Add to collection(s) Add to saved
  1. Инженерия
  2. Информатика
  3. Компьютерные сети

Шабалин

advertisement 
Оглавление
Введение ................................................................................................................... 3
Обеспечение
безопасности
персональных
данных
в
виртуальной
инфраструктуре ....................................................................................................... 8
Законодательная основа для обеспечения защиты подключения при работе с
персональными данными ..................................................................................... 12
Разработка программного обеспечения для защиты подключения ................. 16
Анализ и выбор средств разработки программного обеспечения ................ 17
Определение структуры программного обеспечения .................................... 19
Формулировка основных принципов работы программного обеспечения . 20
Описание возможных сценариев внедрения разработанного программного
обеспечения ........................................................................................................ 25
Заключение ............................................................................................................ 32
Список литературы ............................................................................................... 34
2
Введение
В настоящее время всё большее распространение и популярность
получает применение технологии виртуализации в различных областях
информационных технологий. Рынок виртуализации в России, как и в других
странах, активно развивается и темп роста может составить до 80% в год к
2015 году [3, 8]. Наиболее весомыми аргументами в пользу применения
технологий
виртуализации
являются
следующие
преимущества
по
сравнению с традиционным подходом без использования виртуализации:
снижение
затрат
на
поддержание
ИТ
инфраструктуры
(снижение
энергопотребления, тепловыделения, сокращение парка вычислительного
оборудования), повышение уровня доступности информационных систем
(снижение вероятности отказа сервиса при выходе из строя аппаратного
обеспечения), упрощение и централизация управления ИТ инфраструктурой.
Понятие виртуализации затрагивает множество различных направлений
развития информационных систем, среди которых наиболее актуальными
сейчас являются следующие: виртуализация рабочих станций, виртуализация
серверов,
виртуализация
сетевой
инфраструктуры,
виртуализация
приложений. Наиболее интересной с точки зрения данной работы является
концепция виртуализации рабочих станций (Virtual Desktop Infrastructure VDI). В связи с растущим желанием сделать информационные системы более
устойчивыми к угрозам различного характера (несанкционированный доступ
к устройству пользователя, потери важных данных при выходе из строя
пользовательского устройства) всё больше организаций задумываются о том,
как сделать свою информационную систему более гибкой и эффективной с
точки зрения соблюдения политики безопасности, обеспечения желаемого
уровня доступности сервисов и инфраструктуры в целом, при сохранении
приемлемого уровня свободы и удобства с позиции конечного пользователя
системы [17, 18]. С другой стороны, концепция виртуализации рабочих
станций (VDI) очень эффективна, учитывая огромную популярность
3
концепции BYOD (Bring your own device) [18, 19]. По данным отчета
компании Cisco по глобальным сетевым технологиям за 2013 год число
сотрудников, которые используют свои личные устройства на рабочем месте,
но не для работы составляет 75%, а уже около 17% из них используют
личные устройства в рабочих целях [20].
Концепция VDI не могла остаться без внимания государственных и
муниципальных
организаций,
в
информационных
системах
которых
содержатся и обрабатываются различного рода данные, к которым
предъявляются
законодательные
требования
по
обеспечению
их
безопасности (например, персональные данные) [1, 5]. Соответственно, для
применения технологий виртуализации рабочих станций в государственном
секторе следует предусмотреть защиту канала передачи информации между
устройством
пользователя
инфраструктуры
VDI
и
соответствующей
виртуальной машиной, необходимой для его работы. Работа с виртуальной
машиной в большинстве реализаций происходит по протоколу Remote
Desktop Protocol (RDP) [39], который имеет встроенные механизмы защиты
по умолчанию с применением зарубежных алгоритмов шифрования: DES с
длиной ключа 56 бит и RC2 с длиной ключа 40 бит. В связи с
использованием слабого шифрования по умолчанию трафик может быть
дешифрован в процессе передачи. Возникает необходимость в защите RDP
подключения с помощью более стойкого алгоритма шифрования, например,
ГОСТ 28147-89 с ключом 256 бит или AES с длиной ключа 128, 192 или 256
бит. Для таких целей могут подойти решения, позволяющие создать
защищенный туннель, по которому передаются зашифрованные сетевые
пакеты от одного устройства к другому, тем самым обеспечивая
конфиденциальность передаваемых данных. Одним из представителей
данной группы решений является комплекс VipNet.
4
Однако, такое решение как VipNet обладает рядом недостатков
относительно применения в инфраструктуре VDI:

Он не может быть установлен на «тонкие» клиенты или «ноль-
клиенты»;

Имеет высокую стоимость и требует квалифицированного
персонала для его настройки, внедрения и сопровождения;
Имеется
ряд
программных
средств,
обеспечивающих
защиту
подключения по протоколу RDP, например, программный комплекс
«МагПро Защита RDP». Однако, как ViPNet, так и «МагПро Защита RDP»
накладывают
множество
требований
к
операционной
системе
и
программному обеспечению, установленным как на серверной части, так и на
стороне клиента. Помимо этого, данные решения имеют высокую стоимость
и для успешного их внедрения следует иметь квалифицированный персонал.
Целью данной работы является разработка архитектуры программного
обеспечения, предоставляющего защиту канала передачи данных,
в
частности, определенного сеанса подключения клиентского устройства
(тонкого клиента) к защищенной виртуальной машине по протоколу RDP,
что
наиболее
актуально
при
использовании
«тонких»
клиентов
в
инфраструктуре VDI. При этом, весь остальной сетевой трафик, который не
направлен к виртуальной машине, передается по открытому каналу связи в
нешифрованном виде.
Для достижения поставленной цели необходимо выполнить следующие
задачи:
1.
Изучить требования законодательства Российской Федерации в
области обеспечения безопасности персональных данных и выявить ряд
требований к средствам криптографической защиты персональных данных
при их обработке в информационных системах;
5
Изучить
2.
структуру
и
особенности
протокола
удаленного
управления RDP, механизмы обеспечения безопасности передаваемых
данных, применяемые в стандартной реализации данного протокола;
Разработать прототип программного обеспечения, позволяющего
3.
защитить сеанс RDP подключения к защищенной виртуальной машине в
соответствии с требованиями актуального законодательства РФ в области
защиты персональных данных при их обработке в информационных системах
персональных данных;
Сделать выводы об эффективности разработанного решения и
4.
применимости его на практике в среде VDI с использованием «тонких»
клиентов.
Объектом исследования выступает разработка программного комплекса
для защиты соединения по протоколу RDP.
Предметом исследования в дипломной работе являются методы
обеспечения
безопасности
обработки
персональных
использовании клиентов, работающих по протоколу
данных
при
RDP, в среде
виртуальных рабочих мест (VDI).
Методологической и теоретической основой дипломной работы явились
труды
отечественных
и
зарубежных
специалистов
в
области
информационной безопасности. В ходе работы над дипломной работой
использовалась
информация,
отражающая
содержание
законов,
законодательных актов и нормативных актов, постановлений Правительства
Российской Федерации, регулирующих защиту информации, международные
стандарты по информационной безопасности.
Теоретическая
значимость
дипломного
исследования
состоит
в
усовершенствовании подхода к обеспечению безопасности обработки
персональных данных в виртуализированной среде, в частности, при
использовании протокола RDP для подключения к виртуальным машинам,
обрабатывающим персональные данные, в инфраструктуре VDI.
6
Практическая значимость работы определяется тем, что её результаты
позволят реализовать новый подход к защите виртуальной инфраструктуры,
что в свою очередь даст возможность повысить гибкость системы при
одновременном повышении уровня её защищенности.
7
Обеспечение безопасности персональных данных в виртуальной
инфраструктуре
Основным стимулом для написания данной работы послужила
организация работы с персональными данными в одном государственном
учреждении
Тюменской
области.
Информационная
система
данного
предприятия содержит в себе персональные данные нескольких десятков
тысяч субъектов персональных данных. Для того, чтобы соответствовать
требованиям
действующего
законодательства
в
области
обеспечения
безопасности персональных данных при их обработке, был выделен
отдельный физически изолированный сегмент сети, в котором происходит
хранение и работа с персональными данными. Следовательно, пользователи
информационной системы, которым необходимо работать с персональными
данными, вынуждены иметь на своем рабочем месте по два персональных
компьютера: первый подключен к закрытому сегменту сети с доступом к
персональным данным, второй ПК подключен к открытому сегменту сети с
доступом к прочим корпоративным ресурсам. Данный подход создает
дополнительные накладные расходы на администрирование аппаратного
обеспечения.
Организация изъявила желание реализовать имеющиеся планы по
переходу к инфраструктуре виртуальных рабочих станций (VDI), чтобы у
конечного пользователя ИС на рабочем месте находился лишь тонкий клиент
либо персональный компьютер, который бы подключался к соответствующей
пользователю виртуальной машине, работающей на сервере, и все операции
происходили на данной виртуальной машине. Такой подход позволил бы
сократить количество ПК на рабочих местах сотрудников, имеющих доступ к
закрытому сегменту сети, в котором обрабатываются персональные данные,
за счет присоединения виртуальных машин таких пользователей к
защищенному сегменту сети. В результате таких мер, можно было бы
разрешить доступ к защищенному сегменту сети с тонких клиентов
8
исключительно по протоколу Remote Desktop Protocol (RDP), а уже с
виртуальной машины из защищенного сегмента сети можно было бы
разрешить доступ к необходимым для работы ресурсам открытой сети, но не
наоборот, то есть из открытой сети в закрытую сеть можно попасть только по
протоколу RDP.
Одной из основных задач является разработка проекта по обеспечению
безопасного подключения клиентского устройства к виртуальной машине.
Проблема обеспечения безопасного взаимодействия устройств из закрытой и
открытой сети может быть решена при помощи установки межсетевого
экрана, имеющего сертификат соответствия ФСТЭК России. Необходимо
также обеспечить надежную защиту канала передачи данных между
клиентским устройством и конечной виртуальной машиной. Для этого в ходе
работы над проектированием защищенного доступа к виртуальным машинам
был выявлен ряд условий:
1.
Доступ к виртуальным машинам осуществляется исключительно
по протоколу RDP;
2.
Виртуальные
машины,
на
которых
ведется
обработка
персональных данных, выделены в отдельный логически изолированный
сегмент сети (защищенный сегмент);
3.
В защищенном сегменте сети выделена одна виртуальная
машина, выполняющая роль шлюза и пограничного элемента между
виртуальными
машинами
защищенного
сегмента,
к
которым
будут
производиться подключения от клиентских устройств, и ресурсами открытой
сети;
4.
Пользователи используют для подключения к защищенным
виртуальным машинам устройства с установленной операционной системой
Windows или Linux;
9
Учитывая описанные выше условия можно предложить подход к
обеспечению безопасной работы с персональными данными, который будет
заключаться в следующем:
1.
Пользователь имеет на своем рабочем месте лишь одно
устройство для работы (ПК, ноутбук);
2.
С ресурсами открытой сети пользователь способен работать в
обычном режиме. С ресурсами защищенной сети пользователь работает с
помощью установленного на его компьютере
стандартного клиента
удаленного рабочего стола (RDP клиент), трафик от которого обрабатывается
специальной службой, обеспечивающей шифрование трафика RDP от
клиента до шлюза;
3.
шлюз
На границе защищенного сегмента виртуальных машин имеется
(выделенная
содержимое
виртуальная
пакетов,
машина),
направленных
от
который
расшифровывает
определенного
клиентского
устройства к виртуальной машине, и передает их в сторону конечной
виртуальной машины, а также выполняет обратные преобразования;
4.
Для
обеспечения
конфиденциальности
подключения
к
удаленному рабочему столу виртуальной машины из защищенного сегмента
сети используется симметричный алгоритм шифрования ГОСТ 28147-89;
5.
Трафик внутри защищенного сегмента виртуальных машин
передается в «открытом» (не шифрованном алгоритмом ГОСТ 28147-89)
виде;
В результате, были сформулированы основные моменты на пути к
решению проблемы защиты канала передачи данных между компьютером
пользователя из открытой сети и виртуальной машиной из защищенной сети,
на которой ведется обработка персональных данных.
Следующей
задачей
является
рассмотрение
действующего
законодательства в области обеспечения безопасности персональных данных
при их обработке в информационных системах с целью выявления ряда
10
требований и учета их в процессе разработки программного обеспечения для
выполнения поставленной цели.
11
Законодательная основа для обеспечения защиты подключения при
работе с персональными данными
Основным документом по отношению к сфере работы с персональными
данными является федеральный закон № 152 от 27 июля 2006 года «О
персональных
данных».
Данный
нормативный
правовой
акт
дает
определение понятию «персональные данные» и регулирует деятельность по
обработке персональных данных.
Федеральный закон № 152 «О персональных данных» использует в
числе многих других следующие определения:
1.
Персональные данные - любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу
(субъекту персональных данных);
2.
Обработка персональных данных - любое действие (операция)
или совокупность действий (операций), совершаемых с использованием
средств
автоматизации
персональными
или
данными,
без
включая
использования
сбор,
запись,
таких
средств
с
систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование,
передачу
(распространение,
обезличивание,
блокирование,
удаление,
предоставление,
уничтожение
доступ),
персональных
данных;
3.
Автоматизированная
обработка
персональных
данных
-
обработка персональных данных с помощью средств вычислительной
техники;
4.
Информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств;
Также закон устанавливает необходимость соблюдения необходимых
требований по защите персональных данных при их обработке. Состав
требований по защите персональных данных в том числе устанавливаются
12
приказом Федеральной службы по техническому и экспортному контролю от
18 февраля 2013 г. N 21, который носит название «Об утверждении Состава и
содержания
организационных
и
технических
мер
по
обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных».
Существует четыре уровня защищенности персональных данных при их
обработке
в
информационной
системе,
которые
установлены
в
Постановлении правительства Российской Федерации № 1119 от 01.11.2012
г., которое носит название «Об утверждении требований к защите
персональных данных при их обработке в информационных системах
персональных данных». Постановление № 1119 вносит понятия типов угроз,
которые делятся на 3 типа. Таким образом, уровень защищенности
персональных данных определяется в зависимости от актуального типа
угроз,
категории
информационной
персональных
системе
данных,
обрабатываемых
в
данной
(специальные,
биометрические,
иные),
и
количества субъектов персональных данных, информация о которых
содержится и обрабатывается к информационной системе.
Более наглядно информация по уровням защищенности персональных
данных представлена в Таблице 1:
Био
Категории
метр
Специальные
ПДн
Иные
ичес
Общедоступные
кие
Собственные
работники
Количество
субъектов
Тип
актуальных
угроз
нет
нет
да
нет
нет
>100
тыс.
<100
тыс.
>100
тыс.
<100
тыс.
1
1 УЗ
1 УЗ
1 УЗ
1 УЗ
1 УЗ
2 УЗ
2
1 УЗ
2 УЗ
2 УЗ
2 УЗ
2 УЗ
3
2 УЗ
3 УЗ
3 УЗ
3 УЗ
3 УЗ
да
нет
нет
да
>100
тыс.
<100
тыс.
2 УЗ
2 УЗ
2 УЗ
2 УЗ
3 УЗ
3 УЗ
2 УЗ
3 УЗ
3 УЗ
4 УЗ
4 УЗ
4 УЗ
4 УЗ
4 УЗ
Таблица 1. Уровни защищенности персональных данных.
13
В конечном итоге, в приказе ФСТЭК № 21 от 18.02.2013 г. содержится
список организационных и технических требований по защите персональных
данных
для
того,
чтобы
соответствовать
определенному
уровню
защищенности персональных данных.
Что касается данной работы, то наиболее важным требованием по
защите персональных данных является мера ЗИС.3 раздела XIII «Защита
информационной системы, ее средств, систем связи и передачи данных
(3ИС)» из «Приложения к Составу и содержанию организационных и
технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных», которое
содержит следующее утверждение: «Обеспечение защиты персональных
данных от раскрытия, модификации и навязывания (ввода ложной
информации) при ее передаче (подготовке к передаче) по каналам связи,
имеющим
выход
за
пределы
контролируемой
зоны,
в
том
числе
беспроводным каналам связи».
Пункт ЗИС.3 устанавливает необходимость защиты персональных
данных при их передаче по каналам связи. Причем данный пункт актуален
для всех четырех уровней защищенности персональных данных с первого по
четвертый.
Целью данной работы как раз является защита канала передачи данных
между устройством конечного пользователя информационной системы
персональных данных, находящегося иногда за пределами контролируемой
зоны (локальной вычислительной сети организации) и выполняющего
подключение к корпоративным ресурсам через глобальную сеть передачи
данных общего пользования, и сервером виртуальных рабочих мест, к
которому осуществляет подключение конечный пользователь по протоколу
RDP с целью дальнейшей обработки персональных данных.
Защита канала передачи данных, а именно обеспечение свойства
конфиденциальности информации, может быть обеспечена при помощи
14
применения к передаваемым данным стойкого алгоритма шифрования.
Требований по использованию конкретных алгоритмов для защиты
персональных данных в Российском законодательстве не прописано. Исходя
из этого было принять решение об использовании отечественного алгоритма
шифрования ГОСТ 28147-89, как одного из наиболее стойких в мире среди
современных стандартов.
Также, следует заметить, что для того, чтобы информационная система
была
способна
обеспечить
определенный
уровень
защищенности
персональных данных, определенный Постановлением правительства РФ №
1119 от 01.11.2012 г., (с первого по четвертый), необходимо выполнить все
остальные требования, указанные в приложении к приказу ФСТЭК № 21 от
18.02.2013
г,
соответствующие
требуемому
уровню
защищенности
персональных данных. Обеспечение остальных требований не является
целью данной работы.
15
Разработка программного обеспечения для защиты подключения
Процесс разработки программного обеспечения по защите подключения
к виртуальной машине можно представить в виде следующих этапов:
1.
Анализ и выбор средств разработки программного обеспечения;
2.
Определение структуры программного обеспечения;
3.
Формулировка основных принципов работы программного
обеспечения;
4.
Описание возможных сценариев внедрения разработанного
программного обеспечения;
В последующих разделах данной работы будут подробно описаны
приведенные выше этапы разработки.
16
Анализ и выбор средств разработки программного обеспечения
Для реализации программного обеспечения защищенного подключения
к удаленному рабочему столу необходимо определиться со средствами
разработки. Первым делом нужно выбрать основу программного продукта.
Имеется несколько вариантов, основными из которых являются
следующие два:
1.
Написать собственное программное обеспечение от начала до
конца без оглядки на уже имеющиеся программные продукты сторонних
разработчиков;
2.
Изучить имеющиеся
программные продукты
с подобным
функционалом, произвести некоторую модификацию данного программного
обеспечения и получить требуемый продукт.
Было принято решение действовать по сценарию № 2. Был найден
подходящий
продукт
с
открытым
исходным
кодом,
не
имеющий
лицензионных ограничений на внесение изменений в код продукта и его
дальнейшее распространение.
Таким продуктом оказалось программное обеспечение OpenVPN, с
помощью которого можно создавать виртуальную частную сеть (туннеля) с
применением криптографических алгоритмов шифрования для защиты
данных,
передаваемых
используется библиотека
по
созданному
туннелю.
Для
шифрования
OpenSSL. OpenVPN способен работать на
большинстве современных операционных систем, таких как
Solaris,
OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX и Microsoft
Windows. В таком случае можно говорить о свойстве кроссплатформенности
программного обеспечения, что может позволить использовать данное ПО
для работы на тонких клиентах под управлением ОС версии Microsoft
Windows.
Другое важное свойство данного программного продукта состоит в том,
что подключение работа с трафиком происходит на транспортном уровне
17
сетевой модели TCP/IP. Передача данных идет по одному из протоколов
транспортного уровня TCP (Transmission Control Protocol) или UDP (User
Datagram Protocol), что позволяет производить подключение через сети, не
поддерживающие протоколы виртуальных частных сетей сетевого уровня
модели TCP/IP, таких как, например, протокол IPsec.
Таким образом, выбор данного продукта в качестве основы для
собственного программного обеспечения является наиболее оптимальным
решением, т.к. большинство необходимых функций и возможностей уже
реализовано.
18
Определение структуры программного обеспечения
Основой программного обеспечения служат следующие два модуля:
1.
Клиентская часть приложения отвечает за перехват трафика RDP,
инициированного стандартным клиентов Windows для подключения к
удаленному
рабочему
столу,
шифрование
перехваченного
трафика
алгоритмом ГОСТ 28147-89 и перенаправление его на шлюз (серверную
часть программного обеспечения). Также клиент выполняет обратные
преобразования, то есть выполняет расшифрование трафика, полученного от
серверного компонента. Клиентскую часть программного обеспечения
условно назовем CryptoClient;
2.
Серверная часть приложения выполняет роль шлюза, о котором
было сказано в описании клиентского компонента. Данный компонент
отвечает за расшифрование трафика, полученного от клиента, и передачу его
по направлению к виртуальной машине, к которой изначально выполнялось
подключение. Также шлюз выполняет обратные преобразования, то есть
выполняет шифрование трафика при передаче его клиентскому компоненту
программного
обеспечения.
Компонент
программного
обеспечения,
устанавливаемый на шлюз, условно назовем CryptoServer.
19
Формулировка основных принципов работы программного обеспечения
На
рисунке
1
схематически
показана
взаимосвязанность
всех
компонентов программного обеспечения для защиты подключения к
удаленной виртуальной машине по протоколу RDP.
Рисунок 1. Схема работы приложения
Как показано на Рисунке 1, трафик между клиентом с установленным и
запущенным сервисом CryptoClient и шлюзом с запущенным сервисом
CryptoServer шифруется. При этом трафик, находящийся в пределах
защищенной сети («Изолированный сегмент сети» на рис. 1) передается в
нешифрованном
виде.
Это
сделано
из
соображений
лучшей
масштабируемости, совместимости и гибкости при добавлении новых
виртуальных машин и использовании различных версий операционных
систем на виртуальных машинах. Такой подход позволяет обеспечить более
простую модель развертывания, нежели если бы компонент CryptoServer был
установлен на каждой виртуальной машине. В таком случае при добавлении
новой виртуальной машины пришлось бы устанавливать и настраивать
новый CryptoServer отдельно. При увеличении числа виртуальных машин до
100 или более было бы очень сложно адекватно администрировать столь
20
внушительный парк виртуальных машин без какого-либо выделенного
сервера управления.
При текущем подходе (как показано на рис. 1) нет необходимости в
выделенном сервере управления, что
значительно понижает сложность
системы и повышает время развертывания новых виртуальных машин в
пределах защищенного сегмента виртуальных машин, т.к. не требуется
вносить существенные изменения в конфигурацию компонентов CryptoClient
и CryptoServer.
Рисунок 2. CryptoClient
На рисунке 2 изображен процесс обработки трафика при открытии
подключения к удаленному рабочему столу виртуальной машины с помощью
стандартного средства подключения к удаленному рабочему столу Windows.
Процесс обработки исходящего трафика выглядит следующим образом:
1. Клиент подключения к удаленному рабочему столу инициирует
подключение к виртуальной машине;
2. Сервис CryptoClient, запущенный на клиентском устройстве (в
данном примере сервис запущен на персональном компьютере),
обнаруживает пакет, направленный в защищенную сеть виртуальных
машин. В параметрах сервиса CryptoClient прописаны адреса сетей
защищенных
виртуальных
машин. Если
адрес назначения
в
21
перехваченном пакете содержится в списке адресов защищенных
виртуальных машин сервиса, то данный пакет шифруется алгоритмом
ГОСТ
28147-89
который
с
использованием предопределенного
содержится
в
конфигурационных
файлах
ключа,
сервисов
CryptoClient и CryptoServer. Затем пакет «упаковывается» в новый
пакет, назначенный шлюзу CryptoServer;
3. Новый сформированный пакет передается по сети в сторону шлюза
CryptoServer.
В случае получения входящего пакета от шлюза CryptoServer указанные
действия выполняются в обратном порядке. Операция шифрования, при
этом, заменяется операцией расшифрования.
Рисунок 3. CryptoServer
После того как сервис CryptoClient отправил защифрованный пакет в
сторону шлюза, происходит следующее (рис. 3):
1. Пакет попадает на вход интерфейса шлюза (шлюз также может быть
выполнен в виде отдельной виртуальной машины);
2. Сервис CryptoServer, запущенный на виртуальной машине шлюза,
перехватывает пакет, содержащий структуру данных протокола RDP,
от клиента, направленный шлюзу (имеющий адрес назначения
равный адресу шлюза);
22
3. Сервис
CryptoClient
расшифровывает
полученный
пакет
с
использованием предопределенного ключа шифрования, заданного в
параметрах сервиса;
4. Расшифрованный пакет передается без изменений в сторону
виртуальной машины, адрес которой указан в качестве адреса
назначения.
В
результате
исходный
пакет,
сформированный
стандартным
приложением Windows для подключения к удаленному рабочему столу,
доходит до виртуальной машины, к которой пользователь и хотел
подключиться изначально. Стоит заметить, что процесс модификации
трафика протокола RDP происходит абсолютно незаметно для конечного
пользователя, который с помощью стандартных средств способен выполнять
привычные операции, работая при этом на удаленной виртуальной машине,
подключение к которой производится по шифрованному каналу связи.
В случае получения входящего пакета, предназначенного для клиента,
со стороны защищенной виртуальной машины, CryptoServer выполняет
следующие действия:
1. Сервис CryptoServer, запущенный на шлюзе, обнаруживает пакет,
содержащий структуру данных протокола RDP. В параметрах сервиса
CryptoServer прописаны адреса сетей защищенных виртуальных
машин. Если адрес отправителя в перехваченном пакете содержится в
списке адресов защищенных виртуальных машин сервиса, то данный
пакет шифруется алгоритмом ГОСТ 28147-89 с использованием
предопределенного ключа, который содержится в параметрах
сервисов CryptoClient и CryptoServer. Затем пакет «упаковывается» в
новый пакет, назначенный клиенту CryptoClient (исходный пакет
также имел адрес назначения равный адресу клиента CryptoClient);
2. Новый сформированный пакет передается по сети в сторону клиента
CryptoClient.
23
Таким образом, с помощью сервисов CryptoClient и CryptoServer
обеспечивается свойство конфиденциальности передаваемых по открытой
сети данных в соответствии с законодательством Российской Федерации в
области обеспечения безопасности персональных данных при их обработке в
информационной системе с использованием отечественного алгоритма
симметричного шифрования ГОСТ 28147-89.
24
Описание возможных сценариев внедрения разработанного
программного обеспечения
Разработанная архитектура программного обеспечения для защиты
подключения устройства пользователя к виртуальным машинам имеет ряд
условий, при соблюдении которых можно добиться лучших результатов.
Одним из таких условий является наличие виртуальной инфраструктуры в
информационной системе организации, в которой планируется произвести
внедрение данного программного обеспечения. Применение технологий
виртуализации позволит обеспечить следующие условия:
Уменьшить
1.
количество
физических
серверов,
заменяя
их
виртуальными машинами. При этом, на одном физическом сервере может
выполняться несколько виртуальных машин, управляемых гипервизором.
Тем самым снижается вероятность реализации возможности получения
несанкционированного
доступа
к
отдельным
физическим
машинам.
Физический доступ к виртуальным машинам невозможен, а изменение
свойств виртуальной машины может быть реализовано только средствами
гипервизора или управляющего ПО, доступ к которым ограничен не только
физически, но и на уровне программного обеспечения;
Уменьшить количество физических каналов передачи данных. За
2.
счет этого можно снизить риск получения доступа к каналу передачи данных,
тем
самым
снижая
вероятность
наступления
последствий
несанкционированных действий злоумышленника, а именно, получения
доступа к передаваемым данным, их изменения, удаления при передаче по
физическому каналу связи. Сетевой трафик между виртуальными машинами,
работающими на одном физическом сервере не покидает пределов данного
сервера и обрабатывается исключительно виртуальным коммутатором, тем
самым усложняя доступ к данным, передаваемым между виртуальными
машинами;
25
Помимо применения технологий виртуализации, нужно также обратить
внимание на структуру локальной вычислительной сети. Для того, чтобы
успешно применить разработанную архитектуру, необходимо выделить
несколько сегментов локальной сети. В общем виде всю локальную
вычислительную сеть можно разделить на две категории: открытая сеть и
закрытая сеть.
Открытой сетью назовем некий сегмент (одна или несколько подсетей)
локальной вычислительной сети, в котором содержатся устройства конечных
пользователей
информационной
системы,
различного
рода
сетевые
устройства (принтеры, телефоны, беспроводные точки доступа, сетевое
оборудование и т.п.), не имеющие отношения к персональным данным, их
хранению или обработке.
К закрытой сети отнесем виртуальные машины, которые хранят в себе
или обрабатывают персональные данные.
Таким образом, процесс работы с персональными данными можно
описать следующим образом: конечный пользователь информационной
системы начинает работу с персональными данными, для этого он запускает
на своем персональном компьютере подключение к удаленному рабочему
столу виртуальной машины, на которой установлена, например, база данных,
содержащая в себе персональные данные, или он подключается к данной
виртуальной машине при помощи установленного на его рабочем месте
тонкого клиента. То есть на устройстве пользователя локально не хранится
никакой информации. Вся работа с данными ведется удаленно.
Определив два сегмента сети (открытый и закрытый) можно теперь
внести ещё одно условие:
3.
Открытый и закрытый сегменты локальной вычислительной сети
должны быть отделены друг от друга. Данное условие подразумевает, что
открытая сеть должна представлять собой один логически обособленный
сегмент, закрытая сеть другой обособленный сегмент, а их взаимодействие
26
может обеспечивать межсетевой
межсетевого
экрана
можно
экран.
Таким образом,
контролировать
и
средствами
ограничивать
доступ
пользователей из открытой сети к ресурсам закрытой сети.
В сегменте закрытой сети выделим виртуальную машину. Данная
виртуальная машина будет выполнять роль шлюза при подключении клиента
из открытой сети к виртуальной машине закрытой сети. Шлюз выполняет
функцию точки, в которой терминируется защищенный туннель поверх
открытой сети, установленный с клиентского устройства. Роль данного
шлюза выполняет компонент программного обеспечения CryptoServer. С
данным шлюзом устанавливается шифрованное подключение с устройства
пользователя, на котором запущен второй компонент программного
обеспечения: сервис CryptoClient.
Рассмотрим процесс внедрения предложенного решения на примере.
Рисунок 4. Базовая инфраструктура.
На Рисунке 4 изображена базовая инфраструктура предприятия, в
котором
ведется
обработка
персональных
данных.
Имеется
два
изолированных сегмента сети. Данные сегменты никак не соединены друг с
27
другом с целью защиты персональных данных. При этом, если одному и тому
же сотруднику необходимо работать как с корпоративными ресурсами, так и
с персональными данными, то на его рабочем месте должно присутствовать
два персональных компьютера: один для работы в общей сети, второй для
работы с персональными данными. Оператор ПДн работает с данными в
терминальном режиме, то есть через клиент удаленного рабочего стола по
протоколу RDP, подключаясь к нужному серверу.
Организуем
защиту
подключения
к
виртуальным
машинам
с
персональными данными, сделав инфраструктуру компании более гибкой и
удобной в использовании.
Шаг 1. Вводим понятия открытой и закрытой сети.
Рисунок 5. Сегменты сети.
28
Шаг 2. Обеспечиваем взаимодействие сегментов сети через межсетевой
экран.
Рисунок 6. Межсетевой экран.
При этом открытая сеть доступа к ресурсам закрытой сети не получила.
Шаг 3. Установка виртуальной машины CryptoServer. Создается
отдельная виртуальная машина. Данной машине выделяется минимум два
сетевых адаптера: первый для подключения к открытой сети, второй для
подключения к закрытой сети. Сетевым адаптерам соответствуют адреса из
разных подсетей. На виртуальную машину устанавливается операционная
система Windows или Linux, активируются функции маршрутизации сетевого
трафика между интерфейсами. Устанавливаются дистрибутивы OpenSSL
версии не ниже 1.0.0 и OpenVPN.
29
Рисунок 7. CryptoServer.
Шаг 4. Добавляем компонент CryptoClient.
Рисунок 8. CryptoClient.
30
На данном шаге производится установка программного обеспечения
OpenSSL версии не ниже 1.0.0 и OpenVPN на ПК оператора персональных
данных и последний перемещается из закрытой сети в открытую с целью
обеспечения ему доступа к корпоративным ресурсам. Также следует
отметить, что у клиентского устройства с установленным компонентом
CryptoClient имеется виртуальный сетевой адаптер, с помощью которого
можно выполнить подключение к ресурсам закрытой сети.
В результате модернизации информационная система стала более
гибкой, масштабируемой и требует сопровождения меньшего количества
аппаратного обеспечения при том, что необходимый уровень защищенности
системы сохраняется.
31
Заключение
В ходе выполнения данной работы была разработана архитектура
безопасного подключения устройств операторов персональных данных в
среде виртуализированных рабочих мест к целевой виртуальной машине, на
которой хранятся или обрабатываются персональные данные. Была
обеспечена защита канала передачи данных при работе с персональными
данными в соответствии с требованиями действующего законодательства в
области обеспечения безопасности персональных данных.
Все необходимые для достижения поставленной цели задачи были
выполнены.
Предложенное решение подходит для реализации в среде, где
применяются
технологии
виртуализации,
и
обеспечивает
защиту
подключения к виртуальному рабочему месту оператора персональных
данных при помощи установки шифрованного туннеля между устройством
пользователя и сервером из закрытой сети, внутри которой сетевой трафик не
шифруется, так как доступ в данную сеть ограничен. Благодаря этому
возможно увеличение количества защищенных виртуальных машин без
внесения изменений в конфигурацию данного решения.
Дополнительным
преимуществом
данного
решения
является
использование программного обеспечения с открытым исходным кодом,
которое поддается доработке и может быть установлено на большинстве
современных операционных систем, включая Windows, Linux или даже на
мобильных платформах под управлением ОС Android. Последние версии
библиотеки OpenSSL, применяемой в решении, поддерживают Российский
криптографические протоколы, в частности алгоритм симметричного
шифрования ГОСТ 28147-89.
Таким образом, можно сделать вывод о том, что предложенное решение
потенциально помогает экономить ресурсы в том числе и финансовые путем
исключения необходимости в дублировании ПК пользователей для работы с
32
открытыми ресурсами и серверами, на которых ведется обработка
персональных данных. Сокращение расходов происходит не только за счет
уменьшения количества аппаратных ресурсов, но и благодаря открытости
компонентов данного решения, которые свободно распространяются и в
составе
разработанного
программного
продукта
также
являются
бесплатными. В дополнение к этому организация, внедряющая у себя данное
решение может не производить никаких дополнительных настроек при
внесении незначительных изменений в конфигурацию информационной
системы, так как архитектура данного решения позволяет без последующей
перенастройки системы изменять количество защищенных серверов и
виртуальных машин.
33
Список литературы
1.
О персональных данных: Федеральный закон от 27.07.2006 №152-ФЗ
(ред. от 23.07.2013).
2.
Об утверждении требований к защите персональных данных при их
обработке
в
информационных
системах
персональных
данных:
Постановление Правительства Российской Федерации от 01.11.2013 г.
№1119.
3.
Васильев В.В. О защите виртуализированных сред // PC Week Review.
Май
2013.
Режим
доступа:
http://www.pcweek.ru/security/article/detail.php?ID=150679
(дата
обращения
25.09.2013).
4.
Об
утверждении
Состава
и
содержания
организационных
и
технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных: Приказ
ФСТЭК России от 18.02.2013 №21.
5.
О внесении изменений в Федеральный закон "О персональных
данных": Федеральный закон от 25.07.2011 №261-ФЗ.
6.
Сердюк В.А. Обзор изменений в законодательстве в области защиты
персональных
данных.
Режим
доступа:
http://www.connect.ru/article.asp?id=9784 (дата обращения 30.09.2013).
7.
Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных
системах: Приказ ФСТЭК от 12.02.2013 г. №17.
8.
Защита информации при использовании виртуализации. Режим
доступа: http://www.securitycode.ru/solutions/zashchita-informatsii-virtualization/
(дата обращения 15.10.2013).
9.
Выполнение
новых
требований
законодательства
по
защите
персональных данных при использовании технологий виртуализации. Режим
доступа: http://my.webinar.ru/record/136879/ (дата обращения 15.10.2013).
34
10.
VMware vSphere 5.1 и VMware View 5.1 получили сертификаты
ФСТЭК. Режим доступа: http://www.vmgu.ru/news/vmware-vsphere-51-view52-fstec-certificate (дата обращения 15.10.2013).
11.
Мифы о защите персональных данных в облаке. Режим доступа:
http://habrahabr.ru/company/croc/blog/144384/ (дата обращения 17.10.2013).
12.
Пишем шустрый Remote-Desktop клиент на C# и XNA. Режим доступа:
http://habrahabr.ru/post/142617/ (дата обращения 17.10.2013).
13.
Very fast screen capture using DirectX in C#. Режим доступа:
http://www.codeproject.com/Articles/274461/Very-fast-screen-capture-usingDirectX-in-Csharp (дата обращения 18.10.2013).
14.
RemoteDesktopClient
object.
Режим
доступа:
(дата
http://msdn.microsoft.com/en-us/library/windows/apps/hh994940.aspx
обращения 20.10.2013).
15.
Об утверждении Положения о разработке, производстве, реализации и
эксплуатации
шифровальных
(криптографических)
средств
защиты
информации (Положение ПКЗ-2005): Приказ ФСБ РФ от 09.02.2005 N 66
(ред. от 12.04.2010).
16.
Об утверждении Положения о лицензировании деятельности по
разработке,
производству,
(криптографических)
средств,
телекоммуникационных
систем,
распространению
шифровальных
информационных
защищенных
с
систем
и
использованием
шифровальных (криптографических) средств, выполнению работ, оказанию
услуг в области шифрования информации, техническому обслуживанию
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных
систем,
защищенных
с
использованием
шифровальных (криптографических) средств (за исключением случая, если
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием
шифровальных
(криптографических)
средств,
35
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя): Постановление Правительства РФ от
16.04.2012 №313.
17.
Ширманов А.И. Облака обещают денежный дождь // Российская
Газета.
Режим
доступа:
http://www.rg.ru/2012/01/29/virtul.html
(дата
обращения 23.09.2013).
18.
Соколова М.И. Запрещать или защищать: как Россия справляется с
BYOD.
Режим
доступа:
http://digit.ru/it/20131023/407106264.html
(дата
обращения 29.10.2013).
19.
Киберугрозы
выходят
из
тени.
Режим
доступа:
дата
http://www.cisco.com/web/RU/news/releases/txt/2013/01/013113a.htmlа
обращения (28.10.2013).
20.
Отчет
по
использованию
сетевых
технологию
и
поведению
пользователей в Интернет Cisco Connected World Technology Report 2013.
Режим
доступа:
http://www.slideshare.net/slideshow/embed_code/16410263#
(дата обращения 28.10.2013).
21.
Лукацкий А.В. Злоумышленники меняют свое поведение. А Вы? Режим
доступа: http://blogs.cisco.ru/securityreport/ (дата обращения 28.10.2013).
22.
Об утверждении Положения о методах и способах защиты информации
в информационных системах персональных данных: Приказ ФСТЭК России
от 05.02.2010 №58.
23.
Методические
рекомендации
по
обеспечению
с
помощью
криптосредств безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
автоматизации: ФСБ России от 21.02.2008.
24.
Типовые
требования
функционирования
по
шифровальных
организации
и
обеспечению
(криптографических)
средств,
предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну в случае их использования для
36
обеспечения безопасности персональных данных при их обработке в
информационных
системах
персональных
данных:
ФСБ
России
от
21.02.2008.
25.
Максимов В.А. Повысят ли новые требования уровень защиты
персональных
данных.
Режим
доступа:
http://www.andek.ru/press(дата
centr/publikacii/detail.php?ID=337#.Uqh6f_RdUwo
обращения
15.10.2013).
26.
Часто задаваемые вопросы по использованию криптографии в
продукции
Cisco
Systems,
вопросы
сертификации.
лицензирования,
импорта
Режим
и
доступа:
http://www.cisco.com/web/RU/downloads/Crypto_FAQ.pdf
(дата
обращения
28.10.2013).
27.
Ликбез по персональным данным. №11. Уровни защищенности
персональных
данных.
Режим
доступа:
http://data-sec.ru/personal-
data/protection-level/ (дата обращения 12.12.2013).
28.
Федеральный закон «О персональных данных». Режим доступа:
http://ru.wikipedia.org/wiki/Федеральный_закон_«О_персональных_данных»
(дата обращения 10.12.2013).
29.
Персональные
данные.
Режим
http://ru.wikipedia.org/wiki/Персональные_данные
доступа:
(дата
обращения
10.12.2013).
30.
Пошаговая
настройка
OpenVPN
в
Windows.
Режим
доступа:
http://habrahabr.ru/sandbox/58689/ (дата обращения 11.12.2013).
31.
OpenVPN HOWTO. Режим доступа: http://openvpn.net/index.php/open-
source/documentatio (дата обращения 11.12.2013).
32.
BuildingOnWindows.
Режим
https://community.openvpn.net/openvpn/wiki/BuildingOn
доступа:
(дата
обращения
11.12.2013).
37
33.
Поддержка
ГОСТ
в
OpenVPN.
http://www.cryptocom.ru/opensource/openvpn.html
Режим
доступа:
(дата
обращения
Режим
доступа:
11.12.2013).
34.
CVS
Web
Interface.
(дата
http://cvs.openssl.org/fileview?f=openssl/engines/ccg
обращения
11.12.2013).
35.
Miscellaneous.
Режим
доступа:
http://openvpn.net/index.php/open-
source/documentatio1xhowto.html (дата обращения 15.12.2013).
36.
О
Стойкости
ГОСТ
28147-89.
Режим
доступа:
http://www.ssl.stu.neva.ru/ssl/archieve/stgost.pdf (дата обращения 14.12.2013).
37.
OpenVPN. Режим доступа: http://ru.wikipedia.org/wiki/OpenVPN (дата
обращения 14.12.2013).
38.
OpenSSL
по
ГОСТ.
КриптоАРМ/КриптоПро.
Подписывание,
Linux/Windows.
шифрование,
принимаемое
Режим
доступа:
http://rodji.net/blog/?p=304 (дата обращения 14.12.2013).
39.
Remote
Desktop
Protocol.
Режим
доступа:
http://ru.wikipedia.org/wiki/OpenVPN (дата обращения 05.09.2013).
38
Download
advertisement