Централизованное управление электронными замками
© Сергей Панасенко, 2005.
Продолжим тему защиты компьютеров от несанкционированного доступа, начатую в статье «Аппаратные шифраторы и электронные замки».
Управление электронными замками
Как было сказано в упомянутой выше статье, электронные замки необходимы для ограничения доступа к персональному компьютеру. У любого пользователя, пытающегося загрузить защищаемый компьютер, запрашивается носитель аутентификационной информации и пароль или PIN-код. Если пользователь находится в списке тех, кому разрешен доступ на данный компьютер, выполняются дальнейшие проверки (проверка целостности важных файлов операционной системы и другие), после которых (в случае их успешного завершения) начинается загрузка штатной операционной системы компьютера.
В зависимости от конфигурации и назначения конкретного электронного замка, учетная запись о пользователе может содержать (помимо информации, необходимой для его аутентификации) еще и набор различной дополнительной информации о пользователе, например:
- дата окончания срока действия текущего пароля или другой аутентификационной информации пользователя;
- статистика входов пользователя на данный компьютер;
- является ли данный пользователь администратором, т.е. может ли создавать других пользователей, может ли просматривать/редактировать журнал событий электронного замка и т. д.;
- другие права пользователя, например, разрешено ли ему загружать операционную систему со съемного носителя (дискеты или компакт-диска); набор конкретных прав пользователя сильно зависит от назначения и функциональности замка, что является темой отдельного разговора.
В общем случае локальная сеть, объединяющая защищенные электронными замками компьютеры, выглядит согласно рис. 1. Такая схема имеет ряд недостатков, а именно:
- Администратор вынужден настраивать все электронные замки локально, работая непосредственно на защищаемом компьютере. При увеличении количества используемых замков до нескольких десятков возникает проблема существенных затрат времени на администрирование пользователей. При этом тратится как время администратора замков на их настройку, так и время вынужденного простоя пользователей из-за данного процесса.
- Нередко возникает необходимость в работе одного пользователя на нескольких компьютерах поочередно. В данном случае возникает «размножение сущностей»: учетная запись такого пользователя должна быть продублирована в электронных замках всех компьютеров, к которым он допущен.
Для устранения данных недостатков логично использовать централизованное управление электронными замками, которое осуществляется с помощью специального сервера управления замками (см. рис. 2). Для выполнения данной задачи сервер должен содержать, как минимум, следующую информацию:
- Список всех управляемых замков.
- Для каждого управляемого замка – список пользователей, которым разрешена работа на компьютере, защищаемым данным замком.
- Учетные записи всех пользователей системы.
Процесс входа пользователя на защищенный замком компьютер упрощенно выглядит так:
- Замок запрашивает ключевой носитель пользователя.
- После идентификации пользователя, замок запрашивает у сервера управления, разрешено ли данному пользователю работать на защищаемом компьютере.
- Если разрешено – замок запрашивает у сервера управления информацию, необходимую для аутентификации пользователя, и другие учетные данные пользователя, необходимые для работы замка.
- Выполняется аутентификация пользователя, после чего проводятся проверки целостности файлов операционной системы, выполняется настройка оборудования согласно правам пользователя и т.д.
Понятно, что для безопасной работы системы централизованного управления замками необходимо обеспечить защиту конфиденциальности и целостности передаваемых команд и данных. Для этого следует использовать шифрование данных, а также снабжать все передаваемые пакеты команд/данных имитоприставками или аналогичными криптографическими контрольными суммами (см., например, статью «Отечественный стандарт шифрования», «Мир и безопасность» № 5/2003). Причем, шифрование данных позволит не ограничивать зону действия сервера управления одной локальной сетью – управление замками можно производить и через Интернет, что исключительно удобно для организаций, имеющих территориально распределенную структуру.
Администрирование сервера управления
Как видно из вышесказанного, все необходимые для работы электронных замков данные о пользователях хранятся централизованно на сервере управления замками. Указанные выше недостатки отсутствуют: каждый пользователь имеет одну учетную запись независимо от числа компьютеров, к которым он допущен (исключение возникает в том случае, если пользователь имеет различные права на разных компьютерах), а администратор управляет данными, сконцентрированными в одном месте. Причем, администрирование может вестить различными путями:
- Локально на сервере управления замками. Данный путь наименее затратен, однако, не рекомендуется из соображений безопасности: поскольку сервер управления является ключевым элементом безопасности всей сети, стоит полностью запретить физический доступ к нему.
- С выделенного автоматизированного рабочего места (АРМ) администратора с помощью специального программного обеспечения, позволяющего выполнять функции администрирования.
- Непосредственно с любого из защищаемых компьютеров при аутентификации в электронном замке с правами администратора. Если администратор входит на локально управляемый замок, ему предоставляется интерфейс администрирования данного замка. Подобной концепции можно придерживаться и в случае централизованного управления – т.е. при входе администратора замок предоставляет интерфейс администрирования сервера централизованного управления.
Два последних варианта требуют наличия специального программного обеспечения (а вариант № 2 – еще и выделенного АРМ администрирования сервера управления), однако их применение кажется наиболее целесообразным. Последний из вариантов представляется наиболее удобным, однако, он требует наличия непосредственно в электронном замке достаточно сложного ПО администрирования (включающего, в частности, модули шифрования и поддержки межсетевых коммуникаций), что не всегда возможно.
Использование электронных замков по варианту администрирования № 2 показано на рис. 3, а пример интерфейса ПО администрирования сервера управления замками – на рис. 4.
Помимо описанных выше задач, механизм централизованного администрирования замков может предоставить множество других интересных возможностей, например:
- Электронные замки обычно ведут различные журналы операций с сохранением их в энергонезависимой памяти. При централизованном управлении можно сохранять все актуальные копии журналов каждого управляемого замка на сервере управления. Администратор же может просматривать все эти журналы с того рабочего места, на котором он выполняет администрирование сервера управления.
- Существенно более сложная, но решаемая задача – удаленное составление списков контролируемых файлов на защищаемых компьютерах и расчет эталонных хэш-значений для последующего контроля целостности.
- Возможен обмен любой зашифрованной информацией между защищаемыми компьютерами через сервер управления замками по ключевой системе типа «звезда».
Как видно, централизованное управление замками позволяет не только устранить недостатки локально управляемых замков, но и превратить сервер управления в реальный центр безопасности информационной системы организации. В этом случае, однако, возникают серьезные требования к производительности данного сервера и его отказоустойчивости. Однако, данные темы заслуживают отдельного рассмотрения в одной из следующих статей, посвященных теме применения электронных замков.
Структура сервера управления
Возможны различные решения реализации сервера управления замками, однако, автору статьи кажется оптимальной следующая структура сервера:
- Сервер представляет собой программу-службу, работающую под управлением операционных систем семейства Windows NT. Предполагается, что данная программа имеет модульную структуру, например, такую:
- основной модуль, реализующий стандартные функции службы Windows NT;
- подсистема, отвечающая за прием/передачу сообщений по сети;
- подсистема разбора администрирующих команд и запросов от управляемых устройств;
- подсистема работы с данными;
- подсистема защиты целостности сообщений;
- подсистема протоколирования операция.
- Программы настройки параметров сервера управления. Предполагается, что долговременные параметры работы сервера (например, уровень детализации протоколирования событий) должны настраиваться локально, например, непосредственно после его инсталляции. Удаленное администрирование редко изменяемых параметров сервера управления может неоправданно усложнить программную часть его реализации.
- Электронный замок, локально администрируемый и защищающий собственно сервер от несанкционированного доступа. Идеальный вариант – связка электронного замка (с драйвером для используемой операционной системы) с модулем разграничения доступа к различным ресурсам компьютера, работающим под управлением Windows.
- Криптографическая сетевая карта (с драйвером для используемой операционной системы), осуществляющая прозрачное шифрование всех передаваемых данных. Допустимо и использование обычной сетевой карты (хотя бы из ценовых соображений), однако, в данном случае необходим либо отдельный аппаратный шифратор, либо дополнительный программный криптомодуль.
Описанная структура показана на рис. 5.
Рисунки:
- Оснащение электронными замками компьютеров локальной сети.
- Централизованное управление замками.
- Использование АРМ администратора для централизованного управления.
- Интерфейс программы администрирования сервера управления.
- Структура сервера управления.