|
|
№ 6 ноябрь-декабрь 2006 г.
Тема номера:
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
|
ИСПОЛЬЗОВАНИЕ СУЩЕСТВУЮЩЕЙ СЕТЕВОЙ ИНФРАСТРУКТУРЫ
ДЛЯ РЕАЛИЗАЦИИ ФУНКЦИЙ СОРМ В СЕТЯХ СВЯЗИ СЛЕДУЮЩЕГО ПОКОЛЕНИЯ
Ю. С. Крюков |
|
|
Развитие инфокоммуникационной области на современном этапе происходит с заметным опережением формирования необходимых стандартов и механизмов реализации функций СОРМ – Системы оперативно-розыскных мероприятий (соответствующий англоязычный термин – Lawful Interception – LI). Сложившаяся ситуация характеризуется наличием соответствующих решений для традиционной телефонии, совсем не покрывающих однако новые, не ориентированные на коммутацию каналов услуги. Для оптимизации времени построения необходимых механизмов реализации функций СОРМ в сетях связи следующего поколения, таких как IPv6 и Mobile IPv6, подробно рассмотрим достоинства и недостатки сложившейся общемировой практики, которая опирается на устройства или системы мониторинга.
Введение
Сегодня функции СОРМ в сетях интернет-провайдеров реализуются при помощи механизмов, как правило, базирующихся на системах мониторинга. Используемая ФБР система Carnivore/DCS1000 является примером инструмента законного перехвата построенного на основе системы мониторинга, хотя известны и описаны также и многие другие коммерческие реализации механизмов СОРМ.
Принцип функционирования систем мониторинга заключается в определении попыток контролируемого объекта получить доступ к услугам своего интернет сервис-провайдра (Internet Service Provider – ISP) и последующем перехвате этой информации. В результате перехваченная информация форматируется и передается правоохранительным органам (Law Enforcement Agency – LEA). Фактическая процедура реализации функций СОРМ определяется двумя составляющими – получением разрешения на осуществление перехвата информации от соответствующего органа и наличием технологии делающей осуществимым этот перехват. Сетевой оператор или провайдер услуг (включая ISP) юридически обязан развертывать архитектуру СОРМ и рассматривать ее как часть своей инфраструктуры.
В общем случае архитектура СОРМ первоначально конфигурируется для перехвата сообщений с целью попытки выделения логина объекта наблюдения и динамически распределяемых IP-адресов. Для этого обычно используется протокол RADIUS (Remote Authentication Dial In User Service) [4], воплощающий функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting – ААА). После того как становится известен IP-адрес контролируемого объекта, механизм СОРМ автоматически реконфигурируется для захвата всего IP-трафика к/от контролируемого IP-адреса, так чтобы иметь возможность интерпретировать, трансформировать и передать перехваченные данные правоохранительным органам.
СОРМ в IP-сетях не имеет стандартизованного решения. Фактически, IETF – организация, которая анализирует развитие Интернета и выпускает соответствующие стандарты по используемым протоколам, отклонила идею включения функциональности СОРМ в свои разработки.
Сегодня Интернет состоит из очень большого числа протоколов, которые каждый день помогают человеку использовать его функциональность. Возможно, именно стремительный непрогнозируемый рост популярности сервисов Интернета среди пользователей и явился причиной его фундаментальных архитектурных недоработок, так как первоначальные цели были весьма далеки от нынешних. Однако, какой бы ни была причина развития интернет-сервисов и роста их популярности, с точки зрения рассматриваемого материала можно отметить, что де-факто понятие безопасности было заложено в его архитектуру значительно позже начального этапа развития, характеризующегося академической открытостью. Ранние протоколы стека основывались на предположении о правильности информации IP-адреса в IP-заголовке и передаче пользовательских имен и паролей в явном виде. Последующее развитие структуры с целью принятия концепции безопасности нашло выражение в принятии спецификации IPSecurity – IРsec, представляющей собой комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов.
В отличие от ныне существующих, все перспективные сети (сети связи следующего поколения (Next Generation Network – NGN) разрабатываются с учетом требований безопасности, которые закладываются в них как ключевые, например, и IPv6 и MobileIPv6 требуют поддержки для IPsec. Другой пример – протокол DIAMETER IETF, поддерживающий функциональность ААА для текущих сетей и сетей связи следующего поколения.
В этой статье будет продемонстрирована трудность использования существующих сегодня средств СОРМ, построенных на основе систем мониторинга, для перехвата обмена зашифрованной информацией ААА в сетях связи следующего поколения и охарактеризованы возможные пути решения этой проблемы.
Одной из целей развития сетей связи следующего поколения является защита пользовательских соединений с помощью анонимности информации об отправителе и получателе сообщений. При этом подходе злоумышленник или система СОРМ не смогут перехватывать пользовательский трафик. В этой статье не производится исследование данной области для сетей связи следующего поколения. Эта область является предметом будущих исследований, так как идея реализация СОРМ на основе систем мониторинга для сетей связи следующего поколения является утопической. Статья не рассматривает случай перехвата пользовательской информации, когда эта информация шифруется непосредственно конечными пользователями.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|