Защищённая загрузка терминальных клиентов
Защищённая загрузка терминальных клиентов — способность терминальных клиентов безопасно загружать операционную систему. Основным решением безопасной загрузки является проверка целостности и аутентичности файлов операционной системы, которые могут храниться на локальном жёстком диске, мобильном носителе или загружаться по сети[1].
Причины появления
Один из основных принципов защиты информации, сформулированный в конце 20-го столетия, гласит, что вычисления, критичные с точки зрения безопасности информации, должны происходить в доверенной вычислительной среде[2] (Trusted computing base, TCB).
Со временем происходило развитие средств вычислительной техники, увеличивалось число функциональных возможностей операционных систем, росло количество прикладного программного обеспечения. Вместе с этим формировались следующие подходы к определению понятия доверенная вычислительная среда[2]:
- функционально замкнутая среда;
- изолированная программная среда;
- доверенная вычислительная среда на основе резидентных компонентов безопасности.
При построении систем защиты терминального доступа используются все три категории, которые, в основном, защищают терминальный сервер. Во время терминальных систем, когда терминал представлял собой монитор, клавиатуру и систему соединения с центральным сервером, этого было достаточно. С развитием средств вычислительной техники такое решение стало недостаточным, хотя суть терминальной сессии осталась прежней: обработка и хранения информации осуществляется на сервере, к терминалу передаётся обработанная сервером информация, а к серверу передаются данные с устройств терминала. Однако терминалы стали более функциональными, обладают собственной операционной системой, собственным жёстким диском и собственными периферийными устройствами[3][4].
В связи с тем, что терминальные клиенты являются неотъемлемой частью системы, то из мультипликативной парадигмы защиты («степень защищённости системы определяется степенью защищённости её самого „слабого“ звена») следует, что для построения защищенной терминальной системы необходимо обеспечивать защиту каждого элемента[5][1].
Таким образом, считают, что не только терминальный сервер нуждается в защите, но и терминальные клиенты. Поэтому для полной защиты терминальной сессии используют решения, защищающие как сервер, так и клиент, и в состав которых входит защищённая загрузка терминальных клиентов[3].
Способы загрузки
Загрузка ОС терминального клиента может осуществляться различными способами[1]:
- загрузка с локального жёсткого диска;
- загрузка с мобильного носителя;
- загрузка по сети.
В первых двух способах для защиты загрузки используют доверенную загрузку компьютера клиента и последующую взаимную идентификацию и аутентификацию сервер-клиент. Однако, эти способы имеют недостатки:
- тяжело администрировать (например, при изменении загрузочного образа требуется оснастить им терминальные клиенты)
- требуют от терминальных клиентов наличия некоторых дополнительных устройств (жёсткий диск или оптический привод для запуска ОС, PCI-слот для установки систем защиты информации).
Различие двух способов в том, что при локальной загрузке необходимо контролировать состав оборудования только одного терминала. А при мобильной загрузке требуется четко идентифицировать каждый терминальный клиент и контролировать состав именно того оборудования, с которого происходит загрузка[1].
Для загрузки по сети способ защиты немного отличается от двух предыдущих, так как образ передается по сети от некоторого сервера к терминальному клиенту. Однако он лишен недостатков, которые есть у локальных способов загрузки, то есть с точки зрения администрирования он легко масштабируем, его настройка производится централизованно, и не требует наличия на клиенте жёсткого диска или оптического привода. Последнее свойство позволяет использовать «тонкие клиенты», которые зачастую содержат минимальный набор устройств.
В то же время, распределённый характер данного способа загрузки несёт в себе дополнительные угрозы несанкционированного доступа к информации. Например, одна из угроз позволяет злоумышленнику применить атаку «человек посередине» на TFTP протокол, используемый в PXE для загрузки ОС, и послать вместе с файлами ОС вредоносный код[6].
Для устранения угроз, как и для предыдущих способов, применяется проверка контроля целостности и аутентичности файлов ОС и оборудования. Только в данном случае проверяется не только список контролируемого оборудования терминала, с которого возможна загрузка, и загружаемый образ, но и сервер, с которого разрешено получать образы[1].
Способы реализации
Проверку целостности и аутентичности образов можно осуществлять двумя способами:
- вычисление контрольной суммы[7];
- вычисление электронной цифровой подписи, используя асимметричные алгоритмы шифрования[6].
У первого способа, в отличие от второго, есть существенный недостаток связанный с администрированием всей терминальной системы: при каком-либо изменении загрузочного образа, меняется значение контрольной суммы, которое нужно донести до терминальных клиентов, чтобы СЗИ могли распознать измененный образ. В связи с этим, предпочитают использовать ЭЦП для проверки целостности и аутентичности полученного образа.
В свою очередь, системы защиты информации делятся на программно-аппаратные и чисто программные. Чисто программные СЗИ могут быть подвержены модификации извне, что является серьёзной уязвимостью. Из-за данной уязвимости чисто программные средства не способны конкурировать с программно-аппаратными средствами защиты информации, которые имеют встроенную криптографическую подсистему и надежно защищённую память как для хранения ключей необходимых при проверке ЭЦП, так и для хранения информации о контролируемом оборудовании[8].
В отличие от СЗИ терминального сервера и сервера, с которого происходит загрузка образов операционных систем, СЗИ терминальных клиентов желательно должны быть мобильными и независимыми от оборудования, на котором происходит защищенная загрузка. Эти свойства делают администрирование систем защиты удобнее, так как в данном случае нет привязки СЗИ к конкретным терминалам, поэтому оборудование терминальных клиентов может быть санкционировано изменено или заменено[8].
Таким образом, мобильные[1] программно-аппаратные СЗИ[8], использующие ЭЦП для проверки загружаемых по сети[6] образов, являются рациональным решением для защиты загрузки терминальных клиентов.
Примечания
Литература
- Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». — 1999. — ISBN 5-256-01494-3. Архивная копия от 4 марта 2016 на Wayback Machine
- Конявский В. А., Лопаткин С.В. Компьютерная преступность. — М.: РФК-Имидж Лаб, 2006. — Т. 2. — С. 838. — ISBN 978-5-93905-015-9.
- Счастный Д. Ю. Аппаратная защита терминальных сессий // Комплексная защита информации. Сборник материалов X Международной конференции. — 2006. — С. 135—136. — ISBN 9-854-41510-4.
- Муха М. Д. Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети // Комплексная защита информации. Сборник материалов XII Международной конференции. — 2008. — С. 139—140.
- Дмитрий Счастный. Построение систем защиты от несанкционированного доступа к терминальным системам // Information Security/ Информационная безопасность. — 2008. — Вып. 2.
- Счастный Д. Ю. Терминальные клиенты: начала защиты // Комплексная защита информации. Материалы XIV международной конференции. — 2009. — С. 210—211. — ISBN 9-854-41606-2.
- Конявская С. В., Счастный Д. Ю., Борисова Т. М. Аппаратная криптография. Особенности «тонкой» настройки // Защита информации. Инсайд. — 2010. — № 5. — С. 40—44. Архивировано 4 марта 2016 года.
- Алексей Чугринов. Доверенные сеансы связи и средства их обеспечения // Information Security/ Информационная безопасность. — 2010. — Вып. 4.