Скачиваний:
185
Добавлен:
03.02.2018
Размер:
12.8 Mб
Скачать

Новые технологии удаленного доступа: среда построения доверенного сеанса «МАРШ!»

Х юбилейный форум информационной безопасности «Инфофорум» Москва, 7 февраля 2011

СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА

Новые технологии удаленного доступа: среда построения доверенного сеанса «МАРШ!»

Марш!-USB Марш!-CF

МАРШ!-USB

Cisco Solution Technology Integrator

Угрозы систем удаленного доступа

В современном мире при удаленном доступе пользователей администратор безопасности чувствует себя очень дискомфортно поскольку:

Без контроля пользователь может отступать от регламента безопасности

Окружение пользователя может быть агрессивным

Оборудование без присмотра пользователя может быть компрометировано или похищено

Вычислительная среда рабочего места удаленного пользователя может быть заражена, содержать программные закладки

Сетевая среда пользователя может быть незамкнута

Для решения этих проблем мы поставили перед собой ряд требований:

Обеспечить целостность программной среды терминала удаленного доступа в условиях эксплуатации нелояльным пользователем в «грязной», вирусопораженной среде

Обеспечить изоляцию вычислительного процесса клиента удаленного доступа при использовании «грязной» (недоверенной) среды

Обеспечить строгую двухфакторную аутентификацию пользователя, изоляцию сетевой среды, защиту потока пакетов от внедрения посторонних данных

Масштабируемость сети удаленного доступа до сотен тысяч пользователей

Применение сертифицированных средств криптографической защиты информации

3

Изолированная среда «МАРШ!»

Загрузка ОС АРМ осуществляется со съемного USB устройства СПДС «МАРШ!»

на АРМ допустима неконтролируемая, не заслуживающая доверия среда, может отсутствовать как ОС, так и вообще жесткий диск

целостность среды функционирования пользователя обеспечивается

загрузкой эталонного ПО из защищенной области носителя

отсутствием записи в среду функционирования ПО

одноразовым использованием загруженного ПО

после загрузки ОС на АРМ пользователь имеет доступ только к одному приложению - клиенту Citrix. Доступ в среду ОС и к другим приложениям запрещен

VPN-клиент полностью исключает неконтролируемый доступ из сети в изолированную среду удаленного доступа

политика безопасности VPN-клиента устанавливает связь только с VPN-шлюзом центрального узла

для аутентификации пользователя при доступе к VPN-концентратору используются сертификаты Х.509

ключи аутентификации хранятся в аппаратном криптографическом контейнере

Особенности решения:

возможен удаленный доступ администратора к ОС, загруженной на АРМ

возможно автоматическое обновление сертификатов (отправка запроса, получения подписанного сертификата)

4

Справка. СПДС «МАРШ!»

Среда построения доверенного сеанса «МАРШ!»

Производство аппаратной платформы: ОКБ САПР

Структура:

центральный процессор и контроллер USB 2.0

ROM, read only memory (2 ГБ) – защищенная память (доступ пользователя исключен)

AOM, add only memory (0,5 ГБ), – память для хранения журнала, доступна пользовательским процессам только на запись (дополнение)

RAM, random access memory (1,5 ГБ) – память общего доступа, может использоваться для размещения данных пользователя

токен включает аппаратный ключевой контейнер и криптопровайдер малой мощности

5

Справка. СПДС «МАРШ!». Состав ПО

В защищенной области памяти формируется целостная программная среда, включающая:

1.Ограниченную ОС Linux

изъяты все ненужные и недоверенные сервисы

оболочка (shell) недоступна пользователю

2.VPN-клиент полностью изолирует трафик из изолированной среды, исключает НСД из сети, поскольку не пропускает открытый IP-трафик

3.Веб- или терминальный клиент

Целостность программной среды обеспечивается:

1.запретом доступа любых процессов в область ROM

2.однократной загрузкой одного и того же эталона среды в начале доверенного сеанса

3.возможностью контроля хэш-суммы по коду доверенной среды (производится администратором)

6

Новые технологии удаленного доступа: среда построения доверенного сеанса «МАРШ!»

Марш!-USB Марш!-CF

МАРШ!-CF

Cisco Solution Technology Integrator

Модуль сетевой модернизированный

Продукт производится в России в соответствии с согласованным с Центром ФСБ России «Порядком организации производства изделия «Модуль Сетевой

Модернизированный (МСМ)» в рамках подконтрольного технологического процесса на территории Российской Федерации»

8

В 2011 году состав платформ Cisco расширен

Все компоненты сети, от самых малых до высокопроизводительных шлюзов безопасности, работают на платформах Cisco

9

Достигнуты новые цели сертификации

Современные результаты:

Сертификаты ФСБ России:

СКЗИ КС1 на VPN-клиент (КС2 на платформе «МАРШ!»)

СКЗИ КС1-КС2 (в зависимости от исполнения на шлюзы безопасности

распространяется на аппаратную платформу «Модуль Сетевой Модернизированный».

Сертификаты ФСТЭК России:

ГОСТ 15408, ОУД 3+ (усиленный).

РД НДВ 3й уровень контроля

РД МЭ, 3й класс

Все решения – как межсетевые сценарии, так и системы удаленного доступа, все представители масштабируемой линейки шлюзов безопасности сегодня доступны с сертификатами СКЗИ КС2

1