Руководство по безопасности для пользователей мобильных устройств (часть 2).

Автор Боб Рудис (Bob Rudis)

Первая часть уделяла внимание брандмауэрам/IDS/IPS и защите от вирусов. Вторая часть завершает цикл статей обсуждением дополнительных мер безопасности для защиты переносимой информации.

Обеспечение безопасности линиям связи

В 1808 г между Францией и соединенными силами Англии и Испании разразилась Война Полуострова. В своей книге «Человек, разгадавший замыслы Наполеона», Марк Урбан (Mark Urban) рассказывает о предпринимаемых французами мерах по обеспечению безопасности передаваемых курьерами писем, например использование шифров.

Когда ваши пользователи находятся в пути, вам так же следует позаботиться о безопасности переносимой ими информации. Единственным способом обезопасить передачу информации является ее шифрование. К счастью вам есть из что выбрать при выборе метода шифрования.

SSL/TLS: шифрование на уровне приложений

Единственное о чем могут подумать пользователи при слове “SSL” – это маленький замочек в нижнем углу браузера и дополнительная “s” у “http”. Уровень Безопасных Сокетов (Secure Socket Layer) или Безопасность Транспортного Уровня (Transport Layer Security) шифрует сессию, процесс удостоверения подлинности сервера и, при желании, процесс удостоверения подлинности клиента и сообщений. Это значит, что вы можете зашифровать передаваемые данные и проверять являются ли клиент/сервер теми, кем они себя выдают. SSL/TLS не ограничиваются браузерами – практически любое приложение может использовать их либо через свои настройки, либо при помощи сторонних программ, например stunnel.

При установке SSL/TLS на ваши мобильные устройства следует учитывать несколько факторов, чтобы увериться в безопасности вашей информации:

Охват любых приложений

Браузеры считаются самыми безопасными приложениями для работы в сети, т.к. большинство браузеров уже давно имеют поддержку SSL/TLS. Вам следует узнать потребности пользователей и службы, к которым требуется доступ, чтобы работать в пути. Часто это доступ к службе электронной почты, возможность обмена файлами с внутренней сетью и использование корпоративных сетевых приложений. Вам следует рассмотреть каждый компонент и узнать – имеют ли они встроенную поддержку SSL/TLS. Большинство почтовых приложений и приложений по обмене данными имеют такую возможность. В противном случае вам надо определить выгоды и недостатки использования сторонних приложений, например stunnel, и можно ли их вообще использовать в вашем случае.

Соответствие сертификатам

Поддержка SSL/TLS подразумевает использование цифровых сертификатов. Вам требуется приобрести сертификат у уполномоченных служб (certificate authority), среди которых есть доступные любому пользователю (вы можете набрать в поисковой системе Google "certificate authority" и выбрать по подходящим вам условиям).

Ваша организация может уже использовать собственные, внутренние цифровые сертификаты. Начиная с Windows 2000 Microsoft позволяет вам легко создавать и управлять своими сертификатами. Другие компании также создали свои продукты, позволяющие создавать свои сертификаты, есть даже продукты с открытым кодом – OpenSSL и SSL Certificates HOWTO – чтобы помочь вам в процессе создания.

Несмотря какой сертификат вы будете использовать, вам следует убедиться в том, что приложения поддерживают ваши сертификаты. Спросите разработчиков приложений какие сертификаты они изначально поддерживают и возможна ли поддержка новых сертификатов.

Безопасность линий связи

Некоторые страны имеют законы, регулирующие уровень шифрования данных, который вы можете или должны иметь на своем оборудовании. Вам следует выбрать такой "certificate authority", который позволит иметь несколько сертификатов для разных стран, а также вы должны быть в курсе международных требований к шифрованию данных.

Закрываем форточки

Вы можете чувствовать себя в безопасности с SSL/TLS, т.к. вы заперли свои двери, но вам нужно убедиться в том, что черные ходы, которые имеют большинство подобных приложений, закрыты. Это значит, что ссылка https://example.org/ должна работать, а http://example.org/ - нет. Также следует убедиться, что почтовые и др. серверы закрыли свои черные ходы, или они заблокированы брандмауэром. Также следует наблюдать, чтобы ссылки и ресурсы проходили через безопасные каналы.

Использование SSL/TLS может усложнить вашу работу, особенно при использовании сертификатов. Появляется дополнительная нагрузка как на сервер, так и на клиента, т.к. каждое соединение требует шифрования/дешифрования. Эту нагрузку можно уменьшить, например вспомогательными приложениями, но при больших затратах.

Частные виртуальные сети (VPN): безопасность от начала до конца

SSL/TLS удобно использовать, когда вам надо обезопасить несколько приложений. Если вашим пользователям требуется постоянное, устойчивое соединение с вашей внутренней сетью (например, монтировать расшаренные ресурсы), то на помощь приходят частные виртуальные сети (VPN). VPN обеспечивают безопасное соединение между мобильным устройством и внутренней сетью и могут работать с сертификатами, как SSL/TLS. Пользователи устанавливают соединение с Интернетом, а потом используют VPN-клиент, чтобы соединиться с шлюзом в вашей сети. После авторизации пользователь находится в локальной сети.

Microsoft и другие ОС имеют встроенную поддержку VPN, однако у вас могут быть другие потребности, особенно при большом количестве пользователей. В таком случае вам лучше установить VPN-приложения.

Оцениваем VPN

При выборе VPN-системы, следует учитывать ключевые моменты: можно ли централизованно управлять всеми VPN-приложениями? Насколько легко проводить авторизацию клиентов? Имеет ли VPN свои сертификаты и может ли принимать альтернативные? Может ли VPN-система интегрироваться с вашим брандмауэром и антивирусом? Существует ли механизм проверки настроек клиента до того, как он войдет в вашу сеть? Насколько четко работает система оповещения? Насколько хорошо VPN интегрируется с существующими LDAP и Active Directory структурами? Сколько активных подключений поддерживает VPN? Будет ли она работать, если любая из сторон находится за NAT-шлюзом или сетевым фильтром? Поддерживает ли VPN раздельное туннелирование, чтобы увеличить пропускную возможность сети?

Обеспечение безопасности переносимого устройства

Обезопасив линии связи, следует подумать, где будет храниться переносимая информация. Это может включать в себя жесткий диск ноутбука, флоппи-диски, Zip-драйв, CD-ROM и карты памяти USB-Flash. Большинство пользователей используют несколько вариантов при переносе данных, и любой из них не исключает возможности кражи устройства, даже на короткий срок. Как помочь пользователю сохранить информацию?

Есть несколько методов обезопасить мобильное устройство, и вам может понадобиться несколько инструментов в зависимости от ситуации. Microsoft (и другие производители ПО) имеет встроенное решение, называемое Шифрующаяся Файловая Система (EFS). EFS основана на публичных ключах шифрования (например, сертификаты) и требует поддержку NTFS. Отдельные файлы и папки могут быть отданы под шифрование. У EFS два преимущества. Во-первых, т.к. это встроенная система, приложения, типа Microsoft Word и Excel, не просят расшифровывать охраняемые файлы – они это делают сами «на лету». Во-вторых, существует встроенная система восстановления, в случае недоступности главного ключа. Эти преимущества могут представлять угрозу со стороны безопасности, но со стороны администрирования это незаменимые качества.

Чтобы помочь пользователям обезопасить себя, следует шифровать данные папки “My Documents”. Главный принцип – шифровать те папки, в которых пользователь часто сохраняет какие-либо данные. Также следует удалять файлы, содержащие информацию об охраняемых файлах, при перезагрузке или выключении компьютера, чтобы избежать утечки информации.

EFS не панацея и не работает во всех случаях. Большинство переносимых устройств используют файловые системы FAT для совместимости с разными платформами. В такой ситуации вам понадобятся другие инструменты, и существует много приложений, способных обезопасить информацию на таких устройствах. Вам следует провести оценку подобных инструментов или установить shareware-инструмент и протестировать его в условиях вашей системы.

Проявляйте усердие

Возвращаясь к Войне Полуострова, мы узнаем, что французы были самонадеянны при шифровании своих сообщений. Они продолжали использовать один и тот же шифр и использовали несколько маршрутов их доставки. Они были уверены, что англичане не расшифруют их сообщения даже если поймают курьеров.

По ходу действия книги появляется джентльмен по имени Джордж Сковелл (George Scovell), у которого, как оказалось, был особый интерес к шифрам. Именно благодаря ему, Веллингтон одержал победу в битве под Саламанкой, разбив армию французов.

Мораль этой истории такова: будьте всегда неудовлетворенны состоянием безопасности вашей системы. Несмотря какое ПО и от каких производителей вы используете, помните:

• Будьте бдительны при обновлении вашей операционной системы и уровней защиты
• Держите ваши вирусные базы данных обновленными
• Постоянно проверяйте правила брандмауэра и обновляйте во время IDS/IPS
• Обновляйте приложение, использующие шифрование, при сообщении о найденных в них уязвимостях
• Создайте хорошую политику безопасности для сертификатов и паролей
• Регулярно просматривайте журналы событий
• Давайте вашим пользователям советы по соблюдению мер безопасности

Управление системой безопасности мобильных устройств нелегкое дело, но исследование методов по обеспечению безопасности, выбор правильных решений снизит риск утери информации и позволит управлять безопасностью, как пользователей мобильных устройств, так и вашей сети.