Когда поставщиков сетевых систем спрашивают о возможных решениях, они бойко отвечают: «Если вам требуется безопасность, используйте оптоволокно».
На первый взгляд все очевидно.
Оптоволокно — это обычное стекло, передающее электромагнитную энергию в виде света инфракрасного диапазона. Излучение наружу практически отсутствует. Перехватить сообщение можно, только физически подключившись к волокну.
Таким образом, проблема информационной безопасности окончательно решена.
Однако не так все просто.
Оптоэлектроника (особенно для поддержки высокоскоростных приложений, систем видеонаблюдения и видеоприложений) стоит дорого и во многих случаях не снимает проблемы излучения элетромагнитной энергии в окружающее пространство, поскольку рабочие станции, серверы, интерфейсные карты, концентраторы и другие сетевые устройства также являются активным оборудованием и задают собственный уровень излучений. Поэтому, принимая решения об использовании оптоволоконных кабельных систем (ОКС), важно представлять фактическое состояние дел по вопросам безопасности.
На российском рынке успешно работают отечественные и зарубежные производители ОКС. Это, прежде всего, Самарская оптическая кабельная компания и фирма «Перспективные технологии Плюс» (Санкт-Петербург); в Россию оптические кабели поставляют фирмы Alcatel (Франция), Fujikura (Япония), General Cable Company (США), Mohawk/CDT (США), MOI Elektronik (Германия), Nokia (Финляндия), Pirelli (Испания), Samsung (Ю. Корея), SEL (Германия) и другие. В настоящее время одним из мировых лидеров по производству ОКС является транснациональная компания Alcatel (Франция), которая предлагает наиболее полную номенклатуру оптических кабелей.
Прежде всего рассмотрим структуру и основные параметры оптоволоконного кабеля. Это позволит указать некоторые решения по защите целостности соответствующих сетей передачи данных.
Волоконно-оптические кабели дифференцируются по размеру несущего волокна и оболочки — слоя стекла, отражающего свет. Кроме. того, различают ОКС по режиму передачи: одномодовые и многомодовые кабели, а также по используемой длине волны (850-1550 нс) и применяемым источникам света (лазеры или светодиоды — LED).
1 — оптическое волокно; 2 — внутримодульный гидрофобный заполнитель; 3 — кордель; 4 — центральный силовой элемент — стальной трос; 5 — гидрофобный заполнитель; 6 — скрепляющая лента; 7—промежуточная оболочка из полиэтилена; 8 — броня из стальной гофрированной ленты; 9 — защитная оболочка из полиэтилена. |
Рис. 1. Конфигурация оптоволоконного кабеля
(на примере оптического городского кабеля производства фирмы Fujikara для прокладки в кабельной канализации, трубах, блоках, коллекторах, на мостах и в кабельных шахтах)
Центральным элементом оптоволоконного кабеля является внутренний сердечник из стекла или пластика (рис. 1, позиция 1). Диаметр и чистота стекловолокна определяют количество передаваемого им света.
Стекло было известно еще древним египтянам, но оконное стекло научились делать только в эпоху Ренессанса. Если современным стеклом, используемым для оптоволокна, заполнить океан, то в любой его точке мы смогли бы видеть дно, как мы видим землю с борта самолета.
Наиболее распространены следующие типы оптоволоконного кабеля:
• с сердечником 8,3 мк и оболочкой 125 мк;
• с сердечником 62,5 мк и оболочкой 125 мк;
• с сердечником 50 мк и оболочкой 125 мк;
• с сердечником 100 мк и оболочкой 145 мк;
Волоконно-оптические кабели толщиной в 8,3 микрона очень трудно соединить точно. Поэтому возможны монтажные ошибки, в том числе и трудно выявляемые при тестировании кабельной проводки. Подобные ошибки часто устраняются установкой дополнительных оптоволоконных повторителей (концентраторов), что увеличивает уровень электромагнитных излучений кабельной системы в целом. Однако в последнее время на рынке появились так называемые заказные кабельные комплекты, то есть кабели с уже смонтированными и проверенными в заводских условиях коннекторами. Они полностью избавляют инсталляторов от утомительных процедур монтажа и тестирования проводки в полевых условиях.
Для оптоволоконного кабеля характерны следующие особенности (см. рис. 1):
• наличие центрального силового элемента;
• размещение в полимерной трубке — модуле;
• количество оптических волокон в одном модуле —от 1 до 12;
• заполнение пространства между модулями упрочняющими элементами — корделями из стеклонитей или нитей из кевлара и гидрофобным гелем;
• покрытие всех этих элементов и модулей промежуточной полимерной оболочкой;
• внешняя защита оболочки из полиэтилена или металла; возможно наличие двух защитных оболочек — металлической и полиэтиленовой.
Наряду с этими общими чертами оптические кабели различных фирм могут иметь дополнительные скрепляющие ленты, антикоррозийные и водозащитные обмотки, гофрированные металлические оболочки и т. д.
Понятно, что подключиться к оптоволоконному кабелю в полевых условиях трудно. Это является одним из аргументов сторонников мнения о полной безопасности ОКС. Но известный принцип противодействия брони и снаряда предопределил разработку и доведение до коммерческого использования многочисленных инноваций в технике монтажа. Это улучшенные инструменты и приспособления для сплавления волокон, быстрозатвердевающие эпоксидные смолы, специальные коннекторы и т. п.
Но среди специалистов появилась информация о создании специальных роботов, которые управляются дистанционно, могут самостоятельно передвигаться по кабельным канализациям и без непосредственного участия человека подключаться к оптоволоконному кабелю для последующей трансляции циркулирующих в ОКС данных.
Для противодействия злоумышленникам, вооруженным специальной техникой, было предложено использовать в качестве сигнальных проводов внутренние силовые металлические конструкции оптоволоконных кабелей. Чтобы получить доступ к оптоволокну, необходимо нарушить целостность указанных конструкций. Это приводит к немедленному срабатыванию сигнализации в центре контроля за ОКС.
Дополнительного оборудования для реализации подобной охранной системы практически не требуется. Например, нет необходимости, как это часто делают с медными кабелями, прокладывать оптоволоконный кабель в трубопроводах, где поддерживается высокое давление (в этом случае сигнал тревоги срабатывает при разгерметизации защитного трубопровода).
Параметры ОКС косвенно влияют на безопасность системы передачи данных в целом. Рассмотрим одномодовый и многомодовый режимы передачи (рис. 2).
По одномодовым волокнам передаются оптические сигналы с одной длиной волны. В многомодовых волокнах могут передаваться сигналы с различной длиной волны.
Для совмещения нескольких оптических сигналов применяется так называемый волновой мультиплексор (Wave Division Multiplexer — WDM). WDM работает как призма.
Сигналы с различной длиной волны комбинируются в нем, а затем пересылаются по одному из оптических волокон. Призма на приемном конце разлагает сигнал на волны исходной длины и направляет их на вход соответствующего оптического приемника.
Применение мультиплексирования позволяет увеличить число возможных каналов передачи данных.
Однако в многомодовых кабелях сигналы затухают сильнее, следовательно, расстояния между узлами регенерации должны быть значительно уменьшены, что, конечно, сделает систему более дорогой, более «излучающей» и, соответственно, менее защищенной.
Рис. 2. Одномодовый и многомодовый режимы передачи
В целом же затухание сигналов в оптоволоконном кабеле (до 5 дБ/км) примерно соответствует показателям электрического коаксиального кабеля, но все-таки меньше. Это объясняется тем, что свет не излучается вне кабеля, как электрический сигнал в медных проводах. Очень важно то, что с ростом частоты более 200 МГц оптоволоконные кабели имеют несомненное преимущество перед любыми электрическими кабелями. Поэтому для обеспечения безопасности информации целесообразна высокочастотная передача.
Затухание сигнала существенно увеличивается при разветвлении и ответвлении кабеля, хотя оптоволокно допускает это.
Соответственно, предпочтительнее использовать однонаправленные кабели, что сразу определяет возможные топологии сети: «звезда» (с двумя разнонаправленными кабелями между центральным абонентом и каждым из периферийных) или кольцо (с одним однонаправленным кабелем).
Особенности защиты в сетях с указанными топологиями приведены в таблице.
Топология | Достоинства | Недостатки | Комментарий |
Звезда | Легкость подключения новых устройств без реконфигурации сети. Центральный узел может осуществлять коммутацию каналов, сообщений и пакетов | В случае сбоя на центральном узле вся сеть выходит из строя. Центральный узел требует жесткой физической и логической защиты. Установленное соответствие «точка-точка», широковещательные передачи невозможны | Основная информация содержится на центральном узле, периферийные узлы играют роль терминалов |
Кольцо (узлы сети равноправны) | Нет центрального узла, с которым ассоциируются проблемы безопасности. Каждый узел имеет равноправные возможности для передачи сообщения | Разрыв кольца выводит систему из строя. При добавлении нового узла требуется реконфигурация сети. Передача сообщения через другие узлы снижает безопасность сети | Каждый узел должен быть достаточно производительным. Передача сообщения через промежуточный узел позволяет производить с ним любые манипуляции, криптозащита приведет к потере производительности |
Таблица. Особенности защиты в сетях с различными топологиями
Несмотря на малое затухание, волоконной оптике присуща другая проблема — хроматическая дисперсия. Волны света различной длины стекло пропускает по-разному, поэтому импульс света, проходя через кабель, «размывается».
Получается эффект радуги — световой сигнал разделяется на цветовые компоненты. На расстоянии в несколько километров он может «залезть» в следующий бит, что приведет к потерям данных. Это нарушит их целостность, которая является наряду с конфиденциальностью и доступностью важнейшим аспектом информационной безопасности. В одномодовых кабелях передается свет одной частоты, поэтому здесь нет эффекта хроматической дисперсии.
Одно из возможных решений указанной проблемы — увеличить расстояние между соседними сигналами, Но это сократит скорость передачи. К счастью, исследования показали, что если генерировать сигнал в некоторой специальной форме, то дисперсионные эффекты почти исчезают, и сигнал можно передавать на тысячи километров. Сигналы в этой специальной форме называются силитонами.
К недостаткам оптоволоконного кабеля, влияющим на безопасность ОКС, следует отнести меньшую механическую прочность и меньшую долговечность, чем у электрического кабеля; а также чувствительность к ионизирующим излучениям (снижение прозрачности оптоволокна).
Таким образом, конфигурация оптоволоконного кабеля влияет на политику безопасности при работе с ОКС. Однако обсуждение вопроса, связанного с электромагнитным излучением, видится не менее важным.
Как было отмечено выше, компьютерные сети, построенные на базе оптоволоконных каналов, излучают в окружающее пространство конфиденциальные данные; некоторые ведущие аналитики весьма язвительно называют их даже «широковещательными» сетями. Уточним на примерах суть проблемы.
Компания ITT Cannon NS&S провела ряд измерений уровня собственных излучений для оптоволоконной, экранированной и неэкранированной кабельных систем в специально оборудованных лабораториях. Активное оборудование вместе с кабельной системой максимально допустимой длины —100 м— для горизонтальной системы помещалось в помехозащищенную изолированную камеру. В результате оказалось, что на частотах до 70 МГц сеть на основе экранированной кабельной системы имеет самый низкий уровень собственных излучений.
Это объясняется тем, что при хорошем заземлении экранирование не только снижает на несколько порядков собственные излучения кабелей, но и уменьшает электрический потенциал корпусов активных устройств. На частотах 70-100 МГц все системы показали скачкообразные кривые амплитудно-частотных характеристик уровня собственных излучений, хотя характер их у всех систем был примерно одинаковым. Появление пиков свидетельствует об образовании сложных колебательных контуров как в кабелях, так и в активном оборудовании.
Согласно исследованиям компании Lucent Technologies, расстояние, на котором можно перехватить электромагнитное излучение кабеля, например неэкранированной витой пары, не превышает полуметра, а дальность излучения монитора компьютера (данные фирмы Siemens) составляет более двух километров.
Другой пример, иллюстрирующий обратный процесс, — воздействие на вычислительную систему. При тестировании ЛВС функционировала в режиме передачи АТМ со скоростью 155 Мбит/с на линиях с незащищенной, с защищенной витой парой и с оптоволокном. В качестве воздействия было определено влияние радиочастотного поля с интенсивностью 3 В/м (мобильный телефон стандарта GSM создает полее интенсивностью 4,7 В/м), Система на базе незащищенной витой пары характеризовалась высоким уровнем появления сбоев и в конце концов вышла из строя. ЛВС на оптоволокне имела сбои, но работала.
И только ЛВС на основе защищенной витой пары была совершенно не подвержена помехам.
Таким образом, безопасность ОКС определяется самим «узким» местом телекоммуникационных систем — сетевым активным оборудованием.
Одной из возможностей гарантированного обеспечения конфиденциальности и безопасности данных может стать электрическое экранирование всего здания с помощью так называемой клетки Фарадея. Однако такой способ слишком дорог, он применяется только в организациях, занимающихся разведкой.
Вопросы обеспечения информационной безопасности тесно связаны с наличием и применением стандартов, регламентирующих разработку и функционирование различных аппаратных или программных средств. Известно, что где хаос, там раздолье для злоумышленников. Поэтому параметры передачи сигнала по оптическим линиям определены однозначно. Наряду с подробным техническим описанием ссылка на соответствующий стандарт оптической передачи данных может быть использована для определения полного набора требований к компьютерной системе в целом.
Наиболее популярный в США и Европе стандарт, регламентирующий параметры оптической передачи для коммуникаций в производственных помещениях, — это ANSI/ Т1А/Е1А-568А. Он определяет затухание и полосу пропускания для многомодового волокна и максимальное затухание для одномодового волокна.
Существуют и другие документы, содержащие нормативы оптической передачи сигнала. Это ANSI Х3.166 «Интерфейс распределенных данных для световодов (Fiber Distributed Data Interface — FDDI), зависимый от физических параметров среды (Physical Medium Dependent — PMD)», ISO/IEC-11801 «Прокладка кабеля в помещении» (Generic Cabling for Customer Premises) и нормативный акт IEEE 802.3z «Physical Medium Dependent Sublayer and Baseband Medium, Type lOOOBase-LX для длинноволновых лазеров и lOOOBase-SX для коротковолновых лазеров».
Большинство разработчиков кабельных систем и другого оборудования продолжают полагаться на тексты стандартов и составляют кабельные системы из отдельных компонентов от различных производителей по принципу «включил и работай» (plug-and-play). В такой ситуации особенно важно, чтобы лица, отвечающие в организации за безопасность и конфиденциальность информации, проверяли надежность системы в целом, а не отдельных ее частей,
Обсуждение особенностей обеспечения безопасности ОКС нельзя считать законченным без упоминания о безопасности работы с оптоволоконным кабелем. Стеклянные волокна настолько тонки, что их невозможно увидеть невооруженным глазом. Кусочек волокна может попасть в глаза прежде, чем вы успеете разглядеть его.
Потенциально опасен для человека и излучатель оптического сигнала. Это может быть очень мощный лазер, который в состоянии нанести непоправимый ущерб здоровью. Итак, работая с ОКС, возьмите себе за правило никогда не смотреть в торец волокна, а для обследования кабелей обязательно использовать соответствующее оборудование.
Применение ОКС может сформировать у пользователей ложное чувство полной безопасности.
Более корректен другой подход: выбор оптоволоконных кабельных систем является лишь частичным решением проблемы обеспечения безопасности данных.
Он позволяет сделать нежелательный доступ к сети извне значительно более трудным, чем в случае использования системы со стандартными неэкранированными линиями, применяемыми в современных сетях.