Сзи нсд для linux

Возможности ПАК СЗИ НСД « АККОРД-Х» для ОС Linux

Бажитов И.А., ОКБ САПР

Возможности ПАК СЗИ НСД «Аккорд-Х» для ОС Linux

В настоящее время в ОКБ САПР ведется разработка программно-аппаратного комплекса средств защиты информации от несанкционированного доступа (ПАК СЗИ НСД) для операционных систем семейства Linux. Разработка получила название «Аккорд-Х», что указывает на ее родство с аналогичным комплексом «Аккорд-NT/2000» для ОС Windows.

ОС Linux использует традиционную модель дискреционного разграничения доступа, применяемую в UNIX, где каждому файлу назначены правила разграничения доступа (ПРД) для владельца файла, группы, владеющей файлом, и для всех остальных субъектов ОС. Также, в Linux присутствуют средства для «точечного» задания прав доступа при помощи списков контроля доступа (СКД), однако они поддерживаются не всеми файловыми системами(ФС) используемыми в Linux, и существует возможность их отключения в процессе загрузки ОС.

Для осуществления мандатного разграничения доступа в ядре Linux существует подсистема SELinux (Security Enhanced Linux). Для работы SELinux требуется, чтобы ФС поддерживали создание и хранение произвольных метаданных для любых файлов, что, опять же, реализовано не во всех ФС, поддерживаемых Linux. Кроме того, ПРД SELinux можно отключить во время загрузки ядра ОС.

Таким образом, при использовании существующих штатных средств защиты от НСД всегда существует возможность их обхода или отключения на ранних этапах загрузки ОС. Отсюда, в соответствии со следствиями из теоремы об использовании компонента безопасности [1], в состав комплекса СЗИ НСД должен быть включен аппаратный компонент, устраняющий вышеописанные недостатки чисто программных средств. В Аккорд-Х аппаратной частью является СЗИ Аккорд-АМДЗ. Программная часть комплекса разрабатывается с учетом требований руководящих документов (РД) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» для 3 класса защищенности и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» для класса защищенности 1В.

В задачи Аккорд-АМДЗ в рамках комплекса входит:

• Идентификация и аутентификация пользователя до начала загрузки ОС. В качестве идентификатора используется устройство touch memory, либо ПСКЗИ ШИПКА. Аутентификация осуществляется путем ввода пароля.
• Запрет загрузки ОС с внешних носителей (приводы CD/DVD, USB-устройства, сетевые интерфейсы с возможностью загрузки ОС по протоколам BOOTP/PXE)
• Контроль неизменности оборудования, входящего в состав защищаемой ЭВМ.
• Контроль целостности загрузочных областей жестких дисков и системных файлов.

После успешного прохождения всех проверок Аккорд-АМДЗ, происходит загрузка ОС и программной части комплекса — монитора разграничения доступа (МРД). МРД реализует следующие функции комплекса:

• Разграничение доступа процессов пользователя к объектам ОС на основании мандатных и дискреционных ПРД, заданных администратором безопасности (АБ);
• Периодический контроль целостности файлов, задаваемых в списках контроля целостности (СКЦ). СКЦ могут быть двух видов: статические — файлы проверяются во время входа и выхода пользователя и через заданный интервал времени; динамические — целостность файлов проверяется каждый раз при загрузке их в оперативную память.
• Разграничение доступа к внешним USB-носителям. Существует возможность задания списка USB-устройств, разрешенных к использованию в качестве внешних носителей данных. Носители идентифицируются по их серийным номерам.
• Разграничение доступа к сетевым ресурсам.
• Ведение журналов активности пользователей. Возможна как регистрация самого факта доступа пользователя к ресурсу (например, открытие файла), так и запись информации о каждой операции, произведенной над ресурсом (например, чтение/запись в открытый файл).

Использование аппаратной части является первой фазой создания изолированной программной среды (ИПС) работы пользователя. МРД, на базе ПРД, заданных АБ комплекса, реализует вторую фазу.

Взаимодействие АБ с комплексом осуществляется через единый интерфейс администрирования. В данном интерфейсе интегрированы средства управления пользователям, задания ПРД, управления журналами и остальными аспектами работы комплекса.

Встроенных средств ОС семейства Linux недостаточно для обеспечения защиты от НСД к данным. При использовании только программных СЗИ всегда существуют способы их обхода, поэтому, наряду с программными компонентами, в комплексе СЗИ НСД для ОС Linux необходимо применять аппаратную часть, ликвидирующую недостатки программных средств.

Разрабатываемый комплекс «Аккорд-Х» позволит:
— Создать изолированную программную среду работы пользователей;
— Внедрить мандатный и дискреционный механизмы разграничения доступа, функционирующие независимо от соответствующих механизмов ОС;
— Произвести сертификацию существующих дистрибутивов ОС Linux на соответствие 3 классу защищенности СВТ и классу 1В АС.

Список литературы:
1. Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». М.: Радио и связь, 1999. — 325 с.
2. Макейчик Ю. С. Об изделии «Аккорд v2.0 для Windows NT/2000» // Комплексная защита информации (25-27 февраля 2003 года, Раубичи). Минск, 2003. С. 114-115.

Автор: Бажитов И. А.

Дата публикации: 01.01.2009

Библиографическая ссылка: Бажитов И. А. Возможности ПАК СЗИ НСД «АККОРД-Х» для ОС Linux // Комплексная защита информации. Материалы XIV международной конференции (19–22 мая 2009 года). Мн., 2009. С. 26–27.

Источник

Новости

13 февраля 2013

Компания «Код Безопасности» объявляет о старте продаж нового решения Secret Net LSP, предназначенного для защиты конфиденциальной информации и персональных данных, обрабатываемых на рабочих станциях и серверах под управлением ОС Linux.

Новое СЗИ от НСД Secret Net LSP для ОС Linux сочетает в себе набор защитных подсистем и возможностей, позволяющих создать надежную защиту автоматизированных систем, отвечающую требованиям российского законодательства.

Система защиты на основе Secret Net LSP обеспечивает:

• идентификацию и аутентификацию пользователей, в том числе и с использованием персональных идентификаторов;
• разграничение доступа к защищаемым ресурсам Linux-машины;
• очистку освобождаемой оперативной памяти и запоминающих устройств;
• регистрацию событий безопасности в журнале;
• аудит и контроль действий пользователей;
• контроль целостности файлов и каталогов;
• уничтожение содержимого файлов при их удалении.

Также разработчики программного решения отмечают удобство работы администраторов с СЗИ Secret Net LSP. Это относится как к программе установки, позволяющей просто и быстро развернуть комплекс защиты, так и к возможности выбора варианта управления СЗИ – графические и консольные утилиты.

«Новое решение, вошедшее в семейство продуктов Secret Net, получило не только название флагманского продукта, но и такие характеристики, как качество, надежность и удобство эксплуатации, – говорит Андрей Голов, генеральный директор компании «Код Безопасности». – Новое средство защиты от несанкционированного доступа Secret Net LSP позволит выполнить требования законодательных актов, упростив аттестацию информационных систем, функционирующих под управлением ОС Linux. Выпустив сертифицированное в ФСТЭК России решение такого класса, мы даем возможность заказчикам без потери гибкости системы выполнить требования регуляторов при использовании дистрибутивов Linux».

Решение прошло сертификацию в ФСТЭК России на соответствие требованиям руководящих документов по 5-му классу защищенности по СВТ и по 4-му уровню контроля отсутствия НДВ. Сертификат позволяет использовать СЗИ от НСД Secret Net LSP при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 1-го класса включительно.

По вопросам приобретения средств защиты информации вы можете обратиться в коммерческий отдел компании «Код Безопасности»: sales@securitycode.ru; +7 (495) 980-23-45.

Secret Net LSP
Secret Net LSP обеспечивает защиту от несанкционированного доступа на рабочих станциях и серверах под управлением ОС Linux, а также разграничивает доступ к конфиденциальной информации, осуществляет контроль доступа к устройствам и портам ввода-вывода информации, контроль целостности.СЗИ Secret Net LSP позволяет привести автоматизированную систему в соответствие законодательным требованиям по защите персональных данных и конфиденциальной информации.

Источник

Российский рынок сертифицированных СЗИ для ОС GNU/Linux

На рынке не утихают споры о том, что будет означать для России курс на импортозамещение в сфере информационных технологий (ИТ) и какой путь самый быстрый и безболезненный — перевод информационных систем на СПО (свободное программное обеспечение) или создание собственной ОС на базе все тех же дистрибутивов Linux, способной заменить продукцию зарубежных вендоров.

При этом задолго до введения санкций в области ИТ перспективы использования СПО в России были подкреплены планом на годы по переходу федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование СПО, который был утвержден распоряжением Правительства от 17 декабря 2010 г. № за подписью Владимира Путина. Однако с момента принятия этого курса информации о внедрении СПО в госорганы было крайне мало, в основном это были точечные проекты в регионах.

Главным препятствием для полноценной реализации планов по переходу на СПО в первую очередь являются недостаток квалифицированных кадров для внедрения и обслуживания таких систем, а также опасения, связанные с использованием «сложного и незнакомого» ПО. По сути, эти факторы актуальны не только для России, но и для других стран.

Также в соответствии с действующим законодательством при обработке персональных данных, государственной тайны и другой конфиденциальной информации должны использоваться сертифицированные средства защиты информации (СЗИ). Таким образом, возможный переход органов исполнительной власти на использование Linux создаст дополнительный стимул для развития рынка сертифицированных СЗИ для новой платформы.

Вместе с тем на российском рынке уже существуют локализированные дистрибутивы Linux со встроенными программными СЗИ, сертифицированными ФСТЭК России. Это системы ALT Linux СПТ, Astra Linux SE, ROSA, Mandriva Linux, GosLinux и др. Однако наличие встроенных механизмов защиты в дистрибутиве не означает, что нужно отказаться от применения дополнительных СЗИ, даже если они дублируют какие-либо возможности защитных подсистем. Для этого есть ряд объективных причин, связанных не только с возможными архитектурными недостатками и ошибками программирования, но и с наличием определенных ограничений, которые появляются при использовании специализированных дистрибутивов. Среди таких ограничений стоит выделить потерю гибкости системы ввиду невозможности изменения конфигурации и состава файлов из комплекта поставки после фиксации набора файлов при сертификации дистрибутива. Таким образом, пока издатель не сертифицирует обновления, их нельзя применять, что влияет и на степень надежности ОС. Также к невозможности аттестации объекта информации приводит установка приложения, вносящего изменения в общесистемное программное обеспечение. С другой стороны, наложенное СЗИ дает не только свободу при выборе дистрибутива и возможность расширения функционала ОС, но и наиболее полное выполнение мер, определяемых, в частности, приказами №№ 21, 17 и 31 ФСТЭК России. Наличие дополнительных защитных механизмов и функционала для управления системой защиты, напротив, значительно повышает уровень защищенности информационной системы.

Рассмотрим более подробно, что предлагает сегодня российский рынок сертифицированных средств защиты для ОС Linux.

Средства антивирусной защиты

В этой категории традиционно присутствуют два российских разработчика — «Лаборатория Касперского» и «Доктор Веб» с сертифицированными по линии ФСТЭК и ФСБ России антивирусными решениями.

Средства аутентификации

Здесь рынок делят семейства идентификаторов Рутокен и eToken.

Межсетевые экраны и средства организации VPN-соединений

В этом сегменте присутствуют как лидеры рынка — надежные и проверенные решения, так и решения, которые имеют узкий круг заказчиков:

• АПКШ «Континент«/СКЗИ «Континент-АП» для OC Linux (находится на сертификации)
• ViPNet Coordinator для Linux
• VPN/FW «ЗАСТАВА»
• ПАК «РУБИКОН»
• Программный комплекс «FORT»

Криптографическая защита данных

Аппаратно-программные модули доверенной загрузки

Все представленные на рынке АПМДЗ различаются списком поддерживаемых ОС Linux и файловых систем.

• ПАК «Соболь»
• МДЗ-Эшелон
• ПАК «Аккорд-АМДЗ»
• ALTELL TRUST
• АПМДЗ «Макс им-М1»

Средства защиты информации от несанкционированного доступа

Российский рынок предлагает два решения:

• СЗИ от НСД Secret Net LSP
• ПАК «Аккорд-Х»

Если первое решение программное и имеет модульную архитектуру, то второе представляет собой программно-аппаратное решение, состоящее из АПМДЗ и программного обеспечения для разграничения доступа.

Очевидно, что сертифицированных средств защиты, предназначенных для ОС Linux, отнюдь не такое большое количество, как для ОС Windows. Связано это с незначительным распространением СПО и малым числом специалистов, ориентирующихся на эту платформу, а в ряде случаев и с технологической сложностью реализации того или иного защитного функционала. Кроме того, список поддерживаемых ОС Linux у каждого производителя свой, что создает определенные трудности для создания эшелонированной комплексной системы защиты.

В настоящий момент нет четкого понимания того, что и как будет внедряться в федеральных органах. Однако «движение» законодательной базы и текущие инициативы государства должны вызвать увеличение спроса на СПО среди российских госструктур. Государство является крупнейшим пользователем ИТ, поэтому и перспективы внедрения СПО в этом сегменте довольно масштабны. Все эти факторы, несомненно, будут стимулировать развитие рынка сертифицированных средств защиты информации для ОС GNU/Linux.

Автор статьи — менеджер по продукту компании «Код Безопасности»

СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»

Источник

Системы защиты Linux

Одна из причин грандиозного успеха Linux ОС на встроенных, мобильных устройствах и серверах состоит в достаточно высокой степени безопасности ядра, сопутствующих служб и приложений. Но если присмотреться внимательно к архитектуре ядра Linux, то нельзя в нем найти квадратик отвечающий за безопасность, как таковую. Где же прячется подсистема безопасности Linux и из чего она состоит?

Предыстория Linux Security Modules и SELinux

Security Enhanced Linux представляет собой набор правил и механизмов доступа, основанный на моделях мандатного и ролевого доступа, для защиты систем Linux от потенциальных угроз и исправления недостатков Discretionary Access Control (DAC) — традиционной системы безопасности Unix. Проект зародился в недрах Агентства Национальной Безопасности США, непосредственно разработкой занимались, в основном, подрядчики Secure Computing Corporation и MITRE, а также ряд исследовательских лабораторий.

Linux Security Modules

Линус Торвальдс внес ряд замечаний о новых разработках АНБ, с тем, чтобы их можно было включить в основную ветку ядра Linux. Он описал общую среду, с набором перехватчиков для управления операциями с объектами и набором неких защитных полей в структурах данных ядра для хранения соответствующих атрибутов. Затем эта среда может использоваться загружаемыми модулями ядра для реализации любой желаемой модели безопасности. LSM полноценно вошел в ядро Linux v2.6 в 2003 году.

Фреймворк LSM включает защитные поля в структурах данных и вызовы функций перехвата в критических точках кода ядра для управления ими и выполнения контроля доступа. Он также добавляет функции для регистрации модулей безопасности. Интерфейс /sys/kernel/security/lsm содержит список активных модулей в системе. Хуки LSM хранятся в списках, которые вызываются в порядке, указанном в CONFIG_LSM. Подробная документация по хукам включена в заголовочный файл include/linux/lsm_hooks.h.

Подсистема LSM позволила завершить полноценную интеграцию SELinux той же версии стабильного ядра Linux v2.6. Буквально сразу же SELinux стал стандартом де-факто защищенной среды Linux и вошел в состав наиболее популярных дистрибутивов: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

Глоссарий SELinux

LSM и архитектура SELinux

Несмотря на название LSM в общем-то не являются загружаемыми модулями Linux. Однако также, как и SELinux, он непосредственно интегрирован в ядро. Любое изменение исходного кода LSM требует новой компиляции ядра. Соответствующая опция должна быть включена в настройках ядра, иначе код LSM не будет активирован после загрузки. Но даже в этом случае его можно включить опцией загрузчика ОС.

Стек проверок LSM

LSM оснащен хуками в основных функций ядра, которые могут быть релевантными для проверок. Одна из основных особенностей LSM состоит в том, что они устроены по принципу стека. Таким образом, стандартные проверки по-прежнему выполняются, и каждый слой LSM лишь добавляет дополнительные элементы управления и контроля. Это означает, что запрет невозможно откатить назад. Это показано на рисунке, если результатом рутинных DAC проверок станет отказ, то дело даже не дойдет до хуков LSM.

SELinux перенял архитектуру безопасности Flask исследовательской операционной системы Fluke, в частности принцип наименьших привилегий. Суть этой концепции, как следует из их названия, в предоставлении пользователю или процессу лишь тех прав, которые необходимы для осуществления предполагаемых действий. Данный принцип реализован с помощью принудительной типизации доступа, таким образом контроль допусков в SELinux базируется на модели домен => тип.

Благодаря принудительной типизации доступа SELinux имеет гораздо более значительные возможности по разграничению доступа, нежели традиционная модель DAC, используемая в ОС Unix/Linux. К примеру, можно ограничить номер сетевого порта, который будет случать ftp сервер, разрешить запись и изменения файлов в определенной папке, но не их удаление.

Основные компоненты SELinux таковы:

• Policy Enforcement Server — Основной механизм организации контроля доступа.
• БД политик безопасности системы.
• Взаимодействие с перехватчиком событий LSM.
• Selinuxfs — Псевдо-ФС, такая же, как /proc и примонтированная в /sys/fs/selinux. Динамически заполняется ядром Linux во время выполнения и содержит файлы, содержащие сведения о статусе SELinux.
• Access Vector Cache — Вспомогательный механизм повышения производительности.

Схема работы SELinux

Все это работает следующим образом.

1. Некий субъект, в терминах SELinux, выполняет над объектом разрешенное действие после DAC проверки, как показано не верхней картинке. Этот запрос на выполнение операции попадает к перехватчику событий LSM.
2. Оттуда запрос вместе с контекстом безопасности субъекта и объекта передается на модуль SELinux Abstraction and Hook Logic, ответственный за взаимодействие с LSM.
3. Инстанцией принятия решения о доступе субъекта к объекту является Policy Enforcement Server и к нему поступают данные от SELinux AnHL.
4. Для принятия решения о доступе, или запрете Policy Enforcement Server обращается к подсистеме кэширования наиболее используемых правил Access Vector Cache (AVC).
5. Если решение для соответствующего правила не найден в кэше, то запрос передается дальше в БД политик безопасности.
6. Результат поиска из БД и AVC возвращается в Policy Enforcement Server.
7. Если найденная политика согласуется с запрашиваемым действием, то операция разрешается. В противном случае операция запрещается.

Управление настройками SELinux

SELinux работает в одном из трех режимов:

• Enforcing — Строгое соблюдение политик безопасности.
• Permissive — Допускается нарушение ограничений, в журнале делается соответствующая пометка.
• Disabled — Политики безопасности не действуют.

Посмотреть в каком режиме находится SELinux можно следующей командой.

Изменение режима до перезагрузки, например выставить на enforcing, или 1. Параметру permissive соответствует числовой код 0.

Также изменить режим можно правкой файла:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing — SELinux security policy is enforced.
# permissive — SELinux prints warnings instead of enforcing.
# disabled — No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted — Targeted processes are protected,
# minimum — Modification of targeted policy. Only selected processes are protected.
# mls — Multi Level Security protection.

Разница с setenfoce в том, что при загрузке операционный системы режим SELinux будет выставлен в соответствии со значением параметра SELINUX конфигурационного файла. Помимо того, изменения enforcing disabled вступают в силу только через правку файла /etc/selinux/config и после перезагрузки.

Просмотреть краткий статусный отчет:

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
Для просмотра атрибутов SELinux некоторые штатные утилиты используют параметр -Z.

По сравнению с обычным выводом ls -l тут есть несколько дополнительных полей следующего формата:

Последнее поле обозначает нечто вроде грифа секретности и состоит из комбинации двух элементов:

• s0 — значимость, также записывают интервалом lowlevel-highlevel
• c0, c1… c1023 — категория.

Изменение конфигурации доступов

Используйте semodule, чтобы загружать модули SELinux, добавлять и удалять их.

Первая команда semanage login связывает пользователя SELinux с пользователем операционной системы, вторая выводит список. Наконец последняя команда с ключом -r удаляет связку отображение пользователей SELinux на учетные записи ОС. Объяснение синтаксиса значений MLS/MCS Range находится в предыдущем разделе.

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server

]$ semanage login -d karol

Команда semanage user используется для управления отображений между пользователями и ролями SELinux.

• -a добавить пользовательскую запись соответствия ролей;
• -l список соответствия пользователей и ролей;
• -d удалить пользовательскую запись соответствия ролей;
• -R список ролей, прикрепленных к пользователю;

Файлы, порты и булевы значения

Каждый модуль SELinux предоставляет набор правил маркировки файлов, но также можно добавить собственные правила для в случае необходимости. Например мы желаем дать веб серверу права доступа к папке /srv/www.

Первая команда регистрирует новые правила маркировки, а вторая сбрасывает, вернее выставляет, типы файлов в соответствии с текущими правилами.

Аналогично, TCP/UDP порты отмечены таким образом, что лишь соответствующие сервисы могут их прослушивать. Например, для того, чтобы веб-сервер мог прослушивать порт 8080, нужно выполнить команду.

Значительное число модулей SELinux имеют параметры, которые могут принимать булевы значения. Весь список таких параметров можно увидеть с помощью getsebool -a. Изменять булевы значения можно с помощью setsebool.

Практикум, получить доступ к интерфейсу Pgadmin-web

Рассмотрим пример из практики, мы установили на RHEL 7.6 pgadmin4-web для администрирования БД PostgreSQL. Мы прошли небольшой квест с настройкой pg_hba.conf, postgresql.conf и config_local.py, выставили права на папки, установили из pip недостающие модули Python. Все готово, запускаем и получаем 500 Internal Server error.

Начинаем с типичных подозреваемых, проверяем /var/log/httpd/error_log. Там есть некоторые интересные записи.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
.
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: ‘/var/lib/pgadmin’
[timestamp] [wsgi:error] [pid 23690]
[timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

На этом месте у большинства администраторов Linux возникнет стойкое искушение запустить setenforce 0, да и дело с концом. Признаться, в первый раз я так и сделал. Это конечно тоже выход, но далеко не самый лучший.

Несмотря на громоздкость конструкций SELinux может быть дружественным к пользователю. Достаточно установить пакет setroubleshoot и просмотреть системный журнал.

]$ yum install setroubleshoot
[admin@server

]$ journalctl -b -0
[admin@server

]$ service restart auditd

Обратите внимание на то, что сервис auditd необходимо перезапускать именно так, а не с помощью systemctl, несмотря на наличие systemd в ОС. В системном журнале будет указан не только факт блокировки, но также причина и способ преодоления запрета.

Выполняем эти команды:

]$ setsebool -P httpd_can_network_connect 1
[admin@server

]$ setsebool -P httpd_can_network_connect_db 1

Проверяем доступ на веб страницу pgadmin4-web, всё работает.

Источник