Хорош ли DallasLock?

Хорош ли DallasLock?
Многие организации для защиты персональных данных используют различные средства защиты информации. В большинстве реализаций защиты основным компонентом является средство защиты информации от несанкционированного доступа. Само понятие несанкционированный доступ (НСД) имеет две трактовки: узкую и широкую.


Согласно узкой трактовке НСД – это нелегитимный доступ к данным, результатом которого может стать их распространение, изменение ииуничтожение. Это трактовка используется в Приказе № 58, вводящее в действие Положение о ПДн. Меры и способы защиты приводятся в приложении к данному приказу.


Согласно широкой трактовке НСД охватывает не только программный уровень, но и физический уровень, сетевой уровень, уровень операционной системы, уровень инфраструктурного и прикладного ПО. НСД может быть осуществлен в результате вируса или методами социальной инженерии. Этот подход рассматривается в базовой модели ФСТЭК России.


В настоящее время на рынке средств защиты конфиденциальной информации и персональных данных есть ограниченное количество средств защиты, имеющих красивую формулировку в сертификате ФСТЭК: «… является средством защиты от несанкционированного доступа и может использоваться для защиты…». Если следовать логике, то использование таких продуктов совершенно не обязательно, если необходимый функционал «набирается» прочими продуктами: контроль доступа, протоколирование событий, контроль целостности, антивирус, VPN, контроль портов и интерфейсов, резервное копирование и др. Однако, следуя моде и традициям, компонент защиты от НСД часто является основой защиты. Один из таких продуктов, представленных на отечественном рынке, это средство защиты информации DallasLockверсии 7.7 (DL77), разрабатываемый питерской компанией «Конфидент». Именно о нём и буду вести речь.


DL77 имеет сертификат соответствия, позволяющий его использовать для защиты конфиденциальной информации, класса до 1Б и персональных данных, класса до К1. DL77 пользуется спросом в банковской среде. Продукт РАБОТОСПОСОБНЫЙ, что само по себе является большой редкостью среди аналогичных средств защиты информации.


DL77 очень просто устанавливается, имеет клиент-серверную архитектуру, поддерживает ActiveDirectoryот Microsoft. Что полезного в этом продукте? При описании я буду придерживаться последовательности приведенной в описании применения DL77.


1.       В DL77 присутствует собственная реализация дискреционной модели доступа к файлам. Файловая система может быть как FAT, так и NTFS. Первая это уже пережиток прошлого и она используется, скорее на каких-нибудь старых ПК, однако DL77 поддерживает версию Windows XP только с SP3, что несколько не вяжется с FAT. Замечено, собственная реализация дискреционки никаким образом не влияет на штатный функционал. В своё время компания Microsoft рекомендовала при использовании сетевого доступа настраивать разрешения только на уровне NTFS, открывая полный доступ на уровне Share. Тут прослеживается точно такой же подход: придется или синхронизировать настройки или указывать большие привилегии  на уровне NTFS. К тому же при использовании сетевого доступа, наряду с технологией SSO от Microsoft, придется дважды настраивать уровни доступа в DL77. Недостатком является отсутствие механизма синхронизации собственной модели с моделью ОС.
 
2.      DL77 поддерживает аутентификацию с использованием iButton, eToken, RuToken. Вместо того, чтобы записывать в токен аутентификационные данные, проверка ограничивается только по серийному номеру устройства и поэтому не является строгой (iButtonтак и так не имеет перезаписываемой памяти). С таким же успехом можно ввести проверку по флешке, диску или дискете.
3.      В DL77 реализован собственный загрузчик, который проводит идентификацию и аутентификацию до загрузки ОС. Полезными являются функции по автоматическому заходу в ОС, принудительная перезагрузка при смене пользователя.
4.      В DL77 присутствует собственная реализация парольной политики. Данная реализация имеет расширенные возможности  по сравнению с политиками от Microsoft. Например, полезными настройками являются:  наличие цифр, спецсимволов, регистра символов, а также разность паролей. Однако всё удобство также сводится на нет отсутствием собственной реализации SSO. Скорее всего, при операциях с пользователями происходит запуск штатных консольных команд ОС типа netuserили dsadduser. Недостатком является то, что подсистема встраивается последовательно с штатной, а не вытесняет её. Концепция разности паролей является не безопасной, так как для её реализации нужно хранить пароли в открытом виде.
5.      DL77 имеет собственную реализацию ограничений времени доступа пользователей. Основное отличие от штатной в том, что при наступлении запрещенного времени принудительно осуществляется выход пользователя из системы, в то время как в ОС Windowsтакой функционал не предусмотрен.
6.      В DL77 имеется возможность блокировки клавиатуры при загрузке ОС. Это полезная функция препятствует нажатию F8 и загрузке в безопасном или ином режимах.
7.      Про дискреционный механизм я описал выше, про мандатный принцип контроля доступа скажу лишь то, что удивило наличие 50 уровней доступа, а также то, что для защиты персональных данных этот функционал не требуется. Однако организациям, которым нужна именно эта модель доступа, а также реализация контроля информационных потоков полезным будет наличие «мягкого режима» контроля доступа и «режима обучения».
8.      Классически, при осуществлении  защиты должен обеспечиваться контроль целостности аппаратной, программной среды, а также данных. Некоторые компании для такого вида защит продвигают аппаратные решения, которые могут проводить контроль целостности ДО загрузки ОС и периодически в процессе работы. Я считаю, что это часто излишние меры и в большинстве случаев достаточно только программного решения. В DL77 есть механизм контроля целостности BIOS, CMOS, MBR, Bootrecord, а также любых определяемых файлов и/или папок. Контроль целостности может осуществляться либо сравнением контрольных сумм CRC32, либо алгоритмами хеширования: MD5 или ГОСТ 34.11-94. При правильных настройках последовательности загрузки в BIOS, использовании паролей на вход в BIOSи опечатывании системных блоков, использование аппаратных реализаций электронных замков выглядит явно избыточным.
9.      Реализованная в DL77 подсистема очистки остаточной информации в ОС является: во-первых, полезной, во-вторых, отсутствующей в ОС Windows, в-третьих, требуется с точки зрения compliance. Этот же функционал используется и для гарантированного уничтожения файлов и/или папок по требованию. Методы очистки затирание псевдослучайными последовательностями с указанием количества раз.
10.   Подсистема аудита в DL77 реализована в виде 6 журналов: входов, доступов, процессов, политик, учетных записей, печати. Сама по себе такая реализация мне видится весьма полезной, но она опять же не вытесняет, а дополняет штатный функционал.  Удобным является возможность задания прав доступа непосредственно из окна журнала.
11.  Принтерная подсистема позволяет вести аудит документов, отправляемых на печать, а также проставлять на них специальные метки. Имеется много разных полей, которые могут быть выведены вместе с документом при печати. Например, пройден тест печати графического файла.
12.  Очень полезная функция шифрования разделов дисков найдет применение для защиты разделов, содержащих конфиденциальную информацию или же целиком мобильных ПК. Конечно «полезность» алгоритма XORчистая бутафория, так как A=XOR(XOR(A)), но можно использовать ГОСТ 28147-89, в том числе используя внешний и сертифицированный криптопровайдер. Любителям ОС Microsoftрекомендуется посмотреть в сторону BitlockerToGo, противникам – классический TrueCrypt.
13.  Присутствует полезная возможность шифрования файлов. Для шифрования используется российский ГОСТ 28147-89, можно использовать внешний криптопровайдер. По функционалу это российский аналог EFS, а как недостаток можно шифровать файл неограниченное количество раз.
14.  Присутствует полезная возможность настраивать права доступа на съемные носители: дискеты, cd-диски, usb-диски. Можно настраивать права на конкретные экземпляры носителей информации. Можно отметить, что реализация очень простая, но и совершенно не гибкая, если сравнивать функции, присутствующие в специализированных решениях.
15.  Идея замкнутой среды весьма хороша, так как таким образом можно жестко ограничить  возможности запуска приложений. Этого же эффекта можно добиться, используя GPO.
16.  Установка СЗИ на ноутбуки выполняется точно также как и на обычные ПК. Стоило ли это указывать производителю как отдельную возможность?
17.  Сама идея установки чего-либо дополнительного на контроллеры домена, пусть даже не модифицируя для этого схему AD, весьма опасна. Контролеры домена нужно и так максимально оберегать от вторичных ролей. Можно привести много причин почему, главной же причиной будет отсутствие тестирования на совместимость компанией Microsoft.
18.  Установка на серверы терминального доступа весьма полезна, так как многие компании именно так организуют работу удаленных пользователей из филиалов. Стоит сказать, что в самой ОС Windowsесть штатный функционал для настраивания такого доступа.
19.  Присутствует возможность делать снимки экранов, на которых установлен DL77. Это может быть полезно при параноидальном уровне безопасности в банках, однако реализация этого функционала сделана очень неудобно. Развивая эту мысль можно пожелать добавить функционал автоматического создания снимков для определенной группы пользователей/компьютеров с определением временного диапазона между ними или пределов рандомизации.
20.  Администрирование удаленными агентами очень отличается от локального администрирования и не в лучшую сторону. Лучше воздержаться от критики.
21.  В DL77 присутствует подсистема централизованного управления, которая позволяет практически полностью управлять функциями клиента. Лучше также воздержаться от критики.
22.  Самодиагностика это кот в мешке, так как совершенно не понятно, что происходит на самом деле, кроме отображение успеха или не успеха при эмуляции некоторых функций.
23.  Функционал по запрещению работы с определенными расширениями файлов совершенно не новый для ОС Windowsи конечно же он присутствует в GPO. Вот если бы он реализовывался по структуре для определенных типов файлов, было бы весьма интересно.
24.  Создание отчетов по реальным уровням доступа для пользователя действительно полезная функция, так как можно самым простым способом сравнить права доступа, существовавшего в разные периоды времени.
25.  Фраза о ведение двух копий программных средств это некий сферический конь в вакууме, назначение которого не ясно никому, кроме ФСТЭК России (приказ № 58). Эта «возможность» конечно же должна «присутствовать» в продукте раз он «заточен» под выполнение соответствий.
26.  Добавление различных паролей для выполнения определенных действий чаще всего ведет к появлению стиккеров на рабочих местах администраторов, а вовсе не к повышению уровня защиты от НСД. К защищенности должны вести такие принципы как разделение обязанностей, ротация сотрудников, логирование их действий, ликвидация единственных точек отказа, а не простое наращивание количества паролей доступа.
27.  Запись всех настроек в единственный файл весьма полезная возможность, которая позволяет администратору упростить процесс переноса продукта на новый ПК, например при модернизации техники.
28.  «Мягкий режим» и «режим обучения» действительно полезные функции при настройке замкнутой программной среды. Это то, чего нет среди штатных возможностей ОС Windows.

Выявленные недостатки
·         Дублирование, а не замещение функционала ОС Windows.
·         Одностороннее, часто полностью не продуманное взаимодействие подсистем DL77 со штатными подсистемами ОС Windows.
·         В процессе предоставления прав доступа были выявлены ошибки, которые исчезали при повторном назначении прав..
·         Присутствуют некоторые недочеты по интерфейсу.
·         Достаточное количество орфографических ошибок в документации.
·         Явные сложности с получением полнофункциональной версии у производителя.

Вердикт
Продукт простой и понятный в эксплуатации, имеющий полезный, но не более того функционал, пока востребованный на рынке (пока закон о персональных данных до конца не превратился в миф), однако банкам я бы не стал рекомендовать данный продукт по следующим причинам:


·         Дублируется практически весь функционал, присутствующих в ОС Windows.
·         В СТО БР ИББС нет требований обязательного использования сертифицированных решений.
·         Подсистема централизованного управления вызывает большие нарекания. Лучше бегать от одного компьютера к другому, чем пользоваться такой.
·         По этой причине при количестве ПК в организации более 30, мне видятся, большие трудности с ПОСТОЯННОЙ технической поддержкой.

PS

Примерно такой рабочий стол можно настроить для сотрудников, работающих, например, в банке. Интересно как он скажется на лояльности этих же сотрудников?

Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Евгений Шауро

Блог специалиста по информационной безопасности