетей {k1, k2, …, K-1} новые номера подсетей IP-адреса из подмножеств и время их аренды tmax, после этого в случае обнаружения информационных потоков с несанкционированными идентификаторами в подсети K направляют с DHCP-сервера для логических интерфейсов сетевых устройств вычислительной сети сообщение о прекращении аренды IP-адресов в подсети K, для чего устанавливают их время аренды tmax=0, далее задают логическим интерфейсам сетевых устройств новую подсеть в качестве основной для приема и передачи сообщений, затем задают каждому логическому интерфейсу сетевых устройств подсети K новые номера подсетей K, IP-адреса в этой подсети, время их аренды tmax.
2. Способ по п. 1, отличающийся тем, что максимальное количество логических сетевых интерфейсов K выбирают в пределах от 5 до 4000.
RU2023100318A 2023-01-10 Способ защиты вычислительных сетей RU2810193C1 (ru)

Publications (1)

Publication Number Publication Date
RU2810193C1 true RU2810193C1 (ru) 2023-12-22

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747751B2 (en) * 2005-12-30 2010-06-29 Siemens Aktiengesellschaft IP address allocation method
US8677473B2 (en) * 2008-11-18 2014-03-18 International Business Machines Corporation Network intrusion protection
RU2716220C1 (ru) * 2019-07-22 2020-03-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
US20200112544A1 (en) * 2018-10-04 2020-04-09 Level 3 Communications, Llc Systems and methods for blocking spoofed traffic
RU2769075C1 (ru) * 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747751B2 (en) * 2005-12-30 2010-06-29 Siemens Aktiengesellschaft IP address allocation method
US8677473B2 (en) * 2008-11-18 2014-03-18 International Business Machines Corporation Network intrusion protection
US20200112544A1 (en) * 2018-10-04 2020-04-09 Level 3 Communications, Llc Systems and methods for blocking spoofed traffic
RU2716220C1 (ru) * 2019-07-22 2020-03-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2769075C1 (ru) * 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов

Similar Documents

Publication Publication Date Title
US7499999B2 (en) Security apparatus and method for local area networks
US10187387B2 (en) Method for establishing connection between devices
US7448076B2 (en) Peer connected device for protecting access to local area networks
US20190166108A1 (en) System and method employing an agile network protocol for secure communications using secure domain names
EP1779589B1 (en) Arrangement for tracking ip address usage based on authenticated link identifier
US20170063799A1 (en) System and method for establishing a communication link
Goyal et al. An efficient solution to the ARP cache poisoning problem
JP2003527799A (ja) システム可用性が保証された安全な通信を可能にするアジル・ネットワーク・プロトコルの改良
JP2002529965A (ja) 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
EP2145458A1 (en) Method and apparatus for protecting the routing of data packets
Supriyanto et al. Survey of internet protocol version 6 link local communication security vulnerability and mitigation methods
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
JP2003535560A (ja) 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
Shah et al. Optimizing security and address configuration in IPv6 SLAAC
Shete et al. DHCP protocol using OTP based two-factor authentication
Al-Ani et al. NDPsec: Neighbor Discovery Protocol Security Mechanism
Al-Ani et al. Proposed DAD-match mechanism for securing duplicate address detection process in IPv6 link-local network based on symmetric-key algorithm
Rafiee et al. A secure, flexible framework for dns authentication in ipv6 autoconfiguration
Ahmed et al. Secure neighbor discovery (SeND): Attacks and challenges
RU2716220C1 (ru) Способ защиты вычислительных сетей
RU2810193C1 (ru) Способ защиты вычислительных сетей
Kabir et al. Securing the private realm gateway
Baig et al. A trust-based mechanism for protecting IPv6 networks against stateless address auto-configuration attacks
Krylov et al. SDI defense against DDoS attacks based on IP Fast Hopping method
Bagnulo et al. SAVI: The IETF standard in address validation