ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
         

Подсистема фильтрации вызовов и правила фильтрации


Подсистема фильтрации сетевых вызовов программно-аппаратного комплекса "ФПСУ Х.25" предназначена для:

  • фильтрации запросов на установление виртуальных соединений;

  • идентификации и аутентификации удалённого МЭ с целью защиты межсетевых потоков информации абонентов от НСД (от навязывания, искажения и подмены);

  • взаимной аутентификации МЭ и удалённых администраторов, имеющих доступ к локальному комплексу.

    • Кроме того, подсистема фильтрации сетевых вызовов реализует дополнительные возможности программно-аппаратного комплекса "ФПСУ X.25": возможность резервирования линии связи сети X.25, возможность интеллектуального сжатия данных, возможность преобразования данных при передаче и контроля за принимаемой информацией.

    Подсистема фильтрации сетевых вызовов имеет также встроенный модуль, обеспечивающий возможность дистанционного управления работой МЭ, регистрирующий удаленных администраторов и осуществляющий аутентификацию при взаимодействии МЭ с удалённым администратором. Подробная информация о работе удалённого администратора и механизме двусторонней аутентификации будет изложена в соответствующем разделе.

    Механизм управления доступом, осуществляемый МЭ "ФПСУ X.25", базируется на анализе входящих и исходящих вызовов, который заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений.

    Основным элементом каждой записи таблиц разрешенных соединений является сетевой адрес абонента или маска адреса.

    Сетевой адрес - последовательность цифр длиной не более 15 символов, закрепленная за данным абонентом в сети и однозначно его идентифицирующая. Маска адреса - описатель группы сетевых адресов с общей начальной частью.

    Таблицы разрешенных соединений состоят из таблицы внешних соединений и таблицы местных соединений.

    Таблица внешних соединений построена по принципу "белого списка" - доступ от неописанных адресов и к неописанным адресам запрещен.






    Таблица местных соединений     построена по следующему принципу: доступ к неописанным местным адресатам со стороны глобальной сети и к адресатам глобальной сети от неописанных местных особым образом не регламентирован и производится в соответствии с правилами, указанными в таблице внешних соединений для данного адреса абонента глобальной сети.

    В таблице внешних соединений содержатся описатели абонентов (групп абонентов) со стороны глобальной сети, включающие:

  • сетевой адрес или маску адреса удалённого абонента;


  • разрешенные направления доступа;


  • режим работы;


  • группа, серия и номер аутентификационных данных, используемых в режимах с аутентификацией;


  • номера интерфейсов (правил) доступа, по которым (или по одному из которых) удалённый абонент должен запрашивать абонентов местной подсети;


  • параметры подсистемы резервирования через сеть ANET для связи терминальных абонентов с указанными сетевыми адресами (группами адресов).


    • В таблице местных соединений содержатся описатели абонентов (групп абонентов) со стороны местной (защищаемой) подсети, включающие:

  • сетевой адрес или маску адреса местного абонента;


  • номер линии, по которой доступен местный абонент (абоненты) при вызове по системе резервирования;


  • разрешенные направления доступа;


  • особый режим работы или указание использования режима работы, определенного в таблице внешних соединений для удалённого абонента, пытающегося установить виртуальное соединение с данным местным абонентом;


  • номера зарегистрированных интерфейсов (правил) доступа к данному местному адресу (группе адресов) со стороны удалённых абонентов.


    • Для усиления механизма защиты о НСД при фильтрации запросов на установление виртуальных соединений для передачи данных по сети к описателям абонентов в описанных выше таблицах соединений при необходимости могут быть подключены интерфейсы доступа.

    Под интерфейсом доступа понимается некоторая совокупность правил заполнения полей в пакете "Вызов" и допустимых временных интервалов обращений по дням недели (дате/времени).



    Правилами регламентируется наличие или отсутствие протокольных полей услуг и содержимое поля "Данные вызова".

    Интерфейс доступа может использоваться при разграничении прав на доступ удалённых абонентов (со стороны глобальной сети) к местным абонентам. Интерфейсы доступа могут подключаться как к элементам таблицы внешних, так и местных соединений или к обоим одновременно.

    Контроль доступа удалённого абонента со стороны глобальной сети к конкретному местному абоненту может осуществляться в два этапа:

  • контроль разрешения на вход данному удалённому абоненту в местную подсеть по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы внешних соединений для сетевого адреса (маски адресов) удалённого абонента;


  • контроль разрешения на обращение к конкретному абоненту местной подсети по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы местных соединений для данного адреса (маски адресов) местного абонента.


    • В интерфейсе доступа можно задавать разрешенные для вызова абонентов временные интервалы, определяемые днем (днями) недели и временами начала и конца работы. Для каждого интерфейса доступа могут быть заданы интервалы работы, вне которых доступ запрещен. Если для какого-либо интервала не задан временной диапазон, доступ по данному временному интервалу будет запрещен.

    Описатель "Направление доступа" - указание разрешенного инициатора установления виртуального соединение. Возможны следующие указания:

  • от местного (со стороны своей защищаемой подсети) абонента к удалённому;


  • от удалённого к местному;


  • разрешены оба направления.


    • Режим работы определяет способ обработки запроса: необходимость дальнейшей идентификации и аутентификации запроса с целью подтверждения подлинности удалённого адреса абонента, а также методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.

    В комплексе реализованы следующие режимы работы:



  • ретрансляция - режим, при котором не производятся идентификации и аутентификации запроса и контроль за процессом приёма/передачи данных (данные передаются в неизменном виде);


  • сжатие - режим, при котором производится идентификация удалённого МЭ с последующим сжатием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;


  • сжатие с аутентификацией - режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;


  • сжатие по маске - режим, при котором производится идентификация удалённого МЭ с последующим сжатием и преобразованием внешней подсистемой межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;


  • сжатие по маске с аутентификацией - режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием, преобразованием внешней подсистемой и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;


    • Режимы сжатия по маске и сжатие по маске с аутентификацией доступны для использования при подключении специальных подсистем через соответствующий открытый интерфейс МЭ.

    Режимы работы СЕТЕВЫХ ФИЛЬТРОВ, работающих в паре, должны быть согласованы. Таблица 5-1 отображает совместимость режимов работы двух СФ.



    Таблица -1





    Совместимые режимы работы

    Ретрансляция

    Сжатие

    Сжатие с аутентификацией

    сжатие по

    маске

    сжатие по маске с аутентификацией


    Ретрансляция

    +

    -

    -

    -

    -


    Сжатие

    -

    +

    +

    -

    -


    Сжатие с аутентификацией

    -

    +

    +

    -

    -


    сжатие по

    маске

    -

    -

    -

    +

    +


    сжатие по маске с аутентификацией

    -

    -

    -

    +

    +
    Параметрами подсистемы резервирования являются приоритет использования сетевых линий (основной и альтернативной) и ANET-адрес удалённого МЭ, с которым нужно соединиться для установления виртуального соединения с удалённым абонентом c сетевым адресом, указанным в таблице внешних соединений.


    Приоритет использования может быть следующим:

  • в качестве основной используется линия глобальной сети X.25, в случае неполадок происходит автоматическое переключение на использование резервной линии;


  • сначала осуществляется попытка соединиться по резервной линии, при неудаче используется основная;


  • выбирается та линия, где задействовано меньше виртуальных каналов;


  • используется только резервная линия.




    • Механизм работы подсистемы фильтрации сетевых вызовов    .

    При поступлении на МЭ запроса на установление виртуальных соединений фильтрация осуществляется комплексом "ФПСУ X.25" в следующем порядке:

  • Осуществляется анализ значений всех полей пакета "Запрос вызова" с целью проверки соответствия протоколу X.25. Если результат анализа отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • Осуществляется идентификация пакета "Запрос вызова". В случае, если вызов поступил от подсистемы удалённого администрирования, зарегистрированной на данном МЭ, выдается подтверждение вызова и производятся действия по идентификации и аутентификации удаленного администратора.


  • Производится вычленение из пакета "Запрос вызова" адресов отправителя и получателя.


  • Выполняется операция поиска соответствующего терминального адреса в таблице местных соединений.


  • Если адрес в таблице местных соединений не содержится, сразу будет осуществлен переход к анализу, описанному в п.11).


  • Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы местных соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • Если вызов производится со стороны местных абонентов, будет осуществлен переход к анализу, описанному в п.11).




  • В случае, если к найденному местному адресу в таблице местных соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к анализу, описанному в п.11).


  • Из подключенных к данному элементу таблицы местных соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова. Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет абсолютной (с отрицательным результатом соединения).


  • По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики, т.е. фильтрация будет закончена с отрицательным результатом.


  • Выполняется операция поиска соответствующего удалённого адреса в таблице внешних соединений.


  • Если адрес в таблице внешних соединений не содержится, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы внешних соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • В случае, если к найденному удалённому адресу в таблице внешних соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к действиям, описанному в п.17).


  • Из подключенных к данному элементу таблицы внешних соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова.


    Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.


  • На этом фильтрация запроса на установления заканчивается, соединение разрешается и результат фильтрации фиксируется в подсистеме статистики. Если в таблицах соединений заказано резервирование линии связи, будет произведен выбор сетевой линии, по которой (или по которым) будут передаваться данные. В случае использования в качестве сетевой линии линии подсистемы резервирования через сеть ANET будет произведена трансляция адресов в ANET-адреса, указанные в элементе таблицы внешних соединений.


    • Дальнейший контроль за установившимся виртуальным соединением будет производиться в зависимости от указанного в таблицах соединений режима работы. Могут быть реализованы идентификация и аутентификация запроса, а также различные методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.

    Если полученный режим работы отличается от режима "Ретрансляция", данные при межсетевом обмене будут сжиматься. Для реализации механизма сжатия используется высокоэффективный быстродействующий двухпроходный компрессор (по модифицированным схемам LZW и Huffman) с анализом предистории. После сжатия данные будут снабжены необходимыми контрольными суммами и каждый выходящий пакет будет иметь собственный циклический номер, что позволяет контролировать последовательность приема пакетов и их целостность (т.е. количество входящих пакетов с терминальной стороны в принципе больше выходящих в сетевую сторону), поэтому целесообразно на терминальной стороне комплекса устанавливать существенно большую скорость передачи чем на сетевой стороне комплекса.



    Если были выбраны режимы "Сжатие по маске", данные будут при приеме и передаче дополнительно пропускаться через специальную подсистему, работающую через открытый интерфейс МЭ.

    После этого, если были установлены режимы работы с аутентификацией, на выходящие после сжатия (и преобразования) данные будет наложена логическая маска, выработанная случайным образом в результате процесса аутентификации удалённого (взаимодействующего в данном соединении) МЭ.



    Механизм идентификации и аутентификации запросов.



    Идентификация и аутентификация запросов абонентов может осуществляться МЭ при условии, что определенный на этапе фильтрации режим работы по установившемуся виртуальному соединению отличен от режима "Ретрансляция".

    До окончания процессов идентификации и аутентификации обмен данными между абонентами будет запрещен и попытка передачи данных будет расценена как попытка НСД, в ответ на них будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процессы идентификации и аутентификации будут закончены с отрицательным результатом.

    На этапе идентификации будет проверено, что удалённый абонент, участвующий в данном соединении, является абонентом подсети, защищаемой удалённым МЭ.

    На этапе аутентификации будет проверено, что удалённый МЭ, через который работает удалённый абонент, обладает такими же заранее определенными знаниями об удалённом МЭ, что и данный МЭ, через который работает местный абонент, то есть является тем самым МЭ через который должна осуществляться работа с указанным удалённым адресом.

    Механизм идентификации заключается в том, что после получения подтверждения запроса на вызов каждый из двух МЭ, участвующих в соединении, уведомляет противоположную сторону о том, что он является МЭ и производит работу в определенном режиме. Оповещение заключается в передаче каждой стороной пакета специализированного формата, снабженного полями, которые позволяют его однозначно идентифицировать и контролировать.


    По приему этих пакетов каждая из сторон проверяет их на соответствие их требуемому формату и контролирует их целостность, а также сверяет режим работы удалённого МЭ со своим режимом работы, определенным на этапе фильтрации пакета "Запрос вызова". В случае отрицательного результата проверки идентификация удалённого МЭ считается невыполненной и будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.

    В случае указания на какой-либо из сторон режимов работы с аутентификацией в идентифицирующем пакете, принятом на противоположной стороне, будет содержаться вопрос, на который она должна выработать ответ, используя заранее установленные локальным администратором данные. МЭ, принявший такой запрос, обязан выслать соответствующий ответ аутентификации удалённому МЭ, который будет соответствующим образом проверен и в случае отрицательного результата проверки аутентификация удалённого МЭ считается невыполненной, а подлинность удалённого адреса абонента - неподтвержденной; будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс аутентификации будет закончен с отрицательным результатом.

    Таким образом, в зависимости от указанных режимов работы, МЭ могут использовать как одностороннюю, так и двустороннюю схемы аутентификации.

    Для поддержки данного метода на каждом МЭ, участвующем в процессе аутентификации, локальными администраторами должны быть установлены аутентификационные данные, которые вырабатываются специальным центром генерации аутентификационных данных и являются длинными случайными числами, а в таблице внешних соединений для удалённых адресов на каждом из МЭ, участвующем в соединении, должны быть указаны соответствующие номера аутентификационных данных. Вопрос, задаваемый каждым МЭ в процессе аутентификации удалённого МЭ, является также длинным случайным числом, вырабатываемым в процессе идентификации удалённого МЭ.


    Сторона, принявшая запрос аутентификации, вырабатывает и отсылает ответ, являющийся хэш- функцией композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и принятых данных аутентифицирующего вопроса. Сторона, заказавшая аутентификацию, сравнивает принятый ответ со значением хэш-функции композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и ранее высланных данных аутентифицирующего вопроса.

    Аутентификация удалённого МЭ считается выполненной и подлинность удалённого адреса абонента считается подтвержденной, если каждой из сторон, заказавшей аутентификацию, получены правильные ответы на соответствующие аутентификационные вопросы.

    Реализованная таким образом в программно-аппаратном комплексе "ФПСУ X.25" схема аутентификации запросов абонентов на установление виртуальных соединений обеспечивает устойчивость аутентификации к пассивному и активному перехвату информации в глобальной сети Х.25, поскольку:

  • аутентификационные вопросы, вырабатываемые случайным образом для каждого нового виртуального соединения, представляют из себя числа большой размерности, что защищает данные абонентов, передаваемые через глобальную сеть, от попыток их анализа и несанкционированной повторной передачи из глобальной сети;


  • аутентификационные ответы вырабатываются с использованием информации, априорно известной только двум МЭ, участвующим в соединении, и она не может быть получена на основании анализа ранее переданных вопросов и ответов за время существования априорной информации, что предотвращает несанкционированные попытки "навязывания" данных абонентам из глобальной сети.



    • Содержание раздела