ГОСТ Р 53113.2—2009
Пример 1 — Противодействием угрозам, связанным с СК. является, в частности, нормализация
трафика, заключающаяся в изменении значений полей сетевых пакетов так, чтобы исключит ь
неоднозначност ь, кот орую потенциально можно использоват ь для организации СК. При этом разруш а
ются СК. использующ ие для своей работы такую неоднозначност ь. В результате нормализации тра
фика должно обеспечиват ься сохранение ф ункциональности исходного протокола, необходимой для
выполнения возложенной на него задачи. Нормализация полей пакетов информации может заключат ь
ся в приведении значений полей в соответст вие со специф икациями прот околов, помещении в поля
пакетов ф иксированных значений или записи в поля произвольны х значений.
Пример 2 — Использование посредника (прокси-сервера), т.е. устройства, имеющ его дост уп к
двум или более сетям, принимающ его запросы от приложений, вы полняющ ихся на узлах одной из дос
т упных ему сетей, к приложениям, вы полняющ имся на узлах другой сети, а затем передающего от ве
ты на эти запросы в обратном направлении. Применение посредника позволяет предотвратить
использование для организации СК особенност ей прот околов, обеспечивающ их работу сети. Детали
реализации этих протоколов (например, значений от дельных служебных полей пакетов этих прот
око лов) при использовании посредника не передаются напрямую из одной сети в другую, а ф
ормируются посредником заново. Таким образом. СК по памяти, использующ ие в качестве среды
передачи сетевые прот околы, не будут обеспечивать скрыт ый обмен информацией между
абонентами, разделенными посредником. Работ оспособность приложений, взаимодейст вующ их не
напрямую, а «сквозь» (через) посредника, не будет нарушена, поскольку посредник учитывает
особенност и работы этих приложе ний. Это позволяет без принят ия дополнит ельных мер
перекрыть многие СК. связанные с синтакси сом и семантикой сетевого, а также транспортного
протоколов. Тем не менее перекрыть каналы, работающ ие на уровне приложений, таким способом
не удастся, т ак как скрыт ая информация будет проходит ь через посредника без изменений вместе
с данными приложения. Применяемое приложе ние-посредник должно учит ыват ь специф ику
используемых приложений и т ранспорт ных прот околов, чтобы полност ью сохранить все их
функции и не привест и к потере производит ельност и сети. В свою очередь, приложения могут быть
разработаны с учетом использования посредника.
Пример 3 — Инкапсуляция трафика Интернет (кт уннелирование•) — транзитная передача паке
тов из одной подсети в другую подсеть через т ретью сеть, при которой исходные пакеты «упаковы
ваются» в пакеты туннельного протокола, передаваемые через третью сеть, представлена на
рисунке 3.
Cmimi
Сеть2
МажмныйгаиатIP
Эншифромжый
пшют Р
Энгслгеос тоннельного
■рапжга
3«тапсжж1Р
ч
-ч
\
ш
\
1
-----
Иктвр+ют—
Ы-Щ
*
Рисунок 3 — Инкапсуляция IP-пакетов
10.5При использовании инкапсуляции с шифрованием и подтверждением целостности пакета
возможно перекрытие СК по памяти между узлами, «внутренними» по отношению к шлюзу (т.е. теми
узлами, которые формируют пакеты, проходящие потоннелю), и «внешними» (шлюзы Интернет, через
которые проходит маршрут, по которому отправляются пакеты тоннельного протокола). СК по времени
(см. подраздел 5.3 ГОСТР 53113.1). оперирующие с моментами времени, в которые происходит переда ча
пакетов, не могут быть полностью перекрыты таким способом. Информация, связанная с размерами
пакетов и временными интервалами между их появлением, также сохраняется при инкапсуляции, и
можетбыть использованадля работы СК.
11 Рекомендации по организации контроля за противодействием
скрытым каналам
11.1 Контроль за противодействием СК заключается в выявлении фактов использования СК
в защищаемой АС. Такое выявление может проводиться непрерывно либо по факту обнаружения при
знаков ущербаот использованияСК. Для выявления использованияСКмогутприменятьсястатистичес
кий или сигнатурный методы.
7