Medzinárodná konferencia vývojárov a používateľov slobodného a otvoreného softvéru

"Параноидальный" офис - оборотная сторона безопасности

Дмитрий Степанов, Минск, Belarus

LVEE 2016

News about data breaches, hacking, discovered vulnerabilities are now typical. Common solutions deal with external threats along with international standards and best practices, not taking into account non-commercial threats of information leaks.

С каждым годом информационные ресурсы и системы развиваются, все глубже проникают в повседневную деятельность компаний и каждого человека в отдельности. Сейчас ни у кого не вызывает удивления новость об утечке данных пользователей того или иного сервиса, взломе системы, обнаружении уязвимости продукта. Многие руководители предприятий полагают, что это их не коснется, так как «это где-то там, а мы здесь». Решения, внедряемые на предприятиях, защищают в большинстве от внешних угроз, взломов, атак, они согласованы с международными стандартами и рекомендациями (cobit, itil и т. д.), и в большинстве своем оценивают риски потери информации с точки зрения убытков для предприятия, но не учитывают, что информация на предприятии может быть не только коммерческой но и чрезмерно конфиденциальной в ином плане.

Весь этот информационный поток порождает у руководителей частных предприятий вполне обоснованную паранойю о сохранности информации по деятельности предприятия.

Исходя из выше описанного мы и рассмотрим распространившуюся паранойю одного руководителя частной компании «X» и реализацию его желаний и потребностей.

На момент созревания «wish list» система компании «X» представляла собой филиальную сеть между двумя странами, граничащими друг с другом. В стране «А» находился отдел продажи и маркетинга (собственно, мы находились в стране «А»), а в стране «Б» – производство, логистика и небольшие продажи.

Инфраструктура была реализована на основе платного ПО (все лицензировано) и представляла следующую картину:

  • 80 ПК с установленными операционными системами Windows;
  • 3 Сервера: 1. Шлюз на платном ПО; 2. Бухгалтерия на платном ПО; 3. Файловый сервер на Платном ПО.

Структура описана кратко и не учитывает наличие АТС и структуры сети (наличия коммутационного оборудования и Wi-fi точек).

Задача.

Была поставлена задача реализовать полное шифрование каналов связи с внешним миром, шифрование почтовой переписки, отслеживание сотрудников, максимально ограничить возможность утечки информации через сотрудников компании и в случае «случайной пропажи какого-либо сервера или компьютера с жесткими дисками из компании». Важнейшим условием стало уменьшение стоимости лицензирования ПО и то, что внедряемый проект в последующем будет распространен на остальные подразделения компании.

План создания.

Выбор ОС пал на дистрибутивы Linux по следующим причинам:

  • низкий уровень владения и грамотности конечных пользователей в среде Linux;
  • стоимость дистрибутива Linux;
  • возможность реализации шифрования из коробки;
  • наличие альтернативного ПО на замену проприетарным пакетам в среде Windows;
  • компания занимается продажами – количество узкоспециализированного по незначительного;
  • производительность ОС на разношерстном парке ПК.

В результате сервера были реализованы на Ubuntu Linux, а клиентские места на Linux Mint Xfce Edition.

Защита каналов и выбор шлюза.

Реализация защиты каналов была проведена посредством объединения филиалов Ipsec тоннелем, в качестве межсетевого экрана тестирровались системы Zentyal и ZeroShell. В городе «А» был установлен ZeroShell благодаря его возможности работать с LiveCD. На второй стороне в городе «Б» был установлен Zentyal – использовался как почтовый сервер и LDAP-сервер. Оба сервера работают под приложением OpenVPN, и таким образом реализация тоннеля не вызвала каких-либо существенных трудностей.

Маршруты были настроены так, что весь офис «А» выходит в интернет через офис «Б». Также был реализован отдельный канал IPSec с SIP-провайдером посредством установки маршрутизатора на стороне провайдера.

В последствии система несколько видоизменялась в связи с улучшением интеграции.

Почтовая переписка была переведена на почтовый клиент Thunderbird c реализованным модулем шифрования на основе PGP. На всех ПК был настроен Iptables для работы только в конкретной сети и с конкретными портами.

Шифрование серверов и офисного ПК.

Полное шифрование диска (Full Disk Encryption, FDE) стало доступнее для простых пользователей Linux. Так начиналась статья (откровенно говоря, не помню какого журнала и тем более автора), ставшая в свое время основой для неоднократной реализации «параноидальных офисов».

По очевидным причинам, мы не хотели стать жертвами термально-ректального криптоанализа со стороны злоумышленников, в результате чего выбрали Luks-шифрование с использованием ключей на основе сертификатов, причем сертификат находился за пределами границ государства офиса «А». Также были предприняты меры по уничтожению сертификата в случае необходимости сохранения информации в безопасности.

Контроль целостности файловой структуры был реализован посредством программного модуля Tripwire.

Таким образом мы получили полностью реализованную на GNU/Linux структуру с шифрованием дисков, на которых оставалась исключительно загрузочная область для получения сертификата и разблокирования диска.

Реализация отслеживания персонала.

Данный вопрос решился на удивление просто: у каждого сотрудника существовал корпоративный телефон на Android или iPhone, который проходил перед каждой командировкой подготовку и чистку у отдела IT. На данные аппараты были установлены скрытые приложения для программного СПО Traccar. Это позволило убить сразу двух зайцев: контроль транспорта и командированных сотрудников, так как телефоны были заведены через VPN-канал на АТС для осуществления звонков через SIP и бесплатной связи с офисом, отключения производились редко, и в результате трек и местоположение были корректны и отчетливы.

Для реализации удаленной работы и подачи приложений (с почтой и иными приложениями) на случай необходимости был рассмотрен продукт Ulteo, недостатком которого было использование Java, но переход на HTML5 вопросы снял.

Подводя итоги:

Реализация данного проекта позволила в очередной раз пользователям с иной стороны рассмотреть СПО. Экономическая выгода, а так же явное преимущество «коробочного решения» по шифрованию, альтернативное офисное ПО и уровень защищенности платформы (благодаря низкой пользовательской популярности и своей структуре) от внешнего зловредного ПО делают гибридные интеграционные решения все более востребованными в современном мире.

Abstract licensed under Creative Commons Attribution-ShareAlike 3.0 license

Späť