пятница, 4 июля 2014 г.

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)



Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.

Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.

Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.

Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типа SSH, консольного, терминального – не подходят.

Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.

Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу несколько цитат:

·        При использовании шлюза StoneGate Firewall/VPN, системы централизованного управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю осуществлять перезагрузку технических средств с установленными компонентами СКЗИ.” – из правил пользования 89625543.4012-001 90 02

·        Криптошлюзы, использующие в своем составе КриптоПро ссылаются “ Требования по криптографической защите изложены в документе «Руководство администратора безопасности» КриптоПро CSP”. В свою очередь этот документ содержит “Требования по криптографической защите …. 10. Ежесуточная перезагрузка ПЭВМ.

У других СКЗИ могут быть аналогичные требования.  Криптошлюзы у нас разбросаны по удаленным узлам, до которых добираться иногда приходится более суток (ну в среднем возьмем - пол дня)

В итоге не каждые 2 криптошлюза сертифицированных ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой безопасности придется содержать и в какую дополнительную стоимость обойдется эксплуатация такой системы защиты.


12 комментариев:

Михаил Новокрещенов комментирует...

Насколько я помню если речь зашла о StoneGate, то у них КС2 на шлюзе достигается без замка (по крайней мере на их аппаратных платформах). Раз в правилах пользования на СКЗИ StoneGate сказано, что достаточно перезагружать раз в неделю, то требование СКЗИ КриптоПро ежедневной перезагрузки перекрываются, поскольку сертификацию проходил именно комплекс StoneGate+КриптоПро и требование выдалось на комплекс. Перезагрузка шлюзов StoneGate может осуществляться удаленно из централизованной консоли. Выходит не все так страшно.

Сергей Борисов комментирует...

Я написал про проблему с электронными замками. Без электронных замков не всё так страшно.

Сергей Борисов комментирует...

Михаил, процитирую для читателей условия при которых Stonegate может применяться в исполнении КС2 без электронного замка:

Для исполнения № 2 с целью исключения возможности вскрытия и подключения к оборудованию и нарушения порядка инициализации и загрузки шлюза StoneGate Firewall/VPN в нештатном режиме и/или внесения в него несанкционированных изменений должно применяться:
‒ ограничение доступа к настройкам BIOS паролем администратора;
‒ запрещение в настройках BIOS загрузки с устройств, отличных от штатного накопителя;
‒ физическое отключение после установки и настройки комплекса устройств ввода/вывода (клавиатура, мышь, монитор, принтер и т.д.);
‒ ограничение доступа к консоли операционной системы с помощью пароля административной учетной записи; ‒ ограничение доступа к средствам централизованного управления паролем администратора; ‒ все пароли администраторов должны быть различны; ‒ отсутствие возможности доступа к консоли операционной системы пользователей кроме администратора; ‒ обеспечение использования для доступа к консоли операционной системы заданного сетевого порта; ‒ опечатывание корпуса устройства (например, голографическими метками);
‒ опечатывание имеющихся разъемов RS232/PS/2/LPT (например, голографическими метками);
‒ опечатывание разъемов USB (например, голографическими метками);
‒ опечатывание дисководов и приводов чтения оптических носителей, неиспользуемых внутренних отсеков корпуса (например, голографическими метками);
‒ опечатывание неиспользуемых сетевых портов (например, голографическими метками);
‒ опечатывание подключенных коммуникационных кабелей (например, голографическими метками).

Размещение технических средств с установленным исполнением 2 шлюза StoneGate Firewall/VPN допускается только в местах, надежно защищенных от доступа посторонних лиц. В том числе с использованием организационно-технических средств (например, пропускной режим или круглосуточную охрану, защищенные дверь и окна, охранную сигнализация). При этом допускается размещение технических средств с установленным исполнением 2 шлюза StoneGate Firewall/VPN в запираемом укрепленном ящике или сейфе, крепящемся к стационарным объектам (в том числе стены, пол, потолок). Такой ящик или сейф должен запираться и быть опечатан, а доступ к его содержимому разрешен только уполномоченному лицу.

Сергей Борисов комментирует...

То есть, на удаленных объектах нам придется прятать Stonegate в закрываемый шкаф и кучу всего опечатывать. И раз в неделю ездить проверять сохранность печатей, наклеек.

И есть такая неувязочка:
Stonegate в исполнении 2 = Шлюз Stonegate + Криптопро в исполнении 2.
КриптоПро в исполнении 2 = ПО КриптоПро + электронный замок.

Roman Sorokin комментирует...

Не понятно само требование ежедневной перезагрузки ПЭВМ, да и шлюза.
Чего это дает-то?) Превентивная борьба с кривой реализацией?

"У меня винда глючит - перегрузи"

Евгений Скляр комментирует...

Сергей, а с чем связана необходимость вводить пароль администратора при перезагрузке?

Сергей Борисов комментирует...

Евгений: требованием использовать электронный замок типа Соболь, требованиями эксплуатационной документации на электронный замок с правилами настройки и техническая невозможность загрузки без ввода пароля администратора.

Сергей Борисов комментирует...

Roman: точно не могу сказать откуда требования. Скорее всего чтобы в оперативной памяти не накапливалась информация опасная с точки зрения криптографии.

Евгений Скляр комментирует...

Эксплуатационная документация на Соболь не требует обязательного ввода пароля администратора или таблетки, и по умолчанию Соболь загружается в режиме пользователя. Аккорд кажется также, точно не помню.

Сергей Борисов комментирует...

"При использовании СКЗИ должны выполняться следующие меры по защите информации от НСД:
• Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
• длина пароля должна быть не менее 6 символов;"

Евгений Скляр комментирует...

Автоматический запуск СКЗИ не требует ни входа в bios, ни входа в ОС.
Пароль понадобится только при доступе к консоли.
Эл. замки предназначены для защиты не от загрузки ОС, а от несанкционированной загрузки ОС.

Сергей Борисов комментирует...

Евгений, спасибо за ваше мнение.

И хотя это только ваша трактовка назначения Эл. замков, но возможно мне удастся покопать в этом же направлении и сделать хорошее обоснование неиспользования аутентификации.