УСТАНОВКА И НАСТРОЙКА ВЫБРАННЫХ СЗИ
Установка и настройка выбранных СЗИ проводилась при поддержке специалистов заказчика и технической поддержки разработчиков СЗИ.
В рамках повышения квалификации мной был пройден курс «Развертывание и администрирование СЗИ vGate». По результатам обучения получен сертификат № V000000012 от 01.04.2013г. (Приложение А).
Конечный перечень установленного ПО:
«Secret Net 6»
Сервер безопасности Secret Net 6;
Secret Net 6 «Клиент».
«vGate R2»
Сервер авторизации vGate;
Резервный сервер авторизации vGate;
Компонент защиты vCenter;
Компонент защиты ESXi;
Консоль управления АВИ;
Консоль управления АИБ;
«ViPNet»
ViPNet Administrator;
ViPNet Coordinator (Windows);
«Kaspersky»
Kaspersky Endpoint Security 8 для Windows.
Рассмотрим типовое рабочее места пользователя с установленными СЗИ и перечнем настроек выполненных для СЗИ:
Агент аутентификации vGate:
Устанавливается в том случае, если пользователь планирует получение доступа к защищенным серверам посредствам удаленного доступа, если он использует программное обеспечение для соединения типа «клиент-сервер», данное ПО для него не устанавливается.
Secret Net 6 «Клиент»:
Настроен для усиленной аутентификации пользователей, контроля подключаемых носителей, контроля документов отправленных на печать, контроля доступа пользователя к конфиденциальной информации. Настройки данного СЗИ недоступны для пользователя.
ViPNet Client.
Настроен для создания защищенного канала передачи конфиденциальной информации.
Kaspersky Endpoint Security 8 для Windows.
Антивирусная защита, настроена для обновления и проверки рабочего места по расписанию.
Рассмотрим компоненты СЗИ vGate на настройки безопасности:
Сервер авторизации vGate:
Сервер авторизации vGate был установлен на виртуальный сервер под управлением ОС Microsoft Windows 2008 R2, данный сервер имеет два виртуальных сетевых интерфейса, один сетевой интерфейс подключен к сети администрирования инфраструктуры, второй сетевой интерфейс подключен к сети внешнего периметра администрирования.
Настроен на выполнение следующих действий:
Централизованное управление СЗИ vGate;
Аутентификация пользователей и компьютеров;
Разграничение доступа к средствам управления виртуальной инфраструктурой;
Регистрация событий безопасности;
Хранение данных (учетной информации, журналов учета и конфигурации СЗИ vGate);
Репликация данных.
Резервный сервер авторизации vGate:
Резервный сервер авторизации vGate был установлен на виртуальный сервер под управлением ОС Microsoft Windows 2008 R2, данный сервер имеет два виртуальных сетевых интерфейса, один сетевой интерфейс подключен к сети администрирования инфраструктуры, второй сетевой интерфейс подключен к сети внешнего периметра администрирования.
Настроен на выполнение следующих действий:
Репликация данных;
Хранение настроек и списка пользователей;
Возможность замены основного сервера при сбое;
Компонент защиты vCenter:
Компонент защиты vCenter был установлен на виртуальный сервер под управлением ОС Microsoft Windows 2008 R2, данный сервер имеет один виртуальный сетевой интерфейс подключений к сети администрирования инфраструктуры. Данный компонент служит для установки агентов на ESXi-сервера, защиты от НСД внутри сети администрирования инфраструктуры, контроля сетевого трафика на vCenter.
Компонент защиты ESXi:
Компонент защиты ESXi был установлен на блэйд-сервер под управлением EXSi 5.1, данный блэйд-сервер имеет два сетевых интерфейса, один сетевой интерфейс подключен к сети администрирования инфраструктуры, второй сетевой интерфейс подключен к сети внешнего периметра администрирования.
Настроен на выполнение следующих действий:
Контроль целостности и выполнение доверенной загрузки ВМ;
Контроль целостности модулей и настроек;
Регистрация событий безопасности;
Контроль монтирования устройств;
Обеспечение доверенной программной среды.
Метки безопасности:
Соответствующие метки безопасности были назначены:
ESXi – серверам;
Хранилищам виртуальных машин;
Виртуальным машинам;
Физическим сетевым интерфейсам.
Пользователи и администраторы согласно разрешенному уровню доступа имеют или не имеют доступ к данным объектам.
Примерная схема полученной инфраструктуры представлена на Рис. 1.
Рисунок 1. Схема полученной инфраструктуры.
Настройки СЗИ были выполнены в соответствии с требованиями к классу защищенности 1Г. Полная детализация настроек не приведена по требованиям заказчика.
-
АНАЛИЗ ЗАЩИЩЕННОСТИ ПОЛУЧЕННОЙ ИНФРАСТРУКТУРЫ
Для анализа защищенности полученной инфраструктуры использовался сканер безопасности «XSpider 7.8».
При сканировании, была получена следующая информация:
Список открытых портов на сканируемом оборудовании соответствует правилам доступа, созданных для данного оборудования.
На некоторых хостах обнаружена уязвимость в виде неочищаемой виртуальной памяти. Для виртуальной памяти может использоваться файл, который может содержать конфиденциальную информацию.
На одном из хостов удалось получить существенную информацию для возможного злоумышленника, был получен список запущенных сервисов:
AcrSch2Svc (Acronis Scheduler2 Service);
AeLookupSvc (Информация о совместимости приложений);
afcdpsrv (Служба Acronis Nonstop Backup);
AudioEndpointBuilder (Средство построения конечных точек Windows Audio);
AudioSrv (Windows Audio);
BFE (Служба базовой фильтрации);
BITS (Фоновая интеллектуальная служба передачи (BITS));
BROWSER (Браузер компьютеров);
cpcsp1 (КриптоПро CSP KC1);
CryptSvc (Службы криптографии);
CxAudMsg (Conexant Audio Message Service);
DcomLaunch (Модуль запуска процессов DCOM-сервера);
Dhcp (DHCP-клиент);
Dnscache (DNS-клиент);
DPS (Служба политики диагностики);
DsiWMIService (Dritek WMI Service);
EapHost (Расширяемый протокол проверки подлинности (EAP));
eventlog (Журнал событий Windows);
EventSystem (Система событий COM+);
fdPHost (Хост поставщика функции обнаружения);
FontCache (Служба кэша шрифтов Windows);
gpsvc (Клиент групповой политики);
hidserv (Доступ к HID-устройствам);
IAStorDataMgrSvc (Intel(R) Rapid Storage Technology);
IconMan_R (IconMan_R);
IKEEXT (Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности);
iphlpsvc (Вспомогательная служба IP);
KeyIso (Изоляция ключей CNG);
Live Updater Service (Live Updater Service);
lmhosts (Модуль поддержки NetBIOS через TCP/IP);
MMCSS (Планировщик классов мультимедиа);
MpsSvc (Брандмауэр Windows);
MsDtsServer100 (Службы SQL Server Integration Services 10.0);
MSSQLServerOLAPService (Службы SQL Server Analysis Services (MSSQLSERVER));
ndsvc (NetDrive Service);
NETLOGON (Сетевой вход в систему);
Netman (Сетевые подключения);
netprofm (Служба списка сетей);
NlaSvc (Служба сведений о подключенных сетях);
nsi (Служба интерфейса сохранения сети);
nvsvc (NVIDIA Display Driver Service);
nvUpdatusService (NVIDIA Update Service Daemon);
PcaSvc (Служба помощника по совместимости программ);
PlugPlay (Plug-and-Play);
PolicyAgent (Агент политики IPsec);
Power (Питание);
ProfSvc (Служба профилей пользователей);
ProtectedStorage (Защищенное хранилище);
ReportServer (Службы SQL Server Reporting Services (MSSQLSERVER));
RpcEptMapper (Сопоставитель конечных точек RPC);
RpcSs (Удаленный вызов процедур (RPC));
SamSs (Диспетчер учетных записей безопасности);
SCardSvr (Смарт-карта);
Schedule (Планировщик заданий);
seclogon (Вторичный вход в систему);
SENS (Служба уведомления о системных событиях);
ShellHWDetection (Определение оборудования оболочки);
SPOOLER (Диспетчер печати);
SQLWriter (Модуль сервера SQL Server для записи VSS);
SSDPSRV (Обнаружение SSDP);
stisvc (Служба загрузки изображений Windows (WIA));
SysMain (Superfetch);
TrkWks (Клиент отслеживания изменившихся связей);
UxSms (Диспетчер сеансов диспетчера окон рабочего стола);
VMAuthdService (VMware Authorization Service);
VMnetDHCP (VMware DHCP Service);
VMUSBArbService (VMware USB Arbitration Service);
W32Time (Служба времени Windows);
wcncsvc (Немедленные подключения Windows - регистратор настройки);
WdiServiceHost (Узел службы диагностики);
Web Assistant Updater (Web Assistant Updater);
WinDefend (Защитник Windows);
WinHttpAutoProxySvc (Служба автоматического обнаружения веб-прокси WinHTTP);
Winmgmt (Инструментарий управления Windows);
Wlansvc (Служба автонастройки WLAN);
WMPNetworkSvc (Служба общих сетевых ресурсов проигрывателя Windows Media);
wscsvc (Центр обеспечения безопасности);
WSearch (Windows Search);
wuauserv (Центр обновления Windows);
wudfsvc (Windows Driver Foundation - User-mode Driver Framework);
и др.
После сканирования найденные уязвимости были устранены. Кроме того, вручную были выполнены следующие неудачные попытки нарушения безопасности:
Использование незарегистрированных съемных носителей информации;
Несанкционированное повышение полномочий пользователя Windows;
Несанкционированный доступ к настройкам СЗИ;
Несанкционированный доступ к виртуальной машине, имеющий уровень конфиденциальности, выше чем уровень доступа внутреннего нарушителя;
Несанкционированный доступ из внешней сети в защищенный периметр;
Несанкционированное отключение СЗИ;
Несанкционированная попытка копирования виртуальной машины АВИ;
Несанкционированная попытка удаления виртуальной машины АВИ;
Попытка подбора пароля других пользователей;
Несанкционированная попытка входа на ESXi-сервер, непосредственно с блэйд-сервера.
ЗАКЛЮЧЕНИЕ
Был проведен анализ инфраструктуры объекта, анализ внутренних документов по информационной безопасности, в результате чего определен необходимый класс защищенности объекта.
После выбора необходимых СЗИ, была произведена установка и настройка СЗИ в соответствии с классом защищенности 1Г, составлена и передана проектная документация для отдела безопасности заказчика.
Полученная инфраструктура выдержала проверку на уязвимости и пригодна для эксплуатации в соответствии с требованиями законодательства.
Централизованное управление всеми СЗИ, является несомненным преимуществом для администраторов информационной безопасности.
По результатам проделанной работы, компанией ООО «КБ-Информ», заказчику был выдан Аттестат соответствия на АС, на срок в три года.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России). Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г., М.: 1992.
"Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", М.: 2001.
«СЗИ vGate R2 Руководство администратора» // ООО «Код Безопасности», 2011.
«ViPNet Coordinator 3.1 Руководство администратора» // ОАО «ИнфоТеКС», 2012.
«СЗИ Secret Net 6.5 Руководство администратора» // ООО «Код Безопасности», 2012.
«АПКШ Континент Руководство администратора» // ООО «Код Безопасности», 2012.
«Kaspersky Endpoint Security 8 для Windows Руководство администратора» // ЗАО «Лаборатория Касперского», 2011.
«СЗИ ОТ НСД Dallas Lock 7.7. Руководство по эксплуатации.» // ООО "Конфидент" 2010.
Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
Щеглов, А.Ю. Выбор СЗИ от НСД. «Information Security/Информационная безопасность»: Журнал. [Электронная версия журнала] Режим доступа http://www.itsec.ru/articles2/Inf_security/szi-choice – Загл. с экрана.
ПРИЛОЖЕНИЕ А
|