Организация защищенного обмена внутри программно-управляемой локальной сети

Введение. Для обеспечения защищенного обмена данными внутри локальной вычислительной сети информационной системы недостаточно защиты лишь внешнего периметра. Данный факт подтверждается аналитическими отчетами ведущих компаний в области информационной безопасности. Как правило, после преодоления внешнего сетевого периметра перед проведением атаки злоумышленник выполняет действия по сетевой разведке. Успех выполнения сетевой атаки зависит от полноты собранной информации. Постоянные изменения топологии сети не позволяют злоумышленнику обладать долгосрочной информацией о ней, в результате чего он вынужден более интенсивно собирать информацию, тем самым выдав себя. В противном случае эффективность планируемой атаки снижается. Целью данного исследования является повышение защищенности сторон внутрисетевого обмена методом динамической реконфигурации топологии сети. Авторами предложено новое решение для обеспечения безопасного взаимодействия узлов в сети от внутреннего и преодолевшего защиту сетевого периметра внешнего злоумышленника.

Материалы и методы. Предлагаемое решение построено на базе программноуправляемой сети и технологии VxLAN. Решение предполагает постоянную реконфигурацию сети как с определенной периодичностью, так и по наступлении определенных событий, чтобы злоумышленник   не   мог   обладать долгосрочной информацией о ней. В случае, если злоумышленник был обнаружен или возник инцидент информационной безопасности, сеть в автоматическом режиме реконфигурируется так, чтобы минимизировать или исключить возможные последствия.

Результаты. Полученные результаты экспериментов по применению предлагаемого решения показывают, что периодические изменения топологии сети не позволяют злоумышленнику собрать полную информацию о сети в скрытом режиме. В результате работы предлагаемого решения он может быть обнаружен, а также изолирован.

Обсуждение и заключение. Предлагаемое решение показало потенциальную применимость для организации защищенного обмена данными внутри локальной вычислительной сети информационной системы.

1. Positive Research 2020 [Электронный ресурс]. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/positive-research-2020-rus.pdf (дата обращения: 04.04.2023).

2. Lei C., Zhang, H., Tan J., Zhang, Y., and Liu X. Moving target defense techniques: A survey // Security and Communication Networks. 2018. V. 2018.

3. Galtsev A. A., Sukhov A. M. Network attack detection at flow level // Smart Spaces and Next Generation Wired/Wireless Networking. Springer, Berlin, Heidelberg, 2011. P. 326 –334.

4. Solar JSOC Security Report 2020 [Электронный ресурс]. URL: https://rtsolar.ru/upload/iblock/7d1/Solar-JSOC-Security-Report_2020_rgb.pdf (дата обращения: 04.04.2023).

5. APT-атаки на промышленные компании в 2020 году [Электронный ресурс]. URL: https://ics-cert.kaspersky.ru/media/Kaspersky-ICS-CERT-APT-attacks-onindustrial-companies-in-2020-Ru.pdf (дата обращения: 04.04.2023).

6. Sengupta S., Chowdhary A., Sabur A., Alshamrani A., Huang D., and Kambhampati S. A survey of moving target defenses for network security // IEEE Communications Surveys and Tutorials. 2020. V. 22, № 3. P. 1909–1941.

7. Velan P., Čermák M., Čeleda P., and Drašar M. A survey of methods for encrypted traffic classification and analysis // International Journal of Network Management. 2015. V. 25, № 5. P. 355–374.

8. DeLoach S., Ou X., Zhuang R, and Zhang S. Model-driven, moving-target defense for enterprise network security // Models@ run. time. 2014. P. 137–161.

9. Cho J., Sharma D., Alavizadeh H., Yoon S., Ben-Asher N., Moore T., Kim D., Lim H., and Nelson F. Toward proactive, adaptive defense: A survey on moving target defense // IEEE Communications Surveys and Tutorials. 2020. V. 22, № 1. P. 709–745.

10. Xu X., Hu H., Liu Y., Zhang H., and Chang D. An Adaptive IP Hopping Approach for Moving Target Defense Using a Light-Weight CNN Detector // Security and Communication Networks. 2021. V. 2021.

11. Jalowski Ł., Zmuda M., Rawski M. A Survey on Moving Target Defense for Networks: A Practical View // Electronics. 2022. V. 11, № 18.

12. Mir A., Ramachandran R. Implementation of Security Orchestration, Automation and Response (SOAR) in Smart Grid-Based SCADA Systems // Proc. 6th International Conference on Intelligent Computing and Applications. Singapore, 2021. V. З. P. 157–169.

13. Кошепаров Д. Я. Программная реализация систем глубокой проверки пакетов // Вестник науки и образования. 2020. № 12-1 (90). С. 21–25.

14. Современные решения для построения систем информационной безопасности – брокеры сетевых пакетов (Network Packet Broker) [Электронный ресурс]. URL: https://habr.com/ru/company/dsol/blog/490252/ (дата обращения: 04.04.2023).

15. Ezra P., Misra S., Agrawal A., Oluranti J., Maskeliunas R., and Damasevicius R. Secured communication using virtual private network (VPN) // Proc. International Conference on Cyber Security and Digital Forensics (ICCSDF), 2021. P. 309-319.

16. Goransson P., Black C., Culver T. Software defined networks: a comprehensive approach. Morgan Kaufmann, 2016.

17. Пескова О. Ю., Халабурда Г. Ю. Применение сетевой стеганографии для защиты данных, передаваемых по открытым каналам Интернет // Материалы Всероссийской объединенной конференции «Интернет и современное общество». Санкт- Петербург, 10 – 12 октября, 2012. С. 348–354.

18. Shin S., Xu L., Hong S., and Gu G. Enhancing network security through software defined networking (SDN) // Proc. 25th International conference on computer communication and networks (ICCCN), Waikoloa, HI, USA, 2016. P. 1–9.

19. Shahrokhkhani V. An Analysis on Network Virtualization Protocols and Technologies [Электронный ресурс]. URL: https://era.library.ualberta.ca/items/2c481b73-7ebf-4a51-b6e9-ff5b1224fada/view/f0cd1ea5-7314-4e12-a85a-99e76022195a/Shahrokhkhani.pdf (дата обращения: 04.04.2023).

20. Pu H., Wang Y., An X. Safety Protection Design of Virtual Machine Drift Flow in Cloud Data Center Based on VXLAN Technology // Journal of Computer and Communications. 2020. V. 8, № 8. P. 45–58.

21. Shif L., Wang F., Lung C. Improvement of security and scalability for IoT network using SDVPN // Proc. IEEE/IFIP Network Operations and Management Symposium, Taipei, Taiwan, 2018. P. 1–5.

22. Gu R., Zhang X., Yu L., and Zhang J. Enhancing Security and Scalability in Software Defined LTE Core Networks // Proc. 17th IEEE International Conference on Trust, Security and Privacy in Computing and Communications/12th IEEE International Conference on Big Data Science and Engineering (TrustCom/BigDataSE), New York, USA, 2018. P. 837–842.

23. Reyes G., Dammers M., Kastanja M. Security assessment on a VXLAN-based network // Haettu. 2014. V. 10, № 2017. P. 2013–2014.

24. Liao S., Zhou C., Zhao Y., Zhang Z., Zhang C., Gao Y., and Zhong G. A Comprehensive detection approach of Nmap: principles, rules and experiments // Proc. International conference on cyber-enabled distributed computing and knowledge discovery (CyberC), Chongqing, China, 2020. P. 64–71.

25. JSON-RPC Working Group. JSON-RPC 2.0 Specification [Электронный ресурс]. URL: https://www.jsonrpc.org/specification (дата обращения: 04.04.2023).

26. Jetty S. Network Scanning Cookbook: Practical Network Security Using Nmap and Nessus 7. Packt Publishing Ltd, 2018.

27. Кушко Е. А. Метод реализации защищенного обмена данными на основе динамической топологии сети // Вестник СибГУТИ. 2020. № 4 (52). С. 39–52.