Доклады, выступления, видео и электронные публикации
Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0
Макейчик Ю. С., Россия, Москва, ОКБ САПР
В последнее время сфере банковских инфраструктур, бизнес решений и т.д. стали пользоваться популярностью терминальные решения. В системах построенных на этой технологии имеется ряд уязвимостей. Так как протоколы взаимодействия терминалов и серверов потенциально уязвимы, несмотря на широкое использование в них методов криптографии. Шифрование трафика взаимодействия обеспечивает конфиденциальность передаваемых данных, но не гарантирует подлинность участников обмена клиент/сервер. Это позволяет машине злоумышленника на этапе инициализации криптосессии вклиниться посредником в криптозащищённый канал, т. е это атаки типа MITM (Man In The Middle). Для осуществления атаки можно использовать методы DNS spoofing, ARP poisioning, и т.д. Кроме того, в последнее время стало популярно использовать в качестве терминальных клиентов - достаточно "интеллектуальные" устройства, так называемые "толстые клиенты". Устройства этого класса, как правило, имеют винчестеры, USB-порты, другие механизмы передачи информации. Поэтому к задаче обеспечения подлинности участников обмена (терминал/ сервер), подключается задача защиты конечных станций (терминалов). В связи с этим, фирмой ОКБ САПР была разработана и выпущена новая версия ПАК Аккорд NT/2000 v3.0.
Данный ПАК предназначен для разграничения доступа пользователей как к локальной станции/терминалу, так и к терминальным серверам. Комплекс работает на всей ветке ОС Microsoft NT +, на терминальных серверах построенных на базе ОС Windows 2000 Advanced Server, семейства Windows 2003 серверов, и ПО Citrix Metaframe XP, работающему на этих ОС. Он позволяет осуществлять защитные функции терминальных подключений реализуемых на протоколах RDP и ICA.
К функциям классической версии ПАК Аккорд NT/2000 V2.0 добавлены возможности усиленной аутентификации терминальных станций, аппаратной идентификации пользователей подключающихся к терминальному серверу и разграничения доступа терминальных сессий.
В качестве аппаратных идентификаторов можно использовать TM-идентификаторы подключаемые на любую плату семейства "Аккорд". Если в терминальном клиенте нет возможности использовать PCI плату, то можно воспользоваться ПСКЗИ "ШИПКА", подключаемым к USB-порту.
Вне зависимости от того, установлен комплекс на рабочей станции, на терминальном клиенте или на терминальном сервере, он осуществляет:
На аппаратном уровне (контроллер АМДЗ) до загрузки ОС:
- идентификацию и аутентификацию пользователей с использованием индивидуального не копируемого электронного идентификатора (touch-memory, smart card);
- проверку целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра;
- блокировку загрузка со съёмных носителей информации для обычных пользователей;
- работу со всеми популярными файловыми системами, такими как: FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2*fs, Solaris;
- ведение в памяти контроллера журнала, фиксирующего протекание процедур идентификации/аутентификации пользователя и контроля целостности;
- создание расписания работы пользователей на неделю с точностью в 30 минут;
- возможность физической блокировки 2 устройств;
На программном уровне комплекс осуществляет разграничение прав доступа для пользвателей:
- защиту от НСД к ПЭВМ, включая идентификацию пользователя по уникальному TM-идентификатору или устройству ШИПКА и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
- блокировку экрана и клавиатуры в тех случаях, когда могут реализовываться угрозы информационной безопасности, с возможностью разблокировки только с помощью TM-идентификатора (ШИПКИ) пользователя;
- разграничение доступа к ресурсам ПЭВМ (к локальным и сетевым дискам, каталогам, файлам, контроль обращения к реестру, драйверам устройств, USB-устройствам) с применением дискреционного и (или) мандатного контроля доступа.
Эти защитные функции комплекса обеспечиваются использованием функционально полной структуры атрибутов доступа к объекту, таких как:
Операции с файлами:
1. R - разрешение на открытие файлов только для чтения.
2. W - разрешение на открытие файлов для записи.
3. C - разрешение на создание файлов на диске.
4. D - разрешение на удаление файлов.
5. N - разрешение на переименование файлов.
6. V - видимость файлов.
7. O - эмуляция разрешения на запись информации в файл.
Операции с каталогом:
1. M - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
2. Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
3. G - разрешение перехода в этот каталог.
4. n - переименование каталога.
Прочее:
1. Х - разрешение на запуск программ.
Регистрация:
1. r - регистрируются все операции чтения файлов из этого каталога в журнале.
2. w - регистрируются все операции записи файлов из этого каталога в журнале.
- Контроля целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций), в том числе файлов операционной системы;
- Динамического контроля целостности процессов (задач) в оперативной памяти ПЭВМ. Тем самым обеспечивается защита от программных вирусов и закладок;
- Автоматической идентификации в системе Windows NT+ пользователей, прошедших проверку в АМДЗ (включая локальный и терминальный вход). При таком подходе исключается процедура двойной идентификации пользователей и загрузка Windows под именем пользователя, отличным от имени прошедшего идентификацию в АМДЗ;
- Ведением подробного журнала работы пользователей во время всего сеанса функционирования ОС.
Комплекс в данное время прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.
Автор: Макейчик Ю. С.
Дата публикации: 01.01.2006
Библиографическая ссылка: Макейчик Ю. С. Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0 // Комплексная защита информации. Сборник материалов X Международной конференции 4–7 апреля 2006 года, Суздаль. Минск, 2006 С. 123–124.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.