ГОСТ Р 53113.2-2009 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов

     10 Рекомендации по методам реализации защитных мероприятий по противодействию скрытым каналам

10.1 По результатам выявления СК формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам ИБ, реализуемым с использованием СК.

10.2 В качестве защитных мероприятий целесообразно использовать:

- снижение пропускной способности канала передачи информации;

- архитектурные решения построения АС;

- мониторинг эффективности защиты АС.

10.3 Выбор методов противодействия угрозам ИБ, реализуемым с использованием СК и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой АС.

10.4 Примеры методов противодействия СК

Пример 1 - Противодействием угрозам, связанным с СК, является, в частности, нормализация трафика, заключающаяся в изменении значений полей сетевых пакетов так, чтобы исключить неоднозначность, которую потенциально можно использовать для организации СК. При этом разрушаются СК, использующие для своей работы такую неоднозначность. В результате нормализации трафика должно обеспечиваться сохранение функциональности исходного протокола, необходимой для выполнения возложенной на него задачи. Нормализация полей пакетов информации может заключаться в приведении значений полей в соответствие со спецификациями протоколов, помещении в поля пакетов фиксированных значений или записи в поля произвольных значений.
     
     Пример 2 - Использование посредника (прокси-сервера), т.е. устройства, имеющего доступ к двум или более сетям, принимающего запросы от приложений, выполняющихся на узлах одной из доступных ему сетей, к приложениям, выполняющимся на узлах другой сети, а затем передающего ответы на эти запросы в обратном направлении. Применение посредника позволяет предотвратить использование для организации СК особенностей протоколов, обеспечивающих работу сети. Детали реализации этих протоколов (например, значений отдельных служебных полей пакетов этих протоколов) при использовании посредника не передаются напрямую из одной сети в другую, а формируются посредником заново. Таким образом, СК по памяти, использующие в качестве среды передачи сетевые протоколы, не будут обеспечивать скрытый обмен информацией между абонентами, разделенными посредником. Работоспособность приложений, взаимодействующих не напрямую, а "сквозь" (через) посредника, не будет нарушена, поскольку посредник учитывает особенности работы этих приложений. Это позволяет без принятия дополнительных мер перекрыть многие СК, связанные с синтаксисом и семантикой сетевого, а также транспортного протоколов. Тем не менее перекрыть каналы, работающие на уровне приложений, таким способом не удастся, так как скрытая информация будет проходить через посредника без изменений вместе с данными приложения. Применяемое приложение-посредник должно учитывать специфику используемых приложений и транспортных протоколов, чтобы полностью сохранить все их функции и не привести к потере производительности сети. В свою очередь, приложения могут быть разработаны с учетом использования посредника.
     
     Пример 3 - Инкапсуляция трафика Интернет ("туннелирование") - транзитная передача пакетов из одной подсети в другую подсеть через третью сеть, при которой исходные пакеты "упаковываются" в пакеты туннельного протокола, передаваемые через третью сеть, представлена на рисунке 3.

     
Рисунок 3 - Инкапсуляция IP-пакетов

10.5 При использовании инкапсуляции с шифрованием и подтверждением целостности пакета возможно перекрытие СК по памяти между узлами, "внутренними" по отношению к шлюзу (т.е. теми узлами, которые формируют пакеты, проходящие по тоннелю), и "внешними" (шлюзы Интернет, через которые проходит маршрут, по которому отправляются пакеты тоннельного протокола). СК по времени (см. подраздел 5.3 ГОСТ Р 53113.1-2008), оперирующие с моментами времени, в которые происходит передача пакетов, не могут быть полностью перекрыты таким способом. Информация, связанная с размерами пакетов и временными интервалами между их появлением, также сохраняется при инкапсуляции, и может быть использована для работы СК.