Е. А. Басыня фгбоу впо нгту (Новосибирск, Россия)



Скачать 105.1 Kb.
Pdf просмотр
Дата16.02.2017
Размер105.1 Kb.
Просмотров177
Скачиваний0

©
А ВТ ОМА ТИКА
И

П РОГ РАМ МН А Я

И Н ЖЕНЕ Р И Я
. 2 0 1 4 ,

3 ( 9 )
29 Вопросы управления трафиком в оверлейных сетях

Е. А. Басыня
ФГБОУ ВПО НГТУ (Новосибирск, Россия)
Аннотация
– В данной статье рассмотрена
проблематика

управления

трафиком

в

логических
сетях, функционирующих поверх
стека

протоколов

TCP/IP,
именуемых

оверлейными
.
Ключевые

слова


оверлейные

сети
,
пропускная

способность
,
автомодельность

сетевого
трафика, анонимизация, микс-узлы,
ноды
,
луковая

маршрутизация
,
проект

невидимый
интернет.
ВВЕДЕНИЕ
Одним из ключевых трендов развития ИКТ является исследование и разработка оверлейных сетей (от англ. Overlay Network). Подданным термином подразумевается организация логической сети, функционирующей поверх существующей глобальной вычислительной сети Интернет [1]. Технологии организации VPN- сетей, протокола PPTP можно соотнести с термином оверлейность. Научно- исследовательские работы в рамках данной тематики обусловлены следующими целями организацией реальной среды для исследования, разработки и тестирования новых протоколов стека TCP/IP, в том числе несовместимых с существующей архитектурой системы в частности, исследование свойств IPv6); разработкой и исследованием распределенных вычислений и децентрализованного хранения информации расширением свойств сети от маршрутизации без определения целевого адреса до повышения криптоустойчивости протоколов обеспечением анонимизации в глобальной сети Интернет [2]. К сожалению, основной акцент делается на последний пункт (анонимные/анонимизирующие сети
[3]), что вынуждает правительство различных стран "не рекомендовать" некоторые технологии к использованию. В вопросе создания оверлейных сетей приоритетной задачей является разработка методов управления трафиком, которые должны обеспечивать компромисс между оптимизацией пропускной способности канала связи и быстродействием, уровнем обеспечения анонимизации, информационной безопасности и удобством использования. Узкоспециализированные анонимные/анонимизирующие сети являются наиболее простым видом оверлейных сетей. В качестве примера стоит рассмотреть проект JAP англ. Java Anonymous Proxy). Его целевое назначение - анонимизация работы протокола передачи гипертекста HTTP (англ. HyperText
Transfer Protocol) , то есть веб-трафика. Используется метод управления трафиком на основе микс-узлов (рис. 1). Клиент отправляет данные не искомому адресату, а на хост каскадов микс-серверов, которые мультиплексируют информационные потоки различных клиентов и отправляют запросы их реальным адресатам. Ответы транслируются потому же маршруту.
Клиент-серверное взаимодействие осуществляется в зашифрованном виде без возможности корректировки цепочки серверов.
Рис. 1. Метод управления трафиком на основе микс- узлов Преимущество данного метода состоит в более высокой скорости серфинга, чему полностью распределённых систем. Вместе стем узел клиента не выступает конечным звеном цепи, те. от его имени злоумышленник не сможет действовать в рамках данной сети. Присутствует и широкий спектр уязвимостей у рассматриваемого метода управления трафиком на основе микс-узлов: идентификация трафика данного проекта на основе анализа автомодельности сетевого трафика отсутствует даже элементарное фрагментирование пакетов злоумышленный анализ/дешифровка в пространстве микс-узлов. Возникает необходимость ввода дополнительного шифрования (например, SSL); дешифровка при снифовании трафика на стороне
ЛВС-клиента: уровень криптоустойчивости алгоритмов клиент- серверного взаимодействия - ниже среднего централизованная компрометация микс- серверов человеческий фактор. Аналогичные уязвимости методов управления трафиком, обусловленные "жесткой" логикой поведения, присутствуют в системе анонимной электронной переписки
Mixminion. Положительное отличие Mixminion - разбиение

©
А ВТ ОМА ТИКА
И

П РОГ РАМ МН А Я

И Н ЖЕНЕ Р И Я
. 2 0 1 4 ,

1 ( 7 )
30 сообщений на несколько фрагментов постоянной длины с выбором цепочки серверов. Развитие данных технологий дало старт проекту программного обеспечения для защиты прав человека
Psiphon, в котором волонтеры предоставляют свои ПК для хостинга прокси- серверов с зашифрованным соединением, чтобы граждане стран с интернет-цензурой имели возможность свободно работать с ресурсами глобальной сети Интернет. Сеть расширила функционал, стала гибридной. Концепция, в целом, осталась аналогичной. Более надежным считается метод управления трафиком на основе луковой маршрутизации Tor англ. The Onion Router). Используется система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение (рис. 2). Клиент случайным образом выбирает три прокси-сервера
(нода), обменивается сними ключами шифрования и перед отправкой информации в сеть производит многоуровневое шифрование (от
3 к 1 ключу) каждого пакета [4]. Промежуточные ноды могут дешифровать лишь свой слой, получив из полезной информации лишь адрес следующего отправления.
Рис. 2. Метод управления трафиком на основе луковой маршрутизации Таким образом промежуточные узлы обрабатывают трассировочные инструкции и не знают адрес отправителя и получателя, а также содержание сообщения. Основные недостатки описанного метода
1)
идентифицируемость головные ноды и список хостов общедоступен
2)
автомодельность, корреляция хоть и производится фрагментирование пакетов, нонет стохастической вариации временных задержек при трансляции трафика на нодах);
3)
компрометируемость на выходном узле получающего данные в исходном виде, необходимость введения дополнительного пользовательского слоя шифрования [5]; Угрозы и типы атак логичнее будет привести после анализа методов управления трафиком в проектах Gnutella2 и I2P. Первый предполагает организацию безопасного пирингового P2P- соединения поверх сетевого уровня с вводом логических концентраторов. Уязвимые хеш- функции порождают распространение сетевых червей, присутствуют атаки фальсификации и имперсонации. Проект невидимый интернет I2P англ.
Invisible
Internet
Project) является защищенной, анонимной, самоорганизующейся, распределенной, оверлейной сетью [6]. Имеет свой собственный стек протоколов, работающий поверх модели TCP/IP. Сеть предоставляет приложениям транспортный механизм для анонимной и защищённой пересылки сообщений. Используется модифицированный DHT Kademlia с хранением хешированных адресов хостов сети, зашифрованных
AES адресов,
ND и публичных ключей шифрования. Технология заслуживает досконального рассмотрения на всех уровнях функционирования. Нов целях краткости стоит привести лишь ключевую концепцию метода управления трафиком I2P, основанную на комбинированном туннелировании (рис. 3). Входящие туннели призваны отправлять датаграммы от создателя туннеля, а исходящие туннели отвечают за доставку датаграмм создателю туннеля. Цепочка односторонняя.
Рис. 3. Метод управления трафиком I2P, формирование туннеля Комбинируя два туннеля, узел "A" и узел "B" могут обмениваться сообщениями. Отправитель "A" устанавливает исходящий туннель, а получатель "B" - входящий туннель. Шлюз входящего туннеля может получать сообщения от любого пользователя и посылать сообщения хосту "B". Оконечная точка исходящего туннеля необходима для посылки сообщения шлюзу входящего туннеля. С этой целью узел "A" добавляет инструкции к своему зашифрованному сообщению. Соответственно, при дешифровке датаграммы в конечной точке исходящего туннеля извлекаются инструкции переадресации сообщения нужному шлюзу входящего туннеля хоста "B". В I2P используется распределенная сетевая база данных в целях хранения и совместного использования сетевых метаданных, разделяемых на две категории "routerInfo" и "leaseSets"

©
А ВТ ОМА ТИКА
И

П РОГ РАМ МН А Я

И Н ЖЕНЕ Р И Я
. 2 0 1 4 ,

1 ( 7 )
31 подписываемые одним из партнеров и верифицируемые оппонентом)
[7]. Первые предоставляют информацию пограничным узлам для взаимодействия с определенным маршрутизатором публичные ключи, транспортные адреса и др. Вторые обеспечивают маршрутизаторы данными для взаимодействия с определенными объектами узлов назначения. Параметры leaseSet идентифицируют шлюз туннеля, позволяющего достичь узел назначения. Для минимизации рисков неавторизованного раскрытия имени партнера в сети добавляется еще один уровень шифрования между оконечными хостами. Приведенные системы имеют достаточно низкую пропускную способность и высокие параметры задержек, что предоставляет возможность проведения обширной выборки атак на состояние недоступности [8]. Однако главной проблемой являются уязвимости методов управления трафиком в оверлейных сетях следствие "жесткой" логики действий, которые позволяют осуществлять следующие виды атак атаки по корреляции временных задержек дейтаграмм [9]. Осуществляются хакером при доступе к трафику промежуточного сегмента сети. Привносится умышленная задержка пакетов с целью установления корреляции, разграничения и персонифицируемости информационных потоков. В дополнение может задействоваться атака на отклонение временных меток TCP timestamp; атаки по автомодельности сетевого трафика. Клиентами различных типов оверлейных сетей производится однородное фрагментирование пакетов, что позволяет правонарушителю однозначно идентифицировать используемую технологию посредством инструментов теории вероятности и математической статистики. Отсутствует стохастическая вариация временных задержек при трансляции трафика на промежуточных узлах атаки слепками. При идентификации используемой оверлейной сети с помощью вышеописанных атак преступник может сгенерировать базу данных популярных/интересующих веб-сайтов с определенными параметрами индексных страниц в рамках технологии жертвы. Далее с использованием сниффера и компаратора идентифицировать посещаемый ресурс атаки глобального наблюдателя с пассивной слежкой, имперсонацией, взломом защищенных каналов [10-12]. Вероятность успешной реализации пропорциональна доле наблюдаемых сегментов сети.
ВЫВОДЫ
И ЗАКЛЮЧЕНИЕ
Стоит отметить, что рассмотренные проекты не лишены уязвимостей. В первую очередь, злоумышленники пользуются несовершенством операционных систем и клиентского программного обеспечения, те. ошибками программирования. Более того, клиентское ПО не всегда способно обезопасить оверлейную сеть от слабых сторон стека протоколов
TCP/IP. Алгоритмы оптимизации пропускной способности и сокращения временных задержек надлежащим образом не справляются со своей задачей. Ключевым моментом являются уязвимости методов управления трафиком в оверлейных сетях, предопределенные "жесткой" логикой поведения. Решением обозначенных проблем может выступить разработка, исследование и внедрение интеллектуально- адаптивных методов управления трафиком вычислительных сетей [12]. Работа выполнена при финансовой поддержке
Минобрнауки России по государственному заданию
№2014/138 тема проекта Новые структуры, модели и алгоритмы для прорывных методов управления техническими системами на основе наукоемких результатов интеллектуальной деятельности.
ЛИТЕРАТУРА


[1] Schomburg, J. Anonymity techniques – usability tests of major anonymity networks [Text] / J. Schomburg //
Extended abstracts of the Fourth Privacy Enhancing
Technologies Convention (PET-CON 2009.1). –
Dresden : TU, Fak. Informatik, 2009. – P. 49–58. –
(Technische Berichte).
[2] Ruiz-Martínez, A. A survey on solutions and main free tools for privacy enhancing Web communications
[Text] / A Ruiz-Martínez // Journal of Network and
Computer Applications. – 2012. – Vol. 35, iss. 5. – P.
1473–1492.
[3] Mulazzani, M. Anonymity and monitoring: how to monitor the infrastructure of an anonymity system
[Text] / M. Mulazzani, M. Huber, E R. Weippl // IEEE
Transactions on Systems, Man and Cybernetics. C:
Applications and Reviews. – 2010. – Vol. 40, iss. 5. –
P. 539–546.
[4] Filiol, E. Dynamic cryptographic backdoors. Pt. 2.
Taking control over the TOR network: slides
[Electronic resource] / E. Filiol, O. Remi-Omosowon,
L. Mutembei ; ESIEA – Laval, Operational Cryptology and
Virology
Laboratory
//
The
28 chaos communication congress, Berlin, 2011. – Berlin, 2011

URL: https://events.ccc.de/congress/2011/Fahrplan/attachmen ts/1999_slides_28C3.pdf. – Title from screen.
[5] Murdoch, St. J. Low-cost traffic analysis of Tor [Text] /
St. J. Murdoch, G. Danezis // IEEE symposium on security and privacy (IEEE S&P 2005) : proc., USA,
Oakland, 8–11 May 2005. – [USA] : IEEE, 2005. – P.
183–195.
[6] Schimmer, L Peer profiling and selection in the I2P anonymous network [Text] / Lars Schimmer //
Extended abstracts of the fourth privacy enhancing technologies convention (PET-CON 2009.1). –
Dresden : TU, Fak. Informatik, 2009. – P. 59–70. –
(Technische Berichte).
[7] Timpanaro, J. P. Improving content availability in the
I2P anonymous file-sharing environment [Text] / J. P.
Timpanaro, I. Chrisment, O. Festor // Cyberspace
Safety and Security : proc. of the 4 intern. symp. on

©
А ВТ ОМА ТИКА
И

П РОГ РАМ МН А Я

И Н ЖЕНЕ Р И Я
. 2 0 1 4 ,

1 ( 7 )
32 cyberspace safety and security, Australia, Melbourne,
December 2012. – Melbourne : IEEE, 2012. – P. 77–
92. – (LNCS ; vol. 7672).
[8] Theoretical analysis of the performance of anonymous communication system 3-mode net [Text] / K. Kono, S.
Nakano, Y. Ito, N. Babaguchi // IEICE Transactions on
Fundamentals of Electronics, Communications and
Computer Sciences. – 2010. – Vol. E93-A. – № 7. – P.
1338–1345.
[9] Wiangsripanawan, R. Design principles for low latency anonymous network systems secure against timing attacks [Text] / R. Wiangsripanawan, W. Susilo, R.
Safavi-Naini // Proceedings of the fifth Australasian symposium on ACSW frontiers, ACSW '07. –
Darlinghurst, 2007. – Vol. 68. – P. 183–191.
[10] Danezis, G. Systems for anonymous communication
[Text] / G. Danezis, C. Diaz, P. Syverson // CRC
Handbook of Financial Cryptography and Security. –
London : Chapman & Hall, 2010. – P. 341–390. –
(CRC Cryptography and Network Security).
[11] Practical attacks against the I2P network [Text] / Chr.
Egger, J. Schlumberger, Chr. Kruegel, G. Vigna //
Research in Attacks, Intrusions, and Defenses : proc.,
16 intern. symp., RAID 2013. – 2013. – P. 432–451. –
(LNCS ; vol. 8145).
[12] Французова ГА, Гунько А.В., Басыня Е.А. Разработка и исследование самоорганизующейся системы управления трафиком вычислительной сети // Наука. Технологии. Инновации. Материалы всероссийской научной конференции молодых ученых в 10 ч. – Новосибирск Изд-во НГТУ, 2013.
– Часть 2. - С. 3-7.

Басыня
Евгений Александрович, аспирант и преподаватель кафедры автоматики
НГТУ. Основное направление научных исследований управление и информационная безопасность в вычислительных сетях. Имеет более
15 публикаций.
E-mail: basinya@mail.ru

Some Questions of the Traffic
Management in Overlay Networks
EVGENY BASYNYA
Abstract: This paper describes the problems of traffic management in logical networks that operate on top of the protocol stack TCP / IP, called overlays.
Key words: Overlay networks, bandwidth, self- similarity of network traffic, anonymization, mix- nodes, nodes, onion routing, invisible internet project



Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал