четверг, 30 декабря 2010 г.

Безопасность 1С

Безопасность 1С

В настоящее время продукты линейки 1С получили широкое распространение. Практическая каждая компания использует данное программное обеспечения в своей работе. Далеко не всегда в бухгалтерском учете используется только белые схемы, поэтому вопросы конфиденциальности информации имеют первостепенное значение.

Необходимо разработать схемы, обеспечивающие защиту данных, хранящихся и обрабатывающихся в системах 1С.

Предлагается рассмотреть наиболее общий случай использования системы 1С. Система 1С состоит из сервера приложений, сервера баз данных и пользовательских рабочих станций. Обеспечение информационной безопасности на участке от пользователей до сервера приложений в настоящую задачу не входит и должно рассматриваться отдельно, «стандартными» технологиями защиты персональных данных.

Шифрование дисков

1. Аппаратный проходной шифратор с поддержкой российской криптографии Криптон. Выполняется в виде SATA, IDE устройств (USB при необходимости). Имеет форм-фактор аналогичный размеру 3.5 дюймового жесткого диска и позволяет размещаться в системном блоке в разрыве информационного интерфейса жесткого диска. Мне видятся следующие достоинства и недостатки решения:

+ высокая производительность;

+ нет зависимости от типа операционной и файловой системы сервера;

+/- как возможность, так и невозможность установки в ряде случаев;

- отсутствие поддержки серверных интерфейсов (SCSI, SAS);

- невозможность использования в конфигурации с RAID массивами;

- хранение ключа шифрования на внешнем носителе (в данном случае минус).

2. Программное средство для шифрования файлов-контейнеров, томов, дисков Aladdin Secret Disk Server NG. Продукт имеет возможность централизации, что позволяет контролировать большое количество серверов. Российская криптография реализуется следующими внешними криптопровайдерами: КриптоПро CSP, Signal-COM CSP, Infotecs CSP. На все криптопровайдеры есть сертификаты ФСБ, а также есть заключение ФСБ о корректности встраивания в рассматриваемый продукт.

Мне видятся следующие достоинства и недостатки решения:

+ независимость от аппаратной конфигурации и конструкции сервера

- поддержка ОС только класса MS Windows

- хранение ключа шифрования на внешнем носителе (в данном случае минус)

- стоимость определяется количеством пользователей (подключений)

3. Программное средство аналогичное предыдущему - Securit Zserver. Российская криптография также поддерживается внешними криптопровадерами: КриптоПро CSP, Криптон. На все криптопровайдеры есть сертификаты ФСБ. Заключения от корректности встраивания нет.

Мне видятся следующие достоинства и недостатки решения:

+ независимость от аппаратной конфигурации и конструкции сервера;

+ поддержка ОС класса Linux;

- хранение ключа шифрования на внешнем носителе (в данном случае минус);

- стоимость определяется количеством пользователей (подключений).

Резервное копирование

Для резервного копирования предлагается использовать российский продукт Acronis Backup & Recovery 10. Данный продукт позволяет делать резервные копии, как на уровне файлов, так и на уровне дисков.

Чаще всего для 1С используются СУБД MS SQL, поэтому лучшим решением будет использование специального продукта для этой БД – Acronis Recovery for MS SQL Server.

Оба продукта совсем недавно сертифицированы ФСТЭК России на соответствие 4 уровню контроля по НДВ, что позволяет их использование для защиты персональных данных.

воскресенье, 26 декабря 2010 г.

Безопасность с https

Безопасность с https

Согласно Wikipedia, HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.
В настоящее время данный протокол становится популярным, в виду массового распространения электронной коммерции (money.yandex.ru), электронного банкинга (click.alfabank.ru), защищенного документооборота (gmail.com). Для разных категорий удаленных сервисов свойства информационной безопасности, такие как конфиденциальность, целостность и доступность будут иметь разный вес. Если говорить о конфиденциальности и целостности, то эти свойства достигаются преимущественно криптографическими методами.
Задача информационной безопасности как раз и заключается в предотвращении  утечек конфиденциальной информации через подобные сервисы. Представим, что сотрудник банка, находясь на своем рабочем месте, решит «слить» информацию посредством почтового сервиса gmail.com. Также предположим, что в виду конфиденциальности данный сервис для каких-то целей разрешен определенным категориям пользователей.
Даже если вы закроете доступ на популярные почтовые серверы, популярные форумы, все равно останется большое количество анонимных прокси-серверов, через которые можно будет получить доступ на многие из них. Остается даже возможность выполнить «проброс» https до контролируемой удаленной машины.
Если следовать теории, что существует 3 способа контроля зашифрованного сетевого трафика.

Запрет на использование https

Первый способ самый простой. Достаточно в разрыв поставить средство для контроля типов проходящего трафика на основе контента и блокировать зашифрованный трафик. Можно создавать различные политики для групп пользователей в зависимости от их уровня доверия и поставленных задач. Примером таких средств защиты является MS ISA Server, а также следующие программно-аппаратные комплексы:

  • Cisco IronPort S-Series Web Security Appliance
  • Sophos Web Security and Control Appliance
  • TrendMicro InterScan Web Security Appliance

Перехват https на клиенте

Второй способ использует метод перехвата трафика еще до того момента, когда он стал зашифрованным. Шифрование осуществляется на уровне представления, то есть в тот момент, когда приложение передает данные для шифрования перед отправкой в стек TCP/IP. Дешифрование осуществляется аналогичным образом при получении информации. Таким путем пошла компания SearchInform, говоря о единственном продукте, который позволяет контролировать программу Skype. В агенте, который устанавливается на ПК сотрудника, есть плагин к Skype, который и перехватывает еще не зашифрованную информацию.
«Полутоннель»

В терминологии компании Инфотекс, полутоннелем называется шифрованный канал через сеть связи общего пользования (например, Интернет), с одной стороны которого все рабочие станции и серверы шифруют исходящий трафик, а с другой стороны при входе в сегмент сети трафик расшифровывается и идет в открытом виде до серверов и рабочих станций назначения. Этот приём часто используется, если нет необходимости или возможности защитить всё оборудование в сети, либо если нужно сэкономить на стоимости защиты. Подобным путем можно организовать контроль исходящего трафика от пользователей.
Процесс установления защищенного соединения начинается с обычного незащищенного http соединения. Далее происходит аутентификация с присвоением идентификатора сессии и переход в защищенный протокол (SSL).  Для перехвата достаточно установить сниффер на сетевой шлюз и получить идентификатор сессии. После этого крайне просто реализовать атаку Man In The Middle, представившись пользователем для удаленного сервиса и удаленным сервисом для пользователя.
Многие пользователи обратят внимание, что сессия не является защищенной и в строке браузера по-прежнему отображается HTTP. Для урегулирования возможных волнений со стороны пользователей рекомендуется разработать раздел в правилах использования  сотрудниками организации ресурсов сети Интернет, в котором организации будет разрешено иметь доступ к защищенным каналам связи и информации, пересылаемой пользователями в них.
  
Подмена сертификатов

Развивая эту мысль, можно полноценно разместиться в качестве «человека посередине» (Man In The Middle Attack) с развертыванием выделенного центра сертификации (ЦС). Вначале необходимо собрать перечень из популярных общедоступных сервисов, которые УЖЕ используют шифрование для обеспечения конфиденциальности и целостности (подлинности, неотказуемости) при передаче информации пользователей. Далее необходимо при помощи групповых политик включить сертификат этого ЦС в качестве доверенного для всех пользователей организации. После этого можно перехватывать запросы на открытие защищенного канала связи, генерировать напоминающий оригинал сертификат и передавать его клиенту.
Если же вопрос обмана пользователей не стоит, можно ограничиться выпуском единственного сертификата и использовать его для создания «защищенного» соединения между пользователями и шлюзом.  Для того, чтобы соединение было действительно защищенным, не смотря на использование одного и того же сертификата, предлагается при выработке сессионного ключа учитывать текущее время.
Таким образом, при установлении защищенного соединения на стороне клиента будет лишь имитация безопасного соединения, а на самом деле будет два установленных соединения «Удаленный сервер - ШЛЮЗ» и «ШЛЮЗ – Пользователь», на стыке которых и будет происходить перехват содержимого исходящего трафика.
Можно сделать вывод о том, что повсеместное использование шифрования уже не делает обмен информацией конфиденциальным и нужно принимать все возможные меры для того, чтобы личная переписка оставалась действительно личной.

суббота, 18 декабря 2010 г.

Безопасность Удостоверяющего Центра

Безопасность Удостоверяющего Центра

В этот статье я рассмотрю проблемы обеспечения информационной безопасности для Удостоверяющего Центра на примере КриптоПро УЦ.

Удостоверяющий Центр (УЦ) выполняет следующие функции:

  • регистрация пользователей Удостоверяющего центра;
  • создание закрытых ключей электронных цифровых подписей;
  • изготовление сертификатов открытых ключей;
  • приостановление действия, возобновление действия, аннулирование сертификатов открытых ключей;
  • ведение реестра сертификатов открытых ключей, обеспечение его актуальности и возможности доступа к нему участников информационной системы;
  • выдача сертификатов ключей подписей в форме документов на бумажных носителях.

УЦ состоит из следующих компонентов:

  • Центр сертификации (ЦС);
  • Центр регистрации (ЦР);
  • Автоматизированное рабочее место (АРМ) администратора ЦР;
  • АРМ разбора конфликтных ситуаций (РКС);
  • АРМ зарегистрированного пользователя с ключевым доступом (КД).

Центр сертификации предназначен для формирования сертификатов открытых ключей пользователей и администраторов УЦ, списков отозванных сертификатов, хранения эталонной базы сертификатов и списков отозванных сертификатов.
Центр Регистрации предназначен для хранения регистрационных данных пользователей, запросов на сертификаты и сертификатов пользователей, для предоставления интерфейса взаимодействия пользователей с УЦ.
АРМ администратора ЦР предназначен для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управлением Центром регистрации.
АРМ разбора конфликтных ситуаций предназначен для выполнения организационно-технических мероприятий, связанных с подтверждением подлинности ЭЦП в электронных документах и определением статуса сертификатов открытых ключей пользователей, а также связанных с подтверждением подлинности ЭЦП уполномоченного лица УЦ в изготовленных им сертификатах открытых ключей.
АРМ зарегистрированного пользователя с ключевым доступом предназначен для выполнения организационно-технических мероприятий, связанных с управлением личной ключевой информацией и сертификатами, (формирование рабочих ключей и сертификатов, отзыв сертификатов, публикация списка отозванных сертификатов). Эти задачи могут интегрироваться в АРМ администратор ЦР, а могут выноситься в отдельный АРМ.

Логическая схема взаимодействия компонент



Физическая схема взаимодействия компонент



Криптография
Все криптографические средства защиты по российскому законодательству должны иметь сертификаты ФСБ России. КриптоПро УЦ не исключение – есть действующий сертификат на КС2. КС2 означает защиту в соответствии с типом нарушителя Н2, что подтверждает защиту от нарушителя, имеющего постоянный и/или разовый доступ в контролируемую зону (КЗ), но не имеющего ни одного идентификатора доступа.
В продукте КриптоПро УЦ используются криптопровайдер КриптоПро CSP и средство аутентификации и шифрования КриптоПро TLS. КриптоПро CSP служит для генерации ключевой информации, шифрования и дешифрования, путем вызова соответствующих функций CryptoAPI приложениями. КриптоПро CSP может работать на прикладном уровне модели OSI и позволяет защищать данные поддерживаемых его приложений.
TLS работает на транспортном уровне модели OSI и позволяет вырабатывать общий ключ шифрования при помощи алгоритма Деффи-Хеллмана, а также туннелировать сетевой трафик между абонентами защищенной сети, используя для шифрования функции КриптоПро CSP.

Межсетевое экранирование
Требования информационной безопасности для УЦ разработаны ФСБ России. В нормативно-технических документах на КриптоПро УЦ (формуляр, ТУ) указано, что для сохранения сертификации все компоненты УЦ необходимо устанавливать за межсетевым экраном 4 класса по классификации ФСБ России. Так как данный документ является ДСП, удостовериться в этих требованиях не представляется возможным и остается верить в их целесообразность.
Все компоненты, за исключением АРМ для КД, целесообразно разместить в специально отведенной сети (DMZ УЦ), АРМ для КД можно выносить в любое место, при обеспечении необходимых мер ИБ. Это удобно для создания удаленного рабочего места для генерации ключей. В этом случае для защиты удаленного АРМ потребуется использовать дополнительный межсетевой экран.
В настоящее время сертифицированными по линии ФСБ России есть только два межсетевых экрана: АПКШ «Континент» и ViPNet «Coordinator». Оба продукта имеют одинаковые сертификаты ФСБ России, имеют схожий функционал, отличаются только в нюансах исполнения и использования, тем самым являясь прямыми конкурентами друг другу.

Защита от несанкционированного доступа
В документации на УЦ есть требование о необходимости использования на всех компонентах УЦ электронных замков доступа типа Соболь или Аккорд в качестве средства предотвращения несанкционированного доступа. Данные электронные замки являются программно-аппаратными комплексами, выполненными в виде PCI карт и устанавливаемые в серверы и/или персональные компьютеры.
 Электронные замки обеспечивают доверенную загрузку, путем получения управления после отработки стандартного ПО BIOS. Загрузка ОС может выполняться как после предъявления идентификатора и пароля, так и после предъявления съемного носителя и кода доступа (двухфакторная идентификация). В качестве съемного носителя чаще всего используются токены eToken (Aladdin) или  ruToken (Актив). Электронный замок имеет функции  по контролю целостности файлов, который производится с использованием криптографического алгоритма ГОСТ Р 34.11-94 путем сравнения результата хэш-функции с исходным значением.

Антивирусная безопасность
В документации на УЦ нет четких требований необходимости антивирусных средств, однако если всё-таки исходить из необходимости ИБ, то антивирусные средства необходимы. Поэтому имеет смысл на каждый компонент УЦ установить антивирус. К сертифицированным ФСТЭК России антивирусным средствам относятся: российские антивирусы Касперского и Dr.Web, белорусский антивирус VBA32, а также антивирус иностранной разработки Eset NOD32.
Все антивирусы должны регулярно автоматически обновляться. Единственным исключением мне видится антивирус, установленный на ЦС. Его имеет смысл обновлять вручную, при помощи съемных носителей, т.к. между ЦС и ЦР возможен только «основной» обмен.

Резервное копирование
В документации есть типовая схема реализации УЦ, согласно которой предлагается создание резервных копий ЦС и ЦР. Однако если следовать принципам ИБ, то имеет смысл регулярно создавать резервные копии всех компонентов. Резервное копирование может быть как логическим, то есть на уровне файловой системы, так и физическим, то есть на уровне секторов жестких дисков. Пример логического средства – Microsoft NT Backup. Пример физических средств – Symantec Ghost, российский аналог Acronis True Image, свободный аналог PING (Partimage Is Not Ghost).

Анализ защищенности
Если система имеет доступ в сеть Интернет, то необходимо обеспечить анализ защищенности. Лучше всего включить функции обновления ПО на всех компонентах УЦ, за исключением ЦС. ЦС лучше обновлять вручную, по аналогии с антивирусом. Для анализа защищенности в корпоративной сети организации устанавливается сервер анализа безопасности, с которого и производится анализ. Лучшим из российских средств защиты информации является MaxPatrol, который успешно конкурирует с иностранными средствами, от McAfee и Nessus.
Анализу подвергаются все средства, кроме ЦС, так как ЦС не входит в корпоративную сеть и/или DMZ, доступ к нему разрешен только для ЦР, а также ЦС является высококритичным ресурсом.

Обнаружение вторжений
Если система имеет доступ в сеть Интернет, то необходимо также обеспечить функции по обнаружению вторжений. Данные функции присутствуют в антивирусе Касперского в виде IDS подсистемы. Номинальные функции по обнаружению вторжений присутствуют в МСЭ ViPNet Coordinator.
Однако для реальной безопасности имеет смысл использовать специализированное средство обнаружения вторжений, установленное «наверху», до межсетевого экрана УЦ. Примерами хороших средств IDS являются Cisco IPS 4200, StoneGate IPS.

Контроль доступа
Функции разграничения доступа присутствуют в каждом компоненте УЦ. Более того в УЦ используется ролевая модель разграничения прав доступа.
Дополнительно для обеспечения безопасности на всех компонентах УЦ важным является отсутствие административных привилегий при осуществлении доступа. Это достигается использованием штатных механизмов дискреционного типа доступа ОС Microsoft Windows.

Регистрация и учет
Регистрация, то есть протоколирование, выполняется встроенным программным обеспечением. Регистрация общесистемных событий также может быть настроена штатными средствами ОС Microsoft Windows. Важным является организация хранения электронных журналов регистрации в течение необходимого периода времени.

В документации на УЦ есть требование «Удостоверяющий Центр обязан синхронизировать по времени все программные и технические средства обеспечения деятельности по предназначению». Имеет смысл иметь в организации сервер, который является эталонным источником времени. С этим сервером и должны синхронизироваться все компоненты, за исключением ЦС. ЦС же должен синхронизироваться только с ЦР.