Электронный документооборот. Модели нарушителя

Электронный документооборот. Модели нарушителя

Б.Б. Борисенко
Институт криптографии, связи и информатики.
К.А. Шадрин
Институт криптографии, связи и информатики.

Мы продолжаем публикацию статьи, посвященной организации защищенной системы электронного документооборота (ЭДО) в учреждении. Первую часть статьи читайте в журнале "Information Security" № 3-4 за 2006 г.

Нарушитель имеет доступ к Web-интерфейсу ЦР

Самый слабый случай атаки - когда нарушитель имеет доступ к Web-интерфейсу ЦР, но не входит в круг лиц, зарегистрированных в УЦ. Наиболее проста в реализации атака типа "отказ в обслуживании". Для этого злоумышленник может проводить как атаки на конкретного пользователя, так и на всю сеть. Но от атак такого рода на всю систему легко защититься, ограничив число соединений с одним IP-адресом либо ограничив число одновременно пропускаемых соединений на граничном МСЭ, соответствующим образом настроив его.

Также нарушитель имеет возможность проводить атаки из категории "раскрытие параметров". Если злоумышленник подключился к сети, то существует потенциальная опасность того, что он сможет перехватить пакеты в сети и из информации, содержащейся в них, определить маску сети, пару IP-MAC-адресов сети, информацию о рабочих станциях.

Отсюда вытекает возможность проведения атаки типа "нарушение целостности", например используя уязвимости ОС или прикладного ПО. Последние две разновидности атак на всю систему в данном случае невозможны, так как у злоумышленника есть лишь HTTPS-доступ к Web-интерфейсу ЦР, причем на пути между ним и ЦР стоит аппаратный МСЭ.

Для защиты от данных атак администратору безопасности необходимо постоянно отслеживать новые подключения к сети и просматривать сетевой трафик. Кроме того, сеть следует конфигурировать так, чтобы злоумышленник не имел возможности перехватывать пакеты. Если нарушитель каким-либо образом узнал MAC-адрес и IP-адрес пользователя сети УЦ и вошел с его параметрами в сеть, то у него не должно быть возможности осуществлять какие-либо действия от имени пользователя. Как следствие, в сети должна существовать система аутентификации и авторизации пользователей, чтобы нарушитель, узнавший физические параметры ЭВМ в сети, не смог воспользоваться ими. Аутентификацию можно проводить при помощи ЭЦП. При этом следует запретить хранение закрытого ключа ЭЦП в реестре рабочей станции и снабдить пользователей ключевыми носителями, а обращение к ним защитить паролем.

Нарушитель - зарегистрированный пользователь

Рассмотрим ситуацию, в которой нарушитель имеет полномочия зарегистрированного пользователя в сети и доступ к его ресурсам. В данном случае нарушитель обладает всеми доступными обычному пользователю возможностями: обменом подписанными сообщениями с другими зарегистрированными пользователями, возможностью подтверждать достоверность ЭЦП, посылать запросы на выдачу и отзыв сертификата ключа подписи и т.п.

Из категории атак типа "нарушение целостности" пользователь может делать запросы на создание и отзыв сертификатов или изменять параметры существующих. Серьезной угрозой в данном случае является возможность использования нарушителем ЭЦП зарегистрированного пользователя. Злоумышленник зарегистрирован в ЦР, и его запросы будут пропускаться в ЦС. Поэтому для защиты от возможных атак на УЦ следует ограничить число одновременных подключений с одного IP-адреса, запретить соединение пользователей с каким-либо компонентом, кроме ЦР, а к ЦР разрешить лишь доступ на чтение к Web-интерфейсу по протоколу HTTPS.

Чтобы свести возможности злоумышленника, завладевшего рабочей станцией пользователя, к минимуму, необходимо в УЦ запретить автоматическую обработку запросов на выдачу, отзыв или изменение сертификатов с компьютеров пользователей системы. Данные манипуляции с сертификатами следует осуществлять непосредственно с компонента УЦ - АРМ администратора (АРМА).

Нарушитель находится в выделенной сети УЦ

Перейдем к рассмотрению случаев, когда злоумышленник находится внутри изолированной сети, то есть имеет физическое соединение со всеми компонентами УЦ и ему уже не препятствует граничный МСЭ центра. Так, узнав пару IP-MAC-адресов ЦР, злоумышленник может отправлять пакеты от имени ЦР в ЦС, предварительно проведя на ЦР атаку типа "отказ в обслуживании" и выставив его сетевые параметры у себя на рабочей станции.

В данной модели злоумышленник может конфигурировать пакеты и изменять адрес отправителя, указывая адрес компонентов системы. Для защиты от таких атак все элементы УЦ должны иметь ЭЦП, что позволит идентифицировать получаемые пакеты и защититься от возможных фальсифицированных пакетов.

Нарушитель не должен иметь возможности зарегистрироваться в ЦР, следовательно, ЦР необходимо настроить таким образом, чтобы он принимал запросы на регистрацию нового пользователя только от АРМА, подписанные соответствующим ключом, а все остальные не обрабатывал, делая соответствующую запись в журнале о появлении таковых.

В ЦС должна храниться база данных сертификатов открытых ключей ЭЦП и закрытые ключи ЭЦП только зарегистрированных пользователей. Таким образом, прежде чем попасть в ЦС, запрос сначала должен пройти проверку на соответствие в ЦР. В случае отправки от зарегистрированного пользователя он передается в ЦС, иначе не пропускается. Следовательно, в ЦС попадают только те запросы, которые прошли ЦР, отсюда получаем целесообразность установки аппаратного МСЭ перед ЦС, пропускающего лишь пакеты от ЦР для защиты от потенциальных атак со стороны других компонентов УЦ.

Нарушитель захватил АРМА

Рассмотрим, на какие элементы УЦ непосредственно могут быть проведены атаки типа "отказ в обслуживании". Потенциально им может быть подвержен ЦР. В то же время успешная атака, проведенная на ЦР, повлияет на работоспособность всей системы и будет являться косвенной атакой данного типа на рабочие станции зарегистрированных пользователей УЦ. Кроме того, пока ЦР недоступен, подменяются сетевые настройки АРМА на ЦР. Если МСЭ пропускает пакеты от нарушителя к ЦС, то можно реализовывать атаки на ЦС.

Злоумышленник может формировать запросы на регистрацию новых пользователей и удаление или модификацию уже существующих профилей. Помимо того, нарушитель может сформировать запрос на создание или отзыв сертификатов, а также скопировать базу данных зарегистрированных пользователей ЦР и базу данных сертификатов.

Целесообразным является разделение полномочий у пользователей УЦ. Предполагается наличие двух пользователей УЦ: администратора УЦ и оператора УЦ. Администратор УЦ отвечает за первоначальную настройку ПО УЦ, создание баз данных ЦР и ЦС, имеет право на изменение или удаление профилей зарегистрированных пользователей, а также на отзыв действующих сертификатов и публикацию СОС. В случае сбоя в системе администратор УЦ обязан восстановить работоспособность, используя резервные копии. Оператор УЦ имеет право на создание пользователей (создание запроса на регистрацию нового пользователя) и выдачу сертификатов пользователям (создание запроса на выдачу сертификата). Оба пользователя УЦ не имеют права на установку и модификацию ПО. Для затруднения просмотра баз данных ЦР и ЦС должны быть запрещены команды вывода на экран всей базы данных.

Нарушитель захватил ЦР

В данном случае нарушитель завладел связующим звеном между пользователями системы ЭЦП и УЦ и обладает огромными полномочиями. В его власти физическое отключение от сети ЦР, блокировка ЦС и тем самым приостановление деятельности УЦ. Как следствие, все манипуляции с ЭЦП в это время будут неликвидны.

Реализация атаки типа "раскрытие параметров" не вызывает серьезных затруднений. Помимо параметров самого ЦР в нем прописаны соответствующие сетевые настройки АРМА и ЦС. Что касается атак типа "нарушение целостности", можно формировать запросы к ЦС напрямую (по сертификатам). К профилям пользователей можно обращаться непосредственно и вносить изменения в базу данных. Кроме деструктивных действий нарушитель может незаметно наблюдать за происходящим в системе или скопировать базу данных зарегистрированных пользователей УЦ.

В целях повышения безопасности в ЦР должно быть реализовано разграничение полномочий, а именно: добавлены две роли УЦ - оператор ЦР и администратор ЦР. У обоих пользователей должны отсутствовать права на установку или модификацию ПО. Причем у оператора есть все необходимые полномочия для нормального функционирования ЦР, то есть права подписывать запросы на выпуск сертификатов, добавлять новые и т.д. В то же время у него отсутствуют права удаления базы данных пользователей, создания новой таблицы, вывода таблицы полностью на экран или периферийное устройство, изменения и просмотра реестра сертификатов и секретных ключей ЦР, которыми обладает администратор ЦР.

Нарушитель захватил ЦС

В заключение рассмотрим наиболее опасный для всей системы случай: нарушитель завладел основным элементом УЦ и у него под контролем находится база данных сертификатов открытых ключей ЭЦП зарегистрированных пользователей, а также секретных ключей ЭЦП, соответствующих этим сертификатам.

Наиболее простая атака типа "отказ в обслуживании" - изменение сетевых настроек или выключение сетевого интерфейса -приведет к остановке всей системы ЭЦП. К этому же приведет удаление базы данных сертификатов открытых ключей и соответствующих им секретных ключей.

Нарушитель может узнать состав самого ЦС, а также сетевые параметры ЦР и, возможно, версию ОС и ПО ЦР.

Наиболее опасны атаки типа "нарушение целостности". Злоумышленник имеет доступ к базе данных ЦС, т.е. может вносить изменения. Скопировав базу, он может проводить действия от имени пользователей ЭЦП.

В ЦС должно быть введено ролевое разграничение полномочий посредством введения двух ролей УЦ: оператора ЦС и администратора ЦС. Права ролей не должны пересекаться. Оператор УЦ обладает правом создания новых учетных записей, но у него отсутствует право их изменять. Администратор ЦС обладает правами на создание и удаление баз данных, у него отсутствуют права на добавление новых записей в базы данных сертификатов открытых ключей ЭЦП и соответствующих им закрытых ключей зарегистрированных пользователей УЦ, но есть привилегия изменять их. У обеих ролей должно отсутствовать право на установку и модификацию ПО, а также права на вывод содержимого баз данных.