Что значит защищенная операционная система Astra Linux?
Последние дни очень часто поступают запросы (к нам как к испытательной лаборатории) относительно новой операционной системы специального назначения — Astra Linux Special Edition и ее линейки версий. Отметим, что вопросы, гл.о., касаются защиты государственной тайны и использования на объектах военных или критических приложений, однако встречаются и такие, как: можно ли ее использовать для защиты персональных данных? Разумеется, «Астру Линукс» явно или неявно сравнивают с другими российскими специальными ОС (ОС МСВС и др.). Поэтому на блоге набросал короткую справку.
Операционная система специального назначения Astra Linux Special Edition
Назначение операционной системы
Операционная система специального назначения «Astra Linux Special Edition» предназначена для обеспечения защиты информации от несанкционированного доступа в автоматизированных системах в защищенном исполнении (АС ЗИ) с классом защищенности до «1Б» включительно, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, с грифом не выше «совершенно секретно».
На это система имеет сертификат соответствия Минобороны России №1339 от 24 сентября 2010 г., однако еще имеется и сертификат соответствия ФСТЭК России №2557 от 27 января 2012 г. Оба сертификата на соответствие в том числе СВТ-3, НДВ-2!
Актуальность темы
В современных госинфраструктурах, обрабатывающих гостайну, конечно, остро стоит вопрос стандартизации и унификации программных сред, операционных систем и других программных платформ. Данная процедура обеспечивает снижение затрат на развертывание и администрирование АС ЗИ, упрощает разработку и портирование программных средств на АС ЗИ, ускоряет процесс обучения персонала работе в АС ЗИ. Это очевидно.
Для решения этой задачи в нашей стране на данный момент доступны несколько проектов операционных «доверенных» платформ. Однако наиболее апробированными, на наш взгляд, являются пока две операционные системы, имеющие развитый набор прикладных программ и при этом соответствующие требованиям военных (системы сертификации средств защиты информации Министерства обороны Российской Федерации) — это ОС Astra Linux и ОС МСВС.
Состав операционной системы Astra Linux
˗ Системные модули
- система разграничения доступа, обеспечивающая мандатное и дискреционное разграничение доступа (в т.ч. и ACL);
- система аудита и журналирования событий с выдачей на рабочее место Администратора ОБИ информации от НСД;
- системы контроля целостности дистрибутива операционной системы, объектов файловой системы, состояния исполняемых модулей;
- средства управления программными пакетами, резервного копирования и восстановления данных.
˗ Модули для выполнения документооборота
- редакторы текстовых, графических, видео, и аудио документов (LibreOffice, VLC, GIMP и др.);
- модули работы веб-камерами, сканерами, с CD/DVD-приводами;
- защищенная электронная почта (Exim), сервер печати с маркировкой и учётом печатных документов.
˗ Средства разработки и создания сетевой инфраструктуры
- средства разработки: поддержка C/C++ (на базе Qt), PHP, Python, Perl и др. языков разработки;
- система организации домена и терминальной службы (ALD);
- защищенная СУБД (на основе PostgreSQL) и ПО для создания веб-сервисов (сервер Apache, браузер Firefox).
Отличие ОС Astra Linux от уже существующих защищенных решений (МСВС, Alt Linux, Янукс и др.)
- актуальная версия ОС Astra Linux имеет действующие сертификаты одновременно в системах ФСТЭК России и Минобороны России, позволяющие обрабатывать информацию с грифом до «совершенно секретно» включительно;
- поскольку ОС построена на кодовой базе ОС Debian Linux, в ней обеспечивается высокая стабильность работы и хорошая поддержка уже существующего набора современного ПО (на основе deb-репозиториев);
- мандатное разграничение доступа качественно реализовано как на уровне графического интерфейса пользователя (GUI), так и в защищенной СУБД, и в стеке протоколов TCP/IP.
Тактико-технические характеристики Astra Linux
- В ОС реализована поддержка следующих архитектур центрального процессора: x86_64 (релизы «Орёл», «Смоленск», «Тула»), ARM (релиз «Новороссийск»), IBM System Z (релиз «Мурманск»).
…
Что можно добавить в качестве доп.информации?
- Во-первых, в нашем учебном центре «Эшелон» проводятся учебные курсы также и по операционной системе Astra Linux (кстати, учебная программа курсов согласована с регуляторами).
- Во-вторых, что важно, в ОС Astra Linux встроена поддержка взаимодействия с модулями из состава комплекса средства анализа защищенности и мониторинга сетевой безопасности «Сканер-ВС»! Это позволяет выполнить требования регуляторов по наличию на объектах информатизации актуальных средств контроля эффективности защиты информации, вплоть до создания выделенного места администратора безопасности. Разумеется, операционная система совместима и эффективно интегрируется с комплексом оперативного мониторинга, реагирования и анализа данных «Комрад» и комплексом противодействия программно-аппаратным воздействиям «Рубикон» (межсетевой экран + система обнаружения вторжений), которые производятся НПО «Эшелон».
Ключевые особенности ОС Astra Linux SE в части механизмов защиты задекларированы здесь (на момент 2011 года):
http://astra-linux.com/index.php?option=com_content&view=article&id=68:szi-features&catid=45:release-se&Itemid=66
• Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. Для удобства работы пользователей и разработки прикладных программ разработана системная библиотека с удобным программным интерфейсом доступа к механизму мандатного разграничения доступа. Обеспечено взаимодействие входящих в состав операционной системы клиент-серверных компонент, а также файловых систем(ext3, CIFS) с механизмом мандатного разграничения доступа.
• Изоляция модулей
Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство. Данный механизм изоляции основан на страничном механизме защиты памяти, а также механизме трансляции виртуального адреса в физический. Любой доступ нескольких процессов к одному и тому же участку памяти обрабатывается диспетчером доступа в соответствии с дискреционными и мандатными правилами разграничения доступа.
• Очистка оперативной и внешней памяти и гарантированное удаление файлов
Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении. Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.
• Маркировка документов
Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
• Регистрация событий
Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.
• Механизмы защиты информации в графической подсистеме
Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.
Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
◦ графическое отображение мандатной метки каждого окна;
◦ возможность запускать приложения с разными мандатными метками.
Менеджер файлов позволяет видеть метки объектов файловой системы (файлов и каталогов) с текстовой и цветовой индикацией.
• Режим ограничения действий пользователя (режим «киоск»)
Режим «киоск» служит для ограничения прав пользователей в системе.
Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.
При входе пользователя в систему права доступа из конфигурационного файла устанавливаются автоматически.
• Защита адресного пространства процессов
В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса. Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.
• Механизм контроля замкнутости программной среды
Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.
• Контроль целостности
Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта «Another File Integrity Checker».
• Средства организации домена
Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:
◦ сквозную аутентификацию в сети;
◦ централизацию хранения информации об окружении пользователей;
◦ централизацию хранения настроек системы защиты информации на сервере;
◦ централизацию управления серверами DNS и DHCP;
◦ интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;
◦ централизованный аудит событий безопасности в рамках домена.
• Защищенная реляционная СУБД
В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.
В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации. В качестве иерархических и неиерархических меток доступа при использовании СУБД используются метки конфиденциальности или метки безопасности операционной системы.
Проведены необходимые работы по интеграции СУБД с подсистемой аудита и средствами организации домена.
• Защищенный комплекс программ электронной почты
В состав защищенного комплекса программ электронной почты входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:
◦ интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;
◦ автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.
Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:
◦ доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
◦ прием и обработку почтовых сообщений доменов, для которых он является целевым;
◦ передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.
Агент доставки электронной почты Dovecot предназначен для решения задач по обслуживанию почтового каталога и предоставления удаленного доступа к почтовому ящику по протоколу IMAP. Протокол POP3 отключен.
• Защищенный комплекс программ гипертекстовой обработки данных
В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.
Вопрос, для защиты локальной сети AstraLinux достаточно? Или надо устанавливать доп.средства защиты?
http://siraenuhlaalu.livejournal.com/145800.html
Хочу поделиться своими результатами исследования безопасности Astra Linux 1.3 (Smolensk). Мной была найдена как минимум одна уязвимость, позволяющая понижать класс защиты сведений.
Да интересно. Краудтестинг — великая вещь.
По делу, так-то, ввиду имеющихся ограничений эксплуатации, указанный алгоритм не является угрожаемым; так-то по сути это нормальная работа системы защиты.
Спасибо.
Поучительно:
http://s3r.ru/07/09/2013/novosti/ukrainskiy-programmist-soobshhil-privatbanku-o-naydennoy-uyazvimosti-a-v-otvet-poluchil-obvinenie-v-moshennichestve/
Шутка! Ха-ха))
siraenuhlaalu, указанная уязвимость известна и перекрывается требованием, описанным в пункте 1.2.2 документа РУСБ.10015-01 95 01 «Руководство администратора»:
«Запуск программы su должен быть разрешен только доверенным пользователям».
Подробная инструкция по запрету использования пользователям данной утилиты описана на официальном сайте поддержки Astra Linux: http://astra-linux.com/wiki/index.php/Su
Михаил Никулин, дело не в использовании утилиты SU и даже не в запуске бинарника с SUID. Причина, по которой я использовал утилиту su очень простая: это наглядно и мне не нужен SDK для этого дистрибутива для компрометации.
Эксплойт на C, позволяющий обойти мандатный контроль доступа в Astra linux, занимает порядка 10 строк. Скомпилённый бинарник можно будет печатать на футболке в формате base64.