Это связано с тем, что основное количество преступлений совершается на основе процедур подмены IP-адресов с использованием различных технологий – включая анонимные уполномоченные (proxy) сетевые программно-аппаратные средства – что лишает возможности технического и юридического поиска злоумышленника. Проблема обостряется недостаточной технологической оснащённостью правоохранительных органов при расследовании киберпреступлений (взлома сайтов, кражи денежных средств у клиентов банков в системах дистанционного банковского обслуживания и т.п.).
В данной статье предлагается способ, который может снизить остроту обозначенной проблемы на основе использования логической характеристики IPv6-протокола (RFC-2460 и RFC-4291 [2, 3]) и стандарта ISO 3166 [4]. Неотвратимость наказания за киберпреступления в перспективе может помочь решить проблему обеспечения информационной безопасности (ИБ) российского государства и всего мирового сообщества. Хотя, конечно, главным условием достижения победы над киберпреступностью является политическая воля мировых держав и принятие соответствующих международных актов и стандартов.
ПРЕДПОСЫЛКИ
Предпосылка первая. В интернет-сообществе обострилась проблема нехватки IP-адресов 4-й версии (IPv4), длина которых составляет 32 бита.
В конце 1990-х годов была предложена система IP-адресации 6-ой версии (IPv6) [2,3], которая определила 128-битовую длину адреса.
Общая ёмкость IPv6-адресного пространства составляет 2128, или примерно 1039. Это число IPv6-адресов во много раз превышает численность населения Земли (Таблица 1 ).
ТАБЛИЦА 1. Общий формат глобального однонаправленного IPv6-адреса
Стандарты [2,3] определяют формат кодирования глобального однонаправленного (unicast) IPv6-адреса, который представлен на этой таблице.
Префикс глобальной маршрутизации (обычно имеет иерархическую структуру) присваивается группе подсетей (линий связи), а идентификатор подсети присваивается линии связи в рамках этой группы подсетей. Все глобальные однонаправленные IPv6-адреса (за исключением тех, которые начинаются с нулевой последовательности «000») имеют 64-битовой поле «Идентификатор интерфейса» (то есть, n + m = 64). Глобальные однонаправленные IPv6-адреса, которые начинаются с нулевой последовательности «000», имеют другую конструкцию и формат (Схема 1).
СХЕМА 1. Корневое дерево иерархии данных для обеспечения сетевого управления, включая объектные идентификаторы стран
Предпосылка вторая. Международная организация по стандартизации (ISO) приняла в 1974 году первую версию Международного стандарта ISO 3166 [4], определяющего кодовые обозначения государств и зависимых территорий, а также основных административных образований внутри государств. В соответствие с этим стандартом каждая страна имеет цифровое обозначение, состоящее из трёх цифр, например, Россия – 643, США – 840, Великобритания – 826, Франция – 250.
Предпосылка третья. В интернет-сети в целях создания единого подхода к управлению сетевыми программно-аппаратным комплексами был разработан простой протокол обеспечения данными сетевого управления (Simple Network Management Protocol SNMPv3), который в дальнейшем был усовершенствован, и в настоящее время стандартизирована третья версия этого протокола.
SNMPv3-стандарт представляет собой модульную структуру и включает:
В рамках SNMPv3-архитектуры используется вторая версия структуры информации для сетевого управления (Structure of Management Information – SMIv2). Данные для сетевого управления имеют иерархическую структуру, определяемую SMIv2, и рассматриваются как совокупность объектов для сетевого управления, имеющих собственные уникальные идентификаторы (последовательности цифровых маркеров, разделённых точками, object identifier) и размещаемых в виртуальном MIB(2)-хранилище.
Высшим уровнем иерархии (Схема 1) для данных сетевого управления является Международная организация по стандартизации, имеющая кодировку «1» («iso» = 1).
В частности, кодирование корневого дерева иерархии данных сетевого управления (the path to the root) имеет следующий вид:
org OBJECT IDENTIFIER ::= { iso 3 } -- «iso» = 1
dod OBJECT IDENTIFIER ::= { org 6 }
internet OBJECT IDENTIFIER ::= { dod 1 }
directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 }
mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }
transmission OBJECT IDENTIFIER ::= { mib-2 10 }
experimental OBJECT IDENTIFIER ::= { internet 3 }
private OBJECT IDENTIFIER ::= { internet 4 }
enterprises OBJECT IDENTIFIER ::= { private 1 }
security OBJECT IDENTIFIER ::= { internet 5 }
snmpV2 OBJECT IDENTIFIER ::= { internet 6 }.
Одной из ветвей корневого дерева иерархии данных общего назначения является ветвь объектных идентификаторов стран, которая имеет вид:
country OBJECT IDENTIFIER ::= { iso 2 } -– «iso» = 1
RUS OBJECT IDENTIFIER ::= { country 643 }
USA OBJECT IDENTIFIER ::= { country 840 }
GRB OBJECT IDENTIFIER ::= { country 826 }
FRA OBJECT IDENTIFIER ::= { country 250 }.
Таким образом, каждое государство (страна) фактически имеет свой объектный идентификатор, кодируемый как последовательность цифровых маркеров: 1 (ISO). 2 (страны). 643 (Российская Федерация). ... ; 1 (ISO). 2 (страны). 840 (США). ... . Другими словами, любая трехмаркерная последовательность вида «1.2. ... .» определяет государственную принадлежность рассматриваемого (включая управление, применение и т.п.) объекта управления, находящегося в MIB(2)-хранилище.
СПОСОБ
Исходя из предыдущего анализа, предлагается использовать объектные идентификаторы стран (например, 1.2.643, идентификатор России) в качестве префикса глобальной маршрутизации в IPv6-адресах. Таким образом, весь диапазон IPv6-адресов будет разделён на три больших диапазона:
Примером такого глобального деления могут служить коды стран, используемые в системах фиксированной и мобильной телефонной связи (например, «+7» – Россия; «+1» – США; «+44» – Великобритания; «+33» – Франция и др.).
В шестнадцатеричном коде Российский диапазон IPv6-адресов будет иметь вид:
1264:3000::/20.
Диапазон IPv6-адресов США будет иметь вид:
1284::/20.
Диапазон IPv6-адресов Великобритании (Соединённого Королевства Великобритании и Северной Ирландии) будет иметь вид:
1282:6000::/20.
Диапазон IPv6-адресов Франции будет иметь вид:
1225::/20.
ПРИЧИНЫ И СЛЕДСТВИЯ
Причины и следствия реализации предлагаемого способа следующие.
АСПЕКТЫ РЕАЛИЗАЦИИ
Международный аспект
Первым шагом реализации предлагаемого способа является официальная передача управления IPv6-адресным пространством в одну из всемирно признанных международных организаций (например, Международный союз электросвязи, Международную организацию по стандартизации и т.п.). Возможно, для этого понадобится решение ООН, или только властей США.
Вторым шагом должно быть принятие ряда международных актов и стандартов, определяющих стратегию и политику, принципы и правила использования IPv6-адресного пространства, а также официальное закрепление за каждым государством своего уникального поддиапазона IPv6-адресов.
Третьим шагом должен быть определён период организационной и технологической адаптации (временной интервал перехода) национальных информационных обществ к полномасштабному применению своих поддиапазонов IPv6-адресов.
Четвёртым шагом может быть создание структурного подразделения киберполиции в рамках, например, интерпола (Международной организации уголовной полиции), которое бы занималось расследованием международных киберпреступлений, обес-печивало взаимодействие киберполицейских служб различных государств, выявляло неправомочное использование запрещённых IPv6-адресов и т.д.
Национальный аспект
В каждой стране должен появиться уполномоченный орган исполнительной власти, отвечающий за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства. В частности, в России указанный федеральный орган должен быть подчинён непосредственно Президенту или Председателю Правительства РФ (его Первому заместителю) и входить в состав либо Администрации Президента, либо аппарата Правительства РФ.
При этом федеральном органе должна быть образована общественная комиссия, в которой бы участвовали представители всех заинтересованных ведомств и организаций, включая общественные.
Одной из задач такой комиссии могло бы стать разрешение всех возникающих конфликтов, связанных с рас-пределением и эксплуатацией национального поддиапазона IPv6-адресного пространства, а также выработка соответствующих решений и рекомендаций.
Технологический аспект
Потребуются создание и ведение базы данных национального поддиапазона IPv6-адресов (IPv6-БД), а также жёсткий учёт и контроль используемых и не используемых IPv6-адресов. Эксплуатация IPv6-БД должна предусматривать соответствующую систему комплексной защиты базы данных [5, 6]. Порядок доступа к ресурсам IPv6-БД должен быть регламентирован соответствующими федеральными нормативными правовыми актами. Сама IPv6-БД как информационно-технологическая система (ИТС) может быть создана на основе государственно-частного партнёрства.
Инфраструктурный аспект
ИТИ любого государства, являющаяся основой национального информационного общества, должна включать специализированные средства контроля вредоносного и криминального трафика в соответствии с принципом пропуска IPv6-пакетов только с разрешёнными IPv6-адресами, к которым будут относиться:
Всем государственным и частным организациям, которые осуществляют эксплуатацию и развитие национальных ИТИ, также целесообразно провести настройки своих сетевых программно-аппаратных комплексов, исключающие обработку IPv6-пакетов с запрещёнными IPv6-адресами.
В порядке и правилах использования локальных IPv6-адресов организациями и ведомствами должны быть предусмотрены персональное назначение IPv6-адресов, т.е. закрепление за каждым работником своего уникального локального IPv6-адреса. Более того, в локальных IPv6-адресах должен содержаться идентификатор государства и организации/ведомства [6]. В других случаях организации или ведомства должны использовать уникальные (неповторяющиеся) поддиапазоны национальных глобальных IPv6-адресов. Распределение и эксплуатация локальных IPv6-адресов в странах будут входить в сферу деятельности уполномоченного органа исполнительной власти, отвечающего за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства.
Порядок и правила применения трансляторов сетевых [5] IPv6-адресов должны определять преобразования локальных адресов в глобальные и наоборот только в рамках корпоративных (ведомственных) ИТС. Это обязательное требование усложнит противоправную анонимную деятельность киберпреступников, в основе которой лежит подмена IP-адресов.
ЛИТЕРАТУРА
[1] www.startupafisha.ru/news/itogi-issledovaniya-kiberprestupnost-v-rossii-i-mi.
[2] RFC 4291. Hinden, R. and S. Deering, «IP Version 6 Addressing Architecture», February 2006.
[3] RFC 2460. Deering, S. and R. Hinden, «Internet Protocol, Version 6 (IPv6) Specification», December 1998.
[4] International Organization for Standardization. «Codes for the representation of names of countries and their subdivisions», ISO 3166, 1974.
[5] Мельников Д.А. Организация и обеспечение безопасности информационно-технологических сетей и систем: Учебник. – М.: IDO Press, Университетская книга, 2012, ISBN 978-5-91304-246-0, 978-5-4243-0004-2.
[6] Мельников Д.А. Информационная безопасность открытых систем: Учебник. – М.: ФЛИНТА, Наука, 2013, ISBN 978-5-9765-1613-7, 978-5-02-037923-7.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных