СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.
Но когда вы устанавливаете себе
требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.
Поставить электронные замки в
криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для
доп. сетевых интерфейсов, но подставятся.
Проблема вот где – при каждом
запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором,
клавиатурой, таблеткой и локально вводил пароль администратора. Никакие
варианты типа SSH, консольного,
терминального – не подходят.
Во-первых, у инженера по сетевой
безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на
удаленные узлы при подключении криптошлюзов.
Во-вторых криптошлюз нам
придется перезагружать. Кроме производственных случаев обновления, обслуживания,
сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу
несколько цитат:
·
“При
использовании шлюза StoneGate Firewall/VPN, системы централизованного
управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю
осуществлять перезагрузку технических средств с установленными компонентами
СКЗИ.” – из правил пользования 89625543.4012-001 90 02
·
Криптошлюзы, использующие в своем составе
КриптоПро ссылаются “ Требования по криптографической защите изложены в
документе «Руководство администратора безопасности» КриптоПро CSP”. В свою
очередь этот документ содержит “Требования по криптографической защите …. 10.
Ежесуточная перезагрузка ПЭВМ.”
У других СКЗИ могут быть
аналогичные требования. Криптошлюзы у
нас разбросаны по удаленным узлам, до которых добираться иногда приходится
более суток (ну в среднем возьмем - пол дня)
В итоге не каждые 2 криптошлюза сертифицированных
ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у
нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой
безопасности придется содержать и в какую дополнительную стоимость обойдется
эксплуатация такой системы защиты.
Комментарии
Для исполнения № 2 с целью исключения возможности вскрытия и подключения к оборудованию и нарушения порядка инициализации и загрузки шлюза StoneGate Firewall/VPN в нештатном режиме и/или внесения в него несанкционированных изменений должно применяться:
‒ ограничение доступа к настройкам BIOS паролем администратора;
‒ запрещение в настройках BIOS загрузки с устройств, отличных от штатного накопителя;
‒ физическое отключение после установки и настройки комплекса устройств ввода/вывода (клавиатура, мышь, монитор, принтер и т.д.);
‒ ограничение доступа к консоли операционной системы с помощью пароля административной учетной записи; ‒ ограничение доступа к средствам централизованного управления паролем администратора; ‒ все пароли администраторов должны быть различны; ‒ отсутствие возможности доступа к консоли операционной системы пользователей кроме администратора; ‒ обеспечение использования для доступа к консоли операционной системы заданного сетевого порта; ‒ опечатывание корпуса устройства (например, голографическими метками);
‒ опечатывание имеющихся разъемов RS232/PS/2/LPT (например, голографическими метками);
‒ опечатывание разъемов USB (например, голографическими метками);
‒ опечатывание дисководов и приводов чтения оптических носителей, неиспользуемых внутренних отсеков корпуса (например, голографическими метками);
‒ опечатывание неиспользуемых сетевых портов (например, голографическими метками);
‒ опечатывание подключенных коммуникационных кабелей (например, голографическими метками).
Размещение технических средств с установленным исполнением 2 шлюза StoneGate Firewall/VPN допускается только в местах, надежно защищенных от доступа посторонних лиц. В том числе с использованием организационно-технических средств (например, пропускной режим или круглосуточную охрану, защищенные дверь и окна, охранную сигнализация). При этом допускается размещение технических средств с установленным исполнением 2 шлюза StoneGate Firewall/VPN в запираемом укрепленном ящике или сейфе, крепящемся к стационарным объектам (в том числе стены, пол, потолок). Такой ящик или сейф должен запираться и быть опечатан, а доступ к его содержимому разрешен только уполномоченному лицу.
И есть такая неувязочка:
Stonegate в исполнении 2 = Шлюз Stonegate + Криптопро в исполнении 2.
КриптоПро в исполнении 2 = ПО КриптоПро + электронный замок.
Чего это дает-то?) Превентивная борьба с кривой реализацией?
"У меня винда глючит - перегрузи"
• Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
• длина пароля должна быть не менее 6 символов;"
Пароль понадобится только при доступе к консоли.
Эл. замки предназначены для защиты не от загрузки ОС, а от несанкционированной загрузки ОС.
И хотя это только ваша трактовка назначения Эл. замков, но возможно мне удастся покопать в этом же направлении и сделать хорошее обоснование неиспользования аутентификации.