Использование логической характеристики IPv6-протокола для защиты IT-инфраструктуры

BIS Journal №1(12)/2014

15 мая, 2014

Использование логической характеристики IPv6-протокола для защиты IT-инфраструктуры

Ежегодно в интернет-сети наблюдается постоянный рост киберпреступлений. Только в 2012 году ущерб от киберпреступности [1] оценивался в $2 млрд в год в России и в $110 млрд во всём мире! Цифры говорят сами за себя. При этом выявление самих киберпреступников остаётся весьма сложной задачей, решение которой в большинстве случаев найти невозможно.

Это связано с тем, что основное количество преступлений совершается на основе процедур подмены IP-адресов с использованием различных технологий – включая анонимные уполномоченные (proxy) сетевые программно-аппаратные средства – что лишает возможности технического и юридического поиска злоумышленника. Проблема обостряется недостаточной технологической оснащённостью правоохранительных органов при расследовании киберпреступлений (взлома сайтов, кражи денежных средств у клиентов банков в системах дистанционного банковского обслуживания и т.п.).

В данной статье предлагается способ, который может снизить остроту обозначенной проблемы на основе использования логической характеристики IPv6-протокола (RFC-2460 и RFC-4291 [2, 3]) и стандарта ISO 3166 [4]. Неотвратимость наказания за киберпреступления в перспективе может помочь решить проблему обеспечения информационной безопасности (ИБ) российского государства и всего мирового сообщества. Хотя, конечно, главным условием достижения победы над киберпреступностью является политическая воля мировых держав и принятие соответствующих международных актов и стандартов.

ПРЕДПОСЫЛКИ

Предпосылка первая. В интернет-сообществе обострилась проблема нехватки IP-адресов 4-й версии (IPv4), длина которых составляет 32 бита.
В конце 1990-х годов была предложена система IP-адресации 6-ой версии (IPv6) [2,3], которая определила 128-битовую длину адреса.

Общая ёмкость IPv6-адресного пространства составляет 2128, или примерно 1039. Это число IPv6-адресов во много раз превышает численность населения Земли (Таблица 1 ).

ТАБЛИЦА 1. Общий формат глобального однонаправленного IPv6-адреса

Стандарты [2,3] определяют формат кодирования глобального однонаправленного (unicast) IPv6-адреса, который представлен на этой таблице.

Префикс глобальной маршрутизации (обычно имеет иерархическую структуру) присваивается группе подсетей (линий связи), а идентификатор подсети присваивается линии связи в рамках этой группы подсетей. Все глобальные однонаправленные IPv6-адреса (за исключением тех, которые начинаются с нулевой последовательности «000») имеют 64-битовой поле «Идентификатор интерфейса» (то есть, n + m = 64). Глобальные однонаправленные IPv6-адреса, которые начинаются с нулевой последовательности «000», имеют другую конструкцию и формат (Схема 1).

СХЕМА 1. Корневое дерево иерархии данных для обеспечения сетевого управления, включая объектные идентификаторы стран


Предпосылка вторая. Международная организация по стандартизации (ISO) приняла в 1974 году первую версию Международного стандарта ISO 3166 [4], определяющего кодовые обозначения государств и зависимых территорий, а также основных административных образований внутри государств. В соответствие с этим стандартом каждая страна имеет цифровое обозначение, состоящее из трёх цифр, например, Россия – 643, США – 840, Великобритания – 826, Франция – 250.

Предпосылка третья. В интернет-сети в целях создания единого подхода к управлению сетевыми программно-аппаратным комплексами был разработан простой протокол обеспечения данными сетевого управления (Simple Network Management Protocol SNMPv3), который в дальнейшем был усовершенствован, и в настоящее время стандартизирована третья версия этого протокола.

SNMPv3-стандарт представляет собой модульную структуру и включает:

  1. Язык описания данных для сетевого управления;
  2. Описание управляющей информации (База управляющей информации, Management Information Base MIB и MIB2);
  3. Описание протокола;
  4. Система безопасности и администрирования (управления).

В рамках SNMPv3-архитектуры используется вторая версия структуры информации для сетевого управления (Structure of Management Information – SMIv2). Данные для сетевого управления имеют иерархическую структуру, определяемую SMIv2, и рассматриваются как совокупность объектов для сетевого управления, имеющих собственные уникальные идентификаторы (последовательности цифровых маркеров, разделённых точками, object identifier) и размещаемых в виртуальном MIB(2)-хранилище.

Высшим уровнем иерархии (Схема 1) для данных сетевого управления является Международная организация по стандартизации, имеющая кодировку «1» («iso» = 1).

В частности, кодирование корневого дерева иерархии данных сетевого управления (the path to the root) имеет следующий вид:

org OBJECT IDENTIFIER ::=  { iso 3 } -- «iso» = 1
dod OBJECT IDENTIFIER ::= { org 6 }
internet OBJECT IDENTIFIER ::= { dod 1 }
directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 }
mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }
transmission OBJECT IDENTIFIER ::= { mib-2 10 }
experimental OBJECT IDENTIFIER ::= { internet 3 }
private OBJECT IDENTIFIER ::= { internet 4 }
enterprises OBJECT IDENTIFIER ::= { private 1 }
security OBJECT IDENTIFIER ::= { internet 5 }
snmpV2 OBJECT IDENTIFIER ::= { internet 6 }.

Одной из ветвей корневого дерева иерархии данных общего назначения является ветвь объектных идентификаторов стран, которая имеет вид:

country OBJECT IDENTIFIER ::= { iso 2 } -– «iso» = 1
RUS OBJECT IDENTIFIER ::= { country 643 }
USA OBJECT IDENTIFIER ::= { country 840 }
GRB OBJECT IDENTIFIER ::= { country 826 }
FRA OBJECT IDENTIFIER ::= { country 250 }.

Таким образом, каждое государство (страна) фактически имеет свой объектный идентификатор, кодируемый как последовательность цифровых маркеров: 1 (ISO). 2 (страны). 643 (Российская Федерация). ... ; 1 (ISO).  2 (страны). 840 (США). ... . Другими словами, любая трехмаркерная последовательность вида «1.2. ... .» определяет государственную принадлежность рассматриваемого (включая управление, применение и т.п.) объекта управления, находящегося в MIB(2)-хранилище.

СПОСОБ

Исходя из предыдущего анализа, предлагается использовать объектные идентификаторы стран (например, 1.2.643, идентификатор России) в качестве префикса глобальной маршрутизации в IPv6-адресах. Таким образом, весь диапазон IPv6-адресов будет разделён на три больших диапазона:

  1. Национальные поддиапазоны IPv6-адресов государств;
  2. Поддиапазон специальных адресов, в который, в том числе, входят локальные, групповые и все иные технологические IPv6-адреса;
  3. Не используемые IPv6-адреса (решение об их использовании должно приниматься международной организацией и публиковаться в открытом доступе).

Примером такого глобального деления могут служить коды стран, используемые в системах фиксированной и мобильной телефонной связи (например, «+7» – Россия; «+1» – США; «+44» – Великобритания; «+33» – Франция и др.).

В шестнадцатеричном коде Российский диапазон IPv6-адресов будет иметь вид:

1264:3000::/20.

Диапазон IPv6-адресов США будет иметь вид:

1284::/20.

Диапазон IPv6-адресов Великобритании (Соединённого Королевства Великобритании и Северной Ирландии) будет иметь вид:

1282:6000::/20.

Диапазон IPv6-адресов Франции будет иметь вид:

1225::/20.

ПРИЧИНЫ И СЛЕДСТВИЯ

Причины и следствия реализации предлагаемого способа следующие.

  • Глобализация интернет-сети, которая привела к созданию практически во всех странах мира национальных информационных обществ (электронных правительств), превратившихся в новую социально-экономическую среду (СоцЭС) [5]. В каждой стране такая СоцЭС стала сферой экономических интересов, также требующей своей защиты, как от внешнего, так и от внутреннего вмешательства.
  • Предлагаемый способ фактически вводит виртуальные границы национальных информационных обществ и СоцЭС. По аналогии со странами Шенгенской зоны, виртуальные границы остаются открытыми и прозрачными. Однако между странами Шенгенской зоны остаются государственные и административные границы, которые определяют зоны экономической, финансовой, юридической, экологической и другой ответственности государств. То есть между ними остаётся «межа», которая разделяет сферы тех или иных интересов государств. Также и виртуальные границы национальных информационных обществ фактически являются «межой» в мировом виртуальном пространстве. Таким образом, предлагаемый способ разграничивает сферы интересов государств в мировом виртуальном пространстве.
  • По аналогии с национальными радиочастотными диапазонами, каждый национальный поддиапазон IPv6-адресов будет являться национальным достоянием конкретного государства. Эксплуатация такого поддиапазона может стать источником пополнения государственного бюджета. Например, индивидуальные IPv6-адреса могут выдаваться гражданам Российской Федерации на безвозмездной основе пожизненно. Коммерческие организации могут брать в аренду необходимые для них фрагменты (причём уникальные, не повторяющиеся и в различных объёмах) национального поддиапазона IPv6-адресов на возмездной основе. Так в настоящее время операторы сотовой связи пополняют государственную казну, оплачивая аренду того или иного частотного поддиапазона.
  • Ведение базы данных национального поддиапазона IPv6-адресов, жёсткий учёт и контроль используемых и неиспользуемых IPv6-адресов обеспечат точное выявление киберпреступника и любого нарушителя, осуществляющего противоправную деятельность в российском сегменте мирового информационного общества. В частности, попытки потенциальных внутренних нарушителей использовать не используемые IPv6-адреса будут пресекаться путём блокирования соответствующих IPv6-пакетов самой национальной информационно-технологической инфраструктурой (ИТИ), составляющей основу информационного общества (электронного государства). В основе такого утверждения лежит неукоснительное выполнение принципа неотвратимости наказания.
  • При попытках виртуального проникновения киберпреступников с применением неиспользуемых IPv6-адресов в российскую СоцЭС их действия будут пресекаться на границе национального информационного общества, то есть национальной ИТИ. А при использовании потенциальным нарушителем действующего IPv6-адреса, факт прохождения IPv6-пакета с таким адресом будет фиксироваться на виртуальной границе, и если нарушение ИБ произойдёт, то материалы расследования киберпреступления будут переданы той стране, чей IPv6-адрес использовался (входил в национальный поддиапазон IPv6-адресов этой страны).
  • По аналогии с существующей практикой, организации, предоставляющие услуги доступа в интернет (интернет-провайдеры), будут брать в аренду уникальные (не перекрывающиеся) фрагменты национального поддиапазона IPv6-адресов за соответствующую плату. IPv6-адреса интернет-провайдера будут предоставляться его клиентам на основании соответствующих договоров на постоянной или временной основе. Это позволит однозначно установить клиента интернет-провайдера, совершившего то или иное противоправное действие в киберпространстве. Это касается и организаций, и частных лиц, создающих на основе услуг интернет-провайдеров www-сайты, содержащие экстремистскую, порнографическую и тому подобную информацию.
  • Для законопослушных граждан и сотрудников организаций – пользователей интернет-сети практически ничего не изменится. Как они предо-ставляли свои персональные данные при заключении договоров с интернет-провайдером, так и будут делать это и в дальнейшем при переходе на IPv6-адресацию. За исключением одного: у них появится право выбора – пользоваться своими индивидуальными IPv6-адресами или же предоставляемыми интернет-провайдерами.
  • В зонах свободного доступа к интернет-сети, предоставляемого частны-ми организациями (например, сеть ресторанов быстрого обслуживания «McDonald's»), в зависимости от корпоративных политик обеспечения информационной безопасности, пользователи интернет-сети смогут также пользоваться либо своими индивидуальными IPv6-адресами, либо предоставляемыми частными организациями. Предполагается, что последние арендуют уникальные фрагменты национального поддиапазона IPv6-адресов и обеспечивают видеорегистрацию пользователей своего гостевого шлюза доступа в интернет-сеть.

АСПЕКТЫ РЕАЛИЗАЦИИ

Международный аспект

Первым шагом реализации предлагаемого способа является официальная передача управления IPv6-адресным пространством в одну из всемирно признанных международных организаций (например, Международный союз электросвязи, Международную организацию по стандартизации и т.п.). Возможно, для этого понадобится решение ООН, или только властей США.

Вторым шагом должно быть принятие ряда международных актов и стандартов, определяющих стратегию и политику, принципы и правила использования IPv6-адресного пространства, а также официальное закрепление за каждым государством своего уникального поддиапазона IPv6-адресов.

Третьим шагом должен быть определён период организационной и технологической адаптации (временной интервал перехода) национальных информационных обществ к полномасштабному применению своих поддиапазонов IPv6-адресов.

Четвёртым шагом может быть создание структурного подразделения киберполиции в рамках, например, интерпола (Международной организации уголовной полиции), которое бы занималось расследованием международных киберпреступлений, обес-печивало взаимодействие киберполицейских служб различных государств, выявляло неправомочное использование запрещённых IPv6-адресов и т.д.

Национальный аспект

В каждой стране должен появиться уполномоченный орган исполнительной власти, отвечающий за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства. В частности, в России указанный федеральный орган должен быть подчинён непосредственно Президенту или Председателю Правительства РФ (его Первому заместителю) и входить в состав либо Администрации Президента, либо аппарата Правительства РФ.

При этом федеральном органе должна быть образована общественная комиссия, в которой бы участвовали представители всех заинтересованных ведомств и организаций, включая общественные.
Одной из задач такой комиссии могло бы стать разрешение всех возникающих конфликтов, связанных с рас-пределением и эксплуатацией национального поддиапазона IPv6-адресного пространства, а также выработка соответствующих решений и рекомендаций.

Технологический аспект

Потребуются создание и ведение базы данных национального поддиапазона IPv6-адресов (IPv6-БД), а также жёсткий учёт и контроль используемых и не используемых IPv6-адресов. Эксплуатация IPv6-БД должна предусматривать соответствующую систему комплексной защиты базы данных [5, 6]. Порядок доступа к ресурсам IPv6-БД должен быть регламентирован соответствующими федеральными нормативными правовыми актами. Сама IPv6-БД как информационно-технологическая система (ИТС) может быть создана на основе государственно-частного партнёрства.

Инфраструктурный аспект

ИТИ любого государства, являющаяся основой национального информационного общества, должна включать специализированные средства контроля вредоносного и криминального трафика в соответствии с принципом пропуска IPv6-пакетов только с разрешёнными IPv6-адресами, к которым будут относиться:

  1. Национальные поддиапазоны IPv6-адресов государств;
  2. Поддиапазон специальных адресов, в который, в том числе, входят локальные, групповые и все иные технологические IPv6-адреса.

Всем государственным и частным организациям, которые осуществляют эксплуатацию и развитие национальных ИТИ, также целесообразно провести настройки своих сетевых программно-аппаратных комплексов, исключающие обработку IPv6-пакетов с запрещёнными IPv6-адресами.

В порядке и правилах использования локальных IPv6-адресов организациями и ведомствами должны быть предусмотрены персональное назначение IPv6-адресов, т.е. закрепление за каждым работником своего уникального локального IPv6-адреса. Более того, в локальных IPv6-адресах должен содержаться идентификатор государства и организации/ведомства [6]. В других случаях организации или ведомства должны использовать уникальные (неповторяющиеся) поддиапазоны национальных глобальных IPv6-адресов. Распределение и эксплуатация локальных IPv6-адресов в странах будут входить в сферу деятельности уполномоченного органа исполнительной власти, отвечающего за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства.

Порядок и правила применения трансляторов сетевых [5] IPv6-адресов должны определять преобразования локальных адресов в глобальные и наоборот только в рамках корпоративных (ведомственных) ИТС. Это обязательное требование усложнит противоправную анонимную деятельность киберпреступников, в основе которой лежит подмена IP-адресов.

 

Рассмотренный способ использования IPv6-адресации в мировом информационном обществе позволит резко снизить уровень киберпреступности и защитить национальные IT-инфраструтуры государств без каких-либо ограничений прав и свобод граждан на получение объективной и независимой информации. Кредитно-финансовая сфера получит возможность более надёжной аутентификации клиентов в интерактивных банковских системах и быстрейшего обнаружения и реагирования на инциденты информационной безопасности.

 

ЛИТЕРАТУРА

[1] www.startupafisha.ru/news/itogi-issledovaniya-kiberprestupnost-v-rossii-i-mi.

[2] RFC 4291. Hinden, R. and S. Deering, «IP Version 6 Addressing Architecture», February 2006.

[3] RFC 2460. Deering, S. and R. Hinden, «Internet Protocol, Version 6 (IPv6) Specification», December 1998.

[4] International Organization for Standardization. «Codes for the representation of names of countries and their subdivisions», ISO 3166, 1974.

[5] Мельников Д.А. Организация и обеспечение безопасности информационно-технологических сетей и систем: Учебник. – М.: IDO Press, Университетская книга, 2012, ISBN 978-5-91304-246-0, 978-5-4243-0004-2.

[6] Мельников Д.А. Информационная безопасность открытых систем: Учебник. – М.: ФЛИНТА, Наука, 2013, ISBN 978-5-9765-1613-7, 978-5-02-037923-7.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных