01.11.2011

»зменение безопасной среды операционной системы Windows

image

¬ данной статье рассматриваютс€ основные средства безопасной среды операционной системы Windows при работе  в локальных сет€х как объект модернизации, а также сетевую политику безопасности, дл€ группы компьютеров с локальной системой пользователей дл€ каждой машины, при отсутствующем контроллере домена.

јвторы: Ўир€ев —ергей ¬€чеславович
shiryaev_sv@spb.power-m.ru
студентка ƒ¬‘” »ванова ј.¬.

¬ данной статье рассматриваютс€ основные средства безопасной среды операционной системы Windows при работе в локальных сет€х как объект модернизации, а также сетевую политику безопасности, дл€ группы компьютеров с локальной системой пользователей дл€ каждой машины, при отсутствующем контроллере домена. Ќа основе проведенного анализа стандартной безопасной среды, предлагаетс€ ее модификаци€, котора€ усиливает исходную политику безопасности ќ— Windows. ѕредложенна€ модифицированна€ безопасна€ среда, обеспечит защиту не только от р€довых атак, но и устранит угрозу несанкционированного доступа даже в тех случа€х, когда у злоумышленника есть административные права на некоторых компьютерах системы. ћодификаци€ заключаетс€ в интеграции дополнительных защитных и профилактических функций, обеспечивающих промежуточные проверки участников процесса обмена информацией на соответствие критери€м безопасности уже усиленной безопасной среды.

ћодифицированна€ безопасна€ среда состоит из следующих базовых компонентов: компьютеры под управлением ќ— Windows и программа, реализующа€ дополнительные защитные функции, котора€ должна гарантировать не только стабильность, но и полноту механизмов, отвечающих за реализацию комплексной политики безопасности. ƒл€ решени€ поставленной задачи проведен анализ подсистем идентификации, аутентификации и авторизации, реализации и корректного использовани€ компонентов программы со стороны вызывающих их модулей и их сопр€жени€ со стандартными средствами защиты ќ— Windows.

Ќа пути создани€ такой модификации проблема предсказуемого использовани€ субъектов, реализующих стандартные защитные функции, и тем самым потенциально способных вли€ть на поведение штатной системы защиты, €вл€етс€ самой сложной. ќсобенно опасны ситуации, когда взаимодействие инициировано субъектами, не имеющими отношени€ к системе. –ешение данной проблемы заключаетс€ в том, что дл€ корректной работы защитных модулей необходимо, чтобы как модули, так и вызывающие их субъекты, обладали уникальными свойствами.   примеру, субъект должен быть включен в список доверенных, а модификаци€ модул€ безопасности может быть проведена только под управлением конкретного администратора. “аким образом, это требование сводитс€ к условию «замкнутости» и посто€нства всех участников системы.

–ис. 1. —овокупность субъектов модифицированной среды.

ѕредполагаема€ модифицированна€ безопасна€ среда состоит из следующих компонентов:

—ерверна€ часть: пользовательский интерфейс; сервис управлени€; шифрование (сервис реализации защитных функций); криптографическа€ библиотека; сетевой сервис; драйвер виртуальных устройств; криптографическа€ библиотека; сетевой драйвер.

 лиентска€ часть: пользовательский интерфейс; сетевой клиент; сетевой сервис сетевой драйвер; криптографическа€ библиотека.

ѕредставленна€ схема нагл€дно демонстрирует автономность системы. ћодифицированна€ безопасна€ среда не затрагивает основных компонентов операционна€ система Windows. «амкнутость и посто€нство €вл€ютс€ приоритетными параметрами политики безопасности, но система при этом остаетс€ открытой. ¬се компоненты изолированы и действуют в собственных виртуальных адресных пространствах. ¬заимодействие с внешними субъектами осуществл€етс€ в двух предусмотренных случа€х: при аутентификации, либо при попытке осуществлени€ чтени€-записи данных файла-образа.

ѕри прохождении аутентификации существуют несколько типов угроз безопасности. ѕервый заключаетс€ в несанкционированном доступе по врем€ установки соединений с управл€ющим сервисом. ѕри этом, во избежание атаки типа «человек посередине», когда злоумышленник имеет возможность не только перехватывать, но также измен€ть сообщени€, выдава€ себ€ перед удаленным администратором, например, за аутентифицирующий субъект, на сервере ключ не пересылаетс€ по сети: на клиенте и сервере по схеме ƒиффи-’еллмана [1] одновременно генерируютс€ одинаковые сеансовые ключи.

¬торой тип угрозы безопасности возникает при подключении защищаемых дисков, когда пользователь вводит данные аутентификации на управл€ющей рабочей станции. ќчевидно, что эта информаци€ также должна быть недоступна дл€ злоумышленника. ¬о избежание этого, данные аутентификации передаютс€ управл€ющему сервису в зашифрованном виде. «атем их обрабатывает драйвер, вызыва€ функции сервиса дл€ вз€ти€ хэш-функций от полученной информации. —озданный таким образом хэш-код и €вл€етс€ ключом шифровани€. ƒалее с помощью этого ключа сервис перебирает все алгоритмы шифровани€, поддерживаемые криптопровайдером (так как заголовок зашифрован целиком, то информаци€ об алгоритме шифровани€ также остаетс€ недоступной). ѕосле того, как нужный алгоритм будет подобран, сервис приступает к дешифрации пока не получит ключ шифровани€ самих данных, который затем хранитс€ в адресном пространстве сервиса и используетс€ каждый раз при шифровании или дешифровании новых данных. “аким образом, хот€ штатна€ система безопасности операционной системы Windows и имеет свой аутентифицирующий субъект, модифицированна€ безопасна€ среда предусматривает установку дополнительного сетевого драйвера, участвующего в прин€тии решений о доступе (подключении диска), а также получающий хэш-код пользовательского парол€ и извлекающий в итоге ключ шифровани€ данных.

“ретий тип угрозы заключаетс€ в атаке со стороны злоумышленника-администратора работающей системы. Ќесмотр€ на то, что символы, введенные в процессе аутентификации на удаленном компьютере, не раскрывают пароль (аутентификаци€ с защищенной обратной св€зью), перехват парол€ возможен посредством тро€нского кон€ либо посредством программ-шпионов (кей-логгеров) уровн€ €дра операционной системы перехватывающих символы, вводимые с клавиатуры. ѕолной защиты от злоумышленника-администратора быть не может, но, например, использование комбинации пароль/внешний ключ делает атаку на ключ шифровани€ практически невозможной. ¬ладе€ только ключом или паролем, злоумышленник не сможет произвести доступ к системе. — целью устранени€ вышеназванной угрозы безопасности рекомендуетс€ также использовать надежное зашифрованное хранилище паролей, которое автоматически подставл€ет символы в поле ввода. ƒанна€ функци€ делает пароль недоступным дл€ атаки по словарю, а также дл€ атаки при помощи кей-логгеров. Ќаибольшую опасность все же представл€ет возможность перехвата аутентификационных данных через сеть. Ќо эту проблему можно устранить при помощи симметричного шифровани€ данных.

„етвертый тип угрозы заключаетс€ в получении злоумышленником доступа к файлам на подключенном защищаемом диске. ”странение этой угрозы основано на том, что система поддерживает предусмотренного пользовател€ защищенного диска. ћодификаци€ безопасной среды позвол€ет ей однозначно ассоциировать такого пользовател€ с его данными. ƒалее дл€ получени€ удаленного доступа к файлу на защищенном диске ему необходимо установить с сервером по защищенному каналу. ¬се пакеты, пришедшие по незащищенному каналу, которые может отсылать злоумышленник, представл€€сь псевдо-предусмотренным пользователем, сетевой драйвер игнорирует.

ƒанна€ схема работает следующим образом: клиент, зашифровывает пакет, содержащий сеансовый ключ, открытым ключом сервера (т.е. расшифровать его может только сервер) и своим секретным ключом, так как у сервера есть открытый ключ клиента, он может не только удостоверитс€, что пакет отправлен легальным клиентом и предназначаетс€ именно ему, но и расшифровать полученную информацию. “аким образом, взаимна€ аутентификаци€ исключает возможность фальсификации не только отправл€ющей, но и принимающей стороны. ѕодобна€ схема также предусматривает улучшение стойкости против DoS-атак, при этом используетс€ контроль качества пакетов, получаемых с определенного IP-адреса. ѕри превышении заданного порога, порт блокируетс€ дл€ этого

ƒл€ улучшени€ стойкости к DoS-атакам (типа «отказ в обслуживании») используетс€ контроль качества запросов к сервису по порту аутентификации с одного и того же IP-адреса. ѕри превышении определенного порога, этот порт блокируетс€ дл€ этого IP, включаетс€ возможность сетевого фильтровани€ пакетов.

“аким образом, модифицированна€ безопасна€ среда предусматривает комплексную защиту обмена данными между сервером и клиентами. ѕосле того как клиент устанавливает защищенное соединение, на его машине активируетс€ сетевой драйвер модифицированной безопасной среды, который шифрует все IP-пакеты, отправл€емые на сервер и обеспечивает дешифрование пакетов, приход€щих от него. “аким образом обеспечиваетс€ безопасный доступ к защищенным данным на удаленном сервере, на котором в свою очередь функционирует аналогичный сетевой драйвер, позвол€ющий шифровать пакеты, отправл€емые не одному, а сразу нескольким клиентам.

ѕакет поступает изначально не штатному сетевому драйверу, а драйверу модифицированной безопасной среды, который провер€ет, €вл€етс€ ли этот пакет разрешенным. «атем с помощью встроенной в ќ— криптографической библиотеки зашифровывает пакет сеансовым ключом, добавл€ет к нему код аутентичности и направл€ет его сетевому драйверу штатной безопасной среды. ѕри этом сеансовые ключи хран€тс€ в невыгружаемых адресных пространствах сетевых драйверов модифицированной безопасной среды сервера и клиента. ƒл€ большей гарантии безопасности стоит предусмотреть автоматическую смену сеансового ключа по истечении определенного срока либо при пересылке определенного объема информации. ¬ таком случае обмен новыми ключами происходит повторно через защищенное соединение. —еансовые ключи при этом наход€тс€ в невыгружаемых страницах адресного пространства сетевых драйверов модифицированной безопасной среды на сервере и клиенте.

“аким образом предложенна€ модифицированна€ безопасна€ среда создает дополнительные преп€тстви€ на пути злоумышленника. ÷ель подобных модификаций сводитс€ к тому, чтобы затраты на получение несанкционированного доступа многократно превышали стоимость защищаемой информации. “о есть эффективность защитных мер должна быть соразмерна с ценностью информации.

Ћитература:

  1. ¬. —толлингс.  риптографи€ и защита сетей: принципы и практика (2-е издание). ћ. ¬иль€мс, 2003
или введите им€

CAPTCHA
јнна
30-06-2014 15:50:00
—тать€ указана без соавтора. —читаю нарушением авторских прав. »ванова ј.¬.  ак некрасиво...
0 |
јноним
29-12-2014 02:47:33
јвторские права не нарушены то...
0 |