Защищённая загрузка терминальных клиентов

Защищённая загрузка терминальных клиентов — способность терминальных клиентов безопасно загружать операционную систему. Основным решением безопасной загрузки является проверка целостности и аутентичности файлов операционной системы, которые могут храниться на локальном жёстком диске, мобильном носителе или загружаться по сети^[1].

Причины появления

Один из основных принципов защиты информации, сформулированный в конце 20-го столетия, гласит, что вычисления, критичные с точки зрения безопасности информации, должны происходить в доверенной вычислительной среде^[2] (Trusted computing base (англ.)русск., TCB).

Со временем происходило развитие средств вычислительной техники, увеличивалось число функциональных возможностей операционных систем, росло количество прикладного программного обеспечения. Вместе с этим формировались следующие подходы к определению понятия доверенная вычислительная среда^[2]:

функционально замкнутая среда;
изолированная программная среда;
доверенная вычислительная среда на основе резидентных компонентов безопасности.

При построении систем защиты терминального доступа используются все три категории, которые, в основном, защищают терминальный сервер. Во время терминальных систем, когда терминал представлял собой монитор, клавиатуру и систему соединения с центральным сервером, этого было достаточно. С развитием средств вычислительной техники такое решение стало недостаточным, хотя суть терминальной сессии осталась прежней: обработка и хранения информации осуществляется на сервере, к терминалу передаётся обработанная сервером информация, а к серверу передаются данные с устройств терминала. Однако терминалы стали более функциональными, обладают собственной операционной системой, собственным жёстким диском и собственными периферийными устройствами^[3]^[4].

В связи с тем, что терминальные клиенты являются неотъемлемой частью системы, то из мультипликативной парадигмы защиты («степень защищённости системы определяется степенью защищённости её самого «слабого» звена») следует, что для построения защищенной терминальной системы необходимо обеспечивать защиту каждого элемента^[5]^[1].

Таким образом, считают, что не только терминальный сервер нуждается в защите, но и терминальные клиенты. Поэтому для полной защиты терминальной сессии используют решения, защищающие как сервер, так и клиент, и в состав которых входит защищённая загрузка терминальных клиентов^[3].

Способы загрузки

Загрузка ОС терминального клиента может осуществляться различными способами^[1]:

загрузка с локального жёсткого диска;
загрузка с мобильного носителя;
загрузка по сети.

В первых двух способах для защиты загрузки используют доверенную загрузку компьютера клиента и последующую взаимную идентификацию и аутентификацию сервер-клиент. Однако, эти способы имеют недостатки:

тяжело администрировать (например, при изменении загрузочного образа требуется оснастить им терминальные клиенты)
требуют от терминальных клиентов наличия некоторых дополнительных устройств (жёсткий диск или оптический привод для запуска ОС, PCI-слот для установки систем защиты информации).

Различие двух способов в том, что при локальной загрузке необходимо контролировать состав оборудования только одного терминала. А при мобильной загрузке требуется четко идентифицировать каждый терминальный клиент и контролировать состав именно того оборудования, с которого происходит загрузка^[1].

Для загрузки по сети способ защиты немного отличается от двух предыдущих, так как образ передается по сети от некоторого сервера к терминальному клиенту. Однако он лишен недостатков, которые есть у локальных способов загрузки, то есть с точки зрения администрирования он легко масштабируем, его настройка производится централизованно, и не требует наличия на клиенте жёсткого диска или оптического привода. Последнее свойство позволяет использовать «тонкие клиенты», которые зачастую содержат минимальный набор устройств.

В то же время, распределённый характер данного способа загрузки несёт в себе дополнительные угрозы несанкционированного доступа к информации. Например, одна из угроз позволяет злоумышленнику применить атаку «человек посередине» на TFTP протокол, используемый в PXE для загрузки ОС, и послать вместе с файлами ОС вредоносный код^[6].

Для устранения угроз, как и для предыдущих способов, применяется проверка контроля целостности и аутентичности файлов ОС и оборудования. Только в данном случае проверяется не только список контролируемого оборудования терминала, с которого возможна загрузка, и загружаемый образ, но и сервер, с которого разрешено получать образы^[1].

Способы реализации

Проверку целостности и аутентичности образов можно осуществлять двумя способами:

вычисление контрольной суммы^[7];
вычисление электронной цифровой подписи, используя асимметричные алгоритмы шифрования^[6].

У первого способа, в отличие от второго, есть существенный недостаток связанный с администрированием всей терминальной системы: при каком-либо изменении загрузочного образа, меняется значение контрольной суммы, которое нужно донести до терминальных клиентов, чтобы СЗИ могли распознать измененный образ. В связи с этим, предпочитают использовать ЭЦП для проверки целостности и аутентичности полученного образа.

В свою очередь, системы защиты информации делятся на программно-аппаратные и чисто программные. Чисто программные СЗИ могут быть подвержены модификации извне, что является серьёзной уязвимостью. Из-за данной уязвимости чисто программные средства не способны конкурировать с программно-аппаратными средствами защиты информации, которые имеют встроенную криптографическую подсистему и надежно защищённую память как для хранения ключей необходимых при проверке ЭЦП, так и для хранения информации о контролируемом оборудовании^[8].

В отличие от СЗИ терминального сервера и сервера, с которого происходит загрузка образов операционных систем, СЗИ терминальных клиентов желательно должны быть мобильными и независимыми от оборудования, на котором происходит защищенная загрузка. Эти свойства делают администрирование систем защиты удобнее, так как в данном случае нет привязки СЗИ к конкретным терминалам, поэтому оборудование терминальных клиентов может быть санкционировано изменено или заменено^[8].

Таким образом, мобильные^[1] программно-аппаратные СЗИ^[8], использующие ЭЦП для проверки загружаемых по сети^[6] образов, являются рациональным решением для защиты загрузки терминальных клиентов.

См. также

Напишите отзыв о статье "Защищённая загрузка терминальных клиентов"

Примечания

↑ ¹ ² ³ ⁴ ⁵ ⁶ Счастный, 2009.
↑ ¹ ² Чугринов, 2010.
↑ ¹ ² Счастный, 2006.
↑ Счастный, 2008.
↑ Конявский, 1999.
↑ ¹ ² ³ Муха, 2008.
↑ Конявская et al., 2010.
↑ ¹ ² ³ Конявский, Лопаткин, 2006.

Литература

Конявский В. А. [www.okbsapr.ru/docs/UZINBA/upravlenie_zashitoi_inf_na_baze_accord.pdf Управление защитой информации на базе СЗИ НСД «Аккорд»]. — 1999. — ISBN 5-256-01494-3.
Конявский В. А., Лопаткин С.В. Компьютерная преступность. — М.: РФК-Имидж Лаб, 2006. — Т. 2. — С. 838. — ISBN 978-5-93905-015-9.
Счастный Д. Ю. Аппаратная защита терминальных сессий // Комплексная защита информации. Сборник материалов X Международной конференции. — 2006. — С. 135-136. — ISBN 9-854-41510-4.
Муха М. Д. Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети // Комплексная защита информации. Сборник материалов XII Международной конференции. — 2008. — С. 139-140.
Дмитрий Счастный [www.itsec.ru/articles2/Oborandteh/postroen_sist_zasch_nesankc_dost_termin_sist Построение систем защиты от несанкционированного доступа к терминальным системам] (рус.) // Information Security/ Информационная безопасность. — 2008. — Вып. 2.
Счастный Д. Ю. Терминальные клиенты: начала защиты // Комплексная защита информации. Материалы XIV международной конференции. — 2009. — С. 210-211. — ISBN 9-854-41606-2.
Конявская С. В., Счастный Д. Ю., Борисова Т. М. [www.okbsapr.ru/docs/2010/k_2010_12/statja_Inside.pdf Аппаратная криптография. Особенности «тонкой» настройки] // Защита информации. Инсайд. — 2010. — № 5. — С. 40-44.
Алексей Чугринов [www.itsec.ru/articles2/control/doverennie-seansi-svyazi-i-sredstva-ih-obespecheniya/ Доверенные сеансы связи и средства их обеспечения] (рус.) // Information Security/ Информационная безопасность. — 2010. — Вып. 4.

Ссылки

Отрывок, характеризующий Защищённая загрузка терминальных клиентов

– Да, влюблен, но, пожалуйста, не будем делать того, что сейчас… Еще четыре года… Тогда я буду просить вашей руки.
Наташа подумала.
– Тринадцать, четырнадцать, пятнадцать, шестнадцать… – сказала она, считая по тоненьким пальчикам. – Хорошо! Так кончено?
И улыбка радости и успокоения осветила ее оживленное лицо.
– Кончено! – сказал Борис.
– Навсегда? – сказала девочка. – До самой смерти?
И, взяв его под руку, она с счастливым лицом тихо пошла с ним рядом в диванную.

Графиня так устала от визитов, что не велела принимать больше никого, и швейцару приказано было только звать непременно кушать всех, кто будет еще приезжать с поздравлениями. Графине хотелось с глазу на глаз поговорить с другом своего детства, княгиней Анной Михайловной, которую она не видала хорошенько с ее приезда из Петербурга. Анна Михайловна, с своим исплаканным и приятным лицом, подвинулась ближе к креслу графини.
– С тобой я буду совершенно откровенна, – сказала Анна Михайловна. – Уж мало нас осталось, старых друзей! От этого я так и дорожу твоею дружбой.
Анна Михайловна посмотрела на Веру и остановилась. Графиня пожала руку своему другу.
– Вера, – сказала графиня, обращаясь к старшей дочери, очевидно, нелюбимой. – Как у вас ни на что понятия нет? Разве ты не чувствуешь, что ты здесь лишняя? Поди к сестрам, или…
Красивая Вера презрительно улыбнулась, видимо не чувствуя ни малейшего оскорбления.
– Ежели бы вы мне сказали давно, маменька, я бы тотчас ушла, – сказала она, и пошла в свою комнату.
Но, проходя мимо диванной, она заметила, что в ней у двух окошек симметрично сидели две пары. Она остановилась и презрительно улыбнулась. Соня сидела близко подле Николая, который переписывал ей стихи, в первый раз сочиненные им. Борис с Наташей сидели у другого окна и замолчали, когда вошла Вера. Соня и Наташа с виноватыми и счастливыми лицами взглянули на Веру.
Весело и трогательно было смотреть на этих влюбленных девочек, но вид их, очевидно, не возбуждал в Вере приятного чувства.
– Сколько раз я вас просила, – сказала она, – не брать моих вещей, у вас есть своя комната.
Она взяла от Николая чернильницу.
– Сейчас, сейчас, – сказал он, мокая перо.
– Вы всё умеете делать не во время, – сказала Вера. – То прибежали в гостиную, так что всем совестно сделалось за вас.
Несмотря на то, или именно потому, что сказанное ею было совершенно справедливо, никто ей не отвечал, и все четверо только переглядывались между собой. Она медлила в комнате с чернильницей в руке.
– И какие могут быть в ваши года секреты между Наташей и Борисом и между вами, – всё одни глупости!
– Ну, что тебе за дело, Вера? – тихеньким голоском, заступнически проговорила Наташа.
Она, видимо, была ко всем еще более, чем всегда, в этот день добра и ласкова.
– Очень глупо, – сказала Вера, – мне совестно за вас. Что за секреты?…
– У каждого свои секреты. Мы тебя с Бергом не трогаем, – сказала Наташа разгорячаясь.
– Я думаю, не трогаете, – сказала Вера, – потому что в моих поступках никогда ничего не может быть дурного. А вот я маменьке скажу, как ты с Борисом обходишься.
– Наталья Ильинишна очень хорошо со мной обходится, – сказал Борис. – Я не могу жаловаться, – сказал он.
– Оставьте, Борис, вы такой дипломат (слово дипломат было в большом ходу у детей в том особом значении, какое они придавали этому слову); даже скучно, – сказала Наташа оскорбленным, дрожащим голосом. – За что она ко мне пристает? Ты этого никогда не поймешь, – сказала она, обращаясь к Вере, – потому что ты никогда никого не любила; у тебя сердца нет, ты только madame de Genlis [мадам Жанлис] (это прозвище, считавшееся очень обидным, было дано Вере Николаем), и твое первое удовольствие – делать неприятности другим. Ты кокетничай с Бергом, сколько хочешь, – проговорила она скоро.
– Да уж я верно не стану перед гостями бегать за молодым человеком…
– Ну, добилась своего, – вмешался Николай, – наговорила всем неприятностей, расстроила всех. Пойдемте в детскую.
Все четверо, как спугнутая стая птиц, поднялись и пошли из комнаты.
– Мне наговорили неприятностей, а я никому ничего, – сказала Вера.
– Madame de Genlis! Madame de Genlis! – проговорили смеющиеся голоса из за двери.
Красивая Вера, производившая на всех такое раздражающее, неприятное действие, улыбнулась и видимо не затронутая тем, что ей было сказано, подошла к зеркалу и оправила шарф и прическу. Глядя на свое красивое лицо, она стала, повидимому, еще холоднее и спокойнее.

В гостиной продолжался разговор.
– Ah! chere, – говорила графиня, – и в моей жизни tout n'est pas rose. Разве я не вижу, что du train, que nous allons, [не всё розы. – при нашем образе жизни,] нашего состояния нам не надолго! И всё это клуб, и его доброта. В деревне мы живем, разве мы отдыхаем? Театры, охоты и Бог знает что. Да что обо мне говорить! Ну, как же ты это всё устроила? Я часто на тебя удивляюсь, Annette, как это ты, в свои годы, скачешь в повозке одна, в Москву, в Петербург, ко всем министрам, ко всей знати, со всеми умеешь обойтись, удивляюсь! Ну, как же это устроилось? Вот я ничего этого не умею.
– Ах, душа моя! – отвечала княгиня Анна Михайловна. – Не дай Бог тебе узнать, как тяжело остаться вдовой без подпоры и с сыном, которого любишь до обожания. Всему научишься, – продолжала она с некоторою гордостью. – Процесс мой меня научил. Ежели мне нужно видеть кого нибудь из этих тузов, я пишу записку: «princesse une telle [княгиня такая то] желает видеть такого то» и еду сама на извозчике хоть два, хоть три раза, хоть четыре, до тех пор, пока не добьюсь того, что мне надо. Мне всё равно, что бы обо мне ни думали.
– Ну, как же, кого ты просила о Бореньке? – спросила графиня. – Ведь вот твой уже офицер гвардии, а Николушка идет юнкером. Некому похлопотать. Ты кого просила?
– Князя Василия. Он был очень мил. Сейчас на всё согласился, доложил государю, – говорила княгиня Анна Михайловна с восторгом, совершенно забыв всё унижение, через которое она прошла для достижения своей цели.
– Что он постарел, князь Василий? – спросила графиня. – Я его не видала с наших театров у Румянцевых. И думаю, забыл про меня. Il me faisait la cour, [Он за мной волочился,] – вспомнила графиня с улыбкой.
– Всё такой же, – отвечала Анна Михайловна, – любезен, рассыпается. Les grandeurs ne lui ont pas touriene la tete du tout. [Высокое положение не вскружило ему головы нисколько.] «Я жалею, что слишком мало могу вам сделать, милая княгиня, – он мне говорит, – приказывайте». Нет, он славный человек и родной прекрасный. Но ты знаешь, Nathalieie, мою любовь к сыну. Я не знаю, чего я не сделала бы для его счастья. А обстоятельства мои до того дурны, – продолжала Анна Михайловна с грустью и понижая голос, – до того дурны, что я теперь в самом ужасном положении. Мой несчастный процесс съедает всё, что я имею, и не подвигается. У меня нет, можешь себе представить, a la lettre [буквально] нет гривенника денег, и я не знаю, на что обмундировать Бориса. – Она вынула платок и заплакала. – Мне нужно пятьсот рублей, а у меня одна двадцатипятирублевая бумажка. Я в таком положении… Одна моя надежда теперь на графа Кирилла Владимировича Безухова. Ежели он не захочет поддержать своего крестника, – ведь он крестил Борю, – и назначить ему что нибудь на содержание, то все мои хлопоты пропадут: мне не на что будет обмундировать его.
Графиня прослезилась и молча соображала что то.
– Часто думаю, может, это и грех, – сказала княгиня, – а часто думаю: вот граф Кирилл Владимирович Безухой живет один… это огромное состояние… и для чего живет? Ему жизнь в тягость, а Боре только начинать жить.
– Он, верно, оставит что нибудь Борису, – сказала графиня.
– Бог знает, chere amie! [милый друг!] Эти богачи и вельможи такие эгоисты. Но я всё таки поеду сейчас к нему с Борисом и прямо скажу, в чем дело. Пускай обо мне думают, что хотят, мне, право, всё равно, когда судьба сына зависит от этого. – Княгиня поднялась. – Теперь два часа, а в четыре часа вы обедаете. Я успею съездить.
И с приемами петербургской деловой барыни, умеющей пользоваться временем, Анна Михайловна послала за сыном и вместе с ним вышла в переднюю.
– Прощай, душа моя, – сказала она графине, которая провожала ее до двери, – пожелай мне успеха, – прибавила она шопотом от сына.
– Вы к графу Кириллу Владимировичу, ma chere? – сказал граф из столовой, выходя тоже в переднюю. – Коли ему лучше, зовите Пьера ко мне обедать. Ведь он у меня бывал, с детьми танцовал. Зовите непременно, ma chere. Ну, посмотрим, как то отличится нынче Тарас. Говорит, что у графа Орлова такого обеда не бывало, какой у нас будет.

– Mon cher Boris, [Дорогой Борис,] – сказала княгиня Анна Михайловна сыну, когда карета графини Ростовой, в которой они сидели, проехала по устланной соломой улице и въехала на широкий двор графа Кирилла Владимировича Безухого. – Mon cher Boris, – сказала мать, выпрастывая руку из под старого салопа и робким и ласковым движением кладя ее на руку сына, – будь ласков, будь внимателен. Граф Кирилл Владимирович всё таки тебе крестный отец, и от него зависит твоя будущая судьба. Помни это, mon cher, будь мил, как ты умеешь быть…
– Ежели бы я знал, что из этого выйдет что нибудь, кроме унижения… – отвечал сын холодно. – Но я обещал вам и делаю это для вас.
Несмотря на то, что чья то карета стояла у подъезда, швейцар, оглядев мать с сыном (которые, не приказывая докладывать о себе, прямо вошли в стеклянные сени между двумя рядами статуй в нишах), значительно посмотрев на старенький салоп, спросил, кого им угодно, княжен или графа, и, узнав, что графа, сказал, что их сиятельству нынче хуже и их сиятельство никого не принимают.

[.D0.A1.D1.87.D0.B0.D1.81.D1.82.D0.BD.D1.8B.D0.B9.E2.80.942009.E2.80.94.E2.80.94-1] ¹ ² ³ ⁴ ⁵ ⁶ Счастный, 2009.

[.D0.A7.D1.83.D0.B3.D1.80.D0.B8.D0.BD.D0.BE.D0.B2.E2.80.942010.E2.80.94.E2.80.94-2] ¹ ² Чугринов, 2010.

[.D0.A1.D1.87.D0.B0.D1.81.D1.82.D0.BD.D1.8B.D0.B9.E2.80.942006.E2.80.94.E2.80.94-3] ¹ ² Счастный, 2006.

[.D0.A1.D1.87.D0.B0.D1.81.D1.82.D0.BD.D1.8B.D0.B9.E2.80.942008.E2.80.94.E2.80.94-4] Счастный, 2008.

[.D0.9A.D0.BE.D0.BD.D1.8F.D0.B2.D1.81.D0.BA.D0.B8.D0.B9.E2.80.941999.E2.80.94.E2.80.94-5] Конявский, 1999.

[.D0.9C.D1.83.D1.85.D0.B0.E2.80.942008.E2.80.94.E2.80.94-6] ¹ ² ³ Муха, 2008.

[.D0.9A.D0.BE.D0.BD.D1.8F.D0.B2.D1.81.D0.BA.D0.B0.D1.8F_et_al..E2.80.942010.E2.80.94.E2.80.94-7] Конявская et al., 2010.

[.D0.9A.D0.BE.D0.BD.D1.8F.D0.B2.D1.81.D0.BA.D0.B8.D0.B9.2C_.D0.9B.D0.BE.D0.BF.D0.B0.D1.82.D0.BA.D0.B8.D0.BD.E2.80.942006.E2.80.94.E2.80.94-8] ¹ ² ³ Конявский, Лопаткин, 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]