Содержание к диссертации
Введение
Глава 1. Модели построения защищенных систем 6
1.1 Основные понятия 6
1.2 Существующие угрозы защищенности информационных систем 9
1.3 Формальные модели безопасности 10
1.4 Вопросы гарантированное выполнения политики безопасности 20
1.5 Криптография как базовая технология для построения моделей защиты 22
1.6 Выводы к главе 25
Глава 2. Разработка модели защищенной изолированной компьютерной системы под управлением ОС Windows и доказательство ее корректности 27
2.1 Система защиты ОС Windows 27
2.2 Оценка степени защищенности ОС Windows . 36
2.3 Недостатки системы защиты ОС Windows 37
2 4 Усиление штатной системы защиты ОС Windows 38
2.5 Гарантировашюсть выполнения предложенной схемы защиты для изолированного компьютера 42
2.6 Выводы к главе 60
Глава 3. Генерация защищенной изолированной компьютерной системы под управлением ос windows с помощью механизма доверенной загрузки системы 61
3.1 Смысл доверенной загрузки 61
3.2 Штатная заірузка ОС Windows 62
3.3 Схема защиты системы, основанная на доверенной загрузке 65
3.4 Корректность реализации предложенной модели защищенной компьютерной системы 66
3.5 Выводы к главе 74
Глава 4. Разработка модели защищенной информационной системы в рабочей группе и домене Windows 74
4.1 Рассматриваемая система , 74
4.2 Основные компоненты системы защиты 75
4.3 Недостатки штатной системы защиты в рабочей группе 82
4.4 Повышение защищенности рабочей группы 83
4.f Реализация разработанной схемы защиты 85
4.6 Выводы к главе 95
Глава 5. Влияние дополни гельных защитных средств на производительность сис темы 95
Заключение 106
Список использованных источ1іиков 108
Приложение 1. Формат заголовка защищенного диска и протокол обмена сеансовыми ключами 114
- Существующие угрозы защищенности информационных систем
- Оценка степени защищенности ОС Windows
- Штатная заірузка ОС Windows
- Недостатки штатной системы защиты в рабочей группе
Введение к работе
Актуальность проблемы
Важность решения проблемы защиты информации является общепризнанной, подтверждением чему служат громкие процессы о нарушении целостности систем. Убытки, которые несут компании из-за нарушений информационной безопасности, исчисляются триллионами долларов. Вместе с тем, динамика статистики нарушений свидетельствует о наличии кризиса в данной области, который во многом обусловлен недостатками проектирования и эксплуатации средств защиты. Большинство операционных систем, используемых в вычислительных системах в настоящее время, обладают встроенными механизмами защиты, однако обеспечить полную защиту от несанкционированного доступа (НСД) они не могут. Для преодоления кризиса разработчики систем защиты должны обеспечить потребителя определенными гарантиями того, что в предлагаемые решения обладают требуемыми свойствами.
Цель исследований
Целью данной работы является разработка и реализация математических моделей защищенности в операционных системах Microsoft (составляющих около 80% информационных систем в мире), предотвращающих появление широкого класса уязвимостей: нарушения конфиденциальности, целостности и доступности информации при ее обработке, хранении и передаче, нарушения целостности операционной системы.
В соответствии с поставленной целью основными задачами являются:
-
Исследование существующих подходов и моделей защищенности в ОС Windows и их применимости на практике.
-
Анализ защитных средств, применяемых в информационных системах под управлением ОС Windows, с использованием субъектно-объектной модели.
-
Разработка математических моделей и комплексов программ, реализующих механизмы добавочной защиты в ОС Windows и обоснование их корректности.
Методы исследований
Для решения поставленных задач применялись методы теории вероятностей, случайных процессов, теории массового обслуживания, формальные модели систем информационной безопасности, теория криптографии, математическое моделирование, руководящие документы ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю), стандарт ГОСТ 15408.
Научная новизна
Построенная математическая модель изолированной компьютерной системы позволяет формально обосновать защищенность системы от угроз конфиденциальности, целостности и доступности информации при ее хранении и обработке.
Предложенный метод доверенной загрузки операционной системы позволяет гарантировать изолированность программной среды не только в процессе ее работы, но и на стадии генерации.
Реализация разработанных моделей не нарушает производительности информационной системы. Это обосновано с помощью теории случайных процессов и моделей массового обслуживания и подтверждено результатами численных экспериментов.
На основании математических моделей, а также с помощью активного исследования информационной системы в соответствии со стандартом ГОСТ 15408 доказана корректность предложенной схемы защиты.
Практическая значимость
Предложенные в диссертационной работе модели реализованы в
комплексных системах защиты информации StrongDisk Server, StrongDisk Pro, StrongNet, StrongBoot, которые были внедрены в ряде федеральных и коммерческих структур.
Положения, выносимые на защиту
Математические модели управления доступом к ресурсам вычислительной системы с использованием криптографических преобразований информации.
Реализация предложенных моделей в виде комплексов программ в среде ОС Windows.
Доказательство корректности реализации предложенных механизмов защиты информационных систем.
Апробация работы
Научные и практические результаты диссертации доложены, обсуждены и получили одобрение специалистов на:
- XLVI, XLVII ,XLVIII научных конференциях МФТИ (Москва, 2003-2006 г.г.);
- Всероссийской научно-практической конференции «Методы и средства защиты конфиденциальной информации» (Обнинск, 2004 г);
- научных семинарах кафедры информатики МФТИ.
Публикации
По теме диссертации опубликовано 8 работ, в том числе три - из списка изданий, рекомендованных ВАК РФ.
Структура работы
Основной текст диссертационной работы изложен на 116 страницах, состоит из введения, пяти глав, заключения и списка использованных источников, включающего 60 наименований. Работа также содержит одно приложение.
Существующие угрозы защищенности информационных систем
Для реализации ПБ необходимо сначала определить, от чего, собственно, она должна защищать. Определение Под угрозой безопасности ИС будем понимать потенциальные возможности воздействия на систему, которые могут нанести щерб ее безопасности. Попытку реализации угрозы будем называть атакой, а того, кто предпринимает такую попытку -злоум ышленником. В соответствии с определением безопасного состояния системы на макро-уровне можно выделить три типа угроз, нарушающих, соответственно, конфиденциальность, целостность и доступность информационных ресурсов. В настоящее время существует несколько систем классификации угроз ПО [43,44,52-54]: по степени риска, типу атаки (локально/удаленно), по программному обеспечению, подверженному данным угрозам и т.д.
Далеко не все классификации являются полными. Обычно под видом единой классификации пытаются объединить несколько классификаций, проведенных по разным параметрам. Данная ситуация объясняется огромным количеством уязвимостей ПО и широким их спектром. Поэтому остановимся более подробно на угрозах, методы защиты от которых охватываются данным диссертационным исследованием.
Несанкционированный доступ к информации при ее хранении. Эта угроза нарушает конфиденциальность информации, а именно, дает возможность получить доступ к данным вопреки правилам, предписываемым ПБ. Примером таких действий может служить кража жесткого диска компьютера, атака с использованием «троянского коня» и т.д. Несанкционированный доступ к информации при ее передаче также нарушает конфиденциальность информации. В локальных коммутируемых сетях может осуществляться с помощью атак типа arp-spoofing [56], в некоммутируемых, беспроводных или глобальных сетях возможности для реализации подобных угроз особенно велики. Несанкционированная модификация информации при ее передаче несет в себе угрозу целостности информации. Фальсификация одной из сторон, участвующих в обмене информацией также представляет собой угрозу целостности информации. Реализуется с помощью атаки типа «человек посередине», когда злоумышленник может не только перехватывать, но и изменять пересылаемые данные.
Взлом пользовательского пароля при входе в ИС (например, с помощью замены шифра пароля в локальной базе данных безопасности SAM). Угроза нарушает целостность самой операционной системы, конкретно - базы SAM. [55,6] Нарушение работоспособности системы (отказ в обслуживании) представляет собой угрозу доступности данных. Примером таких атак могут служить атака "SYN-наводнение", переполняющая таблицу полуоткрытых соединений сервера, когда установление соединения начинается, но не заканчивается, или атака «Papa Smurf», основанная на широковещательной рассылке ping-пакетов, ответы на которые съедают пропускную способность [16].
Для описания систем безопасности в ИС принято использовать формальные модели [2, 7-Ю, 20, 32-34]. Целью построения модели является получение формального доказательства безопасности системы при соблюдении определенных условий, а также определения достаточного критерия безопасности [44].
Хогя применение формальных моделей защищенности не позволяет строго обосновать безопасность ИС для ряда наиболее интересных случаев, они формируют полезный понятийный аппарат, который может быть использован для декомпозиции и анализа исследуемой системы.
Для построения формальных моделей безопасности принято представлять ИС в виде совокупности взаимодействующих сущностей - субъектов (s) и объектов (о). Субъект безопасности - активная системная составляющая, к которой применяется политика безопасности, а объект - пассивная. Примерами субъектов могут служить пользователи, процессы а объектов -данные, файлы, системные таблицы, принтер и т.п. В различных работах даются разные «строгие» определения понятий субъект и объект. Например [4], в соответствии с духом фон-Неймановской архитектуры, субъект может являться разновидностью объекта, способного осуществлять преобразование данных и которому передано управление. В данной работе субъекты также будут считаться подмножеством совокупности объектов (процессы и потоки ОС Windows имеют атрибуты защиты). На практике реализация ПБ состоит в присвоении субъектам и объектам идентификаторов и фиксации набора правил, позволяющих определить, имеет ли данный субъект авторизацию, достаточную для предоставления к данному объекту указанного типа доступа.
Оценка степени защищенности ОС Windows
Согласно описанию и имеющимся у ОС Windows сертификатам система защиты реализует политику безопасности. Несмотря на недокументированность ОС Windows, можно предположить, что центральное требование политики безопасности - контроль доступа к ресурсам, выполняется при надлежащей реализации описанной выше схемы.
Однако при разработке защищенных приложений нужно учитывать, что комбинация дискреционного и ролевого доступа к ресурсам сама по себе не гарантирует, как это показано в главе 1, безопасности функционирования приложений.
Основное достижение разработчиков - создание безопасной среды, в которой невозможен запуск приложения, способного действовать вопреки правилам разграничения доступа к ресурсам. Фактически, утверждается, что разработчиками была реализована изолированная программная среда. В зарубежной литературе используется также термин ядро безопасности (security kernel).
Если в вычислительной системе на таком компьютере ввести иерархию субъектов и объектов (например, субъекты и объекты аппаратно-программного уровня, уровня загрузки, уровня ядра и пользовательского уровня), то нетрудно заметить, что безопасность среды обеспечивается тем, что потенциальный злоумышленник является рядовым пользователем на компьютере и в состоянии работать только с субъектами и объектами пользовательского уровня под контролем субъектов уровней ядра и других уровней иерархии. Надо отметить, что слабая документированность ОС Windows не позволяет дать однозначного ответа на вопрос, является ли среда действительно изолированной: нельзя исключить наличия закладок уровня операционной системы, или даже аппаратного уровня, но, в случае изолированного компьютера, не подключенного к сети, такие скрытые возможности можно не принимать во внимание.
Тем не менее, система безопасности ОС Windows обладает некоторыми недостатками, среди которых плохая защищенность от злоумышленника, имеющего физический доступ к атакуемому компьютеру. Поэтому предлагаются дополнительные защитные модули, основанные на «прозрачном» шифровании данных {в том числе, и системного диска) позволяющие частично устранить угрозы такого рода.
Особенности реализации системы делают практически невозможной защиту от пользователя, обладающего административными правами в системе: администратор может устанавливать любые права на доступ к любым объектам в системе. Более того, даже не обладающий административными правами злоумышленник, имеющий физический доступ к компьютеру, может изъять жесткий диск с информацией и организовать к нему доступ на другом компьютере, где он будет являться администратором.
В [7] описывается атака, направленная на получение хеша пользовательского пароля из резервной копии базы SAM (Security Access Manager). Точно так же, возможна атака с целью подмены хеша пользовательского пароля в базе SAM на другой хеш от заранее известного пароля. После этого можно войти в систему под видом этого пользователя.
Кроме того, файловая система, используемая в системе Windows, устроена таким образом, что при удалении файлов они только помечаются как удаленные, но информация, содержащаяся в них, остается на диске, даже если очистить Корзину . Существует множество способов восстановления файлов, удаленных таким образом. В действительности информация будет затерта (частично или полностью), только когда система запишет на место удаленного файла другой файл. Но это может произойти нескоро. Разумеется, недостатки в реализации ПБ ОС Windows не ограничиваются перечисленными.
Как уже говорилось выше, политика безопасности предполагает не только технические меры противодействия угрозам, но также и организационные. Можно ограничить злоумышленнику доступ в само помещение, где располагается компьютер, опломбировать корпус во избежание вскрытия и изъятия жесткого диска, отключить внешние устройства (дисководы, CDROM, U SB-считыватели), чтобы злоумышленник не мог загрузить систему со своего устройства и т.д. Одной из целей данной работы является частичная нейтрализация приведенных недостатков за счет интеграции в систему дополнительных защитных средств.
Для идентификации ОС Windows с усиленной защитой будет использоваться термин модифицированная защищенная среда (МЗС), которая состоит из системы безопасности собственно ОС Windows и ряда аддитивных добавок. Вначале будет дано ее качественное описание, затем сформулирована политика безопасности и проанализирована ее реализация, как в рамках формальных моделей, так и путем исследования получившейся системы.
В основе создания МЗС лежит система прозрачного шифрования данных. В процессе работы МЗС на файловых системах FAT16/32 и NTFS могут быть созданы виртуальные шифрованные логические диски, доступ к которым защищен паролем. Защищенный диск, созданный с помощью МЗС, "физически" представляет собой обыкновенный файл. Драйверы, которые входят в состав МЗС, позволяют операционной системе работать с таким файлом (он называется файлом-образом диска или файлом-контейнером) как с отдельным логическим диском. В процессе записи на защищенный диск данные шифруются, а в процессе чтения, соответственно, расшифровываются.
Чтобы получить доступ к информации, защищенный диск необходимо подключить. Для этого необходимо ввести пароль и подключить внешние ключи (опциональная возможность). Не обладая необходимым паролем и внешними ключами, никто, включая разработчиков системы, не сможет получить доступ к конфиденциальной информации, расположенной на защищенных дисках.
Штатная заірузка ОС Windows
Далее MBR находит в таблице раздел, помеченный флагом «загрузочный» и запускает код загрузочного сектора (первого сектора загрузочного раздела). Код загрузочного сектора считывает из корневого каталога загрузочного раздела в память файл Ntldr и передает ему управление.
Ntldr начинает работать в реальном режиме процессора х86. В этом режиме отсутствует поддержка виртуальной памяти и доступен только первый мегабайт физической памяти.
Первое, что делает Ntldr - переключает систему в защищенный режим, в котором становится доступной вся физическая память. Затем включается механизм поддержки виртуальной памяти и Ntldr начинает работать в полнофункциональном режиме. Далее Ntldr считывает из корневого каталога файл Boot.ini, который содержит записи о доступных для загрузки операционных системах. После выбора одного из вариантов загрузки Ntldr запускает 16-разрядную программу реального режима Ntdetect.com, которая получает от BIOS сведения о базовых устройствах и конфигурации компьютера и сохраняет их во внутренних структурах данных. На более поздних этапах загрузки эти сведения сохраняются в разделе реестра HKLM\HARDWARE\DESCRIPTION.
После этого Ntldr загружает необходимые для инициализации ядра файлы: 1. Загружает образы ядра (NtoskerneI.exe) и HAL (Hardware Abstraction Level, Hal.dll), а также файл bootvid.dll, обеспечивающий вывод на дисплей во время процесса загрузки. 2. Считывает в память содержимое куста реестра SYSTEM и находит все загрузочные драйверы устройств, необходимые для запуска системы.. 3. Загружает драйвер файловой системы. 4. Загружает драйверы, обязательные для запуска системы. 5. Вызывает главную функцию ядра Ntoksernel.exe.
После этого вызываются компоненты исполняющей системы, чтобы те могли выполнить собственную инициализацию. Например, менеджер памяти настраивает начальные таблицы страниц, а менеджер Plug-and-play загружает драйверы присутствующих устройств ввода-вывода. Загрузка системы считается законченной, как только начинает работать первый настоящий пользовательский процесс - сеансовый менеджер, smss.exe.
После этого запускается подсистема Win32 - csrss.exe, и служебные процессы в пространстве пользователя - winlogon.exe (демон регистрации), Isass.exe (менеджер аутентификации) и т.д. 3.3 Схема защиты системы, основанная на доверенной загрузке
В настоящей работе предложен механизм доверенной загрузки ОС, основанный на шифровании загрузочного раздела жесткого диска. Защиту системы в загруженном состоянии обеспечивает драйвер-фильтр дисковой системы. Драйвер при появлении в системе нового тома встраивается в создаваемый ОС стек драйверов и имеет возможность полностью контролировать все запросы ОС к тому, выполняя операции шифрования/дешифрования над секторами жесткого диска.
На этапе загрузки вместо стандартного загрузочного кода из MBR запускается загрузочный код МЗС, который также находится в MBR. Помимо загрузчика в MBR находится база Preboot БД, содержащая информацию о загрузочном и системном диске (ключ шифрования, интервалы зашифрованных секторов) и зашифрованная мастер-ключом.
Загрузчик МЗС запрашивает у пользователя пароль (который может быть комбинацией пароля, вводимого с клавиатуры и кода, содержащегося на электронном идентификаторе), вычисляет на основе данного пароля мастер-ключ и пытается расшифровать Preboot БД. Поскольку системный диск, вместе с файлами Ntldr и Ntoskemel.exe, зашифрован, загрузить систему, не расшифровав их, не получится. Поэтому загрузчик МЗС устанавливает свой собственный обработчик прерывания intl3h (BIOS disk і/о), и этот обработчик позволяет выполнять все запросы к секторам жесткого диска точно так же, как если бы они были не зашифрованы до тех пор, пока не будет загружен драйвер-фильтр дисковой системы.
Далее управление передается штатному загрузочному коду из MBR, который начинает процесс загрузки ОС как было описано выше. Учитывая, что на одном компьютере может работать несколько пользователей, ПБ принимает следующий вид: 1. В каждый момент только один пользователь может работать с системой. 2. Объекты общего доступа отсутствуют - у каждого пользователя свой собственный системный диск с установленной ОС, на нем же он держит свои конфиденциальные данные. Диск зашифрован ключом К, доступным только данному пользователю.
Недостатки штатной системы защиты в рабочей группе
Протокол NT LM не обеспечивает взаимную аутентификацию, т.е. клиент не может быть уверен, что обращается именно к «правильному» серверу. Например, использование при обращении к серверу его DNS-имени может привести к фальсификации DNS-сервера (поскольку протокол DNS в качестве транспорта использует UDP, не идентифицирующий отправителя). В результате имя пользователя и пароль будут отправлены на сервер злоумышленника. Другая возможность фальсификации сервера связана с тем, что при установке соединения по NetBIOS запрашивается имя компьютера, а не его сетевой адрес. Впрочем, в доменных сетях, состоящих из компьютеров под управлением ОС Windows 2000/ХР/2003 с аутентификацией Kerberos, проблема взаимной аутентификации отпадает.
Далее, протокол SMB не обеспечивает конфиденциальность SMB-сообщений при их пересылке с клиента на сервер и, наоборот, по умолчанию он не обеспечивает также и целостность, хотя допускает соответствующие настройки.
При этом самые большие возможности у злоумышленника могут быть связаны именно с перехватом передаваемых по сети данных. Если сеть некоммутируемая (есть устройства типа hub), то все IP-пакеты будут сами приходить на сетевую карту злоумышленника, в случае же коммутируемой сети он может произвести атаку типа arp-spoofing [60].
Правда, в локальной сети для реализации успешного перехвата злоумышленнику необходимо будет обладать административными правами на каком-то из компьютеров, но не обязательно на компьютерах, чей обмен информацией он хочет перехватить.
Наконец, в рассматриваемой системе отсутствует защита от атак типа «отказ в обслуживании», которые наиболее просто организовать. Будем понимать под модифицированной защищенной средой (МЗС) систему, состоящую из компьютеров под управлением ОС Windows, объединенных в сеть с защитой, усиленной с помощью средств, предлагаемых в данной главе.
Как и в случае с изолированным компьютером в основе создания МЗС лежит система прозрачного шифрования данных, но защита данных обеспечивается как при их хранении и обработке на серверах и рабочих станциях, так и при передаче по сети.
Поскольку ПБ может предусматривать помимо технических также административные меры, сервер чаще всего располагается в отдельном помещении, доступ в которое может быть ограничен. Поэтому подключение защищенного диска на сервере может выполняться как непосредственно с консоли сервера, так и с удаленного компьютера (управляющей станции), имеющего TCP-соединение с сервером.
Для получения удаленного доступа к защищенному диску необходимо установить с сервером защищенное соединение с помощью специального ключа. Все пакеты, пришедшие на сервер не по защищенному соединению, игнорируются. После установки защищенного соединения обеспечивается конфиденциальность и целостность передаваемых между клиентом и сервером данных путем симметричного шифрования.
Если пользователи работают на своих локальных компьютерах, то на них осуществляется шифрование жестких дисков и обеспечивается доверенная загрузка в соответствии с тем, как это описано в главе 3. Если же персональные компьютеры пользователей являются «тонкими» клиентами и работа ведется исключительно в терминальном режиме (схема работы, очень широко распространенная в настоящее время), то достаточно осуществлять шифрование информации только на сервере. В этом случае на персональных компьютерах устанавливается только программное обеспечение, позволяющее шифровать обмен данными с сервером (терминальные клиенты обычно работают по незащищенным соединениям).
По сравнению с защитой информации на изолированном компьютере появляются добавления к ПБ, связанные с тем, что работа с защищенными данными на сервере ведется, как правило, по сети: при установлении соединения сервер и клиент должны проходить взаимную аутентификацию и само соединение должно быть защищенным (должна обеспечиваться конфиденциальность и целостность передаваемых данных). Кроме того, в МЗС должны присутствовать механизмы, препятствующие атакам типа «отказ в обслуживании» (должны присутствовать возможности блокировки пакетов, приходящих с «нежелательных» ІР-адресов, закрытия определенных портов и протоколов). 4.5 Реализация разработанной схемы защиты
Создаваемая среда, как уже говорилось выше, состоит из собственно компьютеров под управлением ОС Windows и программного обеспечения, реализующего дополнительные защитные функции, структура которого описана в данном разделе.
При создании системы защиты информации от НСД принято реализовать систему идентификации и аутентификации и систему разграничения доступа субъектов к объектам. В описываемой программе система идентификации и аутентификации реализована в двух различных компонентах: в «интерфейсе пользователя» при интерактивном входе в систему и в управляющем сервисе и сетевом сервисе при удаленном доступе к защищенным данным. Контроль дискреционного доступа осуществляет также штатный монитор безопасности ОС Windows.
Операция открытия удаленного файла по UNC-имени на обычном разделе сервера рассматривалась в предыдущей главе. При открытии удаленного файла на защищенном диске происходит, в сущности, то же самое, с той разницей, что на сервере обращение пойдет не сразу к драйверу файловой системы, смонтированной на реальном разделе жесткого диска, а сначала к драйверу виртуальной файловой системы. Остается отобразить блоки виртуального устройства в блоки файла образа диска и, соответственно, в блоки реального диска, на котором находится файл-образ. Затем нужно осуществить чтение блоков с этого реального диска, попутно осуществив их декодирование, для чего необходимо знать ключ шифрования.
Пользователь вводит данные аутентификации (пароль и внешние ключи) на управляющей рабочей станции. Эти данные передаются на управляющему сервису в зашифрованном с помощью сеансового ключа виде. Далее они поступают в драйвер, который вызывает функции сервиса для взятия хэш-функции от данных аутентификации. Получившийся таким образом хэш является ключом шифрования заголовка Кз. Потом с помощью этого ключа сервис последовательно перебирает все алгоритмы шифрования, поддерживаемые криптопровайдером (поскольку заголовок зашифрован целиком, то неоткуда взять информацию об алгоритме шифрования). В итоге, после того как нужный алгоритм найден, сервис расшифровывает заголовок и получает ключ шифрования данных Кд. Ключ Кд далее находится в адресном пространстве сервиса на протяжении всей работы программы и используется каждый раз, когда нужно зашифровать или расшифровать блок данных. Помимо информации на самом сервере защищается также сетевой трафик между сервером и клиентами.
