2015-04-12
635
Скрытые каналы в телекоммуникационных сетях образуются за счёт модуляции сетевого взаимодействия, в том числе данных в служебных заголовках динамических пакетов и длительности межпакетных интервалов. Особую значимость скрытые каналы имеют на стыке подсети.
Значимость подобных СК обусловлено максимальной величиной Risk Index, поскольку, пользователи открытой сети не допущены в ЛВС и утечка информации должна быть недопустима.
Для защиты ресурсов ЛВС от СК подобных типов используются механизмы маскировки трафика.
Под ложным трафиком понимается служебный трафик между пограничными шлюзами защищаемых сетей, не отличающихся по внешнему виду от полезного трафика.
Виды ложного трафика:
добавление в протокольные блоки (сетевые пакеты или канальные кадры) пустых символов для выравнивания их длины, что предотвращает возможность кодирования данных динамически передаваемых пакетов;
добавление в поток данных пустых пакетов, содержащих произвольную информацию, сгенерированную случайным образом. Интенсивные передачи ложных пакетов выбирается из обеспечения заданной длительности межпакетных интервалов.
Поток пакетов
VPN шлюза
сбор пакета
время
поток пакетов на выходе
вставка ложного пакета
время
Маскировка длины пакетов шлюза выполняется в следующей последовательности:
1. Пакет принимается шлюзом, подвергается предварительной фильтрации и определению дальнейшего маршрута передачи.
2. Если дальнейший маршрут передачи находится в другом локальном сегменте ЛВС, то принятый пакет отправляется в другой выходной интерфейс.
3. Если дальнейший маршрут находится во внешней сети, то осуществляется проверка длины пакета. Если длина меньше значения, установленного для данного интерфейса, то пакет дополняется нужным числом пустых символов с включением необходимой маркировки пустых символов.
4. Выровненный пакет подвергается шифрованию для передачи через открытую сеть на другой пограничный шлюз.
Маркировка межпакетных интервалов выполняется шлюзом в следующей последовательности:
1. После завершения передачи очередного пакета запускается временной таймер и интерфейс переходит в состояние ожидания. По истечению времени срабатывает таймер и отсутствие пакета с полезными данными генерируется в пакет с ложными данными, который подвергается шифрованию и выполнению действий, связанных с передачей во внешнюю сеть.
2. При поступлении пакета с полезными данными в момент срабатывания таймера, данный пакет подвергается шифрованию и передается в открытую сеть, таймер возвращается в исходное состояние.
3. При поступлении пакета до момента срабатывания таймера, пакет сохраняется в буфере и ожидает момента срабатывания таймера. Пакет уничтожается при переполнении буферного интерфейса накопителя, что может иметь место при перезагрузке канала.
Механизмы маскировки трафика решают проблему скрытых каналов, однако снижают эффективность использования телекоммуникационных ресурсов за счет необходимости передавать служебный трафик.
При монопольном использовании выделенных каналов проблем не возникает, но если канал разделяется между 2 или более ЛВС (как показано на рис.), оказывается невозможным динамическое распределение пропускной способности канала между этими ЛВС. Любая из ЛВС будет загружать канал, даже если у нее нет данных для передачи во внешнюю сеть.
Другая проблема связна с изменением реальной пропускной способности другого канала (т.е. фактической скоростью, с которой данные могут быть переданы во внешнюю сеть).
Реальная пропускная способность может уменьшаться за счет временной нагрузки узлов коммутации транспортной сети или отказов некоторых транзитных каналов связи.
