Одним из важнейших требований информационной безопасности, традиционно предъявляемых к сетям с многоуровневым доступом, является контроль пропускной способности скрытых каналов утечки информации [1]. Под скрытыми каналами (СК) понимается утечка информации за счет использования общих ресурсов для обработки информации различного уровня доступа. Наиболее наглядный и практически важный пример — телекоммуникационные каналы и сети связи. Большинство компаний и организаций традиционно использует общие ресурсы связи Интернет для организации виртуальных корпоративных связей — наиболее простого и одновременно эффективного решения. Защита информации в таких сетях обеспечивается шифрованием пакетного трафика в пограничных устройствах (шлюзах, VPN сети) в рамках технологий IPSEC, РРТР и др. Однако эти решения, при всей их привлекательности, не решают всех проблем защитной связи, поскольку зависят от надежности используемого программного обеспечения. Иными словами, эти методы уязвимы по отношению к атакам, основанным на внедрении в корпоративную сеть программ, обладающих скрытыми возможностями. Такие программы (вирусы) могут привести к утечке информации за пределы контролируемой зоны за счет модуляции параметров трафика, когда длине пакета или длительности межпакетного интервала сопоставляется информационный символ. Несмотря на то, что информация в канале зашифрована, указанные параметры трафика остаются доступными нарушителю для наблюдения за пределами контролируемой зоны.
Борьба с подобного рода угрозами может вестись путем ужесточения требований к программной среде и общих требований по режиму безопасности объектов информатизации (такой путь выбран в отечественных руководящих документах Гостехкомиссии РФ), однако в условиях децентрализации применения информационных технологий трудно получить надежные гарантии отсутствия СК, да и стоимость создания и эксплуатации систем с замкнутой функциональной средой очень высока. В США проблема СК решается по-другому, а именно, для системы высоких классов защищенности (классы В2, ВЗ и А1) определены требования по аудиту и ограничению пропускной способности СК [1]. Например, СК называются неопасными, если общая их пропускная способность не превышает нескольких битов в секунду [2]. Вопрос о том, почему такая ситуация может считаться нормальной, достаточно сложен и мы не будем его здесь рассматривать. Отметим лишь, что для большинства функциональных задач, в интересах которых разрабатываются сложные системы и используются современные информационные технологии, характерен эффект "агрегации", когда уровень секретности для совокупности однородных сведений растет с увеличением размера совокупности. СК с невысокой пропускной способностью не представляют угрозы для агрегирования сведений.
Устранение СК при передаче по каналам шифрованной связи достигается механизмами генерации ложного трафика, под которым понимается служебный трафик между пограничными шлюзами сети, неотличимый по внешнему виду от полезного трафика. Генерация ложного трафика сводится к включению в общий поток данных пустых пакетов (кадров), содержащих информацию, сгенерированную случайным образом. После завершения передачи шлюзом очередного пакета запускается таймер и канал связи переходит в состояние ожидания. По истечении времени срабатывания таймера при отсутствии пакета с полезными данными генерируется пакет с ложными данными, который подвергается шифрованию и передается в канал.
При появлении пакета с полезными данными в момент срабатывания таймера данный пакет зашифровывается и передается в канал. Таймер устанавливается в исходное состояние. При появлении очередного пакета с данными до момента срабатывания таймера пакет сохраняется в буферном накопителе и ожидает времени срабатывания таймера. Пакет уничтожается при переполнении буферного накопителя, когда скорость поступления пакетов из локальной вычислительной сети объекта превышает скорость, с которой данные передаются в канал связи.
Механизмы маскировки трафика, безусловно, устранят СК, однако они резко снижают эффективность использования каналов для организации взаимодействия через сети пакетной коммутации за счет необходимости передавать ложный трафик с высокой неизменной интенсивностью. Фактически все преимущества пакетной коммутации по сравнению с коммутацией физических каналов будут сведены на нет.
Кроме того, если реальная скорость ниже установленной границы, то пакеты будут передаваться в сеть слишком часто, что рано или поздно приведет к перегрузке сети. Вместе с тем, если реальная пропускная способность выше, чем установлено, то она просто не будет использоваться, поскольку пакеты, поступающие слишком часто, будут уничтожаться механизмами маскировки трафика.
Проблему СК можно решить путем использования адаптивных алгоритмов, когда пограничный узел сети осуществляет измерение текущей пропускной способности СК и с учетом априорных оценок поведения абонентов генерирует ложный трафик лишь тогда, когда пропускная способность С оказывается выше предельно установленной Сmах.
В общем случае задача оценки теоретической пропускной способности СК по Шеннону не тривиальна и требует решения нелинейных интегральных уравнений для определения оптимального закона распределения информационного сигнала с учетом заданного закона распределения коллизий (коллизия возникает в результате наложения модулирующего трафика на трафик абонентов сети, рассматриваемый в данном случае как помеха). Однако при принятии некоторых допущений на условия и алгоритм обработки пакетов задача значительно упрощается. В дальнейшем будем полагать выполненными следующие ограничения:
* обмен данными по сети осуществляется с использованием пакетов фиксированной длины L (при этом отсутствуют СК, обусловленные модуляцией длины пакетов);
* длительность межпакетного интервала Т принимается равной времени, кратному времени передачи пакета по каналу связи Т = L/Q, где Q — пропускная способность канала связи.
Очевидно, что при сделанных допущениях единственный вид модуляции, который может использовать программа нарушителя — двухпозиционная модуляция, когда интервалу занятия канала соответствует передача символа "1", а интервалу освобождения — символ "О", или наоборот.
Для оценки пропускной способности с учетом асимметричности СК (при принятии двоичного алфавита модуляции возможны искажения одного из символов — либо "О", либо "1" — в зависимости от принятой схемы кодирования) целесообразно воспользоваться выражением [3]
Закон поступления и обслуживания требований считался экспоненциальным. Данное вероятностное распределение среди всех простейших распределений наиболее точно описывает характеристики сетевого устройства, обслуживающего поток пакетов.
На рис. 1 приведены два профиля трафика корпоративной сети, один из которых получен экспериментально (с использованием простейшего сетевого монитора), а другой — расчетным путем, в рамках параметризации модели абонентов из (2).
С точки зрения вопросов безопасности р — это допущения о полезной нагрузке на канал связи, формируемой доверенными источниками. Доверенность означает, что источники нагрузки созданы на базе сертифицированных информационных технологий и функционируют в режиме замкнутой функциональной среды [4].
Соотношение (1) представляет собой среднее количество информации по Шеннону в расчете на один интервал модуляции длительности Т. Характеристика С зависит от параметров р1, р0 и р.
Исходя из ограничений обработки пакетов алгоритм адаптивной маскировки трафика будет выглядеть следующим образом.
Описанный адаптивный алгоритм обладает рядом преимуществ, не позволяя перегружать каналы связи ложным трафиком, если в этом нет необходимости. При прочих равных условиях этот алгоритм существенно снижает нагрузку на канал, тем самым повышая эффективность использования коммутируемых по требованию каналов связи или пакетных сетей передачи данных.
Эффективность предложенного алгоритма существенно зависит от особенностей передаваемого в канал трафика и точности его описания в моделях, подобных (2). В наиболее оптимальном случае, например при работе системы электронной почты, маскирующий трафик будет практически отсутствовать. В то же время для трафика, формируемого отдельными случайными пакетами, например SNМР-агентами, эффективность алгоритма существенно снижается.
Практические аспекты реализации алгоритма определяются возможностью создания аналитических и других, более сложных моделей, эффективных с вычислительной точки зрения и способных с высокой точностью описывать трафик в корпоративной сети.
