В Москве прошла первая конференция «Сетевая безопасность», соорганизатором которой выступила АНО «НТЦ ЦК». Участники мероприятия обсудили требования к межсетевым экранам уровня сети, защиту web-приложений и электронной почты, обеспечение безопасности удаленного доступа, VPN-шлюзы и проблемы инспекции SSL/TLS трафика, использование криптографии в сетевой безопасности, а также задачи зеркалирования и анализа трафика и другие актуальные вопросы обеспечения сетевой безопасности.
В рамках конференции состоялась дискуссия «Вопросы информационной безопасности управления сетевым трафиком», модератором которой выступил Сергей Минаков, заместитель генерального директора по проектной деятельности АНО «НТЦ ЦК».
Открывая обсуждение, С. Минаков остановился на специфических вопросах ИБ управления сетевым трафиком, связанных как с сетевым оборудованием, так и с протоколами. В первую очередь, это динамическая маршрутизация. Есть несколько специфических угроз, связанных с искажением маршрутной информации: когда активное сетевое оборудование занимается передачей трафика по чужим маршрутам, либо меняет свои, и атаки с захватом блоков адресов маршрутизации систем коммутации пакетов. Если речь идет об IP-маршрутизации, то идет захват блоков IP-адресов.
Этой проблеме много лет — впервые с реализацией атак на протоколы внешней (пограничной) маршрутизации (англ. — External Gateway Protocol, Border Gateway Protocol) специалисты столкнулись в 1997 году. В последствии число атак нарастало, это связано с тем, что при взаимодействии между операторами связи разных стран должны соблюдаться требования по транзитивности трафика между странами, обязательства при международной передаче трафика вне зависимости от конкретных политических вопросов.
Сегодня активно обсуждают вопросы искажения маршрутов и «угона» трафика из США в Китай, из Мексики и США в Белоруссию и Россию. Но при этом на международном уровне в сервисах мониторинга крайне мало обсуждается увод сетевого трафика из Российской Федерации и других стран, недружественных для стран Запада.
Спикер обратил внимание на два инцидента. В первом случае «неправильная» настройка маршрутизаторов в нескольких странах, в том числе, в России, привела к закольцовыванию трафика. Он поступал из США и Нидерландов, проходил через Ростелеком, уходил в Узбекистан, возвращался в Билайн и уходил дальше, в частности, в сервисы и хранилища данных компании Amazon. В тот же период в течение получаса аналогичная атака была произведена через операторов Швеции и Италии, только трафик уходил в США на систему фильтрации Cloudflare.
Остаётся только предполагать, зачем и кем это было сделано, отметил С. Минаков. Он также подчеркнул, что эти инциденты не нашли широкого освещения в мониторинговых агентствах. И задача участников дискуссии — обсудить вопросы, связанные с безопасностью российских операторов связи, безопасностью управления сетевым трафиком и механизмами, которые и способствуют, и препятствуют этому. Модератор также напомнил, что в декабре 2024 г. Роскомнадзор проводил киберучения по управлению сетями связи, в которых участвовали некоторые регионы России и ФГУП «ГРЧЦ».
Сергей Хуторцев (ФГУП «ГРЧЦ») заметил, что Центр мониторинга управления системами связи общего пользования и Роскомнадзор, как регулятор, уделяют большое внимание устойчивости и нормализации работы систем связи. Эксперт рассказал о мерах, которые принимает ФГУП «ГРЧЦ» совместно с Роскомнадзором, федеральными органами исполнительной власти и другими регуляторами по созданию устойчивой работы российской зоны глобальной сети Интернет. В частности, рассматриваются угрозы отказа работы глобальной системы DNS или некорректной работы иностранных интернет-регистраторов, другой инфраструктуры управления, 90% сервисов которой расположены за рубежом.
Для нивелирования угроз достоверности и целостности для системы доменных имён создана национальная система доменных имён (аналог RIPE NCC), как собственный доменный корень, и система резолвинга, которая позволяет подключиться и использовать национальную систему для своих целей. Более 99% операторов связи уже подключены к ней. Ведутся работы по другим направлениям, проводятся ежегодные киберучения на сетях связи в рамках проверки созданных механизмов устойчивой работы систем, в декабре 2024 г. испытания проходили операторы связи, Ингушетии, Чечни и Дагестана, результаты сейчас анализируются.
Останавливаясь на приведенных модератором кейсах по уводу трафика, представитель регулятора напомнил, что протокол маршрутизации BGP создан давно и не имеет встроенных механизмов валидации корректности анонсов маршрутов. Для борьбы с уводом трафика и сетевыми атаками строятся специализированные инфраструктуры открытых ключей для поддержки улучшенной безопасности инфраструктуры маршрутизации BGP в Интернете (англ. — Resource Public Key Infrastructure, RPKI). Каждый оператор связи криптографически подписывает (заверяет) свои номерные (автономные) системы, управляющие данные и команды. Для эффективной работы системы необходимо, чтобы подавляющее большинство операторов связи использовали криптографические механизмы RPKI для заверения маршрутно-адресной информации и аутентификации маршрутизаторов между собой. Также должны создаваться некие централизованные элементы системы управления трафиком — технологические удостоверяющие центры с базами данных, которые в качестве доверенных сторон могут заверять данные и управлять жизненным циклом сертификатов безопасности для таких задач. В России уже создан и в пилотном режиме работает один из элементов RPKI в режиме совместимости с иностранными протоколами. Планируется, что до конца 2025 года механизм будет внедрен у большинства операторов связи.
Тему перехода на отечественное оборудование и протоколы продолжил Сергей Калинин (С-Терра). Он напомнил, что Указ Президента РФ № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» был подписан в апреле 1995 года. Однако на тот момент компании не были готовы к переходу на отечественные программные и аппаратные средства, криптографические протоколы. С тех пор проделана большая работа. Российские компании переходят на отечественные криптографические алгоритмы, умеют управлять потоками данных. Криптографические шлюзы имеют право быть на узлах, умеют правильно и доверено маршрутизировать, в том числе применяя и BGP, и инкапсулируя BGP в IPsec. Это хорошие технические решения, которые со временем придут на замену импортного оборудования, считает спикер.
Об особенности текущих проектов, которые ведутся под эгидой Минцифры и Национального технологического центра цифровой криптографии (АНО «НТЦ ЦК»), связанных с применением криптографических механизмов по управлению сетевым трафиком, динамической маршрутизации без образования средств криптозащиты информации (СКЗИ), рассказал Сергей Плотко («Цифровые решения»). Он отметил, что работы ведутся по защите протоколов динамической маршрутизации с использованием российских криптографических алгоритмов. При этом маршрутизатор или коммутатор — активное сетевое оборудование — не превращается в средство криптографической защиты, сохраняет свою основную функцию — высокоскоростную коммутацию сетевых пакетов, адресную маршрутизацию и приемо-передачу информации. Для операторов связи и всех пользователей инфраструктуры важно, чтобы работа с сетевым оборудованием не усложнялась из-за использования российских криптографических алгоритмов. Поскольку перевод (превращение) сетевого оборудования в один из типов СКЗИ в правовом статусе приводит к возникновению ряда ограничений, эксплуатационных сложностей и проблем с разработкой и обновлением встроенного ПО.
С. Плотко подчеркнул, что исследователи провели работу и доказали возможность реализации отечественных криптоалгоритмов для защиты протоколов динамической маршрутизации, обеспечили подписи пакетов данных российскими криптоалгоритмами ГОСТ Р 34.10-2012, ГОСТ 34.10-2018, создали соответствующие программные библиотеки и реализовали это на оборудовании. При этом для защищаемых объектов КИИ, там, где используются внутренние протоколы динамической маршрутизации, такие криптографические механизмы можно расширить и реализовать и при помощи сертифицированных российских СКЗИ.
Решение было проверено на базе серийно выпускаемого маршрутизатора. При этом испытывался вариант полноценного Gateway: с одной стороны иностранное оборудование поддерживало зарубежные протоколы стандарта OSPF, с другой — реализовывался модифицированный вариант протокола OSPF-GOST (условное наименование) с российскими стандартами криптографии, в частности, с хешированием и электронной подписи. При этом разработчики старались реализовать решение по модульному принципу, чтобы оно стало дополнением и чаще функционировало автономно, не вмешиваясь в большую часть основных функций маршрутизации.
По мнению спикера, технологический суверенитет во многом начинался с разработки ПО как более простой части. В рамках импортозамещения оборудования следующим шагом в обеспечении технологического суверенитета должны стать национальные стандарты, которые учитывают российские разработки и специфику их применения.
Дмитрий Задорожный («Код безопасности»), представитель Технического комитета ТК-26 «Криптографическая защита информации» сообщил, что в соответствии с rfc протоколы BGPsec и RPKI реализуют криптографическую функцию электронной подписи, которая неоднократно стандартизирована в Российской Федерации (1994 г., 2001 г., 2012 г.), поддержал идею российских разработчиков сделать спецификации по расширению протоколов OSPF, BGP и технологии RPKI и внедрять их в телекоммуникационное оборудование.
Кроме того эксперт обратил внимание участников на то, что большинство маршрутизаторов строятся на операционных системах с открытым программным кодом (сборки Linux, Free|NetBSD, OpenWRT), поэтому для реализации отечественных версий протоколов OSPF, BGPsec и RPKI разработчики маршрутизаторов легко смогут скооперироваться с разработчиками СКЗИ для портирования библиотек, уже реализующих криптографические алгоритмы. Вызывает опасение, что действующие маршрутизаторы поддерживают большое количество открытых протоколов, таких как IP Sec, OpenVPN, WireGuard и т. д., заявляемых в рекламных материалах, в результате возникают вопросы к их применению и позиционированию, в случае защиты данных пользователей. Есть также вопросы к восстановлению эталонной прошивки маршрутизатора в случае его заражения, разработчики СКЗИ могут помочь производителям телеком-оборудования с внедрением технологии контроля целостности программного обеспечения. При этом организовать внедрение отечественных криптографических механизмов в маршрутизаторы неплохо было бы реализовать на базе АНО НТЦ ЦК, как тематической некоммерческой организации и для обеспечения совместной работы разных вендоров телеком-оборудования.
Сергей Болонистов (компания «Булат») заметил, что при выборе телеком-продукта необходимо ответить на вопросы: что защищает условное решение из коробки, и какова стоимость защищаемой информации? Исходя из этого подбираются продукты и методы защиты. Спикер также напомнил, что в главную задачу оператора связи входит передача высоконагруженного трафика с минимальными задержками, поэтому добавив в телеком-решение дополнительные криптоалгоритмы и обременив его нагрузкой, например, по полноценному шифрованию трафика, вендор получит низкопроизводительный криптошлюз, который ещё и требует сертификации как СКЗИ. Необходимо четко учитывать разницу между маршрутизаторами сетевого трафика и сетевыми шифраторами, помнить, что каждый тип оборудования должен заниматься своими задачами: есть существенная разница между функциональным назначением изделия — защита данных (шифратор) и отдельным механизмом (алгоритмом) защиты, реализованном в телеком-продукции, предназначенной для передачи данных и управления потоками данных (маршрутизатор, граничный шлюз).
С. Болонистов отметил, что шифрование сетевого трафика — ресурсоёмкая и не всегда востребованная у операторов связи задача. Необходимо внедрять криптографические механизмы, которые помогут навести порядок в управлении трафиком, сократить или существенно снизить ущерб от инцидентов ИБ, потребителю должны быть доступны дополнительные криптографические механизмы и средства, без которых резко падает производительность телеком-оборудования при реализации криптоалгоримтов. Но при необходимости повысить защищённость управления телеком-оборудованием потребитель может использовать доступный функционал, например, встроенный протокол IP Sec совместно с BGP.
Также, обсуждая применение механизмов фильтрации, криптографического заверения маршрутов, доменных имён и других элементов технологии RPKI все участники согласились, что нельзя приводить к единой точке отказа, когда простая авария может привести к невозможности проверить маршрут, либо к перекоммутации трафика между узлами связи и такой сценарий не будет заложен в систему. Также стоит учитывать, что для обеспечения тайны связи «чувствительный», клиентский трафик должен либо быть зашифрован и передан по определённым каналам, либо остаться внутри страны.
О необходимости передачи внутреннего трафика, не выходя за пределы России, напомнил и представитель регулятора. По всем фактам нарушения услуг связи или правил защиты информации операторы связи будут наказываться штрафами в соответствии с новой редакцией КоАП РФ.
Участники дискуссии отметили, что в настоящее время 90% оборудования, которое есть на балансе операторов связи, — иностранного производства. При этом зарубежные процессоры, лежащие в основе телеком-решений, содержат аппаратную поддержку иностранных криптографических функций. Для противодействия угрозам компрометации механизмов управления активным сетевым оборудованием иностранных решений необходимо развивать российские криптомеханизмы и включить их в RPKI.
Также в дискуссии были затронуты вопросы стабильности информационной инфраструктуры при одновременном наращивании и использовании активного сетевого оборудования и параллельно частичного закрытия его пограничными шлюзами.
Вместе принимаемыми мерами по нивелированию угроз при использовании иностранных решений обсудили как именно необходимо развивать отечественное оборудование, параллельно разрабатывая собственные криптографические алгоритмы, стандарты и протоколы, включая линейку для технологии RPKI и BRSKI (англ. — Bootstrapping Remote Secure Key Infrastructure).
В процессе дискуссии удалось поднять и вопросы доверенной разработки программных и аппаратных комплексов, доверенных решений, которые можно встраивать в различные продукты. Контролировать встраивание и целостность таких стандартных библиотек для различных операционных систем, а также оперативное восстановление поврежденных решений из репозитория, можно на уровне унификации решений сообщества телеком-производителей или на базе Отраслевого центра ИБ в структуре АНО «НТЦ ЦК», который действует с 2023 г. и уже унифицировал ряд криптографических протоколов, отметили эксперты.
Была поднята проблема обновления и тестирования ПО сетевого оборудования. Важно, чтобы работающее устройство не стало «кирпичом» в процессе установки новой прошивки, и это задача любого вендора, который дорожит своей репутацией.
Участники обсудили проблемы оценки соответствия, технического регулирования, сертификации и использования оборудования с встроенными криптографическими механизмами в технологических сетях, сетях связи и на защищаемых объектах КИИ, указали особенности обеспечения высших органов государственной власти ИТ-решениями, для которых требуются сертификаты ФСБ России необходимость дуального применения российских и зарубежных криптографических механизмов в средствах связи и передачи данных, в т. ч. на общедоступных магистральных каналах, которые маршрутизируют, в том числе, и международный график.
Эксперты подчеркнули, что у нас уже есть российские решения, которые пропускают до 100 Гбит для сетевых шлюзов, и это неплохие показатели. При этом есть большие объёмы трафика и высокоскоростные нагруженные каналы, на них необходимо реализовывать механизмы RPKI вместе с которыми возникает вопрос оценки соответствия в виде нотификации (уведомления), добровольной или обязательной сертификации. И для более системного разграничения и понимания у производителей, к какому типу относится коммутационное оборудование, что и как необходимо сертифицировать, нужна тесная работа операторов связи и регуляторов.
Призвали крайне внимательно отнестись к вопросам развития Национального УЦ Минцифры России, систем отраслевых технологических УЦ и внутренних корпоративных технологических УЦ, работающих с использованием сертификатов безопасности, и обратили внимание на проект поправок в изменений Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи» в отношении Национального УЦ Минцифры России для задач обеспечения технологической независимости.
Совместная работа всех сторон по различным вопросам, поднятым в ходе панельной сессии, позволит начать решениезадачи технологической независимости страныв российском телекоме, отметили участники обсуждения.