Защита от ошибок в сети

Проблема обеспечения
безошибочности (достоверности) передачи
информации в сетях имеет очень большое
значение. Если при переда­че обычной
телеграммы в тексте возникает ошибка
или при разговоре по телефону слышен
треск, то в большинстве случаев ошибки
и иска­жения легко обнаруживаются по
смыслу. Но при передаче данных одна
ошибка (искажение одного бита) на тысячу
переданных сигналов мо­жет серьезно
отразиться на качестве информации.

Существует
множество методов обеспечения
достоверности пе­редачи информации
(методов защиты от ошибок), отличающихся
по используемым для их реализации
средствам, по затратам времени на их
применение на передающем и приемном
пунктах, по затратам до­полнительного
времени на передачу фиксированного
объема данных (оно обусловлено изменением
объема трафика пользователя при
реа­лизации данного метода), по степени
обеспечения достоверности пе­редачи
информации. Практическое воплощение
методов состоит из двух частей —
программной и аппаратной. Соотношение
между ними может быть самым различным,
вплоть до почти полного отсутствия
одной из частей. Чем больше удельный
вес аппаратных средств по сравнению с
программными, тем при прочих равных
условиях сложнее оборудование, реализующее
метод, и меньше затрат времени на его
реализацию, и наоборот.

Выделяют
две основные причины
возникновения ошибок при
пере­даче информации в сетях:

• сбои в какой-то
части оборудования сети или возникновение
не­благоприятных объективных событий
в сети (например, коллизий при использовании
метода случайного доступа в сеть). Как
пра­вило, система передачи данных
готова к такого рода проявлениям и
устраняет их с помощью предусмотренных
планом средств;

• помехи,
вызванные внешними источниками и
атмосферными явле­ниями.

Помехи — это
электрические возмущения, возникающие
в самой аппаратуре или попадающие в нее
извне. Наиболее распро­страненными
являются флуктуационные (случайные)
помехи. Они представляют собой
последовательность импульсов, имеющих
слу­чайную амплитуду и следующих друг
за другом через различные промежутки
времени. Примерами таких помех могут
быть атмос­ферные и индустриальные
помехи, которые обычно проявляются в
виде одиночных импульсов малой
длительности и большой ампли­туды.
Возможны и сосредоточенные помехи в
виде синусоидаль­ных колебаний. К ним
относятся сигналы от посторонних
радио­станций, излучения генераторов
высокой частоты. Встречаются и смешанные
помехи. В приемнике помехи могут настолько
ослабить информационный сигнал, что он
либо вообще не будет обнаружен, либо
будет искажен так, что «единица» может
перейти в «нуль», и наоборот.

Трудности борьбы
с помехами заключаются в беспорядочности,
нерегулярности и в структурном сходстве
помех с информационны­ми сигналами.
Поэтому защита информации от ошибок и
вредного влияния помех имеет большое
практическое значение и является од­ной
из серьезных проблем современной теории
и техники связи.

Среди
многочисленных методов защиты от ошибок
выделяются три
группы методов: групповые
методы, помехоустойчивое кодиро­вание
и методы защиты от ошибок в системах
передачи с обратной связью.

Из
групповых
методов получили
широкое применение мажоритар­ный
метод, реализующий принцип Вердана, и
метод передачи инфор­мационными
блоками с количественной характеристикой
блока.

Суть
мажоритарного
метода, давно
и широко используемого в телеграфии,
состоит в следующем. Каждое сообщение
ограниченной длины передается несколько
раз, чаще всего три раза. Принимаемые
сообщения запоминаются, а потом
производится их поразрядное срав­нение.
Суждение о правильности передачи
выносится по совпадению большинства
из принятой информации методом «два из
трех». На­пример, кодовая комбинация
01101 при трехразовой передаче была
частично искажена помехами, поэтому
приемник принял такие комбинации: 10101,
O111O,
01001. В результате проверки каждой позиции
отдельно правильной считается комбинация
01101.

Другой групповой
метод, также не требующий перекодирования
информации, предполагает передачу
данных блоками с количествен­ной
характеристикой блока. Такими
характеристиками могут быть: число
единиц или нулей в блоке, контрольная
сумма передаваемых символов в блоке,
остаток от деления контрольной суммы
на посто­янную величину и др. На
приемном пункте эта характеристика
вновь подсчитывается и сравнивается с
переданной по каналу связи. Если
характеристики совпадают, считается,
что блок не содержит ошибок. В противном
случае на передающую сторону поступает
сигнал с тре­бованием повторной
передачи блока. В современных ТВС такой
ме­тод получил самое широкое
распространение.

Помехоустойчивое
(избыточное) кодирование, предполагающее
разработку и использование корректирующих
(помехоустойчивых) кодов, применяется
не только в ТКС, но и в ЭВМ для защиты от
оши­бок при передаче информации между
устройствами машины. Оно по­зволяет
получить более высокие качественные
показатели работы систем связи. Его
основное назначение заключается в
обеспечении малой вероятности искажений
передаваемой информации, несмотря на
присутствие помех или сбоев в работе
сети.

Существует довольно
большое количество различных
помехоус­тойчивых кодов, отличающихся
друг от друга по ряду показателей и
прежде всего по своим корректирующим
возможностям.

К числу
наиболее важных показателей
корректирующих кодов относятся:

• значность
кода, или длина кодовой комбинации,
включающей ин­формационные символы
(т)
и
проверочные, или контрольные, сим­волы
(К).
Обычно
значность кода п
есть
сумма т+К;

• избыточность
кода K_изб,
выражаемая отношением числа конт­рольных
символов в кодовой комбинации к значности
кода;

• корректирующая
способность кода К_кс,
представляющая
собой отношение числа кодовых комбинаций
L,
в которых ошибки были обнаружены и
исправлены, к общему числу переданных
кодовых комбинаций М
в
фиксированном объеме информации.

Выбор
корректирующего кода для его использования
в данной ТКС зависит от требований по
достоверности передачи информации. Для
правильного выбора кода необходимы
статистические данные о за­кономерностях
появления ошибок, их характере, численности
и рас­пределении во времени. Например,
корректирующий код, обнаружи­вающий
и исправляющий одиночные ошибки,
эффективен лишь при условии, что ошибки
статистически независимы, а вероятность
их появления не превышает некоторой
величины. Он оказывается непри­годным,
если ошибки появляются группами. При
выборе кода надо стремиться, чтобы он
имел меньшую избыточность. Чем больше
коэффициент К_из6,
тем
менее эффективно используется пропускная
способ­ность канала связи и больше
затрачивается времени на передачу
ин­формации, но зато выше помехоустойчивость
системы.

В качестве примера
рассмотрим порядок кодирования
информа­ции (формирования кодовой
комбинации для ее передачи адресату) и
декодирования (выявления и исправления
ошибок в принятой кодовой комбинации
и выделения из нее информационных
символов, т.е. ин­формации пользователя)
при использовании одного из наиболее
попу­лярных корректирующих кодов —
кода Хэмминга, обнаруживающе­го и
исправляющего одиночные ошибки.

В этом
коде контрольные символы занимают
позиции, соответ­ствующие значениям
2°, 2¹,
2²,
2³
и
т.д., т.е. позиции с номерами 1, 2, 4, 8 и т.д.
(нумерация позиций кодовой комбинации
— слева направо). Количество контрольных
символов в кодовой комбинации должно
быть таким, чтобы в процессе декодирования
сформированное кор­ректирующее число
(в двоичной системе счисления) могло
указать позицию кодовой комбинации с
максимальным номером. Например, для
пяти информационных разрядов потребуется
четыре контрольных. В полученной кодовой
комбинации позиция с наибольшим номером
будет 9-й, что записывается как 1001, т.е.
требует четырех разрядов.

Значения
контрольных символов при кодировании
определяются путем контроля на четность
количества единиц в
информационных разрядах
кодовой комбинации. Значение контрольного
символа рав­но 0, если количество
единиц будет четным, и равно 1 при нечетном
количестве единиц.

При
определении значения 1-го контрольного
символа, размещае­мого на 1-й позиции
кодовой комбинации, проверяются на
четность те информационные позиции,
двоичные изображения номеров кото­рых
содержат единицу в младшем разряде,
т.е. проверяются позиции с нечетными
номерами. При определении значения 2-го
контрольного символа, размещаемого на
2-й позиции кодовой комбинации, прове­ряются
на четность те информационные позиции,
двоичные изобра­жения номеров которых
содержат единицу во 2-м разряде, т.е.
пози­ции с номерами 3,
6,
7, 10, 11 и т.д. Значение 3-го контрольного
симво­ла, размещаемого на 4-й позиции
кодовой комбинации, определяется путем
контроля на четность тех информационных
позиций, двоичные изображения номеров
которых содержат единицу в 3-м разряде,
т.е. позиции с номерами 5, 6, 7, 12 и т.д.
Аналогично устанавливаются значения
и других контрольных символов.

В
процессе декодирования формируется
корректирующее число (КЧ), разрядность
двоичного изображения которого
устанавливается по указанному выше
правилу. Значения разрядов этого числа
опреде­ляются по правилам, аналогичным
тем, которые использовались для
определения значений контрольных
символов в процессе кодирова­ния.
Разница лишь в том, что при определении
значений разрядов КЧ проверяются на
четность не только информационные
позиции, но и контрольные. Например, для
определения значения младшего разряда
КЧ проверяются на четность те позиции
кодовой комбинации, двоич­ные
изображения номеров которых содержат
единицу в младшем раз­ряде, т.е. позиции
с нечетными номерами 1, 3, 5, 7 и т.д.

Значение
корректирующего числа определяет номер
позиции ко­довой комбинации, в которой
произошла ошибка. Для ее исправления
необходимо значение кода в этой позиции
изменить на противополож­ное (0 на 1
или 1 на 0). Если КЧ равно нулю, то это
указывает на отсутствие ошибок в принятой
кодовой комбинации. Процесс деко­дирования
завершается выделением из кодовой
комбинации инфор­мационных символов.

Заметим, что в ТВС
корректирующие коды в основном
применя­ются для обнаружения ошибок,
исправление которых осуществляет­ся
путем повторной передачи искаженной
информации. С этой целью в сетях
используются системы передачи с обратной
связью (нали­чие между абонентами
дуплексной связи облегчает применение
таких систем).

Системы
передачи с обратной связью делятся
на системы с ре­шающей обратной связью
и системы с информационной обратной
связью.

Особенностью
систем с решающей обратной связью
(систем с пе­резапросом) является то,
что решение о необходимости повторной
передачи информации (сообщения, пакета)
принимает приемник. Здесь обязательно
применяется помехоустойчивое кодирование,
с помощью которого на приемной станции
осуществляется проверка принимае­мой
информации. При обнаружении ошибки на
передающую сторо­ну по каналу обратной
связи посылается сигнал перезапроса,
по ко­торому информация передается
повторно. Канал обратной связи используется
также для посылки сигнала подтверждения
правиль­ности приема, автоматически
определяющего начало следующей пе­редачи.

В системах с
информационной обратной связью передача
инфор­мации осуществляется без
помехоустойчивого кодирования. Прием­ник,
приняв информацию по прямому каналу и
зафиксировав ее в сво­ей памяти,
передает ее в полном объеме по каналу
обратной связи передатчику, где переданная
и возвращенная информация сравнива­ются.
При совпадении передатчик посылает
приемнику сигнал под­тверждения, в
противном случае происходит повторная
передача всей информации. Таким образом,
здесь решение о необходимости повтор­ной
передачи принимает передатчик.

Обе рассмотренные
системы обеспечивают практически
одинако­вую достоверность, однако в
системах с решающей обратной связью
пропускная способность каналов
используется эффективнее, поэтому они
получили большее распространение.

Пример
13.3. В
системах с решающей обратной связью
ARQ,
где реали­зуется непрерывный
автоматический запрос на повторение и
концепция скользящих окон, для двух
возможных вариантов защиты от ошибок
(си­стемы с выборочным повторением и
системы с возвращением на N_K
кад­ров)
и заданных характеристиках линий связи
и объеме передаваемой ин­формации
найти время на передачу этой информации
и необходимый объем буферного ЗУ на
приемном пункте.

Исходные данные:

Е_инф
= 2 Мбит — объем передаваемой информации;

L_k
= 7 — длина окна (количество кадров в
окне);

R_k
= 4096
бит — длина одного кадра;

V
_k
= 9600 бит/с — пропускная способность
канала связи;

М_к
= 1000
— количество каналов в многоканальной
линии связи;

N_ош
= 1 — число кадров в окне, принятых с
ошибками. Ошибочные кадры передаются
повторно. Для упрощения условия примера
и опреде­ленности будем считать, что
в каждом окне ошибочный кадр имеет
второй номер (это важно для оценки систем
с возвращением на N_k
кадров).

Постановка
задачи иллюстрируется на рис. 13.2. Данные
передаются от узла А
к
узлу В
по
прямому каналу. В семикадровом окне на
приемном пункте (в узле В)
во
втором кадре обнаружены ошибки, и сигнал
об этом (NAK
2) по обратному каналу передается в узел
А
(рис.
13.2, а).
В
протоко­ле ARQ
реализуется один из двух методов
обнаружения и повторной пере­дачи
искаженных данных:

• выборочное
повторение (рис. 13.2, б),
когда
повторно передается только искаженный
кадр данного окна. Все другие кадры
этого окна, поступившие в узел В
после
искаженного кадра (в нашем примере это
кадры с номерами от 3 до 7), временно
хранятся на приемном пункте в буферном
ЗУ;

• возвращение
на n_k
кадров
(рис. 13.2, в),
когда
повторно передается не только искаженный
кадр, но и все кадры данного окна,
посту­пившие вслед за искаженным
(предполагается, что источник, по­служивший
причиной искажения второго кадра,
продолжает дей­ствовать). Здесь
надобность в буферном ЗУ пропадает.
Рассчитаем показатели для первого
варианта системы ARQ
— с выбо­рочным повторением.

Время на передачу
заданного объема информации определяется
по формуле

где
n_ok
—
количество окон в передаваемом объёме
информации, причем

в

Рис.
13.2. Система
с решающей обратной связью ARQ:

а —
передача
данных по прямому каналу; б
— выборочное
повторение;

в —
возвращение
на n_k
кадров

Следовательно,

T₁
= 70 • (7+1) • 4096 / 9600 = 238,9 с.

Необходимый объем
буферного ЗУ:

(13.3)

где
L_3у
— количество кадров данного окна,
временно сохраняемых в буферном ЗУ (в
нашем примере L_3y
= 5).

Следовательно,
Е_зу
= 5 • 4096 • 1000 = 20 480 000 бит.

Для
второго варианта системы ARQ
— с возвращением на n_k
кадров
(в нашем примере N_K
= 6)
— определяется только время на передачу
ин­формации:

(13.4)

Как
видно, первый вариант предпочтительнее
по времени на передачу заданного объема
информации, зато требует на приемном
пункте буфер­ной памяти. Разница в
значениях показателей Т1, и Т₂
будет
тем больше, чем выше интенсивность
ошибок в линиях связи.

Защита от ошибок в сетях.

Проблема обеспечения безошибочности (достоверности) передачи информации в сетях имеет очень большое значение. Практическое воплощение методов состоит из двух частей — программной и аппаратной.

Выделяют две основные причины возникновения ошибок при пере­даче информации в сетях:

•   сбои в какой-то части оборудования сети или возникновение не­благоприятных объективных событий в сети (например, коллизий при использовании метода случайного доступа в сеть). Как пра­вило, система передачи данных готова к такого рода проявлениям и устраняет их с помощью предусмотренных планом средств;

•   помехи, вызванные внешними источниками и атмосферными явле­ниями.

Помехи — это электрические возмущения, возникающие в самой аппаратуре или попадающие в нее извне.

Среди многочисленных методов защиты от ошибок выделяются три группы методов: групповые методы, помехоустойчивое кодиро­вание и методы защиты от ошибок в системах передачи с обратной связью.

Из групповых методов получили широкое применение мажоритар­ный метод.

Рекомендация для Вас — 13. Математическая модель изменения уровня жидкости.

Суть мажоритарного метода, давно и широко используемого в телеграфии, состоит в следующем. Каждое сообщение ограниченной длины передается несколько раз, чаще всего три раза. Принимаемые сообщения запоминаются, а потом производится их поразрядное срав­нение. Суждение о правильности передачи выносится по совпадению большинства из принятой информации методом «два из трех».

Другой групповой метод, также не требующий перекодирования информации, предполагает передачу данных блоками с количествен­ной характеристикой блока. Такими характеристиками могут быть: число единиц или нулей в блоке, контрольная сумма передаваемых символов в блоке, остаток от деления контрольной суммы на посто­янную величину и др.

Помехоустойчивое (избыточное) кодирование, предполагающее разработку и использование корректирующих (помехоустойчивых) кодов, применяется не только в ТКС, но и в ЭВМ для защиты от оши­бок при передаче информации между устройствами машины. Оно по­зволяет получить более высокие качественные показатели работы систем связи. Его основное назначение заключается в обеспечении малой вероятности искажений передаваемой информации, несмотря на присутствие помех или сбоев в работе сети.

Системы передачи с обратной связью делятся на системы с ре­шающей обратной связью и системы с информационной обратной связью.

Особенностью систем с решающей обратной связью (систем с пе­резапросом) является то, что решение о необходимости повторной передачи информации (сообщения, пакета) принимает приемник. Здесь обязательно применяется помехоустойчивое кодирование, с помощью которого на приемной станции осуществляется проверка принимае­мой информации.

В системах с информационной обратной связью передача инфор­мации осуществляется без помехоустойчивого кодирования. Прием­ник, приняв информацию по прямому каналу и зафиксировав ее в сво­ей памяти, передает ее в полном объеме по каналу обратной связи передатчику, где переданная и возвращенная информация сравнива­ются. При совпадении передатчик посылает приемнику сигнал под­тверждения, в противном случае происходит повторная передача всей информации. Таким образом, здесь решение о необходимости повтор­ной передачи принимает передатчик.

Как избежать популярных ошибок сетевой безопасности

В середине сентября стало известно об утечке почти 2Тб данных, в которых содержалась информация о работе системы оперативно-розыскных мероприятий (СОРМ) в сети одного российского оператора связи. Утечка произошла из-за неправильно настроенной утилиты резервного копирования rsync. Подобные ошибки – частая причина проблем крупных компаний. В этой статье мы разберем семь самых популярных ошибок сетевой безопасности: расскажем, как их можно обнаружить и устранить.

Распространенная причина успеха развития атак внутри сети — ошибки конфигурирования каналов связи или систем обработки и хранения данных, а также нарушения регламентов ИБ. Все это снижает эффективность используемых средств защиты и увеличивает шансы злоумышленников на взлом и развитие атаки. Во время проектов по расследованию инцидентов и анализа трафика наша команда PT Expert Security Center регулярно находит типичные ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов ИБ. Давайте посмотрим, что это за ошибки.

7 типовых ошибок сетевой безопасности

Как показывает наша практика, в 9 из 10 организаций, независимо от их размера и сферы деятельности, наиболее часто встречаются следующие ошибки:

1. Передача учетных данных по сети в открытом виде.
2. Нешифрованные почтовые сообщения.
3. Использование утилит для удаленного доступа.
4. Использование широковещательных протоколов LLMNR и NetBios.
5. Ошибки конфигурирования сетей.
6. TOR, VPN-туннели и прочие инструменты сокрытия активности в сети.
7. Нецелевое использование систем (майнеры криптовалют, торренты).

Причины ошибок в недостаточном внимании к обеспечению ИБ, в отсутствии или нарушении регламентов ИБ и IТ в организации, ошибок при настройке систем, а в больших корпоративных сетях еще из-за того, что сложно контролировать корректность конфигураций.

Далее мы поговорим о каждой ошибке, к каким последствиям они могут привести, покажем, как их можно выявить и дадим рекомендации по их устранению.

Передача учетных данных по сети в открытом виде

Все еще встречается использование сетевых протоколов, в которых в открытом виде передаются учетные данные пользователей, — это HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet. По данным нашего исследования, хранение важной информации в открытом виде на сетевых ресурсах встречается в 44% организаций, в которых мы проводили анализ защищенности. В случае компрометации сети злоумышленник может в пассивном режиме перехватить учетные данные, закрепить свое присутствие в инфраструктуре и повысить свои привилегии.

Пример «летающих» учетных данных, выявленных с помощью PT NAD

На видео мы показали, как с помощью системы анализа трафика PT Network Attack Discovery можно проверить, передаются ли по сети учетные данные в открытом виде. Для этого мы отфильтровали в PT NAD сетевые сессии по признаку передачи пароля. Это позволило найти факты передачи учетных данных для веб-приложения, в нашем случае — системы мониторинга Zabbix. Имея привилегированную учетную запись на сервере Zabbix, злоумышленник чаще всего получает возможность удаленного выполнения команд на всех системах, подключенных к мониторингу. Также в демонстрации мы рассмотрели пример анализа трафика на использование отрытых сетевых протоколов (LDAP, FTP, HTTP, POP3, SMTP, Telnet) и извлечение из него учетных записей пользователей.

Устранить передачу учетных данных в открытом виде можно несколькими способами.

1. WEB-серверы: перейти с протокола HTTP на HTTPS. Для перехода на защищенный протокол HTTPS требуется настроить SSL-сертификат и переадресацию с HTTP-адресов на HTTPS. На внутренних ресурсах организации допустимо настроить самоподписанные сертификаты, предварительно настроив внутренний центр сертификации. Для общедоступных ресурсов лучше использовать доверенные сертификаты, выпущенные доверенным удостоверяющим центром.
2. Протокол LDAP: настроить клиенты на использование аутентификации через Kerberos или использование защищенной версии протокола. Для настройки аутентификации через Kerberos, необходимо настроить клиентов на использование SASL механизмов аутентификации GSSAPI или GSS-SPNEGO.
3. Для настройки аутентификации защищенной TLS, необходимо активировать LDAPS на сервере согласно инструкции. Далее настроить клиентов на использование TLS (LDAPS) при подключении к LDAP серверу.
4. Почтовые протоколы: настроить клиенты и серверы на использование TLS. Вместо стандартных POP3, IMAP и SMTP рекомендуем настроить клиенты и серверы организации на использование их защищенных аналогов POP3S, IMAPS и SMTPS согласно инструкции вашего почтового сервера. Стоит отметить, что при принудительном включении TLS письма могут не быть доставлены на серверы, не поддерживающие шифрование.
5. Протокол Telnet: перейти на SSH. Следует полностью отказаться от использования протокола Telnet и заменить его на защищенный протокол SSH.
6. FTP: перейти на SFTP или FTPS. FTPS — версия FTP с применением протокола SSL, требующая для своей работы SSL-сертификат. SFTP — протокол передачи файлов, чаще всего использующий SSH. Как следствие, требует меньше настроек на серверах, где уже применяется SSH.

Нешифрованные почтовые сообщения

Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Это приводит к тому, что письма, передающиеся в защищенном виде внутри сети в дальнейшем могут передаваться по интернету в открытом виде. В результате злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера), может беспрепятственно получать любую информацию из писем.

Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, мы воспользовались в PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, мы добавили фильтр по команде STARTTLS. В результате было обнаружено письмо с вложением, переданное в открытом виде.

Подробнее на видео

Возможные варианты устранения ошибки:

1. Настроить сервер на принудительное использование TLS при отправке почты (но в этом случае письма могут быть не доставлены на серверы, не поддерживающие шифрование).
2. Настроить использование S/MIME — стандарта для отправки зашифрованных сообщений и сообщений с цифровой подписью. Требует настройки почтового клиента и S/MIME сертификата. Подробнее по ссылке.
3. Применять PGP. Принудительное использование PGP также исключит передачу писем в открытом виде, однако это требует дополнительной настройки на клиентах и передачи открытого ключа получателям. Данный вариант больше подходит для использования в частных случаях.

Использование утилит для удаленного доступа

Сотрудники часто применяют утилиты для удаленного доступа (remote access tools, RAT), например, TeamViewer, Ammyy Admin, RMS и другие. Если это разрешено внутренними политиками ИБ, то в случае когда злоумышленник воспользуется этими же инструментами, отличить нелегитимное их использование от легитимного будет сложно.

Обнаружить подключения через TeamViewer можно с помощью системы анализа трафика. В нашем случае, мы обнаружили две такие сетевые сессии. Если в организации запрещено использование утилит удаленного управления, то специалисту по ИБ стоит провести расследование, чтобы установить источник активности.

Еще один механизм выявления случаев использования RAT – предустановленные правила. На видео с их помощью мы обнаружили факт использования утилиты Remote Admin.

Подробнее на видео

Рекомендации по устранению нарушения:

1. Контролировать использование утилит удаленного управления. Необходимо разработать регламенты ИБ, запрещающие несанкционированное использование утилит для удаленного управления, а также контролировать их соблюдение. Подключение RAT можно также запретить на уровне некоторых сетевых средств безопасности, например, NGFW.
2. Разграничить права локальных пользователей на рабочих станциях. Если пользователям не будут выданы избыточные административные права, разрешающие в том числе установку программ на рабочие компьютеры, использование утилит будет невозможно.
3. Ввести политику белых списков для ПО. Самый надежный, но трудоемкий метод решения. Ввести в организации список «белого» ПО и следить, что на всех узлах используется ПО только из этого списка, а также следить за актуальностью списка. Для настройки можно воспользоваться утилитой AppLocker, которая входит в состав Windows. Подробнее по ссылке.

Использование широковещательных протоколов LLMNR и NetBios

Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBios. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку «человек посередине» (англ. Man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Мы попробовали выявить использование данных протоколов, воспользовавшись виджетом «Прикладные протоколы» в PT NAD. Мы обнаружили, что, кроме привычных протоколов, используются протоколы LLMNR и NBNS. Добавив их к фильтру, также обнаружили всех клиентов, которые отправляли запросы, используя данный протокол.

Видео

Чтобы устранить эту ошибку, нужно:

1. Отключить LLMNR. Для этого необходимо предварительно на клиентах произвести настройку DNS. Произвести отключение LLMNR можно с помощью групповой политики «Turn Off Multicast Name Resolution» в разделе «Computer Configuration -> Administrative Templates -> Network -> DNS Client». Для отключения значение политики должно быть выставлено в «Enabled».

По клику картинка откроется в полном размере

2. Отключить NetBios. Для этого необходимо воспользоваться оснасткой dhcpmgmt.msc. Server Options: Вкладка Advanced -> Microsoft Windows 2000 Options -> Microsoft Disable Netbios Option. Выставить значение 0x2.

3. Также поддержку NetBios можно отключить через запуск PowerShell скрипта на узлах с помощью групповой политики «Scripts» в разделе «Computer Configuration -> Policies-> Windows Settings». Требуется добавить startup PowerShell script с следующим содержимым:

$regkey = "HKLM:SYSTEMCurrentControlSetservicesNetBTParametersInterfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Данный скрипт для всех сетевых адаптеров в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersInterfaces установит значение параметра NetbiosOptions на 2.

Если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBios может сказаться на их работоспособности.

Ошибки конфигурирования сетей

Наиболее частые ошибки, связанные с неверным конфигурированием работы сети:

1. Излишне «доверительные» отношения между подсетями. Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.
2. Доступ узлов инфраструктуры ко внешним DNS-серверам. При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.
3. Открытые для внешней сети «наружу» сетевые порты и сервисы порты без необходимости в этом (например, базы данных). Вследствие у злоумышленника появляются большие возможности для проведения атаки. Например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья.

Чтобы выявить такие ошибки, мы воспользовались вкладкой PT NAD «Сетевые связи». Все связи представлены в виде графа. Мы попробовали найти соединения из подсети DMZ в пользовательскую подсеть. Для этого настроили фильтр по подсетям. В результате мы обнаружили нежелательную сетевую связь, а также сработавшее событие — сканирование утилитой nmap, что служит индикатором проводившейся сетевой разведки.

Также мы попробовали найти связи из внешней сети к подсети DMZ. Проанализировали прикладные протоколы — увидели активное использование служебных протоколов, а также событие — попытку эксплуатации уязвимости EthernalBlue, ставшей причиной нашумевшей эпидемии WannaCry.

Далее рассмотрели корректность работы DNS. Для этого отфильтровали трафик по протоколу и выбрали в качестве получателя IP-адреса не из локальной сети. В итоге обнаружили DNS-запросы к серверам Google, исходящие от сегмента пользователей.

Видео

Устранить ошибки можно следующим образом:

1. Настроить Access Control List (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями. ACL — это набор разрешающих или запрещающих правил для сетевого трафика (в контексте сетевого оборудования). В большинстве случаев списки доступа применяют для пакетной фильтрации на границе интернета и частной сети, однако фильтрация может также потребоваться на границе DMZ и других подсетей.
2. Настроить межсетевой экран. Межсетевые экраны также должны быть настроены не только на границе с внешней сетью, но и между внутренними подсетями организации.
3. Запретить изменения сетевых настроек пользователей. Для этого настройте параметр в групповых политиках Windows: «User Configuration -> Administrative Templates -> Network -> Network Connections».

Сокрытие трафика

Инструментами сокрытия трафика могут быть VPN, Tor, шифрующие proxy и другие зашифрованные туннели. Их несанкционированное и неконтролируемое использование может привести к снижению эффективности средств защиты в организации; потере контроля за контентом, передаваемым в туннелированном трафике; злоумышленник может получить зашифрованный туннель во внутреннюю сеть организации, в случае компрометации домашнего компьютера сотрудника.

Для выявления использования этих средств подойдут такие фильтры: по репутационному списку tor-relays, который содержит актуальные адреса узлов сети Tor, а также фильтр по протоколу TLS, так как Tor маскируется под него. Использованный в «подозрительной» сессии TLS-сертификат является автоматически сгенерированным, что является индикатором соединения сети Tor.

Для обнаружения VPN и других туннелей можно воспользоваться фильтром по ключевому слову PPTP (Point-to-Point Protocol), а для обнаружения SOCKS5-трафика — уже знакомым нам фильтром по протоколу. Так мы нашли VPN-сессию с внешним хостом и множество подключений по SOCKS5.

Видео

Методы решения данной проблемы мы уже рассматривали ранее, справиться поможет:

1. Разграничение прав локальных пользователей.
2. Политика белых списков для ПО.
3. Настройка сетевого экрана.
4. Закрытие сетевых портов.

Нецелевое использование систем

К нецелевому использованию систем относятся применение майнеров криптовалют, Bittorent-клиентов, онлайн-игры. Несмотря на то, что это не создает непосредственных угроз безопасности, это увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО.

Выявить майнеры поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате мы видим большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором работы криптомайнера может служить сработавшие правила.

С Bittorent и онлайн-играми все еще проще — для поиска торрент-трафика воспользуемся фильтром по протоколу Bittorent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.

Видео

Средства противодействия почти те же, что и в пунктах выше:

1. Разграничить права локальных пользователей.
2. Политика белых списков для ПО.
3. Обновить антивирус и его базы.

Подведем итоги

В большинстве компаний мы замечаем проблемы с корректной настройкой обширных корпоративных сетей и несоблюдение конфигураций, политик и регламентов ИБ. Это связано с постоянным ростом сетей и изменениям внутри них, а также с изменениями в самих регламентах и политиках. Вот общие рекомендации, позволяющие избежать многие ошибки:

1. Минимизировать использование открытых протоколов.
2. Контролировать разграничение сетевого доступа.
3. Разграничивать права пользователей.

При этом на рынке уже есть инструменты, способные отслеживать сетевую активность внутри организации, своевременно обнаруживать как ошибки настроек, так и активность злоумышленников. Одна из таких систем – это PT Network Attack Discovery.

Автор: Алексей Леднев, Старший специалист. PT Expert Security Center

5.1. Понятие о корректирующих кодах

5.2. Циклические коды

5.3. Выбор образующего полинома циклического кода

От СПДС обычно требуется не только передавать сообщения с заданной скоростью передачи информации, но и обеспечивать при этом требуемую достоверность.

Получив сообщение, пользователь должен быть с высокой степенью уверен, что отправлялось именно это сообщение.

Помехи, действующие в канале, как известно, приводят к возникновению ошибок. Исходная вероятность ошибки в каналах связи обычно не позволяет достичь высокой степени достоверности без применения дополнительных мероприятий. К таким мероприятиям, обеспечивающим защиту от ошибок, относят применения корректирующих кодов.

В общей структурной схеме СПДС задачу защиты от ошибок выполняет кодер и декодер канала, который иногда называют УЗО.

5.1. Понятие о корректирующих кодах

Пусть имеется источник сообщений с объемом алфавита К.

Поставим в соответствие каждому сообщению n — элементную двоичную последовательность. Всего последовательностей из n — элементов может быть .

Если , то все последовательности (или кодовые комбинации) будут использоваться для кодирования сообщений, т.е. будут разрешенными.

Полученный таким образом код называется простым, он не способен обнаруживать и исправлять ошибки.

Для того, что бы код мог обнаруживать и исправлять ошибки необходимо выполнение условия , при этом неиспользуемые для передачи комбинации (N₀-K) называют запрещенными.

Появление ошибки в кодовой комбинации будет обнаружено, если передаваемая разрешенная комбинация перейдет в одну из запрещенных.

Расстояние Хемминга – характеризует степень различия кодовых комбинаций и определяется числом несовпадающих в них разрядов.

Перебрав все возможные пары разрешенных комбинаций рассматриваемого кода можно найти минимальное расстояние Хемминга d₀.

Минимальное расстояние d₀ — называется кодовым расстоянием

Кодовое расстояние определяет способность кода обнаруживать и исправлять ошибки.

У простого кода d₀=1 – он не обнаруживает и не исправляет ошибки. Так как любая ошибка переводит одну разрешенную комбинацию в другую.

В общем случае справедливы следующие соотношения

– для обнаруживающей способности

– для исправляющей способности

Линейные коды

Двоичный блочный код является линейным если сумма по модулю 2 двух кодовых слов является также кодовым словом.

Линейные коды также называют групповыми.

Введем понятия группы.

Множество элементов с определенной на нем групповой операцией называется группой, если выполняется следующие условия:

1. Замкнутость g_ig _j= g_k G в результате операции с двумя элементами группы получается третий, так же принадлежащий этой группе.
2. Ассоциативность (сочетательность) (g_ig_j) g_k = g_i (g_j g_k)
3. Наличие нейтрального элемента g_j e = g_j
4. Наличие обратного элемента. g_i (g_i)^-1= e

Если выполняется условие g_i g_j = g_j g_i, то группа называется коммутативной.

Множество кодовых комбинаций n-элементного кода является замкнутой группой с заданной групповой операцией сложение по модулю 2.

Поэтому используя свойство замкнутости относительно операции 2, множество всех элементов можно задать не перечислением всех элементов, а производящей матрицей.

Все остальные элементы, кроме 0, могут быть получены путем сложения по модулю 2 строк производящей матрицы в различных сочетаниях.

В общем случае строки производящей матрицы могут быть любыми линейно независимыми, но проще и удобнее брать в качестве производящей матрицы – единичную.

5.2. Циклические коды

Широкое распространение на практике получил класс линейных кодов, которые называются циклическими. Данное название происходит от основного свойства этих кодов:

если некоторая кодовая комбинация принадлежит циклическому коду, то комбинация полученная циклической перестановкой исходной комбинации (циклическим сдвигом), также принадлежит данному коду.

.

Вторым свойством всех разрешенных комбинаций циклических кодов является их делимость без остатка на некоторый выбранный полином, называемый производящим.

Синдромом ошибки в этих кодах является наличие остатка от деления принятой кодовой комбинации на производящий полином.

Эти свойства используются при построении кодов, кодирующих и декодирующих устройств, а также при обнаружении и исправлении ошибок.

Представление кодовой комбинации в виде многочлена

Описание циклических кодов и их построение удобно проводить с помощью многочленов (или полиномов).

В теории циклических кодов кодовые комбинации обычно представляются в виде полинома. Так, n-элементную кодовую комбинацию можно описать полиномом (n-1) степени, в виде

.

где ={0,1}, причем = 0 соответствуют нулевым элементам комбинации, а = 1 — ненулевым.

Запишем полиномы для конкретных 4-элементных комбинаций

Действия над многочленами

При формировании комбинаций циклического кода часто используют операции сложения многочленов и деления одного многочлена на другой. Так,

,

поскольку .

Следует отметить, что действия над коэффициентами полинома (сложение и умножение) производятся по модулю 2.

Рассмотрим операцию деления на следующем примере:

Деление выполняется, как обычно, только вычитание заменяется суммированием по модулю два.

Отметим, что запись кодовой комбинации в виде многочлена, не всегда определяет длину кодовой комбинации. Например, при n = 5, многочлену соответствует кодовая комбинация 00011.

Алгоритм получения разрешенной кодовой комбинации циклического кода из комбинации простого кода

Пусть задан полином , определяющий корректирующую способность кода и число проверочных разрядов r, а также исходная комбинация простого k-элементного кода в виде многочлена .

Требуется определить разрешенную кодовую комбинацию циклического кода (n, k).

• Умножаем многочлен исходной кодовой комбинации на

• Определяем проверочные разряды, дополняющие исходную информационную комбинацию до разрешенной, как остаток от деления полученного в предыдущем пункте произведения на образующий полином

• Окончательно разрешенная кодовая комбинация циклического кода определится так

Для обнаружения ошибок в принятой кодовой комбинации достаточно поделить ее на производящий полином. Если принятая комбинация — разрешенная, то остаток от деления будет нулевым. Ненулевой остаток свидетельствует о том, что принятая комбинация содержит ошибки. По виду остатка (синдрома) можно в некоторых случаях также сделать вывод о характере ошибки, ее местоположении и исправить ошибку.

Формирование базиса (производящей матрицы) циклического кода

Формирование базиса циклического кода возможно как минимум двумя путями.

Вариант первый.

1. Составить единичную матрицу для простого исходного кода.
2. Определить для каждой кодовой комбинации исходного кода группу проверочных элементов и дописать их в соответствующие строки матрицы.

Полученная матрица и будет базисом циклического кода. Причем, в данном случае, разрешенные комбинации заведомо разделимы (т.е. информационные и проверочные элементы однозначно определены).

Вариант второй.

1. 1. Дописать слева от КК, соответствующей образующему полиному циклического кода нули так, чтобы длина разрешенной кодовой комбинации равнялась n.

• Получить остальные разрешенные кодовые КК базиса, используя циклический сдвиг исходной. (В базисе должно быть k – строк)

В данном случае код будет неразделимым.

Получив базис ЦК, можно получить все разрешенные комбинации, проводя сложение по модулю 2 кодовых комбинаций базиса в различных сочетаниях и плюс НУЛЕВАЯ.

Циклические коды достаточно просты в реализации, обладают высокой корректирующей способностью (способностью исправлять и обнаруживать ошибки) и поэтому рекомендованы МСЭ-Т для применения в аппаратуре ПД. Согласно рекомендации V.41 в системах ПД с ОС рекомендуется применять код с производящим полиномом

Построение кодера циклического кода

Рассмотрим код (9,5) образованный полиномом

.

Разрешенная комбинация циклического кода образуется из комбинации простого (исходного) кода путем умножения ее на и прибавления остатка R(x) от деления на образующий полином.

• Умножение полинома на одночлен

эквивалентно добавлению к двоичной последовательности соответствующей G(x) , r — нулей справа.

Пусть

тогда

Для реализации операции добавления нулей используется r-разрядный регистр задержки.

• Рассмотрим более подробно операцию деления:

Как видим из примера, процедура деления одного двоичного числа на другое сводится к последовательному сложению по mod2 делителя [10011] с соответствующими членами делимого [10101], затем с двоичным числом, полученным в результате первого сложения, далее с результатом второго сложения и т.д., пока число членов результирующего двоичного числа не станет меньше числа членов делителя.

Это двоичное число и будет остатком .

Построение формирователя остатка циклического кода

Структура устройства осуществляющего деление на полином полностью определяется видом этого полинома. Существуют правила позволяющие провести построение однозначно.

Сформулируем правила построения ФПГ.

1. Число ячеек памяти равно степени образующего полинома r.
2. Число сумматоров на единицу меньше веса кодирующей комбинации образующего полинома.
3. Место установки сумматоров определяется видом образующего полинома.

Сумматоры ставят после каждой ячейки памяти, (начиная с нулевой) для которой существует НЕнулевой член полинома. Не ставят после ячейки для которой в полиноме нет соответствующего члена и после ячейки старшего разряда.

4. В цепь обратной связи необходимо поставить ключ, обеспечивающий правильный ввод исходных элементов и вывод результатов деления.

Структурная схема кодера циклического кода (9,5)

Полная структурная схема кодера приведена на следующем рисунке. Она содержит регистр задержки и рассмотренный выше формирователь проверочной группы.

Рассмотрим работу этой схемы

1. На первом этапе К₁– замкнут К₂ – разомкнут. Идет одновременное заполнение регистров задержки и сдвига информ. элементами (старший вперед!) и через 4 такта старший разряд в ячейке №4

2. Во время пятого такта К₂ – замыкается а К₁ – размыкается с этого момента в ФПГ формируется остаток. Одновременно из РЗ на выход выталкивается задержание информационные разряды.

За 5 тактов (с 5 по 9 включительно) в линию уйдут все 5-информационных элемента. К этому времени в ФПГ сформируется остаток

3. К₂ – размыкается, К₁ – замыкается и в след за информационными в линию уйдут элементы проверочной группы.

4. Одновременно идет заполнение регистров новой комбинацией.

Второй вариант построения кодера ЦК

Рассмотренный выше кодер очень наглядно отражает процесс деления двоичных чисел. Однако можно построить кодер содержащий меньшее число элементов т.е. более экономичный.

Устройство деления на производящий полином можно реализовать в следующем виде:

За пять тактов в ячейках будет сформирован такой же остаток от деления, что и в рассмотренном выше Формирователе проверочной группы. (ФПГ).

За эти же 5 тактов информационные разряды, выданные сразу на модулятор.

Далее в след за информационными уходят проверочные из ячеек устройств деления.

Но важно отключить обратную связь на момент вывода проверенных элементов, иначе они исказятся.

Окончательно структурная схема экономичного кодера выглядит так.

— На первом такте Кл.1 и Кл.3 замкнуты, информационные элементы проходят на выход кодера и одновременно формируются проверочные элементы.

— После того, как в линию уйдет пятый информационный элемент, в устройстве деления сформируются проверочные;

— на шестом такте ключи 1 и 3 размыкаются (разрываются обратная связь), а ключ 2 замыкается и в линию уходят проверочные разряды.

Ячейки при этом заполняются нулями и схема возвращается в исходное состояние.

Определение ошибочного разряда в ЦК

Пусть А(х)-многочлен соответствующий переданной кодовой комбинации.

Н(х)- многочлен соответствующей принятой кодовой комбинацией.

Тогда сложение данных многочленов по модулю два даст многочлен ошибки.

E(x)=A(x) H(x)

При однократной ошибке Е(х) будет содержать только один единственный член соответствующий ошибочному разряду.

Остаток – полученный от деления принятого многочлена H(x) на производящей P_r(x) равен остатку полученному при делении соответствующего многочлена ошибок E(x) на P_r(x)

При этом ошибке в каждом разряде будет соответствовать свой остаток R(x) (он же синдром), а значит, получив синдром можно однозначно определить место ошибочного разряда.

Алгоритм определения ошибки

Пусть имеем n-элементные комбинации (n = k + r) тогда:

1. Получаем остаток от деления Е(х) соответствующего ошибке в старшем разряде [1000000000], на образующей поленом P_r(x)

2. Делим полученный полином Н(х) на P_r(x) и получаем текущий остаток R(x).

3. Сравниваем R₀(x) и R(x).

— Если они равны, то ошибка произошла в старшем разряде.

— Если «нет», то увеличиваем степень принятого полинома на Х и снова проводим деления

в) Опять сравниваем полученный остаток с R₀(x)

— Если они равны, то ошибки во втором разряде.

— Если нет, то умножаем Н(х)х² и повторяем эти операции до тех пор, пока R(X) не будет равен R₀(x).

Ошибка будет в разряде соответствующем числу на которое повышена степень Н(х) плюс один.

Например: то номер ошибочного разряда 3+1=4

Пример декодирования комбинации ЦК

Положим, получена комбинация H(х)=111011010

Проанализируем её в соответствии с вышеприведенным алгоритмом.

Реализуя алгоритм определения ошибок, определим остаток от деления вектора соответствующего ошибке в старшем разряде Х⁸ на производяший полином P(x)=X⁴+X+1

X⁸ X²+X+1

X⁸+X⁵+X⁴ x⁴+x+1

X⁵+X⁴

X⁵+X²+X

X⁴+X²+X

X⁴+X+1

X²+1=R₀(X)=0101

Разделим принятую комбинацию на образующий полином

Полученный на 9-м такте остаток, как видим, не равен R₀(X). Значит необходимо умножить принятую комбинацию на Х и повторить деление. Однако результаты деления с 5 по 9 такты включительно будут такими же, значит необходимо продолжить деление после девятого такта до тех пор, пока в остатке не будет R₀(Х). В нашем случае это произойдет на 10 такте, при повышении степени на 1. Значит ошибки во втором разряде.

Декодер циклического кода с исправлением ошибки

Если ошибка в первом разряде, то остаток R₀(X)=10101 появления после девятого такта в ячейках ФПГ.

Если во втором по старшинству то после 10^го;
в третьем по старшинству то после 11^го;
в четвертом по старшинству то после 12^го
в пятом по старшинству то после 13^го
в шестом по старшинству то после 14^го
в седьмом по старшинству то после 15^го
в восьмом по старшинству то после 16^го
в девятом по старшинству то после 17^го.

На 10 такте старший разряд покидает регистр задержки и проходит через сумматор по модулю 2.

Если и этому моменту остаток в ФПГ=R₀(X), то логическая 1 с выхода дешифратора поступит на второй вход сумматора и старший разряд инвертируется.

В нашем случае инвертируется второй разряд на 11 такте.

5.3. Выбор образующего полинома

Рассмотрим вопрос выбора образующего полинома, который определяет корректирующие свойства циклического кода. В теории циклических кодов показано, что образующий полином представляет собой произведение так называемых минимальных многочленов m_i(x), являющихся простыми сомножителями (то есть делящимся без остатка лишь на себя и на 1) бинома xⁿ+ 1:

P(x)=m₁(x)* m₃(x)…m_j(x), (*)

где j = d₀ – 2 =( 2t_u.ош+1) – 2 = 2 t_и.ош – 1.

Существуют специальные таблицы минимальных многочленов, одна из которых приведена ниже. Кроме образующего полинома необходимо найти и количество проверочных разрядов r. Оно определяется из следующего свойства циклических кодов:

для любых значений l и t_и.ош существует циклический код длины n =2^l – 1, исправляющий все ошибки кратности t_и.ош и менее, и содержащий не более проверочных элементов.

Так как , то откуда . (**)

Очевидно, что для уменьшения времени передачи кодовых комбинаций, r следует выбирать как можно меньше. Пусть, например, длина кодовых комбинаций n = 7, кратность исправляемых ошибок t_и.ош =1. Из (**) получим r = 1 ^. log₂ ( 7+1 )=3.

После определения количества проверочных разрядов r, вычисления образующего полинома удобно осуществить, пользуясь таблицей минимальных многочленов, представленной в следующем виде:

Таблица минимальных многочленов

J=2tи.ош -1	Вид минимальных многочленов для
1	2	3	4	5	6	7
1	x2+x+1	x3+x+1	x4+x+1	x5+x+1	x6+x+1	x7+x+1
3	—	—	x4+x3+ +x2+x+1	x5+x4+ +x3+x2+1	x6+x4+ +x2+x+1	x7+x3+ +x2+x+1
5	—	—	—	x5+x4+ +x2+x+1	x6+x5+ +x2+x+1	x7+x4+ +x3+x2+1
7	—	—	—	—	x6+x3+1	X7+x6+x5+ +x4+x2+x+1

Определяя образующий полином, нужно из столбца для соответствующего соотношения выписать все многочлены, начиная с верхней строки до нижней с номером j=2t_и.ош–1 включительно. После этого следует перемножить выбранные минимальные многочлены в соответствии с (*). В частности, если r=3, t_и.ош=1, j=2*1-1=1, образующий полином будет представлять собой единственный минимальный многочлен P(x)= m₁(x) = x³+x+1 (первая строка, второй столбец таблицы ). Соответственно образующее число равно 1011.

Контрольные вопросы по теме:

1. Что такое разрешенные и запрещенные кодовые комбинации.
2. Что называется расстоянием Хемминга.
3. Дайте понятие кодового расстояния и как его определить.
4. Как связано кодовое расстояние с исправляющей и обнаруживающей способностью кода.
5. Какой код называется линейным.
6. Какое множество называется группой.
7. Назовите основные свойства циклических кодов.
8. Запишите полином в двоичном виде.
9. Запишите полином, соответствующий двоичной записи 100111.
10. Получите остаток от деления полинома на .
11. Как получают разрешенные комбинации при циклическом кодировании.
12. Нарисуйте кодер для циклического кода, порождаемого полиномом . Поясните принцип работы кодера.
13. По какому признаку обнаруживают ошибку в принятой кодовой комбинации.
14. Каков алгоритм определения ошибочного разряда в комбинации циклического кода.
15. Нарисуйте структурную схему декодера, обеспечивающего обнаружение ошибок для кода (7,4) при производящем полиноме . Поясните принцип его работы.
16. Нарисуйте структурную схему декодера, обеспечивающего исправление однократной ошибки для кода (7,4) при производящем полиноме . Поясните принцип его работы.
17. Как выбирается образующий (производящий) полином?