Способ контроля среды распространения сигналов локальной вычислительной сети в интересах защиты

В настоящее время наиболее распространенным стандартом построения локальных вычислительных сетей (ЛВС) является IEEE 802.3 (Ethernet). Общая среда распространения сигналов сетей Ethernet, использующих механизм широковещательного обмена сетевыми кадрами, является платформой для реализации угроз конфиденциальности информации не только с использованием специальных средств, но и посредством несанкционированного подключения к среде распространения стандартного сетевого оборудования, поддерживающего на аппаратном или программном уровне режим “беспорядочного” захвата (promiscuous mode) сетевых кадров. Режим “беспорядочного” захвата сетевых кадров используется в анализаторах протоколов, служащих для мониторинга и диагностики локальных сетей.

просмотров: 228608.02.2011 В.В. Мирошников, А.Ф. Петигин

В.В. Мирошников, А.Ф. Петигин
Россия, г. Воронеж, Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю

Способ контроля среды распространения сигналов локальной вычислительной сети в интересах защиты от несанкционированного доступа к информации

Особенностью анализаторов протоколов, в значительной мере затрудняющей пресечение их несанкционированного использования, является их функциональная пассивность по отношению к среде распространения сигналов – анализаторы работают только на прием сетевых кадров, не раскрывая свое присутствие передачей трафика по сети. Современные средства контроля защищенности (программные утилиты Check Promiscuous Mode, L0pht AntiSniff, PromiScan, Sentinel и им подобные) используют провоцирование станции злоумышленника, на которой установлен анализатор протоколов, прервать свое молчание. Например, как и любая станция ЛВС, станция злоумышленника обязана отвечать на определенные запросы протоколов ARP, DNS, ICMP, что и используется средствами контроля. 

Однако, в соответствии с моделью нарушителя [1], следует предполагать, что злоумышленнику известно об использовании в ЛВС указанных выше средств контроля. Достаточной контрмерой злоумышленника является отключение передающего тракта анализатора протоколов на аппаратном или программном уровне. После этого современные средства обнаружения будут не в состоянии выявить нелегитимное подключение анализатора протоколов к среде распространения сигналов ЛВС. В описанных условиях обеспечить эффективное выявление анализаторов протоколов оказывается возможным только посредством контроля общей среды распространения ЛВС на физическом уровне на предмет фиксации подключений к ней нелегитимного сетевого оборудования. Предлагаемый способ обеспечивает решение данной задачи для спецификаций 10‑BASE‑2 и 10‑BASE‑5 стандарта IEEE 802.3, использующих в качестве среды распространения сигналов коаксиальный кабель.

На сегодняшний день самым эффективным способом контроля проводных линий на предмет выявления несанкционированных подключений является рефлектометрия [2], основанная на использовании широкополосных сигналов для формирования импульсной характеристики линии. Однако применение методов рефлектометрии оказывается невозможным для контроля кабельной системы ЛВС при наличии трафика в сети. Причина в том, что зондирование линии широкополосными импульсами в моменты наличия трафика приведет, во-первых, к неработоспособности сети, а во-вторых, рефлектограмма окажется искаженной спектральными составляющими сигналов сетевого трафика и непригодной для анализа.

Международный стандарт IEEE 802.3 [3] определяет универсальный в рамках всего сетевого оборудования Ethernet функциональный элемент, реализующий интерфейс оконечного сетевого оборудования со средой распространения сигналов и выполняющий все функции по организации физического уровня канала передачи данных сети – MAU (Мedium Аttachment Unit), реализуемый производителями сетевого оборудования рассматриваемых спецификаций в виде микросхем стандарта CTI 8392 – Coaxial Transceiver Interface.

Декларированные стандартом [3] технические условия эксплуатации MAU не оговаривают возможности передачи по среде распространения локальной сети сторонних сигналов одновременно с передачей трафика. Однако, как показали результаты экспериментов, при наличии трафика оказывается возможной передача по кабельной системе ЛВС гармонических сигналов с частотой, лежащей выше верхней границы частотного диапазона сетевого трафика, равной 100 МГц, без оказания влияния на работоспособность сети. Средняя скорость передачи данных, латентность, уровень коллизий и удельное количество сбойных кадров не изменяются. Результаты исследований свидетельствуют о наличии в микросхемах CTI высокочастотной фильтрации сигнала, снимаемого с кабеля ЛВС.

Таким образом, частотный диапазон с нижней границей 100 МГц может быть использован, в частности, для решения задачи контроля среды распространения сети с использованием узкополосных гармонических сигналов.

Кроме того, входная емкость микросхем CTI устанавливается стандартом IEEE 802.3 на уровне 6 пФ (как при включенном питании, так и в обесточенном состоянии). Однако проведенные практические измерения показали, что помимо высокоомной активной составляющей входной импеданс микросхем CTI обладает реактивной составляющей емкостного характера величиной около 70 пФ с конструктивным дрейфом данного параметра в пределах 10 %. В частности, были исследованы микросхемы семейства CTI следующих ведущих производителей сетевого оборудования и его комплектующих: RTL8092 (Realtek semicondactor corp.), W89C92 (Winbond corp.), DP8391/92 (National semiconductors), 78Q8392L (TDK semiconductor corp.), NE83C92 (Philips semiconductors), MTD492 (Myson technology).

Наличие емкостной составляющей входного импеданса микросхем CTI означает, что любое несанкционированное подключение к кабельной системе ЛВС с помощью штатного сетевого оборудования обладает демаскирующими признаками, обусловленными появлением в линии локальной емкостной неоднородности. Обнаружение подключения, таким образом, возможно осуществить посредством зондирования кабельной системы ЛВС узкополосным гармоническим сигналом и контроля изменений его параметров вследствие появления неоднородности. При этом фаза зондирующего сигнала оказывается более устойчивым к помехам параметром контроля по сравнению с амплитудой, которая может быть подвержена влиянию даже механических воздействий на кабель, что приведет к высокому уровню ложных тревог.

Можно показать [4], что подключение емкостной неоднородности приводит к появлению в выражении для коэффициента передачи линии множителя вида,

где – волновое сопротивление линии (в спецификациях 10‑BASE‑2 и 10‑BASE‑5 стандарта IEEE 802.3 используются коаксиальные кабели с =50 Ом);

– величина емкости (входная емкость микросхем CTI равна 70 пФ).

Таким образом, подключение сетевого оборудования к кабелю ЛВС влечет внесение дополнительной задержки в фазу зондирующего гармонического сигнала в зависимости от выбора частоты сигнала, величиной, что, например, для частоты 150 МГц составит рад ( град) с учетом дрейфа входной емкости сетевого оборудования.

Фиксация фазовых сдвигов указанного порядка не требует использования высокоточной измерительной аппаратуры и может быть реализована при помощи типовой элементной базы.

Предлагаемый способ ориентирован на предотвращение возможности перехвата сетевых кадров путем своевременного обнаружения факта несанкционированного подключения сетевого оборудования к кабельной системе локальной сети и принятия адекватных мер противодействия. Кроме того, организация контроля среды распространения сигналов ЛВС позволяет обеспечить обнаружение подключений легитимного сетевого оборудования в интересах подтверждения неизменности сетевой конфигурации, что является одним из требований для объектов информатизации, аттестованных по требованиям безопасности информации.

Библиографический список

1. Сборник руководящих документов по защите информации от несанкционированного доступа – М.: Гостехкомиссия России, 1998.

2. Ананский Е.В. Защита телефонных переговоров. Служба безопасности. №6-7 2000 .

3. IEEE Standard for Information technology. Telecommunications and information exchange between systems: Local and metropolitan area networks: Specific requirements. Part 3: Carrier sense multiple access with collision detection (CSMA/CD) access method and physical layer specifications – ANSI/IEEE 802.3, 2000.

4. Каганов З.Г. Электрические цепи с распределенными параметрами и цепные схемы, М: Энергоатомиздат, 1990.

Читайте также


Каталог услуг

Каталог продукции

Наши партнеры

Перейти к каталогу

Корзина заказов пуста!