Захищене завантаження термінальних клієнтів
Захищене завантаження термінальних клієнтів — спроможність термінальних клієнтів безпечно завантажувати операційну систему. Основним рішенням безпечного завантаження є перевірка цілісності і автентичності файлів операційної системи, які можуть зберігатися на локальному жорсткому диску, мобільному носії або завантажуватися із мережі[1].
Один із основних принципів захисту інформації, сформульований в кінці 20-го століття, свідчить, що обчислення, критичні з точки зору безпеки інформації, повинні відбуватися у довіреному обчислювальному середовищі[2] (Trusted computing base[en], TCB).
З часом відбувався розвиток засобів обчислювальної техніки, збільшувалося число функціональних можливостей операційних систем, зростала кількість прикладного програмного забезпечення. Разом із цим формувалися такі підходи до визначення поняття «довірене обчислювальне середовище»[2]:
- функціонально замкнуте середовище;
- ізольоване програмне середовище;
- довірене обчислювальне середовище на основі резидентних компонентів безпеки.
При побудові систем захисту термінального доступу використовуються всі три категорії, які, в основному, захищають термінальний сервер. У часи термінальних систем, коли термінал являв собою монітор, клавіатуру й систему з'єднання із центральним сервером, цього було достатньо. З розвитком засобів обчислювальної техніки така ситуація стала недостатньою, хоча суть термінальної сесії залишилася колишньою: обробка й зберігання інформації здійснюється на сервері, до терміналу передається оброблена сервером інформація, а до сервера передаються дані з пристроїв терміналу. Однак термінали стали більш функціональними, мають власну операційну систему, власний жорсткий диск і власні периферійні пристрої[3][4].
У зв'язку з тим, що термінальні клієнти є невід'ємною частиною системи, то з мультиплікативної парадигми захисту («ступінь захищеності системи визначається ступенем захищеності її найслабшої ланки») випливає, що для побудови захищеної термінальної системи необхідно забезпечувати захист кожного елемента[5][1].
Таким чином, вважають, що не тільки термінальний сервер потребує захисту, але й термінальні клієнти. Тому для повного захисту термінальної сесії використовують рішення, що захищають як сервер, так і клієнта та до складу яких входить захищене завантаження термінальних клієнтів[3].
Завантаження ОС термінального клієнта може здійснюватися різними способами[1]:
- завантаження із локального жорсткого диска;
- завантаження із мобільного носія;
- завантаження мережею.
У перших двох способах для захисту завантаження використовують довірене завантаження комп'ютера клієнта і подальшу взаємну ідентифікацію та аутентифікацію сервер-клієнта. Однак, ці способи мають недоліки:
- важко адмініструвати (наприклад, при зміні завантажувального способу потрібно оснастити ним термінальних клієнтів)
- вимагають від термінальних клієнтів наявності деяких додаткових пристроїв (жорсткий диск або оптичний привід для запуску ОС, PCI — слот для установки систем захисту інформації).
Відмінність двох способів полягає у тому, що при локальному завантаженні необхідно контролювати склад обладнання тільки одного терміналу. А при мобільному завантаженні потрібно чітко ідентифікувати кожен термінальний клієнт і контролювати склад саме того обладнання, з якого відбувається завантаження[1].
Для завантаження мережею спосіб захисту дещо відрізняється від двох попередніх, так як образ передається мережею від певного сервера до термінального клієнта. Проте він позбавлений недоліків, які є у локальних способах завантаження, тобто з точки зору адміністрування він легко масштабується, його налаштування проводиться централізовано, і не вимагає наявності на клієнті жорсткого диска або оптичного приводу. Остання властивість дозволяє використовувати «тонкі клієнти», які часто містять мінімальний набір пристроїв.
У той же час, розподілений характер даного способу завантаження несе в собі додаткові загрози несанкціонованого доступу до інформації. Наприклад, одна з загроз дозволяє зловмисникові застосувати атаку «людина посередині» на TFTP протокол, використовуваний в PXE для завантаження ОС, і послати разом з файлами ОС шкідливий код[6].
Для усунення загроз, як і для попередніх способів, застосовується перевірка контролю цілісності й автентичності файлів ОС та устаткування. Тільки в даному випадку перевіряється не тільки список контрольованого обладнання терміналу, з якого можливе завантаження, і завантажений образ, але й сервер, з якого дозволено отримувати образи[1].
Перевірку цілісності та автентичності образів можна здійснювати двома способами:
- обчислення контрольної суми[7];
- обчислення електронного цифрового підпису, використовуючи асиметричні алгоритми шифрування[6].
У першому способі, на відміну від другого, є істотний недолік пов'язаний з адмініструванням всієї термінальної системи: при будь-якій зміні завантажувального образу, змінюється значення контрольної суми, яку потрібно донести до термінальних клієнтів, щоб СЗІ могли розпізнати змінений образ. У зв'язку з цим, воліють використовувати ЕЦП для перевірки цілісності та автентичності отриманого образу.
У свою чергу, системи захисту інформації діляться на програмно-апаратні і власне програмні. Власне програмні СЗІ можуть бути піддані модифікації ззовні, що є серйозною уразливістю. Через дані уразливості власне програмні засоби не здатні конкурувати з програмно-апаратними засобами захисту інформації, які мають вбудовану криптографічну підсистему і надійно захищену пам'ять для зберігання ключів необхідних при перевірці ЕЦП, так і для зберігання інформації при контрольованому обладнанні[8].
На відміну від СЗІ термінального сервера і сервера, з якого відбувається завантаження образів операційних систем, СЗІ термінальних клієнтів бажано повинні бути мобільними й незалежними від устаткування, на якому відбувається захищене завантаження. Ці властивості роблять адміністрування систем захисту зручнішими, так як в даному випадку немає прив'язки СЗІ до конкретних терміналів, тому обладнання термінальних клієнтів може бути санкціоновано змінено або замінено[8].
Таким чином, мобільні[1] програмно-апаратні СЗІ[8], що використовують ЕЦП для перевірки завантажених із мережі[6] образів, є раціональним рішенням для захисту завантаження термінальних клієнтів.
- ↑ а б в г д е Счастный, 2009.
- ↑ а б Чугринов, 2010.
- ↑ а б Счастный, 2006.
- ↑ Счастный, 2008.
- ↑ Конявский, 1999.
- ↑ а б в Муха, 2008.
- ↑ Конявская et al., 2010.
- ↑ а б в Конявский, Лопаткин, 2006.
- Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». — 1999. — ISBN 5-256-01494-3.
- Конявский В. А., Лопаткин С. В. Компьютерная преступность. — М.: РФК-Имидж Лаб, 2006. — Т. 2. — С. 838. — ISBN 978-5-93905-015-9.
- Счастный Д. Ю. Аппаратная защита терминальных сессий // Комплексная защита информации. Сборник материалов X Международной конференции. — 2006. — С. 135—136. — ISBN 9-854-41510-4.
- Муха М. Д. Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети // Комплексная защита информации. Сборник материалов XII Международной конференции. — 2008. — С. 139—140.
- Дмитрий Счастный Построение систем защиты от несанкционированного доступа к терминальным системам (рус.) // Information Security/ Информационная безопасность. — 2008. — Вып. 2.
- Счастный Д. Ю. Терминальные клиенты: начала защиты // Комплексная защита информации. Материалы XIV международной конференции. — 2009. — С. 210—211. — ISBN 9-854-41606-2.
- Конявская С. В., Счастный Д. Ю., Борисова Т. М. Аппаратная криптография. Особенности «тонкой» настройки // Защита информации. Инсайд. — 2010. — № 5. — С. 40-44.
- Алексей Чугринов Доверенные сеансы связи и средства их обеспечения (рус.) // Information Security/ Информационная безопасность. — 2010. — Вып. 4.
- Доверенные сеансы связи и средства их обеспечения [Архівовано 5 вересня 2018 у Wayback Machine.]
- Построение систем защиты от несанкционированного доступа к терминальным системам [Архівовано 5 вересня 2018 у Wayback Machine.]
 | На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій. |