Пример реализации драйвера шифрования сетевых пакетов
В качестве основы драйвера, шифрующего сетевые пакеты, может быть использован
пример промежуточного драйвера ImSamp с сервера Microsoft (для NT 4.0)
или промежуточный драйвер Passthru из DDK (NtDDK\src\network\ ndis\passthru,
для Win2000). Этот NDIS-драйвер промежуточного уровня разработан так,
чтобы располагаться между транспортным драйвером и драйвером сетевой карты
(рис. 30). Единственное что он делает - это получает пакеты от драйвера
сетевой карты и передает их драйверу транспорта, и наоборот.
Используя Network Control Panel Application (NCPA), можно привязать протокол
TCP/IP к виртуальному адаптеру, создаваемому драйвером ImSamp, а все остальные
привязки заблокировать. Для драйвера ТСР/IP промежуточный драйвер ImSamp
выглядит как драйвер виртуальной сетевой карты. А для реальной сетевой
карты Ethernet драйвер ImSamp выглядит как драйвер протокола.
Если разрабатываемый драйвер шифрования не реализует функции сетевого
уровня модели OSI, то его нельзя будет использоваться в сети, где в качестве
средств построения объединенных сетей используются маршрутизаторы, работающие
на сетевом уровне. Так как такой драйвер не рассчитан на то, что выпущенный
зашифрованный пакет может быть фрагментирован, поэтому его можно использовать
только в сегменте сети до маршрутизаторов.
Рис. 30. Расположение драйвера шифрования
Как уже отмечалось выше, спецификация NDIS позволяет добавлять заголовки (или хвост) к NDIS-пакету без необходимости его перекопирования, во время передачи пакета по стеку сетевых драйверов. Таким образом, промежуточный драйвер шифрования может зашифровать пакеты двумя способами:
- 1. Путем модификации исходного NDIS-пакета, переданного драйвером транспорта, с добавлением к нему (при необходимости) новых NDIS- буферов.
- 2. Путем создания собственного NDIS-пакета копированием в него исходного NDIS-пакета, переданного драйвером транспорта, а затем уже модификации собственного пакета.
Первый способ использовать не рекомендуется, так как он чреват ошибками
из-за использования библиотекой NDIS зарезервированных областей в пакете
(при этом они будут перезаписываться). Но в простейших случаях этот способ
работает.
При реализации первого способа важно помнить, что после завершения операции
отправки зашифрованного пакета в сеть, в функции ProtocolSendComplete
перед возвращением описателя пакета драйверу транспорта необходимо преобразовать
пакет в исходное состояние. То есть расшифровать его и отделить все добавленные
NDIS-бу-фера.
Драйвер может осуществлять зашифрование всех данных пакета, кроме Ethernet
и IP-заголовков, IP-заголовок, при этом, можно создать свой, а первоначальный
зашифровать.
Ключ шифрования обычно передается в драйвер шифрования из кода пользовательского
режима (библиотеки DLL или приложения) с помощью вызова функции DeviceloControl.
Обмен ключами между компьютерами можно, например, осуществить по схеме
ISAKMP/Oakley, реализовав приложение (или библиотеку DLL), использующее
интерфейс API WinSocket.
Если зашифрованный пакет имеет длину большую, чем первоначальный пакет,
то для того, чтобы драйвер протокола не мог послать пакет такой длиной,
что после добавления к нему необходимого числа байт промежуточным драйвером,
драйвер сетевой карты (или сама сетевая карта) обрезал бы его (например,
если длина преобразованного пакета вместе с Ethernet заголовком - 1514
байт), то при обработке запроса от драйвера протокола на максимально возможную
длину пакета, значение, которое в действительности получено от драйвера
сетевой карты, уменьшается на необходимое число байт.
Для определения функций, в код которых необходимо вставить зашифрование
или расшифрование, рассмотрим функции интерфейсов нижнего и верхнего уровней,
поддерживаемые средой NDIS, которые участвуют в приеме и отправлении пакетов,
и через которые эти пакеты проходят непосредственно:
Отправление:
- 1. MiniportSendPackets;
2. MiniportSend;
3. ProtocolSendComplete.
Получение:
- 1. ProtocolReceive;
2. ProtocolReceivePacket;
3. ProtocolTransferDataComplete;
4. MiniportReturnPacket;
5. MiniportTransferData.
Рассмотрим эти функции подробнее:
- 1. MiniportSendPackets - функция интерфейса верхнего
уровня. Она получает несколько указателей на описатели NDIS-пакетов
от драйвера транспорта. Во время инициализации, перед тем, как отправлять
пакеты, драйвер транспорта опрашивает параметры конфигурации и характеристики
нижележащего драйвера, в том числе и то, сколько пакетов одновременно
он может передавать. Эта функция должна, по меньшей мере, заменить первоначальные
описатели NDIS-пакетов, полученные от драйвера транспорта, на свои собственные,
сохранив первоначальные описатели, а затем отослать обновленные описатели
NDIS-пакетов ниже - драйверу сетевой карты с помощью функции Ndis SendPackets.
2. MiniportSend - функция интерфейса верхнего уровня, предназначенная для передачи по одному пакету нижележащему драйверу и требуется только в том случае, когда промежуточный драйвер не обеспечивает функцию MiniportSendPackets.
3. ProtocolSendComplete - функция интерфейса нижнего уровня. Она является завершающей функцией для функций NdisSendPackets и NdisSend. Она получает в качестве параметра статус завершения операции отправления пакета и описатель этого отправленного пакета (обновленный описатель). Эта функция, по меньшей мере, должна просигнализировать драйверу транспорта о завершении операции отправления, передав ему первоначальный описатель отправленного пакета.
4. ProtocolReceive - функция интерфейса нижнего уровня. Вызывается NDIS, после того как драйвер сетевой карты передал выше полученный пакет (или его часть). По меньшей мере, эта функция должна скопировать предоставленные ей данные во вновь созданный NDIS-пакет и передать его выше драйверу транспорта (обычно описатель этого пакета и его буфера берутся, соответственно, из очереди NDIS-пакетов и очереди буферов, созданных во время инициализации драйвера). Если драйвер сетевой карты предоставил не весь пакет, то необходимо вызвать функцию NdisTransferData для получения оставшейся части пакета.
5. ProtocolReceivePacket - это необязательная функция интерфейса нижнего уровня. Она вовлекается в том случае, если промежуточный драйвер располагается над драйвером сетевой карты, поддерживающим многопакетное предоставление, и этот драйвер сетевой карты вызвал функцию NdisMIndicateReceivePacket либо с множеством пакетов, либо с одним пакетом, имеющим дополнительную информацию.
6. MiniportTransferData - это функция интерфейса верхнего уровня. Она вызывается для того, чтобы передать вышележащему драйверу транспорта оставшуюся часть полученного от драйвера сетевой карты пакета, ранее не переданную в драйвер транспорта с помощью функции NdisMXxxIndicateReceive. Эта функция требуется только в том случае, если промежуточный драйвер сигнализирует о полученных пакетах вышележащим драйверам путем вызова зависящих от типа сетевой карты функций NdisMXxxIndicateReceive (вместо Ххх могут быть Ethernet, TR, Fddi). Если же промежуточный драйвер всегда передает полученные пакеты наверх с по-
мощью вызова функции NdisMIndicateReceivePacket, то ему не надо обеспечивать функцию MiniportTransferData.
7. ProtocolTransferDataComplete - функция интерфейса нижнего уровня и является завершающей функцией для NdisTransferData. Она вызывается библиотекой NDIS, когда драйвер сетевой карты завершит операцию передачи оставшейся части пакета, ранее не переданной в ProtocolReceive. Эта функция, по меньшей мере, должна передать драйверу транспорта начало пакета, полученного ранее в функцию ProtocolReceive, вместе с остатком, полученным только что.
8. MiniportReturnPacket - функция интерфейса верхнего уровня и вызывается библиотекой NDIS, чтобы вернуть NDIS-пакет, который был ранее создан и предоставлен драйверу транспорта путем вызова функции NdisMIndicate ReceivePacket в функции ProtocolReceive или ProtocolReceivePacket или ProtocolTransferDataComplete. Эта функция должна, по меньшей мере, разобрать размещенный промежуточным драйвером NDIS-пакет и вернуть сам пакет и его буфера в соответствующие очереди, чтобы их можно было использовать в дальнейшем.
При изучении этих функций видно, что процедуру зашифрования надо вставить
в функцию MiniportSendPackets, либо если ее нет, то в MiniportSend, а
расшифрования в функции ProtocolReceive, ProtocolTransferDataComplete,
ProtocolReceivePacket, ProtocolSendComplete. Ниже следуют объяснения этого
утверждения.
Зашифрование требуется перед тем, как пакеты передадутся драйверу сетевой
карты для отправки в сеть, а это в промежуточном драйвере происходит в
функции MiniportSendPackets, либо если ее нет, то в MiniportSend, в них
и надо реализовывать процедуру зашифрования.
С расшифрованием дела обстоят гораздо сложнее, так как в процессе получения
пакета из сети в промежуточном драйвере участвуют сразу несколько функций:
ProtocolReceive, ProtocolTransferDataComplete, ProtocolReceivePacket,
Minipor tRetumPacket, MiniportTransferData.
Так как в функцию ProtocolReceive может попасть не весь пакет, а только
его начало, то расшифрование в этой функции осуществляется только в том
случае, если в нее был передан весь пакет. Если в эту функцию попало только
начало пакета, то будет вызвана функция NdisTransferData, которая заставит
драйвер сетевой карты передать оставшуюся часть пакета, и тогда его расшифрование
будет осуществляться в завершающей функции для функции NdisTransferData
- функции ProtocolTransfer DataComplete, которая уже будет обладать полным
пакетом.
ProtocolReceivePacket необязательная функция, нужная только в том случае,
если есть уверенность, что промежуточный драйвер будет располагаться над
драйвером сетевой карты, имеющим способность предоставлять сразу несколько
пакетов, полученных из сети. Если такой уверенности нет, то эту функцию
можно не регистрировать, то есть при инициализации обнулить соответствующий
указатель. Если эта функция все же реализуется, то она должна содержать
процедуру расшифрования.
Необходимость расшифрования пакетов (в случае зашифрования первоначального
пакета без его перекопирования), возвращаемых драйверу транспорта, в функции
ProtocolSendComplete объясняется следующим образом. При отправлении данных
из прикладной программы в сеть, переданные ею данные, проходя по стеку
сетевых драйверов, не перекопируются в новые участки памяти, просто к
ним добавляются разные сетевые заголовки, поэтому при зашифровании данных
пакета в функции MiniportSendPackets или MiniportSend (если не создавался
новый пакет и первоначальный не перекопировался в него) шифруются на самом
деле данные в буфере, принадлежащем приложению, а оно вовсе может и не
рассчитывать на это. Может даже произойти следующее: если ключ шифрования
не изменять, то при повторной посылке данных в сеть, эти данные, наоборот,
расшифруются и пойдут по сети в открытом виде. Чтобы избежать этой неприятности,
необходимо, перед возвращением отправленного пакета драйверу транспорта
со статусом операции отправления, расшифровать его.
Функция MiniportTransferData предназначена для того, чтобы передавать
драйверу транспорта оставшуюся часть полученного от драйвера сетевой карты
пакета, ранее не переданную в драйвер транспорта с помощью функции NdisMXxxIndicateReceive.
Но если промежуточный драйвер всегда передает полученные пакеты наверх
с помощью вызова функции NdisMIndicateReceivePacket, то ему не надо обеспечивать
функцию MiniportTransferData.
При разработке драйвера шифрования важно помнить, что цепь NDIS-буферов
в NDIS-пакете не всегда точно соответствует сетевым заголовкам (Ethernet,
IP, TCP/UDP). NDIS-пакеты, передаваемые из драйвера протокола, например
TCP/IP, в промежуточный драйвер для отправки, могут иметь очень разнообразную
структуру, то есть разное количество NDIS-буферов и их содержимое. Вот
лишь некоторые примеры (смотри рис. 31), которые удалось пронаблюдать
с помощью программы-отладчика Soft Ice. (Разделение означает различные
NDIS-буфера, заметьте, что Ethernet заголовок уже пристроен к пакету драйвером
протокола ТСРЛР.)
При разборе пакета перед зашифрованием (чтобы определить, например, следует
ли его шифровать) нужно учитывать, что данные пользователя и сетевые заголовки
могут находиться в разных участках памяти, а иногда и вместе (в пакетах
протокола ARP_RARP).
При разработке драйвера шифрования полезно использовать анализатор протоколов,
например, Network Monitor, наблюдая с его помощью содержимое перехваченных
пакетов. Если его драйвер-перехватчик, под названием bh.sys, привязать
к реальной сетевой карте, то перехваченные им пакеты будут зашифрованными.
Если же его привязать к виртуальной сетевой карте, создаваемой промежуточным
драйвером шифрования, то перехваченные им пакеты будут уже расшифрованными.
Рис. 31. Структуры NDIS-пакетов