Книга: Защита информации в сетях связи с гарантированным качеством обслужи
Данный тип нарушений имеет активный характер воздействия на элементы сети и передаваемую информацию. Основная цель этих нарушений состоит в изменении либо уничтожении потоков информации на сети.
К пассивным нарушениям относится перехват с целью получения передаваемой информации, ее анализа и использования в определенных целях.
Достаточно уверенно можно утверждать, что пассивные нарушения ставят своей конечной целью переход в группу активных нарушений.
Приведенная выше классификация нарушений защиты информации представлена в таблице 1.1.
Перечисленные виды нарушений могут иметь место, как в плоскости пользователя, так и в плоскостях управления и менеджмента (рисунок 1.2 б)). Причем, активные виды нарушений (прерывание, модификация и фальсификация) в плоскости менеджмента ведут к нарушениям либо уничтожению информации, хранимой в базах данных УК. В результате нарушаются таблицы маршрутизации и как результат – невозможность нормального функционирования плоскостей управления (сигнализации) и пользователя.
1.3 Сервисные службы, профиль защиты и соединения защиты информации
Сервисные службы защиты информации (рисунок 1.4) являются ответственными за обеспечение основных требований пользователей, предъявляемых к телекоммуникационным системам (с точки зрения ее надежности). Причем данные службы должны функционировать во всех трех плоскостях: менеджмента, управления и пользовательской.
Совокупность сервисных служб защиты информации, обеспечивающих требования пользователей, образуют профиль защиты .
За установку и прекращение действия той или иной службы отвечают агенты защиты (SecurityAgent , SA). Согласование служб защиты между агентами происходит через соединения защиты . По этим соединениям производится обмен информацией защиты .
Рисунок 1.5 демонстрирует самый простой вариант организации соединения защиты - агенты защиты размещены в пределах конечных систем пользователей. В данном случае конечные системы и агенты защиты взаимодействуют с сетью через интерфейс «пользователь – сеть + защита» (UNI+Sec).
Агенты защиты для виртуального соединения (канала либо тракта), который установлен между конечными системами пользователей, последовательно выполняют следующие действия:
· определяют вид сервисных служб защиты, которые должны быть применены к данному виртуальному соединению;
· согласовывают службы защиты между собой;
· применяют требуемые службы защиты к данному виртуальному соединению.
Количество соединений защиты должно быть равно количеству установленных служб защиты. То есть, если для данного виртуального соединения одновременно требуется аутентификация, конфиденциальность и достоверность данных, то устанавливается три самостоятельных соединения защиты.
Рисунок 1.6 показывает другой вариант организации соединения защиты. В этом случае один агент защиты размещается на конечной системе пользователя, а другой на коммутаторе виртуальных каналов. Соответственно, пользователи и агенты защиты взаимодействуют с сетью связи через интерфейсы «пользователь – сеть» (UNI) либо UNI+Sec; коммутатор виртуальных каналов через интерфейс «узел – сеть + защита» (NNI+Sec). В данном случае агент защиты, размещенный в пределах коммутатора виртуальных каналов, имеет возможность обеспечивать службы защиты не только для пользователя П 2, но и для других узлов и сетей, которые подсоединяются к данному коммутатору виртуальных каналов. Часто таких агентов защиты называют брандмауэрами . Фактически брандмауэр – это шлюз, который выполняет функции защиты сети от несанкционированного доступа из вне (например, из другой сети).
Различают три типа брандмауэров (рисунок 1.7).
Шлюз уровня приложений часто называют прокси – сервером (proxyserver) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.
Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filteringrouter). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.
Шлюз уровня коммутации – защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.
Для увеличения надежности защиты виртуальных соединений (каналов и трактов) возможно использование более одной пары агентов защиты и более одного соединения защиты. В данном случае формируется топология соединений защиты , в основе которой заложен принцип вложения и не пересечения соединений защиты вдоль всего маршрута между УИ и УП (или конечными системами пользователей). Пример принципа вложения и не пересечения соединений защиты приведен на рисунке 1.8. В данном случае защита виртуального канала, организованного между конечными системами, осуществляется четырьмя соединениями защиты и восьмью агентами защиты (SA 1– SA 8). Причем, каждое соединение не знает о существовании других соединений и не заботится о том, какую службу защиты последние обеспечивают. То есть, соединения защиты абсолютно независимы друг от друга . Данный подход позволяет применять многочисленные стратегии и тактики защиты различных участков сети. Например, соединение защиты между агентами SA 1и SA 8 обеспечивает аутентификацию между конечными системами. Независимо от данного соединения соединение между SA 2и SA 7 обеспечивает конфиденциальность, а SA 2, SA 3, SA 4 и SA 4, SA 5, SA 6 достоверность данных.
Каждое соединение защиты можно представить в виде сегмента
,
где k – порядковый номер соединения защиты; i, j – порядковые номера агентов защиты.
Для рисунка 1.8 соединения защиты можно записать соответствующими сегментами:
;
;
;
.
В свою очередь второй сегмент оказывается вложенным в первый. То есть, в символьной форме это выглядит следующим образом:
.
Не пересечение сегментов 
и 
можно представить в виде:
.
Учитывая, что вложены в 
, то получим:
.
Окончательная символьная запись топологии соединений защиты, представленная на рисунке 1.8, выглядит следующим образом:
.
Из рисунка 1.8 и полученного выражения и видно, что данная топология соединений защиты виртуального канала между конечными системами имеет три уровня вложения.
Таким образом: