Способ контроля среды распространения сигналов локальной вычислительной сети в интересах защиты

просмотров: 704308.02.2011 В.В. Мирошников, А.Ф. Петигин

В.В. Мирошников, А.Ф. Петигин
Россия, г. Воронеж, Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю

Способ контроля среды распространения сигналов локальной вычислительной сети в интересах защиты от несанкционированного доступа к информации

Особенностью анализаторов протоколов, в значительной мере затрудняющей пресечение их несанкционированного использования, является их функциональная пассивность по отношению к среде распространения сигналов – анализаторы работают только на прием сетевых кадров, не раскрывая свое присутствие передачей трафика по сети. Современные средства контроля защищенности (программные утилиты Check Promiscuous Mode, L0pht AntiSniff, PromiScan, Sentinel и им подобные) используют провоцирование станции злоумышленника, на которой установлен анализатор протоколов, прервать свое молчание. Например, как и любая станция ЛВС, станция злоумышленника обязана отвечать на определенные запросы протоколов ARP, DNS, ICMP, что и используется средствами контроля. 

Однако, в соответствии с моделью нарушителя [1], следует предполагать, что злоумышленнику известно об использовании в ЛВС указанных выше средств контроля. Достаточной контрмерой злоумышленника является отключение передающего тракта анализатора протоколов на аппаратном или программном уровне. После этого современные средства обнаружения будут не в состоянии выявить нелегитимное подключение анализатора протоколов к среде распространения сигналов ЛВС. В описанных условиях обеспечить эффективное выявление анализаторов протоколов оказывается возможным только посредством контроля общей среды распространения ЛВС на физическом уровне на предмет фиксации подключений к ней нелегитимного сетевого оборудования. Предлагаемый способ обеспечивает решение данной задачи для спецификаций 10‑BASE‑2 и 10‑BASE‑5 стандарта IEEE 802.3, использующих в качестве среды распространения сигналов коаксиальный кабель.

На сегодняшний день самым эффективным способом контроля проводных линий на предмет выявления несанкционированных подключений является рефлектометрия [2], основанная на использовании широкополосных сигналов для формирования импульсной характеристики линии. Однако применение методов рефлектометрии оказывается невозможным для контроля кабельной системы ЛВС при наличии трафика в сети. Причина в том, что зондирование линии широкополосными импульсами в моменты наличия трафика приведет, во-первых, к неработоспособности сети, а во-вторых, рефлектограмма окажется искаженной спектральными составляющими сигналов сетевого трафика и непригодной для анализа.

Международный стандарт IEEE 802.3 [3] определяет универсальный в рамках всего сетевого оборудования Ethernet функциональный элемент, реализующий интерфейс оконечного сетевого оборудования со средой распространения сигналов и выполняющий все функции по организации физического уровня канала передачи данных сети – MAU (Мedium Аttachment Unit), реализуемый производителями сетевого оборудования рассматриваемых спецификаций в виде микросхем стандарта CTI 8392 – Coaxial Transceiver Interface.

Декларированные стандартом [3] технические условия эксплуатации MAU не оговаривают возможности передачи по среде распространения локальной сети сторонних сигналов одновременно с передачей трафика. Однако, как показали результаты экспериментов, при наличии трафика оказывается возможной передача по кабельной системе ЛВС гармонических сигналов с частотой, лежащей выше верхней границы частотного диапазона сетевого трафика, равной 100 МГц, без оказания влияния на работоспособность сети. Средняя скорость передачи данных, латентность, уровень коллизий и удельное количество сбойных кадров не изменяются. Результаты исследований свидетельствуют о наличии в микросхемах CTI высокочастотной фильтрации сигнала, снимаемого с кабеля ЛВС.

Таким образом, частотный диапазон с нижней границей 100 МГц может быть использован, в частности, для решения задачи контроля среды распространения сети с использованием узкополосных гармонических сигналов.

Кроме того, входная емкость микросхем CTI устанавливается стандартом IEEE 802.3 на уровне 6 пФ (как при включенном питании, так и в обесточенном состоянии). Однако проведенные практические измерения показали, что помимо высокоомной активной составляющей входной импеданс микросхем CTI обладает реактивной составляющей емкостного характера величиной около 70 пФ с конструктивным дрейфом данного параметра в пределах 10 %. В частности, были исследованы микросхемы семейства CTI следующих ведущих производителей сетевого оборудования и его комплектующих: RTL8092 (Realtek semicondactor corp.), W89C92 (Winbond corp.), DP8391/92 (National semiconductors), 78Q8392L (TDK semiconductor corp.), NE83C92 (Philips semiconductors), MTD492 (Myson technology).

Наличие емкостной составляющей входного импеданса микросхем CTI означает, что любое несанкционированное подключение к кабельной системе ЛВС с помощью штатного сетевого оборудования обладает демаскирующими признаками, обусловленными появлением в линии локальной емкостной неоднородности. Обнаружение подключения, таким образом, возможно осуществить посредством зондирования кабельной системы ЛВС узкополосным гармоническим сигналом и контроля изменений его параметров вследствие появления неоднородности. При этом фаза зондирующего сигнала оказывается более устойчивым к помехам параметром контроля по сравнению с амплитудой, которая может быть подвержена влиянию даже механических воздействий на кабель, что приведет к высокому уровню ложных тревог.

Можно показать [4], что подключение емкостной неоднородности приводит к появлению в выражении для коэффициента передачи линии множителя вида,

где – волновое сопротивление линии (в спецификациях 10‑BASE‑2 и 10‑BASE‑5 стандарта IEEE 802.3 используются коаксиальные кабели с =50 Ом);

– величина емкости (входная емкость микросхем CTI равна 70 пФ).

Таким образом, подключение сетевого оборудования к кабелю ЛВС влечет внесение дополнительной задержки в фазу зондирующего гармонического сигнала в зависимости от выбора частоты сигнала, величиной, что, например, для частоты 150 МГц составит рад ( град) с учетом дрейфа входной емкости сетевого оборудования.

Фиксация фазовых сдвигов указанного порядка не требует использования высокоточной измерительной аппаратуры и может быть реализована при помощи типовой элементной базы.

Предлагаемый способ ориентирован на предотвращение возможности перехвата сетевых кадров путем своевременного обнаружения факта несанкционированного подключения сетевого оборудования к кабельной системе локальной сети и принятия адекватных мер противодействия. Кроме того, организация контроля среды распространения сигналов ЛВС позволяет обеспечить обнаружение подключений легитимного сетевого оборудования в интересах подтверждения неизменности сетевой конфигурации, что является одним из требований для объектов информатизации, аттестованных по требованиям безопасности информации.

Библиографический список

1. Сборник руководящих документов по защите информации от несанкционированного доступа – М.: Гостехкомиссия России, 1998.

2. Ананский Е.В. Защита телефонных переговоров. Служба безопасности. №6-7 2000 .

3. IEEE Standard for Information technology. Telecommunications and information exchange between systems: Local and metropolitan area networks: Specific requirements. Part 3: Carrier sense multiple access with collision detection (CSMA/CD) access method and physical layer specifications – ANSI/IEEE 802.3, 2000.

4. Каганов З.Г. Электрические цепи с распределенными параметрами и цепные схемы, М: Энергоатомиздат, 1990.