|
|
№ 2 март-апрель 2008 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
ОБНАРУЖЕНИЕ НЕСАНКЦИОНИРОВАННОГО КОПИРОВАНИЯ ETHERNET-ТРАФИКА
В ЛОКАЛЬНЫХ И ФЕДЕРАЛЬНЫХ СЕТЯХ
А. В. Беляев, к. т. н., С. А. Петренко, CISO |
|
|
Повсеместное внедрение стандарта Ethernet в локальных (LAN), а в настоящее время и федеральных (MAN) сетях поднимает целый ряд вопросов, связанных с обеспечением конфиденциальности и целостности передаваемых данных, а также доступности сервиса в целом. Одним из таких вопросов является встроенная в большое число моделей активного сетевого оборудования стандарта Ethernet возможность пересылать копию передаваемого трафика на рабочую станцию, отличную от получателя. Заявляемая разработчиками устройств исключительно как средство отладки и мониторинга данная возможность тем не менее является весьма серьезной угрозой для конфиденциальности любых передаваемых по сети Ethernet данных, будь то файлы, мгновенные сообщения или трафик IP-телефонии.
Высокая степень опасности указанной угрозы вызвана тем фактом, что при получении злоумышленником прав на изменение конфигурации оборудования его действия, направленные на копирование («ответвление») трафика на нецелевой порт, не будут иметь практически никаких демаскирующих признаков (в отличие от атак вида MAC-storm или ARP poisoning, направленных на те же цели). Просмотр администратором безопасности настроек оборудования (при условии регулярного проведения и имея одной из целей проверку отсутствия несанкцио-нированных ответвлений трафика), несомненно, выявит подобные злоупотребления. Однако данный путь трудно формализуем в случае использования разнородного оборудования и, следовательно, при необходимой периодичности проверок потребует неприемлемых затрат времени.
Давайте рассмотрим возможный метод автоматического контроля отсутствия несанкционированного ответвления Ethernet-трафика. Метод предполагает использование типовых протоколов и стандартов сетевой статистики (SNMP и аналогичных) на периодической основе с целью обнаружения корреляций между объемами защищаемого трафика и трафика по нецелевым портам. Для значительного повышения быстродействия и точности метода предлагается в моменты проведения измерений корреляций генерировать между защищаемыми абонентами фиктивный сетевой трафик в объемах, достаточных для быстрого и достоверного обнаружения ответвлений, но не превышающих в совокупности порог пропускной способности канала.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|