Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0

Макейчик Ю. С., Россия, Москва, ОКБ САПР

В последнее время сфере банковских инфраструктур, бизнес решений и т.д. стали пользоваться популярностью терминальные решения. В системах построенных на этой технологии имеется ряд уязвимостей. Так как протоколы взаимодействия терминалов и серверов потенциально уязвимы, несмотря на широкое использование в них методов криптографии. Шифрование трафика взаимодействия обеспечивает конфиденциальность передаваемых данных, но не гарантирует подлинность участников обмена клиент/сервер. Это позволяет машине злоумышленника на этапе инициализации криптосессии вклиниться посредником в криптозащищённый канал, т. е это атаки типа MITM (Man In The Middle). Для осуществления атаки можно использовать методы DNS spoofing, ARP poisioning, и т.д. Кроме того, в последнее время стало популярно использовать в качестве терминальных клиентов - достаточно "интеллектуальные" устройства, так называемые "толстые клиенты". Устройства этого класса, как правило, имеют винчестеры, USB-порты, другие механизмы передачи информации. Поэтому к задаче обеспечения подлинности участников обмена (терминал/ сервер), подключается задача защиты конечных станций (терминалов). В связи с этим, фирмой ОКБ САПР была разработана и выпущена новая версия ПАК Аккорд NT/2000 v3.0.

Данный ПАК предназначен для разграничения доступа пользователей как к локальной станции/терминалу, так и к терминальным серверам. Комплекс работает на всей ветке ОС Microsoft NT +, на терминальных серверах построенных на базе ОС Windows 2000 Advanced Server, семейства Windows 2003 серверов, и ПО Citrix Metaframe XP, работающему на этих ОС. Он позволяет осуществлять защитные функции терминальных подключений реализуемых на протоколах RDP и ICA.

К функциям классической версии ПАК Аккорд NT/2000 V2.0 добавлены возможности усиленной аутентификации терминальных станций, аппаратной идентификации пользователей подключающихся к терминальному серверу и разграничения доступа терминальных сессий.

В качестве аппаратных идентификаторов можно использовать TM-идентификаторы подключаемые на любую плату семейства "Аккорд". Если в терминальном клиенте нет возможности использовать PCI плату, то можно воспользоваться ПСКЗИ "ШИПКА", подключаемым к USB-порту.

Вне зависимости от того, установлен комплекс на рабочей станции, на терминальном клиенте или на терминальном сервере, он осуществляет:

На аппаратном уровне (контроллер АМДЗ) до загрузки ОС:

• идентификацию и аутентификацию пользователей с использованием индивидуального не копируемого электронного идентификатора (touch-memory, smart card);
• проверку целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра;
• блокировку загрузка со съёмных носителей информации для обычных пользователей;
• работу со всеми популярными файловыми системами, такими как: FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2*fs, Solaris;
• ведение в памяти контроллера журнала, фиксирующего протекание процедур идентификации/аутентификации пользователя и контроля целостности;
• создание расписания работы пользователей на неделю с точностью в 30 минут;
• возможность физической блокировки 2 устройств;

На программном уровне комплекс осуществляет разграничение прав доступа для пользвателей:

• защиту от НСД к ПЭВМ, включая идентификацию пользователя по уникальному TM-идентификатору или устройству ШИПКА и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
• блокировку экрана и клавиатуры в тех случаях, когда могут реализовываться угрозы информационной безопасности, с возможностью разблокировки только с помощью TM-идентификатора (ШИПКИ) пользователя;
• разграничение доступа к ресурсам ПЭВМ (к локальным и сетевым дискам, каталогам, файлам, контроль обращения к реестру, драйверам устройств, USB-устройствам) с применением дискреционного и (или) мандатного контроля доступа.

Эти защитные функции комплекса обеспечиваются использованием функционально полной структуры атрибутов доступа к объекту, таких как:

Операции с файлами:

1. R - разрешение на открытие файлов только для чтения.
2. W - разрешение на открытие файлов для записи.
3. C - разрешение на создание файлов на диске.
4. D - разрешение на удаление файлов.
5. N - разрешение на переименование файлов.
6. V - видимость файлов.
7. O - эмуляция разрешения на запись информации в файл.

Операции с каталогом:

1. M - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
2. Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
3. G - разрешение перехода в этот каталог.
4. n - переименование каталога.

Прочее:

1. Х - разрешение на запуск программ.

Регистрация:

1. r - регистрируются все операции чтения файлов из этого каталога в журнале.
2. w - регистрируются все операции записи файлов из этого каталога в журнале.

• Контроля целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций), в том числе файлов операционной системы;
• Динамического контроля целостности процессов (задач) в оперативной памяти ПЭВМ. Тем самым обеспечивается защита от программных вирусов и закладок;
• Автоматической идентификации в системе Windows NT+ пользователей, прошедших проверку в АМДЗ (включая локальный и терминальный вход). При таком подходе исключается процедура двойной идентификации пользователей и загрузка Windows под именем пользователя, отличным от имени прошедшего идентификацию в АМДЗ;
• Ведением подробного журнала работы пользователей во время всего сеанса функционирования ОС.

Комплекс в данное время прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2006

Библиографическая ссылка: Макейчик Ю. С. Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0 // Комплексная защита информации. Сборник материалов X Международной конференции 4–7 апреля 2006 года, Суздаль. Минск, 2006 С. 123–124.

---