Использование логической характеристики IPv6-протокола для защиты IT-инфраструктуры

Использование логической характеристики IPv6-протокола для защиты IT-инфраструктуры

Ежегодно в интернет-сети наблюдается постоянный рост киберпреступлений. Только в 2012 году ущерб от киберпреступности ^[1] оценивался в $2 млрд в год в России и в $110 млрд во всём мире! Цифры говорят сами за себя. При этом выявление самих киберпреступников остаётся весьма сложной задачей, решение которой в большинстве случаев найти невозможно.

Это связано с тем, что основное количество преступлений совершается на основе процедур подмены IP-адресов с использованием различных технологий – включая анонимные уполномоченные (proxy) сетевые программно-аппаратные средства – что лишает возможности технического и юридического поиска злоумышленника. Проблема обостряется недостаточной технологической оснащённостью правоохранительных органов при расследовании киберпреступлений (взлома сайтов, кражи денежных средств у клиентов банков в системах дистанционного банковского обслуживания и т.п.).

В данной статье предлагается способ, который может снизить остроту обозначенной проблемы на основе использования логической характеристики IPv6-протокола (RFC-2460 и RFC-4291 ^{[2, 3]}) и стандарта ISO 3166 ^[4]. Неотвратимость наказания за киберпреступления в перспективе может помочь решить проблему обеспечения информационной безопасности (ИБ) российского государства и всего мирового сообщества. Хотя, конечно, главным условием достижения победы над киберпреступностью является политическая воля мировых держав и принятие соответствующих международных актов и стандартов.

ПРЕДПОСЫЛКИ

Предпосылка первая. В интернет-сообществе обострилась проблема нехватки IP-адресов 4-й версии (IPv4), длина которых составляет 32 бита.
В конце 1990-х годов была предложена система IP-адресации 6-ой версии (IPv6) ^[2,3], которая определила 128-битовую длину адреса.

Общая ёмкость IPv6-адресного пространства составляет 21²⁸, или примерно 10³⁹. Это число IPv6-адресов во много раз превышает численность населения Земли (Таблица 1 ).

ТАБЛИЦА 1. Общий формат глобального однонаправленного IPv6-адреса

Стандарты ^[2,3] определяют формат кодирования глобального однонаправленного (unicast) IPv6-адреса, который представлен на этой таблице.

Префикс глобальной маршрутизации (обычно имеет иерархическую структуру) присваивается группе подсетей (линий связи), а идентификатор подсети присваивается линии связи в рамках этой группы подсетей. Все глобальные однонаправленные IPv6-адреса (за исключением тех, которые начинаются с нулевой последовательности «000») имеют 64-битовой поле «Идентификатор интерфейса» (то есть, n + m = 64). Глобальные однонаправленные IPv6-адреса, которые начинаются с нулевой последовательности «000», имеют другую конструкцию и формат (Схема 1).

СХЕМА 1. Корневое дерево иерархии данных для обеспечения сетевого управления, включая объектные идентификаторы стран

Предпосылка вторая. Международная организация по стандартизации (ISO) приняла в 1974 году первую версию Международного стандарта ISO 3166 ^[4], определяющего кодовые обозначения государств и зависимых территорий, а также основных административных образований внутри государств. В соответствие с этим стандартом каждая страна имеет цифровое обозначение, состоящее из трёх цифр, например, Россия – 643, США – 840, Великобритания – 826, Франция – 250.

Предпосылка третья. В интернет-сети в целях создания единого подхода к управлению сетевыми программно-аппаратным комплексами был разработан простой протокол обеспечения данными сетевого управления (Simple Network Management Protocol SNMPv3), который в дальнейшем был усовершенствован, и в настоящее время стандартизирована третья версия этого протокола.

SNMPv3-стандарт представляет собой модульную структуру и включает:

1. Язык описания данных для сетевого управления;
2. Описание управляющей информации (База управляющей информации, Management Information Base MIB и MIB2);
3. Описание протокола;
4. Система безопасности и администрирования (управления).

В рамках SNMPv3-архитектуры используется вторая версия структуры информации для сетевого управления (Structure of Management Information – SMIv2). Данные для сетевого управления имеют иерархическую структуру, определяемую SMIv2, и рассматриваются как совокупность объектов для сетевого управления, имеющих собственные уникальные идентификаторы (последовательности цифровых маркеров, разделённых точками, object identifier) и размещаемых в виртуальном MIB(2)-хранилище.

Высшим уровнем иерархии (Схема 1) для данных сетевого управления является Международная организация по стандартизации, имеющая кодировку «1» («iso» = 1).

В частности, кодирование корневого дерева иерархии данных сетевого управления (the path to the root) имеет следующий вид:

org OBJECT IDENTIFIER ::=  { iso 3 } -- «iso» = 1
dod OBJECT IDENTIFIER ::= { org 6 }
internet OBJECT IDENTIFIER ::= { dod 1 }
directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 }
mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }
transmission OBJECT IDENTIFIER ::= { mib-2 10 }
experimental OBJECT IDENTIFIER ::= { internet 3 }
private OBJECT IDENTIFIER ::= { internet 4 }
enterprises OBJECT IDENTIFIER ::= { private 1 }
security OBJECT IDENTIFIER ::= { internet 5 }
snmpV2 OBJECT IDENTIFIER ::= { internet 6 }.

Одной из ветвей корневого дерева иерархии данных общего назначения является ветвь объектных идентификаторов стран, которая имеет вид:

country OBJECT IDENTIFIER ::= { iso 2 } -– «iso» = 1
RUS OBJECT IDENTIFIER ::= { country 643 }
USA OBJECT IDENTIFIER ::= { country 840 }
GRB OBJECT IDENTIFIER ::= { country 826 }
FRA OBJECT IDENTIFIER ::= { country 250 }.

Таким образом, каждое государство (страна) фактически имеет свой объектный идентификатор, кодируемый как последовательность цифровых маркеров: 1 (ISO). 2 (страны). 643 (Российская Федерация). ... ; 1 (ISO).  2 (страны). 840 (США). ... . Другими словами, любая трехмаркерная последовательность вида «1.2. ... .» определяет государственную принадлежность рассматриваемого (включая управление, применение и т.п.) объекта управления, находящегося в MIB(2)-хранилище.

СПОСОБ

Исходя из предыдущего анализа, предлагается использовать объектные идентификаторы стран (например, 1.2.643, идентификатор России) в качестве префикса глобальной маршрутизации в IPv6-адресах. Таким образом, весь диапазон IPv6-адресов будет разделён на три больших диапазона:

1. Национальные поддиапазоны IPv6-адресов государств;
2. Поддиапазон специальных адресов, в который, в том числе, входят локальные, групповые и все иные технологические IPv6-адреса;
3. Не используемые IPv6-адреса (решение об их использовании должно приниматься международной организацией и публиковаться в открытом доступе).

Примером такого глобального деления могут служить коды стран, используемые в системах фиксированной и мобильной телефонной связи (например, «+7» – Россия; «+1» – США; «+44» – Великобритания; «+33» – Франция и др.).

В шестнадцатеричном коде Российский диапазон IPv6-адресов будет иметь вид:

1264:3000::/20.

Диапазон IPv6-адресов США будет иметь вид:

1284::/20.

Диапазон IPv6-адресов Великобритании (Соединённого Королевства Великобритании и Северной Ирландии) будет иметь вид:

1282:6000::/20.

Диапазон IPv6-адресов Франции будет иметь вид:

1225::/20.

ПРИЧИНЫ И СЛЕДСТВИЯ

Причины и следствия реализации предлагаемого способа следующие.

• Глобализация интернет-сети, которая привела к созданию практически во всех странах мира национальных информационных обществ (электронных правительств), превратившихся в новую социально-экономическую среду (СоцЭС) ^[5]. В каждой стране такая СоцЭС стала сферой экономических интересов, также требующей своей защиты, как от внешнего, так и от внутреннего вмешательства.
• Предлагаемый способ фактически вводит виртуальные границы национальных информационных обществ и СоцЭС. По аналогии со странами Шенгенской зоны, виртуальные границы остаются открытыми и прозрачными. Однако между странами Шенгенской зоны остаются государственные и административные границы, которые определяют зоны экономической, финансовой, юридической, экологической и другой ответственности государств. То есть между ними остаётся «межа», которая разделяет сферы тех или иных интересов государств. Также и виртуальные границы национальных информационных обществ фактически являются «межой» в мировом виртуальном пространстве. Таким образом, предлагаемый способ разграничивает сферы интересов государств в мировом виртуальном пространстве.
• По аналогии с национальными радиочастотными диапазонами, каждый национальный поддиапазон IPv6-адресов будет являться национальным достоянием конкретного государства. Эксплуатация такого поддиапазона может стать источником пополнения государственного бюджета. Например, индивидуальные IPv6-адреса могут выдаваться гражданам Российской Федерации на безвозмездной основе пожизненно. Коммерческие организации могут брать в аренду необходимые для них фрагменты (причём уникальные, не повторяющиеся и в различных объёмах) национального поддиапазона IPv6-адресов на возмездной основе. Так в настоящее время операторы сотовой связи пополняют государственную казну, оплачивая аренду того или иного частотного поддиапазона.
• Ведение базы данных национального поддиапазона IPv6-адресов, жёсткий учёт и контроль используемых и неиспользуемых IPv6-адресов обеспечат точное выявление киберпреступника и любого нарушителя, осуществляющего противоправную деятельность в российском сегменте мирового информационного общества. В частности, попытки потенциальных внутренних нарушителей использовать не используемые IPv6-адреса будут пресекаться путём блокирования соответствующих IPv6-пакетов самой национальной информационно-технологической инфраструктурой (ИТИ), составляющей основу информационного общества (электронного государства). В основе такого утверждения лежит неукоснительное выполнение принципа неотвратимости наказания.
• При попытках виртуального проникновения киберпреступников с применением неиспользуемых IPv6-адресов в российскую СоцЭС их действия будут пресекаться на границе национального информационного общества, то есть национальной ИТИ. А при использовании потенциальным нарушителем действующего IPv6-адреса, факт прохождения IPv6-пакета с таким адресом будет фиксироваться на виртуальной границе, и если нарушение ИБ произойдёт, то материалы расследования киберпреступления будут переданы той стране, чей IPv6-адрес использовался (входил в национальный поддиапазон IPv6-адресов этой страны).
• По аналогии с существующей практикой, организации, предоставляющие услуги доступа в интернет (интернет-провайдеры), будут брать в аренду уникальные (не перекрывающиеся) фрагменты национального поддиапазона IPv6-адресов за соответствующую плату. IPv6-адреса интернет-провайдера будут предоставляться его клиентам на основании соответствующих договоров на постоянной или временной основе. Это позволит однозначно установить клиента интернет-провайдера, совершившего то или иное противоправное действие в киберпространстве. Это касается и организаций, и частных лиц, создающих на основе услуг интернет-провайдеров www-сайты, содержащие экстремистскую, порнографическую и тому подобную информацию.
• Для законопослушных граждан и сотрудников организаций – пользователей интернет-сети практически ничего не изменится. Как они предо-ставляли свои персональные данные при заключении договоров с интернет-провайдером, так и будут делать это и в дальнейшем при переходе на IPv6-адресацию. За исключением одного: у них появится право выбора – пользоваться своими индивидуальными IPv6-адресами или же предоставляемыми интернет-провайдерами.
• В зонах свободного доступа к интернет-сети, предоставляемого частны-ми организациями (например, сеть ресторанов быстрого обслуживания «McDonald's»), в зависимости от корпоративных политик обеспечения информационной безопасности, пользователи интернет-сети смогут также пользоваться либо своими индивидуальными IPv6-адресами, либо предоставляемыми частными организациями. Предполагается, что последние арендуют уникальные фрагменты национального поддиапазона IPv6-адресов и обеспечивают видеорегистрацию пользователей своего гостевого шлюза доступа в интернет-сеть.

АСПЕКТЫ РЕАЛИЗАЦИИ

Международный аспект

Первым шагом реализации предлагаемого способа является официальная передача управления IPv6-адресным пространством в одну из всемирно признанных международных организаций (например, Международный союз электросвязи, Международную организацию по стандартизации и т.п.). Возможно, для этого понадобится решение ООН, или только властей США.

Вторым шагом должно быть принятие ряда международных актов и стандартов, определяющих стратегию и политику, принципы и правила использования IPv6-адресного пространства, а также официальное закрепление за каждым государством своего уникального поддиапазона IPv6-адресов.

Третьим шагом должен быть определён период организационной и технологической адаптации (временной интервал перехода) национальных информационных обществ к полномасштабному применению своих поддиапазонов IPv6-адресов.

Четвёртым шагом может быть создание структурного подразделения киберполиции в рамках, например, интерпола (Международной организации уголовной полиции), которое бы занималось расследованием международных киберпреступлений, обес-печивало взаимодействие киберполицейских служб различных государств, выявляло неправомочное использование запрещённых IPv6-адресов и т.д.

Национальный аспект

В каждой стране должен появиться уполномоченный орган исполнительной власти, отвечающий за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства. В частности, в России указанный федеральный орган должен быть подчинён непосредственно Президенту или Председателю Правительства РФ (его Первому заместителю) и входить в состав либо Администрации Президента, либо аппарата Правительства РФ.

При этом федеральном органе должна быть образована общественная комиссия, в которой бы участвовали представители всех заинтересованных ведомств и организаций, включая общественные.
Одной из задач такой комиссии могло бы стать разрешение всех возникающих конфликтов, связанных с рас-пределением и эксплуатацией национального поддиапазона IPv6-адресного пространства, а также выработка соответствующих решений и рекомендаций.

Технологический аспект

Потребуются создание и ведение базы данных национального поддиапазона IPv6-адресов (IPv6-БД), а также жёсткий учёт и контроль используемых и не используемых IPv6-адресов. Эксплуатация IPv6-БД должна предусматривать соответствующую систему комплексной защиты базы данных ^{[5, 6]}. Порядок доступа к ресурсам IPv6-БД должен быть регламентирован соответствующими федеральными нормативными правовыми актами. Сама IPv6-БД как информационно-технологическая система (ИТС) может быть создана на основе государственно-частного партнёрства.

Инфраструктурный аспект

ИТИ любого государства, являющаяся основой национального информационного общества, должна включать специализированные средства контроля вредоносного и криминального трафика в соответствии с принципом пропуска IPv6-пакетов только с разрешёнными IPv6-адресами, к которым будут относиться:

1. Национальные поддиапазоны IPv6-адресов государств;
2. Поддиапазон специальных адресов, в который, в том числе, входят локальные, групповые и все иные технологические IPv6-адреса.

Всем государственным и частным организациям, которые осуществляют эксплуатацию и развитие национальных ИТИ, также целесообразно провести настройки своих сетевых программно-аппаратных комплексов, исключающие обработку IPv6-пакетов с запрещёнными IPv6-адресами.

В порядке и правилах использования локальных IPv6-адресов организациями и ведомствами должны быть предусмотрены персональное назначение IPv6-адресов, т.е. закрепление за каждым работником своего уникального локального IPv6-адреса. Более того, в локальных IPv6-адресах должен содержаться идентификатор государства и организации/ведомства ^[6]. В других случаях организации или ведомства должны использовать уникальные (неповторяющиеся) поддиапазоны национальных глобальных IPv6-адресов. Распределение и эксплуатация локальных IPv6-адресов в странах будут входить в сферу деятельности уполномоченного органа исполнительной власти, отвечающего за разработку и реализацию стратегии и политики, принципов и правил использования национального поддиапазона IPv6-адресного пространства.

Порядок и правила применения трансляторов сетевых ^[5] IPv6-адресов должны определять преобразования локальных адресов в глобальные и наоборот только в рамках корпоративных (ведомственных) ИТС. Это обязательное требование усложнит противоправную анонимную деятельность киберпреступников, в основе которой лежит подмена IP-адресов.

Рассмотренный способ использования IPv6-адресации в мировом информационном обществе позволит резко снизить уровень киберпреступности и защитить национальные IT-инфраструтуры государств без каких-либо ограничений прав и свобод граждан на получение объективной и независимой информации. Кредитно-финансовая сфера получит возможность более надёжной аутентификации клиентов в интерактивных банковских системах и быстрейшего обнаружения и реагирования на инциденты информационной безопасности.

ЛИТЕРАТУРА

^[1] www.startupafisha.ru/news/itogi-issledovaniya-kiberprestupnost-v-rossii-i-mi.

^[2] RFC 4291. Hinden, R. and S. Deering, «IP Version 6 Addressing Architecture», February 2006.

^[3] RFC 2460. Deering, S. and R. Hinden, «Internet Protocol, Version 6 (IPv6) Specification», December 1998.

^[4] International Organization for Standardization. «Codes for the representation of names of countries and their subdivisions», ISO 3166, 1974.

^[5] Мельников Д.А. Организация и обеспечение безопасности информационно-технологических сетей и систем: Учебник. – М.: IDO Press, Университетская книга, 2012, ISBN 978-5-91304-246-0, 978-5-4243-0004-2.

^[6] Мельников Д.А. Информационная безопасность открытых систем: Учебник. – М.: ФЛИНТА, Наука, 2013, ISBN 978-5-9765-1613-7, 978-5-02-037923-7.