Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014
.pdf
Рис. 6. Регистрация и повторная регистрация ПАК «Секрет Фирмы»
Перед выполнением процедуры регистрации СН в другом сегменте сети необходимо произвести его подготовку к процедуре повторной регистрации и создать мандат на повторную регистрацию. Эти действия выполняются Администратором Сервера Аутен-
тификации на АРМ Администратора.
При создании мандата на повторную регистрацию обязательно задаются следующие принципиальные параметры: (рис. 7):
–Идентификатор дружественного СНСА. Это номер (нового) СНСА, на котором планируется произвести повторную регистрацию.
–Дата окончания срока действия мандатов. Это дата, до которой (включительно) необходимо провести повторную регистрацию СН. По истечении действия мандата, регистрация на дружественном СНСА становится невозможной. Для того чтобы повторная регистрация вновь стала возможной, необходимо получить новый
61
мандат регистрации. По умолчанию предлагается дата текущего дня. Дата, предлагаемая по умолчанию, может быть изменена посредством ручного редактирования или выбором из прилагаемого календаря.
ВАЖНО: Дата окончания срока действия мандата регистрации не влияет на работу СН в рамках первичной регистрации.
Срок действия мандатов не ограничивает время использования СН в дружественном сегменте сети в случае успешного завершения процедуры повторной регистрации.
– Каталог для сохранения мандата. По умолчанию сохранение мандата выполняется в каталог \Program Files\OKB SAPR JSC\Secret\Business\Server. Каталог, предлагаемый по умолчанию, может быть изменен посредством ручного редактирования или задан с помощью стандартного диалога ОС Windows, вызываемого по нажатии кнопки <…>. Если указанный каталог не существует, он будет создан автоматически.
Рис. 7. Окно создания мандата регистрации
– При успешном выполнении подготовки к повторной регистрации на экран выводится соответствующее оповещение. Данное
62
оповещение содержит также имя файла, в котором сохранен полученный мандат (рис. 8).
–
Рис. 8. Оповещающее сообщение
Внимание! Повторная регистрация невозможна при отсутствии файла с мандатом регистрации. Поэтому при выполнении процедуры повторной регистрации администратор первичного СА должен обеспечить доступ к данному файлу для администратора дружественного СА (например, отправить по почте или скопировать на любой носитель информации и перенести в дружественный сегмент сети). При этом безопасность процедуры передачи мандата регистрации обеспечивается средствами организации, эксплуатирующей ПАК «Секрета Фирмы».
После получения мандата регистрации администратор дружественного СА может провести операцию регистрации данного СН на дружественном СНСА.
После успешного выполнения подготовки СН к повторной регистрации может быть выполнена повторная регистрация СН в дружественном сегменте сети. Это процедура подробно описана в руководстве Администратора.
После выполнения процедуры повторной регистрации СН возможность его использования в сегменте сети первичного сервера аутентификации сохраняется.
3.3.4. Типы специальных носителей, входящих в состав комплекса
ПАК «Секрет Фирмы» состоит из аппаратных и программных средств.
63
Аппаратные средства
Минимальный состав аппаратных средств ПАК «Секрет Фирмы»:
–специальный носитель «Секрет Фирмы» (далее – СН);
–2 специальных носителя сервера аутентификации (СНСА) – эталонный и рабочий;
–2 специальных носителя эмитента (СНЭ) – эталонный и рабочий.
СН представляет собой аппаратный модуль, выполненный в форм-факторе флеш-диска с интерфейсом USB, предназначенный для защищенного хранения информации пользователя.
СНСА – носитель ключевой информации сервера аутентификации.
СНЭ – носитель ключевой информации эмитента, которая позволяет различать СН, эмитированные различными организациямиэмитентами.
СНСА и СНЭ по конструкции аналогичны СН.
Программные средства
Программные средства ПАК «Секрет Фирмы»:
1)программное обеспечение (ПО) рабочей станции (РС) в со-
ставе:
1. драйвер USB-устройства для работы в составе операционной системы (ОС);
2. ПО сервиса РС;
3. ПО фильтра USB-носителей;
2)ПО Сервера Аутентификации (СА) в составе:
1.драйвер USB-устройства;
2.ПО сервиса СА;
3.ПО «АРМ Администратора»; 3) ПО эмиссии в составе:
1.драйвер USB-устройства;
2.ПО «АРМ Эмиссии».
3.3.5. Управляющий персонал и его обязанности
Итак, функции управления комплексом «Секрет Фирмы» разделены между пользователем, администратором Сервера Аутентификации и администратором эмиссии.
64
Действия каждого описаны в соответствующих руководствах: «Руководство пользователя» [8], «Руководство администратора» [9] и «Руководство администратора эмиссии» [7].
Каждый из них имеет специальный служебный носитель, предназначенный для выполнения именно его функций:
Пользователь работает на рабочих станциях с СН (Служебным Носителем).
Администратор Сервера Аутентификации работает на Сервере Аутентификации (СА) с СНСА (Служебным Носителем Сервера Аутентификации).
Администратор эмиссии работает на АРМ Эмиссии с СНЭ (Служебным Носителем Эмиссии).
Рабочий цикл ПАК «Секрет Фирмы» включает следующие этапы:
–установка ПО АРМ эмиссии;
–инициализация АРМ эмиссии;
–эмиссия СНСА и СН;
–установка ПО РС и ПО СА;
–инициализация РС и СА;
–управление СН и СНСА (первичная и повторная регистрация СН, аннулирование регистрации СН, смена PIN-кода СН и СНСА, разблокирование СН и СНСА);
–получение доступа к информации, содержащейся в СН.
Из этих действий пользователь выполняет только последнее – получение доступа к информации, хранящейся в «Секрете».
Администратор выполняет все действия, кроме эмиссии какихлибо СН (СНСА, СН).
Эмиссию всех служебных носителей выполняет администратор эмиссии.
Технически возможно организовать работу таким образом, чтобы обязанности администратора эмиссии и администратора СА выполнялись одним и тем же сотрудником, однако это не рекомендуется, так как возможность самостоятельно эмитировать СН и зарегистрировать его – может привести к попыткам злоупотреблений. Однако и в этом случае маловероятна успешная атака, поскольку один СН может быть одновременно эмитирован только для
65
одной системы, и организовать таким образом «лаз» для «чужих» «Секретов» – не получится. Получится только зарегистрировать кому-то дополнительный непредусмотренный «Секрет», который все равно сможет быть использован только в рамках сегмента сети Сервера Аутентификации, что, может, неприятно, но не критично с точки зрения безопасности.
Демонстрация ПАК «Секрет Фирмы» Состав стенда:
•ноутбук с установленной ОС Windows XP SP3, на которую установлено ПО DeviceLock, ПО «Рабочей станции» и настроено соединение с Сервером Аутентификации (Ноутбук 1 – Toshiba), объединенный в сеть с Ноутбуком 2 через сетевой разветвитель;
•ноутбук с установленной ОС Windows 7 SP1 x64, на которую установлено ПО «АРМ Эмиссии» и «АРМ Администратора» (Ноутбук 2 – Aquarius), объединенный в сеть с Ноутбуком 1 через сетевой разветвитель;
•специальный носитель Эмиссии (СНЭ) (2 шт.);
•специальный носитель Сервера Аутентификации (СНСА) (2
шт.);
•специальный носитель Секрет (СН) (2 шт.);
•произвольная USB-флешка.
Цель показа:
Цель показа заключается в демонстрации функциональных возможностей ПАК «Секрет Фирмы» при условии, что в ПО DeviceLock СН добавлен в разрешенные, а другие USB-устройства запрещены. В процессе демонстрации показывается, что к данным, хранящимся на СН, можно получить доступ только на служебных компьютерах, объединенных в корпоративную сеть, где установлено ПО «Рабочей станции», и которые внесены в список доступа, СН зарегистрирован, а на остальных компьютерах доступ к данным получить нельзя. Помимо этого демонстрируется, что в случае, если в ПО DeviceLock разрешено работать только с СН, то другие USB-флешки использовать не получится. Также демонстрируется невозможность выполнения действий по работе с СН без подключенного СНСА, ввод нового СН в систему и возможность работы на одном ПК в одной ОС СН и Личного Секрета.
66
План демонстрации:
I. Работа пользователя с СН
На Ноутбуке 1:
1.Подключаем СН, вводим PIN-код. Видим, что доступ к СН есть из «Мой Компьютер».
2.Удаляем, копируем и читаем данные с СН.
3.Отключаем СН, подключаем, отказываемся от предложения ввести PIN-код, видим, что доступа к СН нет.
4.Отключаем ноутбук от сети. Подключаем СН, вводим PINкод. Видим, что доступ к СН невозможно получить.
На Ноутбуке 2:
5. Ноутбук 1 добавляем в черный список.
На Ноутбуке 1:
6.Подключаем ноутбук к сети.
7.Подключаем СН, вводим PIN-код. Видим, что доступ к СН запрещен.
На Ноутбуке 2:
8. Убираем Ноутбук 1 из черного списка.
На Ноутбуке 1:
9. Подключаем СН, вводим PIN-код. Видим, что доступ к СН теперь есть в «Мой Компьютер».
10.Заходим в DeviceLock Management Console, выбираем раздел «Сервис DeviceLock – Устройства – Белый список USB-устройств» и нажимаем «Управления оффлайновыми настройками», демонстрируем, что СН добавлен в белый список разрешенных USBустройств.
11.Демонстрируем, что произвольная флешка не добавлена в список разрешенных USB-устройств.
12.Заходим в DeviceLock Management Console, выбираем раздел «Сервис DeviceLock – Устройства – Разрешения» раздел «USBпорт», переходим в «Установить оффлайн разрешения», демонстрируем, что в данный день недели в данное время для устройств, не включенных в белый список, работа запрещена, выходим из DeviceLock Management Console.
67
13.Подключаем в USB-порт произвольную USB-флешку, демонстрируем, что доступ к ней запрещен.
14.Подключаем не зарегистрированный СН. Видим, что доступ невозможно получить.
II. Невозможность выполнения действий по работе с СН на АРМ администратора без подключенного СНСА (и возможность – при наличии)
На Ноутбуке 2:
1.Отключаем СНСА.
2.Запускаем «АРМ Администратора», подключаем СН, убеждаемся, что никакой информации о нем не отображается и никаких действий с ним выполнить нельзя, так как все кнопки во вкладке «Управление СН» неактивны.
На Ноутбуке 1:
3. Подключаем СН, вводим PIN-код, получаем сообщение «Сервер Аутентификации не готов к обмену данными».
На Ноутбуке 2:
4.Подключаем СНСА.
5.В «АРМ Администратора» переходим на вкладку «Управление СНСА», нажимаем кнопку «Загрузить КИ СНСА», вводим PINкод СНСА.
6.Подключаем СН, демонстрируем, что при подключенном СНСА во вкладке «Управление СН» есть информация о подключенном СН и можно выполнить действия по его настройке (сменить PIN-код, изменить список доступа, аннулировать регистрацию).
На Ноутбуке 1:
7. Подключаем СН, вводим PIN-код. Видим, что доступ к СН теперь есть из «Мой Компьютер».
III. Невозможность регистрации СН без прохождения эмиссии на «АРМ Эмиссии»
На Ноутбуке 2:
68
1. Подключаем не эмитированный СН, демонстрируем, что информация о нем отображается во вкладке «Управление СН», нажимаем кнопку «Регистрировать», задаем имя регистрируемого СН, вводим PIN-код СНСА, демонстрируем, что регистрация невозможна.
IV. Эмитирование СН и его ввод в систему
На Ноутбуке 2:
1.Подключаем СН.
2.Запускаем «АРМ Эмиссии», демонстрируем, что информация
онем отображается во вкладке «Эмитирование СН», нажимаем кнопку «Эмитировать», видим сообщение об успешном завершении эмиссии.
3.В «АРМ Администратора» переходим на вкладку «Управление СН», нажимаем кнопку «Регистрировать», задаем имя регистрируемого СН, вводим PIN-код СНСА, демонстрируем, что регистрация завершена успешно, сохраняем Код Авторизации и PINкод СН.
На Ноутбуке 1:
4.Подключаем СН, вводим PIN-код. Видим, что доступ к СН есть из «Мой Компьютер».
V. Возможность работы с СН из СФ и ЛС на одном ПК
1.Обращаем внимание, что мы оба показа ЛС с СН проводили
водной ОС на одном ПК.
После проведения демонстрации необходимо разобрать с учащимися все продемонстрированное и ответить на возможные вопросы.
3.4. «Секрет особого назначения» – теория, демонстрация
Бывает, что данные, конфиденциальность которых абсолютно принципиальна, должны храниться на служебном носителе и переноситься сотрудником в рамках его должностных обязанностей на различные компьютеры, в том числе и за пределы информационной системы организации.
69
В этом случае не достаточно просто исключить работу со служебными носителями вне системы. Задача сложнее, и в первую очередь – психологически, ведь даже при абсолютном доверии со стороны руководства к сотруднику, которому поручаются задания такого рода, предельно возрастает риск спекуляций на подозрениях и допущениях, которые невозможно проверить, – флешка не расскажет, куда ее подключали, и не расскажет, что ее не подключали никуда.
Принципиальное отличие «Секрета Особого Назначения» от любой другой флешки, в том числе и других служебных носителей семейства «СЕКРЕТ», заключается в том, что в его аппаратном журнале фиксируются все попытки работы с ним на различных ПК, вне зависимости от того, была ли попытка успешной. Если «Секрет Особого Назначения» подключали к какому-то ПК, данные об этом зафиксированы в его журнале, отредактировать который пользователь не может. Это прекрасный способ снять необоснованные подозрения, но не остаться в плену необоснованного доверия: просто убедиться в том, как обстоят дела на самом деле, причем несложным и корректным способом – через специально предназначенный для этого администраторский интерфейс.
Администратор может устанавливать запрет на работу с «Секретом» на компьютерах вне заранее определенного перечня, тогда пользователь сможет открывать закрытую часть «Секрета» на компьютерах из «белого списка», а на всех остальных флешка не будет монтироваться и доступа к данным не будет.
При этом и первые, и вторые случаи будут записаны в журнал. Если запрет не установлен (администратор может установить
режим «доступ без ограничений»), то пользователь может подключать «Секрет» к любым компьютерам, но также под свою персональную ответственность, так как информация об этом будет отражена в журнале.
Компьютеры идентифицируются по следующей совокупности признаков:
-имя компьютера;
-домен (рабочая группа);
-серийный номер материнской платы;
-серийный номер операционной системы;
-серийный номер платы электронного замка.
70