На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита сети от НСД с помощью аппратнопрограммных средств

С распространением Internet, электронной коммерции и удаленного доступа появ­ляется все больше разнообразных идентификационных устройств. Положительной
стороной данного процесса является то, что эти устройства становятся более доступ­ными по цене, удобными в инсталляции, реализации и простыми в обращении. Это, конечно, прекрасно с точки зрения защиты, но не так уж замечательно с точки зрения администрирования. Изобилие подобных устройств означает, что администратору сети придется «дирижировать» еще большим числом компонентов.
Действенным способом, делающим вход в сеть более корректным (по соображени­ям защиты от несанкционированного доступа), является возможность избавления пользователя от обязанности запоминания перечисленных выше атрибутов. Имя и пароль могут быть записаны в память специального носителя информации — ключа-
идентификатора, в качестве которого применяют, например, интеллектуальные (мик­ропроцессорные) карты или жетоны. В процессе запуска или работы защищаемое про­граммное приложение сверяет этот особый ключ с эталонным. В совпадения ключей программа функционирует в заданном режиме, если нет — прекращается вы­полнение операций в программе.
Несколько лет тому назад в качестве особого ключа защиты использовались неко-пируемая ключевая дискета или уникальные характеристики компьютера. В настоя­щее время для этих целей применяют более современные и удобные устройства — электронные ключи, позволяющие решать задачи обеспечения информационной безо­пасности на любом программно-аппаратном уровне. При этом электронные ключи могут иметь различные характеристики, содержать перезаписываемую энергонезави­симую память и генерировать защитную фун­кцию F(x). Встроенная в программу система защиты по­лучает через ключ информацию, которая используется для аутентификации пользователя и определения набора
доступных функции.
Электронные ключи имеют ряд достоинств:
программа или база данных привязаны не к компь­ютеру, а к ключу, через который пользователь по­лучает доступ к данным;
G при запуске защищенная программа проверяется на
наличие вирусов и несанкционированных изменений;
□ в процессе работы пользователи имеют возможность получать новые версии про­грамм при перепрограммировании ключей соответствующими администраторами.
Важнейшей частью системы защиты с использованием электронных ключей явля­ется ее программный компонент. Как правило, он включает в себя:
□ защитный «конверт» (Envelope);
□ библиотечные функции обращения к ключу API (Applications Program Interface).
Каждый из этих способов обеспечения безопасности имеет свое назначение, но в
идеале они должны применяться совместно. Системы автоматической защиты (рис.
предназначены для защиты уже готовых приложений без вмешательства в исход­ный код программы. Таким образом обеспечивается сохранность СОМ-, ЕХЕ-файлов, библиотеки DLL. Для встраивания дополнительного модуля внутрь используется «ви­русная» технология вживления и перехвата на себя управления после загрузки.
При использовании «конверта» тело программы шифруется, в нее встраивается дополнительный модуль, который в момент запуска берет управление на себя. После отработки специальных антиотладочных и антитрассировочных механизмов выполня­ются следующие действия:
проверка наличия «своего» электронного ключа и считывание из него требуе­мых параметров;
анализ «ключевых» условий и выработка решения.
Для защиты от аппаратной или программной эмуляции обмен между «конвертом»
и электронным ключом выполняется с использованием зашумленного изменяющего­ся во времени («плавающего») протокола.


Некоторые «конверты» обеспечивают фоновые проверки ключа в процессе работы приложения, так что перенести ключ на другой компьютер после того как защищен­ная программа запущена, невозможно.
Функции API предназначены для выполнения низкоуровневых операций с ключом, простейшая из которых — проверка наличия ключа. Более сложные функции могут
посылать ключу различные входные коды и получать от него ответные, которые затем поверяются на соответствие установленным значениям. Они также могут использо-
ваться в каких-либо вычислительных операциях или при декодировании данных. Про­грамма может обращаться к ключу из различных мест, а результаты могут быть раз­бросаны по телу программы и хорошо замаскированы.
Библиотеки функций API поставляются совместно с электронными ключами HASP (Hardware Adainst Software Piracy) для различных языков программирования, компи­ляторов и т. п.
В последнее время особую важность приобретает не столько защита кода программ­ного продукта, сколько конфиденциальность содержащихся в нем данных (информа­ционного наполнения).
Для защиты от несанкционированного доступа к программам и данным широко используются криптографические системы защиты. Одна из популярных систем за­щиты программ и данных - Professional ToolK.it компании Aladdin Software Security. Эта система позволяет защищать методом прозрачного шифрования практически лю­бые файлы данных: графические, текстовые, электронные таблицы и т. п. Метод про­зрачного шифрования осуществляется в среде Windows 95 с помощью электронных ключей HASP - алгоритмы кодирования/декодирования IDEA (International Data Encryption Algorithm); длина ключа - 128 бит.
Система не имеет ограничений по количеству открытых файлов и числу приложе­ний, работающих с защищенной информацией. Внутренние процедуры шифрования драйвера используют данные, содержащиеся в памяти ключа HASP (Система поддерживает электронные ключи типа MemoHASP, TimeHASP и NetHASP, причем каждый экзем­пляр системы работает с одной серией ключей.
Защищенная программа
выполнение программы
Электронный ключ HASP


«Интеллектуальные» и физические возможности ключа в основном определяются базой на которой он собран. Сердцем ключа HASP является «заказной» ASIC-чип (Application Specific Integrated). Логику его функционирования практически невозмож­но реализовать с помощью стандартных наборов микросхем.
Ключ HASP позволяет использовать функцию Y = F(X), где X — посылаемое в ключ целое число в диапазоне от 0 до 65 535, a Y — возвращаемые ключом четыре целых числа из того же диапазона, уникальных для каждой серии. Использование ме­ханизма генерации чисел качественно усложняет задачу взлома, так как ключевая ин­формация (пароли, шифровальные ключи, часть самого кода и т. п.) не хранится ни в теле программы, ни в памяти ключа ни в открытом, ни в зашифрованном виде. Суще­ствует несколько модификаций ключей HASP:
□ MemoHASP - ключ с внутренней энергонезависимой памятью до 4 кбит, дос­тупной для чтения и записи; подключается к параллельному порту; TimeHASP — содержит встроенные часы с автономным питанием и память до 496 байт; может использоваться для подготовки учебной или демонстрацион­ной версии программы (ограниченный срок работы), для сдачи программы в аренду или в лизинг для периодического сбора абонентской платы;
□ MacHASP - микропроцессорные ключи для защиты приложений под Macintosh; NetHASP — ключ для защиты сетевых приложений; предотвращает не только нелегальное тиражирование сетевых программ, но и позволяет контролировать и ограничивать количество пользователей, одновременно работающих с защи­щенной программой в сети;
HASP-Card — специальная плата, встраиваемая в стандартный слот компьюте­ра, функционирует как дополнительный свободный параллельный порт; к ней
может быть подключено несколько ключей HASP или ключей других типов;
□ OpenHASP — микропроцессорные ключи с памятью; предназначены для защиты платформонезависимых приложений, функционирующих на рабочих станциях;
О PC-CardASP — модификация ключей HASP для компьютеров типа notebook.
Персональные компьютеры и микропроцессорные смарт-карты (smart-card) до не­давнего времени имели не так уж много точек соприкосновения, так как развивались как бы в разных плоскостях. Основными областями применения смарт-карт являются идентификация владельцев мобильных телефонов, банковские операции, электронные кошельки и розничные транзакции. Однако, как ожидается, этот перечень должен по­полниться защитой сети и электронной коммерцией. Признаками этой нарождающей­ся тенденции может служить поддержка смарт-карт в Windows 2000.
Характерная особенность таких карт — встроенный недорогой, но достаточно про­изводительный микропроцессор. В итоге появляются возможности реализации на уров­не пластиковой карты оперативных вычислений, обеспечения надлежащего уровня
конфиденциальности и сохранности данных в блоках памяти, а также применения ап­паратных методов шифрования. На одной и той же карте может быть реализовано сразу несколько ключей (полномочий пользователя) к различным системным или се­тевым ресурсам (контроль доступа и операций, совершаемых с различных рабочих мест, — проблема, весьма остро ощущаемая во многих областях и особенно в открытых ком­


пьютерных сетях. В идеале для защиты сетей и успешного и безопасного взаимодействии в рамках открытой сети лучше всего подходит реализация алгоритма шифрования данных с открытым ключом. Такие алгоритмы обеспечивают высокий уровень защиты передаваемых сообщений. При этом не представляет слож­ности процесс первичной генерации секретных Многоцелевая смарт-карта
ключей, а кроме того, не нужно ломать голову
над тем, как безопасным способом сообщить свой секретный ключ другой стороне.
Все участники сетевого общения, принявшие данный стандарт передачи сообщений,
имеют возможность использовать его где и когда угодно, не боясь раскрытия каких-
либо секретов.
В рамках такой технологии смарт-карта может выполнять роль криптопроцессора, генерирующего ключи, и применять самые различные алгоритмы шифрования: DES, «тройной DES», PGP, ГОСТ 28147-89 и т. п.
Среди множества компаний, выпускающих смарт-карты, выделяется RSA Security, чья смарт-карта Smart Card поддерживает конфигурации с одним и дву-
мя сертификатами и хранит мандаты пользователя. Карта может хранить два цифро­вых сертификата и регистрационную информацию о паролях пользователя.
Несмотря на все преимущества смарт-карт, их эффективность резко снижается без необходимого программного обеспечения. Карта SecuriD 3100 Smart Card работает с программным обеспечением управления ACE/Server компании RSA. Программное обеспечение служит для проверки и идентификации запросов и администрирования
Пакет ActivCard Gold компании ActivCard включает смарт-карты, клиентское про­граммное обеспечение и, по желанию, считыватель смарт-карт. С помощью этого иден­тификационного пакета для настольных систем пользователи могут локально зареги­стрироваться в домене Windows NT, получить удаленный доступ, войти на
корпоративный Web-сервер, а также поставить электронную подпись и зашифровать свою электронную почту.
В зависимости от вида сервиса доступ к нему может контролироваться с помощью фиксированных паролей, динамических паролей или цифровых сертификатов. Как было недавно объявлено, ActivCard Gold совместима с технологией PKI компании Baltimore Technologies.
Сматр-карты GemSAFE Enterprise компании GemPlus представляют собой комп­лект карт для реализации PKI. Клиенты получают такие возможности, как цифровая подпись на базе смарт-карт, а также шифрование электронной почты и файлов и под­держка хранения сертификатов X.509V3. Административные функции включают уда­ленную диагностику, управление картами (например, выпуск и аннулирование) и пользователями, генерацию и восстановление ключей, а также составление отчетов. Система предусматривает процесс карт.
Смарт-карта Model 33 PKI компании DataKey поддерживает 2084-разрядные клю­чи RSA и имеет память емкостью 32 кбайт. Она может использоваться для идентифи­кации в Internet, Extranet и VPN. В карте применяется технология эллиптических кри­
правил.


вых компании Certicom, благодаря которой длина ключей и объем вычислений оказы­ваются меньше.
Кроме того, смарт-карты предлагают и другие производители: Cylink (PrivateCard), Spyrus (Rosetta Smart Card), Card Logix (M.O.S.T.), а также СуЬегМагкиВиП Worldwide Information Systems.
На выставке CardTech SecurTech, которая проходила в Чикаго, фирма Publicard представила новую разработку — реализованную на базе смарт-карт систему провер­ки паролей и идентификаторов пользователей SmartPassky.
В основу новой системы была заложена идея хранения в одном месте (то есть на смарт-карте) всех паролей, секретных URL-адресов и идентификаторов активно рабо­тающего в сети пользователя.
Как заявил представитель фирмы, система на базе единственной смарт-карты, за­щищенной с помощью одного основного ключа, представляет собой компактное и на­дежное средство доступа, сочетающее эти свойства с простотой использования закла­док Web-браузера.
Когда смарт-карта вставляется в подключаемое к персональному компьютеру спе­циальное считывающее устройство, SmartPassky выдает запрос на ввод кода доступа пользователя Internet. После ввода кода перед пользователем отображается заранее сформированный список защищенных URL-адресов. После выбора нужного Web-ад-реса SmartPassky инициирует процедуру регистрации выбранного узла и автоматичес­ки «вводит» идентификатор и пароль пользователя. Для завершения процедуры пользо­вателю остается лишь щелкнуть на соответствующем поле на экране регистрации.
Кроме смарт-карт, в качестве персонального идентификатора в системах ограниче­ния доступа используются электронные ключи-жетоны, поддерживающие контактную
или бесконтактную технологию.
Жетоны представлены множеством разновидностей, отличающихся по форме и дизайну. В зависимости от таких факторов, как требования к защите, состав пользова­телей и потребность в масштабировании, они могут оказаться более предпочтитель­ным решением, чем смарт-карты. Жетоны бывают как аппаратные, так и программ­ные.
К числу производителей жетонов принадлежит компания Secure Computing. Она выпускает устройство в формате для связки ключей Safe Word Silver 2000 и Safe Word Platinum Card. Устройство поддерживает статические и динамические пароли и раз­личные платформы, такие, как Windows NT, Linux, Solaris и HP-UX. Через агентов SafeWord устройства могут также взаимодействовать с Citrix WinFrame и MetaFrame, Internet Information Server (US), NT RAS, Netscape Enterprise Server и доменами NT. Secure Computing имеет также агентов SafeWord для персональных цифровых секре­тарей Palm и мобильных телефонов компании Ericsson.
Продукт Luna САз на базе PKI компании Chrysalis-ITS обеспечивает аппаратную защиту основного ключа (root-keyprotection). Генерация, хранение, резервирование,
подпись и удаление ключей доверяются сертификационным сервером (Certificate
Authority, CA) уполномоченному жетону. Luna Key Cloning производит резервное
копирование зашифрованных цифровых ключей с одного жетона на другой, a Luna
PED обеспечивает доступ через устройство ввода персонального идентификационно­го кода PIN (Personal Identification Number).


Программы управления жетонами CryptoAdmin обеспечивают централизованную идентификацию и децентрализованное администрирование жетонов.
Продукты Digipass компании Vasco Data Security включают жетоны на базе карт, устройства в стиле калькуляторов и устройство для идентификации с использованием радиопередачи или идентификационных карт для контроля за физическим доступом и входом в сеть.
Сервер контроля доступа Vacman Optimum обеспечивает программирование/пе­репрограммирование устройств, а также управление кодами PIN. Кроме того, пакет
включает Vacman Programmer 1.0, несколько устройств Digipass и Administrator
Digipass.
Другой продукт, где используются радиоволны, — VicinID Card компании First
Access. Система включает датчики Vicinity Sensor, устанавливаемые на каждой рабо­чей станции, и программное обеспечение. VicinlD Server идентифицирует пользовате­лей, имеющих с собой карту, и предоставляет или запрещает им доступ к конкретной рабочей станции в зависимости от их профиля доступа. Кроме того, продукт поддер­живает так называемую непрерывную идентификацию, т. е. постоянно следит за тем, что рабочей станцией пользуются те, кто имеет на это право.
В качестве недорого и эффективного персонального идентификатора в системах ограничения доступа используются электронные жетоны Touch Memory (iButton) — специализированные высоконадежные приборы производстна фирмы Dallas Semiconductor Inc. (США). С начала 1997 года Dallas Semiconductor заявила о смене
названия всех своих идентификационных ключей с Touch Memory на iButton
(Information Button — Таблетка с информацией), как более общее и охватывающее весь ряд изделий в настоящем и в будущем. Они представляют собой микросхему, размещенную в прочном корпусе из нержавеющей стали, по размерам и форме напо­минающем элемент питания от электронных часов (Металл представляет собой нержавеющую сталь. Диаметр диска около 17 мм, толщина 3,1 мм или мм. Диск состоит из двух электрически разъединенных половинок. Внутри он полый. В герметичную полость заключена электронная схема на кремниевом кристалле. Выход схемы соединен с половинками диска двумя проводниками. Половинки диска образу­ют контактную часть однопроводного последовательного порта. При этом через цент­ральную часть идет линия данных, внешняя оболочка — земля. Для того чтобы про­изошел обмен информации iButton с внешнимиустройствами, необходимо прикоснуться
защищает систему от неточного совмещения при подключении по причине «человеческо­го фактора» или при автоматизированном ка­сании, когда идентификатор и зонд располо­жены на различных подвижных механизмах. Кроме того, дисковая форма корпуса направляет и очищает контакты, гарантируя на­дежное соединения, а закругленный край корпуса легко совмещается с зондом. Счи­тыватель электронных жетонов iButton представлен на рис.
Вход на рабочие станции и локальные вычислительные сети осуществляется при касании считывающего устройства зарегистрированной электронной карточкой Touch Memory и вводом с нее пароля и имени пользователя. В памяти Touch Memory (iButton), применяющейся для входа в сеть, записано 64 символа сетевого имени и 64 символа сетевого пароля. Эти значения генерируются датчиком псевдослучайных чисел, за­шифровываются и записываются в iButton, оставаясь неизвестными даже пользовате­лю. Корректность выполнения процедуры регистрации пользователя в сети обеспечи­вается передачей управления стандартным сетевым средствам после аутентификации пользователя. Кроме применения электронной карты, для более жесткого контроля входа в сеть пользователь вводит личный секретный пароль. Изделие этого ряда DS1954
имеет внутри своего корпуса специальный микропроцессор для шифрования инфор­мации.
Модель DS1957B iButton имеет память, которой достаточно для хранения всех дан­ных о личности владельца. Она работает и как обычный дверной ключ, который при­кладывается к двери и открывает электронный замок, и как компьютерный ключ для входа в защищенную компьютерную сеть и удостоверения подлинности электронной подписи.
В ключе использованы Java-технологии. Оперативная память устройства -134 кбайт, ПЗУ - 64 кбайт. В компьютере-ключе могут храниться свыше 30 сертифи­катов с 1042-битнымиключами наиболее часто используемого стандарта ISO X.509v3. Также в памяти суперключа может содержаться несколько сотен имен пользователя с
соответствующими паролями, фотография, идентифицирующая владельца, данные о
пользователе, которые обычно применяются для заполнения форм в Internet (напри­мер, при совершении покупок в онлайн-магазинах), электронная подпись владельца и биометрические данные (к примеру, отпечатки пальцев)
При попытке взлома на уровне данных доступ к информации о пользователе будет блокирован встроенным защитным программным обеспечением. Если ключик будут пытаться вскрыть физически, он получит сигнал о попытке вмешательства и сотрет всю информацию прежде, чем она попадет в руки взломщикам.
Все чаще для защиты от несанкционированного доступа стали применять программ­но-аппаратные комплексы, которыми могут быть оснащены рабочие станции компью­


 
терной сети и автономные компьютеры. В качестве примера рассмотрим комплексы защиты типа DALLAS LOCK.
Комплекс защиты DALLAS LOCK предназначен для исключения несанкциониро­ванного доступа к ресурсам компьютера и разграничения полномочий пользователей, а также для повышения надежности защиты входа в локальную сеть. Для идентифика­ции пользователей служат электронные карты Touch Memory и личные пароли.
Программно-аппаратный комплекс DALLAS LOCK for Administrator предназна­чен для работы в вычислительных сетях совместно с комплексом DALLAS LOCK и представляет собой автоматизированное рабочее место администратора безопаснос­ти. Все модификации комплекса DALLAS LOCK возможно применять для защиты
бездисковых рабочих станций локальной вычислительной сети. Эти комплексы мож­но использовать с различными операционными системами.
Запрос идентификатора при входе на персональный компьютер инициируется из ПЗУ на плате защиты до загрузки операционной системы, которая осуществляется только после предъявления зарегистрированного идентификатора (электронной карты) и вводе
личного пароля. Поскольку идентификатор и пароль запрашиваются до обращения к
дисководам, возможность загрузки с системной дискеты полностью исключена.
При инсталляции комплекса на жесткий диск обеспечивается гибкая настройка
аппаратной части путем предварительного выбора адресного пространства ПЗУ пла­ты защиты в свободной области адресов пользовательского BIOS, а также номера пор­та для работы с картой.
Поддерживается работа до 32 зарегистрированных пользователей на каждом ком­пьютере, причем каждый из них может быть зарегистрирован на нескольких персо­нальных компьютерах с разными полномочиями. Данные о пользователях хранятся в
энергонезависимой памяти на плате защиты.
Энергонезависимая память платы защиты содержит образ системных областей ком­пьютера, что позволяет контролировать их целостность.
Разграничение доступа пользователей возможно как по отношению к внешним ус­тройствам (дисководам, LPT- и СОМ-портам), логическим дискам винчестера и тай­меру, так и по времени работы на компьютере. Для каждого пользователя можно на­значить свои права и уровни доступа к:
□ системному диску С: (полный доступ; только для чтения);
остальным логическим дискам винчестера (полный доступ; нет доступа; только для чтения);
□ дисководам А: и В: (полный доступ; нет доступа; только для чтения); Q LPT- и СОМ-портам (полный доступ; нет доступа).
Время начала и окончания работы каждого пользователя на компьютере устанав­ливается администратором в пределах суток. Интервал времени, в течение которого пользователь может работать на компьютере со своими правами, может быть установ­лен от 1 минуты до 23 час. 59 мин (т. е. круглосуточно). Для предупреждения пользо­вателя об истечении отведенного времени работы предусмотрен режим «будильни­ка». За 5 мин до окончания сеанса работы пользователя выдается прерывистый звуковой сигнал. В пределах оставшихся 5 мин пользователь сможет закончить работу, после
чего компьютер будет заблокирован. Предусмотрен режим защиты таймера от изме­нения системного времени.


При регистрации идентификатора комплекс создает для каждого пользователя ин­дивидуальный файл AUTOEXEC, который запустится после загрузки компьютера
пользователем с данной картой.
При выполнении процедуры входа на компьютер комплекс анализирует электрон­ную карту и личный пароль пользователя. При этом в электронном журнале фиксиру­ются номер предъявленной карты, имя пользователя, дата, время попытки «входа» и результат попытки (проход — отказ в доступе), а также причина отказа в загрузке компьютера в случае неудачи. В электронных журналах фиксируются действия пользо­вателей по работе с файлами на дисках. Электронные журналы доступны только ад­министратору. Пользователи могут самостоятельно менять личные пароли для входа на компьютер и для доступа к индивидуальным зашифрованным дискам винчестера.
Для усиления защиты информации на компьютере администратор может для всех или некоторых пользователей включать режим принудительной смены пароля входа. Пользователь будет вынужден сменить пароль входа после загрузки компьютера уста­новленного числа раз.
Доступ к электронным журналам рабочих станций администратор безопасности
получает на своем рабочем месте. Для передачи данных используются протоколы IPX, что позволяет размещать защищенные станции в различных сегментах
Со своего рабочего места администратор получает список активных станций в сети, выбирает любую из них и запрашивает любой из журналов. После установления со­единения журнал автоматически переписывается на диск компьютера администратора
и обнуляется на рабочей станции. Данные из журналов могут быть выведены в файл


или на печать. В случае необходимости оперативного получения информации о собы­тиях, происходящих на рабочей станции, администратор безопасности может неглас­но просматривать содержание ее экрана. Ему предоставляется возможность устано­вить для любого пользователя режим полного стирания информации из памяти и с носителей при удалении файлов.
Комплекс DALLAS LOCK может быть установлен на любой IBM-совместимый компьютер, работающий автономно или в качестве рабочей станции локальной вычис­лительной сети. Для размещения файлов и работы комплекса требуется до 3 Мбайт пространства на системном разделе С: жесткого диска. ПЗУ платы защиты занимает 8 Кбайт в области памяти пользовательских BIOS.
Для создания на винчестере дополнительных зашифрованных индивидуальных дисков каждому пользователю на системном разделе С: необходимо предусмотреть пространство, равное суммарной емкости этих дисков. Максимальный объем каж­дого диска — 32 Мбайт.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика