Home » Proворки » Концепция Security Policy






Концепция Security Policy для малого офиса

Security Policy



Для обеспечения безопасности информации от

  1. доступа посторонних лиц

  2. потери в следствии сбоев оборудования

Предлагаю реализовать следующую схему.

I локальная защита

II создание инкрементированных бекапов на локальном сервере

III создание инкрементированных бекапов с локального сервера на удаленный



I локальная защита

На каждом рабочем месте устанавливается программа T r u e C r y p t http://www.truecrypt.org/

(лирическое отступление)

TrueCrypt — компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), GNU/Linux и Mac OS X. Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

Лицензия программы считалась свободной, однако при её проверке для включения TrueCrypt в Fedora в октябре 2008 года были обнаружены опасные и делающие её несвободной неоднозначности.[2][3] К ноябрю в лицензию были внесены исправления.[4]

Возможности TrueCrypt



TrueCrypt умеет создавать зашифрованный виртуальный диск:

в файловом контейнере, что позволяет легко работать с ним — переносить, копировать (в том числе на внешние устройства в виде файла), переименовывать или удалять;

в виде зашифрованного раздела диска, что делает работу более производительной и удобной, в версии 5.0 добавилась возможность шифровать системный раздел;

путём полного шифрования содержимого устройства, такого как флоппи-диск или USB флеш-память.



В список поддерживаемых TrueCrypt 6.2 алгоритмов шифрования входят AES, Serpent и Twofish. Предыдущие версии программы также поддерживали алгоритмы с размером блока 64 бита (Тройной DES, Blowfish, CAST5) (включая версии 5.х, которая могла открывать, но не создавать разделы, защищенные этими алгоритмами). Кроме того, возможно использование каскадного шифрования различными шифрами, к примеру: AES+Twofish+Serpent.



Все алгоритмы шифрования используют XTS-режим, который более безопасен, нежели режимы CBC и LRW для шифрования «на лету», применяющиеся в предыдущих версиях (работа с уже созданными шифроконтейнерами в этих форматах также возможна).



Программа позволяет выбрать одну из трёх хэш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512 для генерации ключей шифрования, соли и ключа заголовка.



Для доступа к зашифрованным данным можно применять пароль (ключевую фразу), ключевые файлы (один или несколько) или их комбинации. В качестве ключевых файлов можно использовать любые доступные файлы на локальных, сетевых, съёмных дисках (при этом используются первые 1,048,576 байт) и генерировать свои собственные ключевые файлы.



Одна из примечательных возможностей TrueCrypt — обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных, необходимого в случае вынужденного открытия пароля пользователем:

Создание скрытого тома, что позволяет задать второй пароль (и набор ключевых файлов) к обычному тому для доступа к данным, к которым невозможно получить доступ с основным паролем, при этом скрытый том может иметь любую файловую систему и располагается в неиспользованном пространстве основного тома.

Ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей, ни в какой форме и рамках).



Другие возможности TrueCrypt:

Переносимость, что позволяет запускать TrueCrypt без установки в операционной системе (необходимы права группы администраторов в NT).

Поддержка создания зашифрованного динамического файла на дисках NTFS. Такие тома TrueCrypt увеличиваются в размере по мере накопления новых данных вплоть до указанного максимального размера. Однако, использование подобной возможности несколько уменьшает производительность и безопасность системы.

Шифрование системного физического либо логического диска для Microsoft Windows-систем с предзагрузочной аутентификацией. (Такая же функциональность встроена в Windows Vista (не всех редакций), Windows 7 (Корпоративная и Максимальная), Windows Server 2008 под именем BitLocker).

Изменение паролей и ключевых файлов для тома без потери зашифрованных данных.

Возможность резервного сохранения и восстановления заголовков томов (1024 байт).

Это может быть использовано для восстановления заголовка повреждённого файла, позволяя подсоединить том после ошибки на аппаратном уровне, в результате которого повредился заголовок.

Восстановление старого заголовка также сбрасывает пароли тома на те, что действительны для прежнего заголовка.

Возможность назначать комбинации клавиш для монтирования/размонтирования разделов (в том числе и быстрого размонтирования со стиранием ключа в памяти, закрытием окна и очисткой истории), отображения и сокрытия окна (и значка) TrueCrypt.

Возможность использовать TrueCrypt на компьютере с правами обычного пользователя (в том числе создавать и работать с контейнерами в файлах), правда, первоначальную установку программы должен сделать администратор.

Обратить внимание на http://www.xakep.ru/post/44511/default.asp - Шнайеру и команде исследователей удалось обнаружить, что Microsoft Vista, Word, и Google Desktop могут раскрыть наличие скрытых файлов.

Важно

При попытке зашифровать системный диск, в случае если BootManager находится на другом диске вываливаемся с ошибкой о неподдерживаемости данной функции

   

Проигнорировав данное сообщение( для машин на которых система и бутменеджер на разных винтах) получаем возможность выбора между простым шифрованием системного раздела и созданием скрытой Операционной Системы

 

Ну и все таки при попытке установки в ситуации Boot Manager находится на диске отличном от диска Операционной Системы получаем результирующий отлуп

 

Выбор области шифрования — зашифровать ВЕСЬ системный диск

Выбор уровня и алгоритмов криптования. Выбрана тройная вложенность криптования

Serpent-Twofish-AES и поддерживаемый Hash Algoritm RIPEMD-160

Соглашаемся

Вводим и подтвежрдаем пароль.

Игнорируем WARNING на пароль меньше 20-ти символов

Проходим процедуру создания Rescue Disc. Для экономии времени и ресурсов, можно скинуть имидж диска на сервер( обязательно идентифицировав каждый диск с машиной, на которой он был создан ) . TrueCrupt показываем имидж примонтированный каким-либо имидж-драйвом ( например DaemonTools Lite)

 

 

 

 

 

После того как TrueCrypt увидил примонтированный диск он проверяет Валидность ключей и в случае положительного результата переходит на следующий этап.

 

При выборе Wipe mode (3-pass ) 160Gb HDD whitch 17Gb data протирается 5~6 часов. Если выбирать более тщательную затирку могут уйти недели. ( Отказываться совсем — нежелательно, т.к. Без протирки область с данными отличеется от той, в которой данных нет!).

 

 

Перед началом криптования дает возможность протестить

 

И убедившись в том что все шаги пройдены нормально, предлагает совершить перезагрузку

 

После перезагрузки начинается процесс криптования, который при необходимости можно поставить на паузу а затем продолжить. После окончания выводится сообщение об окончании и сводка о разделе и методах криптования

 

 

 

Если в системе несколько разделов, то остальные зашифрованные разделы можно монтировать автоматически.

Каждому пользователю пароли выдавать под расписку о получении, копии паролей хранить в базе данных на сервере. При смене+утере пароля данные находящиеся на рабочей машине будут утеряны.

Каждого пользователя обязать производить смену пользователя( блокировку экрана Win+L ) при отходе от рабочего места.

II создание инкрементированных бекапов на локальном сервере

Использовать Rsync – как способ синхронизации файлов или для Windows cwRsync

Нативной свободной или хотя бы бесплатной версии rsync для Windows не существует. Однако существует сборка rsync с cygwin под названием cwRsync. ( В данный момент в этой сборке часть программ — например ssh.exe неработоспособна поэтому необходимо установить дополнительно е програмное обеспечение)

  1. Установить cwRsyncServer_4.0.6_Installer и Copssh_3.1.4_Installer

  2. в командной строке

 

path =%PATH%;c:\program files\cwRsync\bin  перейти в C:\ProgramFiles\ICW\Bin

 

  1. в C:\Program Files\ICW\Bin создать пару ключей 

    	ssh-keygen -f /home/madrat/.ssh/ssh_key -t rsa -N ''
    (Please note those are two single quotes)

  2. скопировать ключ на сервер 


scp
/home/madrat/.ssh/ssh_key.pub
madrat@remote_server:~/

зайти по ссх на сервер

 

ssh madrat@remote_server

на сервере добавить ключ в авторизированные ключи 

cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

  1. rsync
    	-avz -e "./ssh -i /home/madrat/.ssh/ssh_key"
    	--delete-after --iconv='UTF-8,Windows-1251' "/cygdrive/c/My Documents" madrat@192.168.0.200:~/test_backup

  2. создать rsync.bat следующего содежания 

@cls 
@echo off 
rem Rsync job
control file 
cd C:\Program Files\ICW\Bin 
path =%PATH%;C:\Program Files\ICW\Bin 
rsync -avz -e "./ssh -i /home/madrat/.ssh/ssh_key" --delete-after --iconv='UTF-8,Windows-1251' --exclude="Saved Games"
--exclude="Application Data" --exclude="Главное меню" --exclude="Мои документы" --exclude="Все пользователи"
--exclude="Default User" --exclude="All Users"
--exclude=AppData --exclude=*.lnk --exclude=*.tmp --exclude=Temp
--exclude=Cookies --exclude=NetHood --exclude=PrintHood
--exclude=SendTo --exclude=Шаблоны --exclude=NTUSER*
--exclude=ntuser*  "/cygdrive/c/Users/madrat" 
madrat@192.168.0.200:~/test_backup

Важно в Windows среде исключения прописываются вида --exclude="Application Data"

  1. создать регулярное задание в планировщике заданий Windows

  2. Первоначальный бекап рекомендую делать после окончания рабочего дня, остальные ежечасно по расписанию



Из минусов — данный метод не позволяет копировать специфические виндовые вещи, например реестр. На каждой пользовательской машине находится ключ, с помощью которого неблагонадежный сотрудник может попасть на бекап сервер.

Из плюсов — при потере рабочей машины данные в явном виде могут быть перенесены с сервера бекапов на любую другую рабочую машину.

Оптимальным вариантом для данного метода является подключение всех рабочих машин к серверу бекапов через Gigabit Switch.

Необходимо сотрудников разбить на группы ( по типу исполняемых задачь) и составить точные списки того, что подлежит бекапу.





III создание инкрементированных бекапов с локального сервера на удаленный

Все аналогично описанному в п II, только используется *nix like system.

1) Rsync

Должен быть на обоих серверах

2) Ключи

На локальном сервере создать пару ключей.

Скопировать ключ на удаленный сервер.

 

На удаленном сервере добавить ключ в авторизированные ключи.

 



3) система бекапов

Первоначальный бекап рекомендую делать после окончания рабочего дня, остальные можно ежедневно по расписанию в ночное время.



Ввод системы должен быть поэтапным. Размер требуемого дискового пространства на удаленном бекап сервере будет известен только после отработки серии бекапов с локальных хостов на локальный сервер бекапов.

© 2010 Анатолий Панченко a.k. MADRAT.

Аттрактор Лоренца (от англ. to attract — притягивать) ― компактное инвариантное множество L в трехмерном фазовом пространстве гладкого потока, которое имеет определённую сложную топологическую структуру и является асимптотически устойчивым.