ALTELL TRUST - zaštita od neovlaštenog pristupa. Pouzdano pokretanje (hardver) Pouzdano pokretanje hardvera

Osnove koncepta

  • Kontrola uređaja s kojeg BIOS počinje učitavati OS (češće tvrdi disk računala, ali može biti i čitač izmjenjivih medija, pokretanje mreže itd.);
  • Kontrola integriteta i pouzdanosti sektora za pokretanje uređaja i sistemskih datoteka pokrenutog OS-a;
  • Enkripcija/dešifriranje boot sektora, OS sistemskih datoteka ili enkripcija svih podataka uređaja (po izboru).
  • Provjera autentičnosti, šifriranje i pohranjivanje tajnih podataka kao što su ključevi, kontrolni zbrojevi i hashovi izvode se u hardveru.

Ovjera

Autentifikacija korisnika može se provesti na različite načine iu različitim fazama pokretanja računala.

Za provjeru identiteta pokretača računala mogu biti potrebni različiti čimbenici:

  • Tajno korisničko ime i lozinka;
  • Disketa, kompaktni disk, flash kartica koja sadrži tajne podatke za provjeru autentičnosti;
  • Hardverski ključ povezan s računalom putem USB-a, serijskih ili paralelnih priključaka;
  • Hardverski ključ ili biometrijske informacije učitane u računalo pomoću posebno izrađenog hardverskog modula.

Autentifikacija može biti višestruka. Također, autentifikacija može biti višekorisnička s odvajanjem prava pristupa računalu. Dakle, jedan korisnik će samo moći pokrenuti operativni sustav s tvrdog diska, dok će drugi moći promijeniti konfiguraciju CMOS-a i odabrati uređaj za podizanje sustava.

Provjera autentičnosti može se izvršiti:

  • Tijekom izvođenja BIOS firmware-a;
  • Prije učitavanja glavnog zapisa za pokretanje (MBR) ili sektora za pokretanje operativnog sustava;
  • Tijekom izvođenja programa boot sektora.

Provođenje provjere autentičnosti u različitim fazama pokretanja ima svoje prednosti.

Pouzdani koraci za pokretanje

U različitim fazama pokretanja računala, pouzdano pokretanje može se izvesti na različite načine, i stoga će imati različite funkcije.

  • Izvršavanje firmvera BIOS-a. U ovoj fazi može se implementirati sljedeće: provjera integriteta firmvera BIOS-a, provjera integriteta i autentičnosti CMOS postavki, autentifikacija (zaštita od pokretanja računala u cjelini ili samo od promjene konfiguracije CMOS-a ili odabira pokretanja uređaj), kontrolirajući odabir uređaja za pokretanje. Proizvođač matične ploče mora u cijelosti izvršiti ovaj korak pokretanja u firmwareu BIOS-a;
  • Prijenos kontrole na uređaj za pokretanje. U ovom trenutku, BIOS, umjesto da nastavi s pokretanjem, može prenijeti kontrolu na hardverski pouzdani modul za pokretanje. Hardverski modul može izvršiti provjeru autentičnosti, odabir uređaja za pokretanje, dešifriranje i provjeru integriteta i valjanosti sektora za pokretanje i datoteka operacijskog sustava. U ovom slučaju, dešifriranje sektora za pokretanje operativnog sustava može se izvršiti samo u ovoj fazi. BIOS firmware mora podržavati prijenos kontrole na hardverski modul ili hardverski modul mora oponašati odvojeni uređaj za pokretanje napravljen u obliku tvrdog diska, prijenosnog medija ili mrežnog uređaja za pokretanje;
  • Izvršenje boot sektora operativnog sustava. U ovoj fazi također se može izvršiti cjelovitost, pouzdanost bootloadera, sistemskih datoteka operacijskog sustava i autentifikacija. Međutim, izvršni kod sektora za pokretanje ograničen je u funkcionalnosti zbog činjenice da ima ograničenje veličine i lokacije koda, a također se izvršava prije pokretanja upravljačkih programa operativnog sustava.

Upotreba hardvera

Trusted boot hardverski moduli imaju značajne prednosti u odnosu na čiste softverske alate. Ali pružanje pouzdanog pokretanja ne može se izvršiti samo hardverski. Glavne prednosti hardvera:

  • Visok stupanj sigurnosti tajnih podataka o lozinkama, ključevima i kontrolnim zbrojevima sistemskih datoteka. U uvjetima stabilnog rada takvog modula ne postoji način za izvlačenje takvih informacija. (Međutim, poznati su neki napadi na postojeće module koji narušavaju njihovu izvedbu);
  • Moguća tajnost algoritama šifriranja koje izvodi hardver;
  • Nemogućnost pokretanja računala bez otvaranja njegovog sadržaja;
  • U slučaju enkripcije sektora za pokretanje, nemoguće je pokrenuti operativni sustav korisnika, čak ni nakon uklanjanja hardverskog modula;
  • U slučaju potpune enkripcije podataka, nemogućnost dohvaćanja podataka nakon uklanjanja hardverskog modula.

Postojeći primjeri hardvera

Intel Trusted Execution Technology

Trusted Execution Technology iz Intela.

To prije nije sredstvo pouzdanog pokretanja, već zaštita resursa svake pojedinačne aplikacije na razini hardvera u cjelini.

TXT je potpuno novi koncept računalne sigurnosti na hardverskoj razini, uključujući rad s virtualnim računalima.

TXT tehnologija sastoji se od uzastopnih sigurnih koraka obrade informacija i temelji se na poboljšanom TPM modulu. Sustav se temelji na sigurnom izvođenju programskog koda. Svaka aplikacija koja radi u zaštićenom načinu rada ima isključivi pristup resursima računala i niti jedna druga aplikacija ne može ometati njezino izolirano okruženje. Resurse za rad u zaštićenom načinu rada fizički dodjeljuje procesor i skup sistemske logike. Sigurno skladištenje podataka znači njihovo šifriranje pomoću istog TPM-a. Svi podaci šifrirani TPM-om mogu se dohvatiti samo s medija pomoću istog modula koji je izvršio šifriranje.

Intel je također razvio siguran sustav za unos podataka. Zlonamjerni softver neće moći pratiti tok podataka na ulazu računala, a keylogger će primiti samo besmislen skup znakova, budući da će svi postupci unosa (uključujući prijenos podataka putem USB-a, pa čak i klikove mišem) biti šifrirani. Zaštićeni način rada aplikacije omogućuje prijenos bilo kojih grafičkih podataka u međuspremnik video kartice samo u šifriranom obliku, tako da zlonamjerni kod neće moći napraviti snimku zaslona i poslati je hakeru.

Hardverski modul za pouzdano preuzimanje "Akkord-AMDZ"

To je hardverski kontroler dizajniran za ugradnju u ISA (modifikacija 4.5) ili PCI (modifikacija 5.0) utor. Accord-AMDZ moduli omogućuju pouzdano učitavanje operativnih sustava (OS) bilo koje vrste sa strukturom datoteka FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 datotečni sustav, VMFS verzija 3.

Cjelokupni softverski dio modula (uključujući alate za administraciju), dnevnik događaja i popis korisnika nalaze se u trajnoj memoriji kontrolera. Dakle, funkcije identifikacije/autentifikacije korisnika, kontrole integriteta hardverskog i softverskog okruženja, administracije i revizije obavlja sam kontroler prije učitavanja OS-a.

Glavne značajke:

  • identifikaciju i autentifikaciju korisnika pomoću TM-identifikatora i lozinke do 12 znakova;
  • blokiranje pokretanja računala s vanjskog medija;
  • ograničavanje vremena rada korisnika;
  • kontrola integriteta datoteka, hardvera i registara;
  • registriranje korisničkih prijava u dnevnik;
  • administracija sustava zaštite (registracija korisnika, kontrola integriteta softvera i hardvera osobnog računala).

Dodatne mogućnosti:

  • kontrola i blokiranje fizičkih linija;
  • RS-232 sučelje za korištenje plastičnih kartica kao identifikatora;
  • hardverski generator slučajnih brojeva za kriptografske aplikacije;
  • izborni trajni revizijski uređaj.

Pouzdani modul za pokretanje "Krypton Lock/PCI"

Dizajniran za ograničavanje i kontrolu korisničkog pristupa hardverskim resursima autonomnih radnih stanica, radnih stanica i poslužitelja lokalne mreže. Omogućuju kontrolu integriteta softverskog okruženja u OS-u koristeći datotečne sustave FAT12, FAT16, FAT32 i NTFS.

Osobitosti:

  • identifikacija i autentifikacija korisnika prije pokretanja BIOS-a pomoću identifikatora Touch Memory;
  • razgraničenje računalnih resursa, prisilno učitavanje operacijskog sustava (OS) s odabranog uređaja u skladu s individualnim postavkama za svakog korisnika;
  • blokiranje računala u slučaju NSD-a, održavanje elektroničkog dnevnika događaja u vlastitoj trajnoj memoriji;
  • izračun referentnih vrijednosti kontrolnih zbrojeva objekata i provjera trenutnih vrijednosti kontrolnih zbrojeva, izvoz/uvoz popisa provjerenih objekata na disketu;
  • mogućnost integracije u druge sigurnosne sustave (alarm, protupožarna zaštita itd.).

Modul pouzdanog pokretanja dizajniran je za računala koja obrađuju tajne i povjerljive informacije (uključujući razine "strogo povjerljivo" i KA1).

Zahvaljujući radu s višekorisničkim grupama s jednakim i različitim razinama ovlasti te podršci administrativnih shema s centraliziranom i decentraliziranom kontrolom, Maxim-M1 je univerzalno rješenje za korištenje u sigurnim sustavima.

Glavne funkcije

kontrolira pristup pri početnom pokretanju računala, prije prebacivanja na OS. Identificira i autentificira korisnika dvofaktorskom metodom;

održava neizbrisive zapise: provjera autentičnosti korisnika, kontrola integriteta. Sigurnost podataka zajamčena je trajnom memorijom;

provjerava u stvarnom vremenu rok valjanosti korisničkih podataka (ključevi, servisne informacije);

kontrolira hardver i softver zaštićenog sustava (RAM, tvrdi diskovi, zapisi datotečnog sustava i FS, Windows registar);

štiti od pogađanja lozinke.

Prednosti APM "Maxim-1"

Prikladno za instalaciju na radnoj stanici administratora informacijske sigurnosti u informacijskim sustavima koji rade s poslovnom tajnom, osobnim podacima, državnom tajnom.

Može se koristiti na radnoj stanici bez diska za rad s tajnim i povjerljivim informacijama na udaljenom poslužitelju.

Modul je kompatibilan s glavnim klijentskim verzijama Windowsa (2000/XP/Vista/7) i poslužiteljskim verzijama (2003/2008), kao i sustavima baziranim na Linux 2.6.x i 3.x.x kernelu i Astra Linux CH OS-u.

Zahtjevi i ograničenja pri korištenju APMDS "MAXIM-M1"

Za instalaciju i ispravan rad modula, hardver i softver moraju zadovoljiti razinu zahtjeva za arhitekturu, napon napajanja, konfiguraciju ploče, verziju BIOS-a, instalirane nadogradnje, konektore za napajanje. Tijekom rada modula u sustavu postavljaju se ograničenja za hardver i softver. Kompletan popis zahtjeva prikazan je u dokumentaciji za APMDZ.

Zahtjevi za osoblje

Korisnik DZ modula (administrator) mora biti osposobljen za rad u glavnim operacijskim sustavima, imati iskustvo u postavljanju osobnog računala i vanjske opreme te administriranju automatskih sustava na lokalnim računalima, poslužiteljima, radnim stanicama i tankim klijentima.

ViPNet SafeBoot- certificirani visokotehnološki pouzdani softverski modul za pokretanje (TDM) instaliran u UEFI BIOS raznih proizvođača. Dizajniran za zaštitu osobnih računala, mobilnih uređaja, poslužitelja (uključujući virtualizacijske poslužitelje) od raznih prijetnji neovlaštenog pristupa (ATD) u fazi pokretanja i od napada na BIOS.

Zaštita za računala i servere mora biti aktivna od trenutka kada su uključeni. Vrijeme od trenutka uključivanja do pokretanja operativnog sustava ključno je za povjerenje u sustav u cjelini. U vrlo ranim fazama opterećenja postoji rizik:

  • Prijenos kontrole na nepouzdani bootloader;
  • Preuzimanja zlonamjernog koda u UEFI;
  • Presretanje podataka i onesposobljavanje osnovnih zaštitnih mehanizama.
Sve to može dovesti do zaobilaženja svih zaštita instaliranih u operacijskom sustavu i krađe informacija. Ugradnja ViPNet SafeBoot pouzdanog modula za pokretanje štiti računalo od ovih prijetnji i čini sustav pouzdanim.

Svrha:

ViPNet SafeBoot dizajniran je za identifikaciju i autentifikaciju korisnika, razlikovanje pristupa na temelju uloga, kao i organizaciju pouzdanog pokretanja operativnog sustava. ViPNet SafeBoot povećava razinu sigurnosti uređaja i računala zbog:

  • Autorizacija na razini BIOS-a, prije učitavanja glavnih komponenti operativnog sustava;
  • Kontrola integriteta BIOS-a, zaštićenih komponenti operativnog sustava i hardvera;
  • Blokiranje pokretanja nestandardne kopije operativnog sustava.

Slučajevi upotrebe

Proizvod ViPNet SafeBoot može se koristiti zajedno s drugim ViPNet proizvodima ili zasebno. Glavni zadaci koji se mogu riješiti:
  • Ispunjavanje zahtjeva FSTEC naloga*:
    • br. 17 o zaštiti državnih informacijskih sustava (GIS);
    • br. 21 za informacijske sustave zaštite osobnih podataka (ISPD);
    • br. 31 za zaštitu automatiziranih sustava upravljanja procesima (APCS);
  • Zaštita od neovlaštenog pristupa u najranijim fazama pokretanja računala ili uređaja s UEFI BIOS-om.

Prednosti

  • Softver MDZ s mogućnošću instaliranja u UEFI BIOS raznih proizvođača.
  • Nepopravljivost, za razliku od hardverskih verzija MDZ-a.
  • Pojednostavljene metode za postavljanje MDZ-a putem administrativnih predložaka.
  • Kompletna kontrola integriteta UEFI provjerom integriteta svih njegovih modula.
  • ruski proizvod.

Certifikacija u FSTEC Rusije

ViPNet SafeBoot u skladu je sa zahtjevima mjerodavnih dokumenata za pouzdane alate za pokretanje razine osnovnog I/O sustava klase 2, što vam omogućuje korištenje proizvoda za izgradnju:
  • ISPD do uključivo UZ1;
  • GIS do 1 sigurnosne klase uključivo;
  • APCS do uključivo sigurnosne klase 1.

Što je novo u ViPNet SafeBoot 1.4

  1. Način mirovanja je ključna značajka usmjerena na pogodnost isporuke SafeBoot OEM-a na radnim stanicama i poslužiteljima proizvođača hardverskih platformi. Detaljan opis u priloženom dokumentu.
  2. Uvođenje sustava licenciranja - proizvod se sada licencira serijskim brojem.
  3. Podrška za autorizaciju zapadnih certifikata - poboljšanje pogodnosti rada s proizvodom. Postoje korisnici koji koriste autorizaciju pomoću tokena i certifikata izdanog od strane Microsoft CA, uključujući i putem LDAP-a. Iz tog smo razloga odlučili podržati ovu metodu provjere autentičnosti.
  4. Podrška za JaCarta-2 GOST - proširenje popisa podržanih nositelja ključeva za autentifikaciju.

InfoTeKS zadržava pravo, bez prethodne najave, izmjene isporučenih proizvoda (karakteristike, izgled, kompletnost) koje ne umanjuju njihova potrošačka svojstva.

Snažna autentifikacija u dva faktora- Provjera autentičnosti korisnika korištenjem tokena s x.509 certifikatom (dva faktora), lozinkom ili kombinacijom oba. Podržani identifikatori:

  • JaCarta PKI
  • Rutoken EDS
  • Rutoken EDS 2.0
  • Rutoken Lite
  • ID čuvara

Pristup ulogama

  • Korisnik.
  • Administrator.
  • Revizor.

Kontrola integriteta. Da bi platforma bila pouzdana, mora biti zajamčeno da su svi važni moduli učitani pri pokretanju sustava nepromijenjeni. Zato ViPNet SafeBoot provjerava integritet:

  • svi ključni UEFI BIOS moduli;
  • sektori za pokretanje tvrdog diska;
  • ACPI tablice, SMBIOS, memorijske mape;
  • datoteke na diskovima sa sustavima FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot nije bitno koji je operativni sustav instaliran);
  • Windows registar;
  • resursi PCI/PCe konfiguracijskog prostora;
  • CMOS (Sadržaj trajne memorije);
  • završetak transakcije - NTFS, EXT3, EXT4.

Za praktičnost korisnika postalo je moguće automatski izraditi kontrolne liste za Windows OS.

Dnevnik sigurnosnih događaja. Radi praktičnosti, postoji nekoliko načina zapisivanja s različitim razinama detalja.

Arhitektura

ALTELL TRUST ima modularnu arhitekturu. Sam pouzdani modul za pokretanje instaliran je na zaštićenim uređajima, zamjenjujući standardni BIOS matične ploče smješten u EEPROM čipu i pruža pouzdano pokretanje BIOS-a, multifaktorsku autentifikaciju prije pokretanja OS-a i usklađenost s politikama pristupa temeljenim na ulogama. Modul za daljinsko upravljanje postavlja se na poslužitelj za upravljanje i omogućuje centraliziranu implementaciju i ažuriranje softvera, reviziju sigurnosti i upravljanje svim pouzdanim modulima za pokretanje iz jednog centra.

Mogućnosti

  • Kontrola integriteta BIOS-a, hardverskog i softverskog okruženja, objekata datotečnog sustava;
  • Višestruka provjera autentičnosti korisnika prije pokretanja OS-a;
  • Daljinsko upravljanje korisnicima, konfiguracijama, grupama uređaja, preuzimanje ažuriranja softvera, omogućavanje/onemogućavanje zaštićenih uređaja;
  • Koristite kao jedini softver tankog klijenta (nulti klijent);

Prednosti

  • Korištenje BIOS-a stvorenog u Rusiji;
  • Proaktivan pristup zaštiti od novih prijetnji;
  • Autentikacija na udaljenim LDAP/AD poslužiteljima;
  • Razdvajanje upravljačkih funkcija;
  • Daljinsko centralizirano upravljanje;
  • Mogućnost prilagodbe bilo kojoj vrsti uređaja;
  • Ugrađeni skup mrežnih protokola;
  • Centralizirano prikupljanje sigurnosnih događaja;
  • Nemogućnost uklanjanja sa zaštićenog uređaja;
  • Podrška za SSO tehnologiju;
  • PKI infrastrukturna podrška;
  • Ugrađeni pouzdani hipervizor;
  • FSTEC certifikat za MDZ BIOS razine 2 zaštite klase.

Scenariji primjene

ALTELL TRUST može se koristiti za pružanje pouzdanog pokretanja operativnih sustava, višefaktorsku autentifikaciju korisnika na udaljenim AD/LDAP poslužiteljima, daljinsko centralizirano upravljanje flotom zaštićenih uređaja, daljinsko centralizirano prikupljanje sigurnosnih događaja, a također djeluje kao jedini tanki klijentski softver (koncept nultog klijenta). Detaljan opis scenarija primjene ALTELL TRUST dan je u relevantnom odjeljku.

Usporedba s konkurentima

Tradicionalni hardversko-softverski pouzdani moduli za pokretanje (APMDZ), predstavljeni na ruskom tržištu, nemaju mogućnosti potrebne u sadašnjoj fazi razvoja informacijskih sustava. Na primjer, APMDZ nema funkcije nadzora i daljinskog upravljanja flotom računala, ne podržava višefaktorsku autentifikaciju na udaljenim poslužiteljima, ne primjenjuje model pristupa temeljen na ulogama i obveznu kontrolu pristupa informacijama te ne jamči sigurnost rada u virtualnim okruženjima. ALTELL TRUST, naprotiv, izvorno je razvijen za rješavanje ovih problema. Istodobno su korišteni suvremeni pristupi osiguravanju pouzdanog pokretanja temeljeni na korištenju UEFI Trusted Boot tehnologija uz korištenje modificiranih i proširenih funkcija, kao i konceptima NIST-a i Trusted Computing Group. Kao rezultat toga, ALTELL TRUST implementira snažnije mehanizme zaštite od tradicionalnog APMDZ-a, istovremeno smanjujući troškove upravljanja infrastrukturom informacijske sigurnosti centraliziranjem upravljanja i prikupljanjem statistike.

Podržani uređaji

Zbog implementacije ALTELL TRUST-a na vlasničkoj razini UEFI BIOS-a, mora se prilagoditi određenim modelima zaštićenih uređaja. Zahvaljujući suradnji s ključnim dobavljačima (Intel, AMD, Lenovo, Panasonic), razvojni proces ALTELL TRUST-a je maksimalno standardiziran i vremenski skraćen. Budući da je sam pouzdani modul za pokretanje certificiran, a ne cijeli BIOS, mijenja se ne utječe za potvrde.

ALTELL TRUST trenutno podržava:

  • DFI matične ploče (podrška za Core i5 procesore, 1× Xeon E3);
  • Monoblokovi Lenovo ThinkCentre M72z i M73z;
  • prijenosna računala Panasonic Toughbook CF-53;
  • Lenovo ThinkCentre M92p i M93p stolna računala, ALTELL FORT DT 5/7.

Certifikacija

ALTELL TRUST je certificiran od strane FSTEC-a Rusije kao sredstvo pouzdanog pokretanja razine osnovnog ulazno/izlaznog sustava prema drugoj klasi zaštite. Budući da je certificiran pouzdani modul za pokretanje, a ne cijeli UEFI BIOS, prilagodba ALTELL TRUST novim uređajima neće poništiti primljene certifikate. Trenutno se radi na dobivanju FSB certifikata.

Informativni materijali

Testiranje

Ako ste zainteresirani za mogućnosti ALTELL TRUST-a, naši stručnjaci mogu provesti besplatnu demonstraciju.