Захищене завантаження термінальних клієнтів

	Інформаційна безпека
	Критерії оцінки інформаційної безпеки
	Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність
	Нормативні документи
	COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·
	Забезпечення
	Політика · СУІБ · КСЗІ · СЗІ
	Захист інформації
	Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації
	п; о; р;

Захищене завантаження термінальних клієнтів — спроможність термінальних клієнтів безпечно завантажувати операційну систему. Основним рішенням безпечного завантаження є перевірка цілісності і автентичності файлів операційної системи, які можуть зберігатися на локальному жорсткому диску, мобільному носії або завантажуватися із мережі^[1].

Причини появи ред.

Один із основних принципів захисту інформації, сформульований в кінці 20-го століття, свідчить, що обчислення, критичні з точки зору безпеки інформації, повинні відбуватися у довіреному обчислювальному середовищі^[2] (Trusted computing base^[en], TCB).

З часом відбувався розвиток засобів обчислювальної техніки, збільшувалося число функціональних можливостей операційних систем, зростала кількість прикладного програмного забезпечення. Разом із цим формувалися такі підходи до визначення поняття «довірене обчислювальне середовище»^[2]:

функціонально замкнуте середовище;
ізольоване програмне середовище;
довірене обчислювальне середовище на основі резидентних компонентів безпеки.

При побудові систем захисту термінального доступу використовуються всі три категорії, які, в основному, захищають термінальний сервер. У часи термінальних систем, коли термінал являв собою монітор, клавіатуру й систему з'єднання із центральним сервером, цього було достатньо. З розвитком засобів обчислювальної техніки така ситуація стала недостатньою, хоча суть термінальної сесії залишилася колишньою: обробка й зберігання інформації здійснюється на сервері, до терміналу передається оброблена сервером інформація, а до сервера передаються дані з пристроїв терміналу. Однак термінали стали більш функціональними, мають власну операційну систему, власний жорсткий диск і власні периферійні пристрої^[3]^[4].

У зв'язку з тим, що термінальні клієнти є невід'ємною частиною системи, то з мультиплікативної парадигми захисту («ступінь захищеності системи визначається ступенем захищеності її найслабшої ланки») випливає, що для побудови захищеної термінальної системи необхідно забезпечувати захист кожного елемента^[5]^[1].

Таким чином, вважають, що не тільки термінальний сервер потребує захисту, але й термінальні клієнти. Тому для повного захисту термінальної сесії використовують рішення, що захищають як сервер, так і клієнта та до складу яких входить захищене завантаження термінальних клієнтів^[3].

Способи завантаження ред.

Завантаження ОС термінального клієнта може здійснюватися різними способами^[1]:

завантаження із локального жорсткого диска;
завантаження із мобільного носія;
завантаження мережею.

У перших двох способах для захисту завантаження використовують довірене завантаження комп'ютера клієнта і подальшу взаємну ідентифікацію та аутентифікацію сервер-клієнта. Однак, ці способи мають недоліки:

важко адмініструвати (наприклад, при зміні завантажувального способу потрібно оснастити ним термінальних клієнтів)
вимагають від термінальних клієнтів наявності деяких додаткових пристроїв (жорсткий диск або оптичний привід для запуску ОС, PCI — слот для установки систем захисту інформації).

Відмінність двох способів полягає у тому, що при локальному завантаженні необхідно контролювати склад обладнання тільки одного терміналу. А при мобільному завантаженні потрібно чітко ідентифікувати кожен термінальний клієнт і контролювати склад саме того обладнання, з якого відбувається завантаження^[1].

Для завантаження мережею спосіб захисту дещо відрізняється від двох попередніх, так як образ передається мережею від певного сервера до термінального клієнта. Проте він позбавлений недоліків, які є у локальних способах завантаження, тобто з точки зору адміністрування він легко масштабується, його налаштування проводиться централізовано, і не вимагає наявності на клієнті жорсткого диска або оптичного приводу. Остання властивість дозволяє використовувати «тонкі клієнти», які часто містять мінімальний набір пристроїв.

У той же час, розподілений характер даного способу завантаження несе в собі додаткові загрози несанкціонованого доступу до інформації. Наприклад, одна з загроз дозволяє зловмисникові застосувати атаку «людина посередині» на TFTP протокол, використовуваний в PXE для завантаження ОС, і послати разом з файлами ОС шкідливий код^[6].

Для усунення загроз, як і для попередніх способів, застосовується перевірка контролю цілісності й автентичності файлів ОС та устаткування. Тільки в даному випадку перевіряється не тільки список контрольованого обладнання терміналу, з якого можливе завантаження, і завантажений образ, але й сервер, з якого дозволено отримувати образи^[1].

Способи реалізації ред.

Перевірку цілісності та автентичності образів можна здійснювати двома способами:

обчислення контрольної суми^[7];
обчислення електронного цифрового підпису, використовуючи асиметричні алгоритми шифрування^[6].

У першому способі, на відміну від другого, є істотний недолік пов'язаний з адмініструванням всієї термінальної системи: при будь-якій зміні завантажувального образу, змінюється значення контрольної суми, яку потрібно донести до термінальних клієнтів, щоб СЗІ могли розпізнати змінений образ. У зв'язку з цим, воліють використовувати ЕЦП для перевірки цілісності та автентичності отриманого образу.

У свою чергу, системи захисту інформації діляться на програмно-апаратні і власне програмні. Власне програмні СЗІ можуть бути піддані модифікації ззовні, що є серйозною уразливістю. Через дані уразливості власне програмні засоби не здатні конкурувати з програмно-апаратними засобами захисту інформації, які мають вбудовану криптографічну підсистему і надійно захищену пам'ять для зберігання ключів необхідних при перевірці ЕЦП, так і для зберігання інформації при контрольованому обладнанні^[8].

На відміну від СЗІ термінального сервера і сервера, з якого відбувається завантаження образів операційних систем, СЗІ термінальних клієнтів бажано повинні бути мобільними й незалежними від устаткування, на якому відбувається захищене завантаження. Ці властивості роблять адміністрування систем захисту зручнішими, так як в даному випадку немає прив'язки СЗІ до конкретних терміналів, тому обладнання термінальних клієнтів може бути санкціоновано змінено або замінено^[8].

Таким чином, мобільні^[1] програмно-апаратні СЗІ^[8], що використовують ЕЦП для перевірки завантажених із мережі^[6] образів, є раціональним рішенням для захисту завантаження термінальних клієнтів.

Див. також ред.

Примітки ред.

Література ред.

Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». — 1999. — ISBN 5-256-01494-3.
Конявский В. А., Лопаткин С. В. Компьютерная преступность. — М.: РФК-Имидж Лаб, 2006. — Т. 2. — С. 838. — ISBN 978-5-93905-015-9.
Счастный Д. Ю. Аппаратная защита терминальных сессий // Комплексная защита информации. Сборник материалов X Международной конференции. — 2006. — С. 135—136. — ISBN 9-854-41510-4.
Муха М. Д. Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети // Комплексная защита информации. Сборник материалов XII Международной конференции. — 2008. — С. 139—140.
Дмитрий Счастный Построение систем защиты от несанкционированного доступа к терминальным системам (рус.) // Information Security/ Информационная безопасность. — 2008. — Вып. 2.
Счастный Д. Ю. Терминальные клиенты: начала защиты // Комплексная защита информации. Материалы XIV международной конференции. — 2009. — С. 210—211. — ISBN 9-854-41606-2.
Конявская С. В., Счастный Д. Ю., Борисова Т. М. Аппаратная криптография. Особенности «тонкой» настройки // Защита информации. Инсайд. — 2010. — № 5. — С. 40-44.
Алексей Чугринов Доверенные сеансы связи и средства их обеспечения (рус.) // Information Security/ Информационная безопасность. — 2010. — Вып. 4.

Посилання ред.

Доверенные сеансы связи и средства их обеспечения [Архівовано 5 вересня 2018 у Wayback Machine.]
Построение систем защиты от несанкционированного доступа к терминальным системам [Архівовано 5 вересня 2018 у Wayback Machine.]

[FOOTNOTEСчастный2009-1] а ^б ^в ^г ^д ^е Счастный, 2009.

[FOOTNOTEЧугринов2010-2] а ^б Чугринов, 2010.

[FOOTNOTEСчастный2006-3] а ^б Счастный, 2006.

[FOOTNOTEСчастный2008-4] Счастный, 2008.

[FOOTNOTEКонявский1999-5] Конявский, 1999.

[FOOTNOTEМуха2008-6] а ^б ^в Муха, 2008.

[FOOTNOTEКонявская_et_al.2010-7] Конявская et al., 2010.

[FOOTNOTEКонявский,_Лопаткин2006-8] а ^б ^в Конявский, Лопаткин, 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]