РегистрацияДобрый день всем!
Есть потребность в безопасном хранении данных в офисе фирмы.
Сейчас в офисе 7 ПК. Все работают под управлением Win 2000 Pro и Win XP Pro.
Сразу скажу: покупка дополнительного железа или выделение железа под выделенный сервер исключены (по крайней мере, на данный момент).
Один из 7-ми ПК является довольно-таки мощным (Pentium D, 2 GB RAM, RAID1), на нем Win XP Pro. У меня появилась идея сделать на этом ПК что-то типа файлового хранилища. Назовем его (этот ПК) сервер.
На мой взгляд, это файловое хранилище должно представлять из себя криптованый контейнер (например, TrueCrypt). Файл-контейнер можно хранить на массиве RAID1, подключать его каждое утро (сразу возникает вопрос – кто должен подключать). Затем все остальные 6 ПК подключают себе сетевые диски или просто открывают папки общего доступа, доступ к которым открыт внутри криптованого тома. Разграничине доступа легко осуществить с помощью прав NTFS и прав сетевого доступа (по пользователям) ср-вами ОС. Есть так же мысль что если директору нужна приватная папка, то можно сделать ее отдельным файлом-контейнером, получать доступ к этому файлу только, будучи авторизированым на сервере ср-вами ОС, а подключить этот криптованый контейнер он сможет только если введет пароль на него и вставит себе в комп флешку с файлом-ключом.
Вот так примерно мне – новичку в этом деле виделось все это.
Но, вчера я пообщался с товарищем spinore и он объяснил мне что я придумал очень не безопасно и что том тру-крипта надо подключать на сервере удаленно по запросу пользователя (голосовой запрос по-телефону), предварительно сверив коды запроса:
1. Звонок мне от пользователя: дайте доступ.
2. Я узнаю его по голосу, отсылаю ему криптованое письмо (gpg в jabber'e).
3. Пользователь получает криптованое письмо и в случае если желание получить доступ является его личным желанием, а не требованием рядом стоящего налоговика, то он отсылает мне в ответ криптованый "код ответа № 1", который включает в себя его "индивидуальный код ответа № 1"+"код запроса", который я ему прислал.
4. Я получаю код ответа, смотрю в таблицу, вижу что это код ответа № 1 (если был бы код ответа № 2, то я бы не дал доступ, понимая, что доступ нужен не пользователю, а стоящему рядом налоговику)
5. Подключаю удаленно криптованый том.
6. Затем пользователь включает свой ПК и получет доступ к сетевым дискам.
Кроме того, spinore убедил меня что для безопасности надо сделать все локальные диски всех ПК тоже криптоваными – для того, чтобы в кешах где-то случайно ничего не осталось.
Я понимаю что придумано в общем-то не плохо и вцелом безопасней, чем то, что придумал я, но я не могу позоволить себе каждое утро подключать кому-то том:)...то есть теоритически это возможно, а практически я люблю утром спать, люблю ездить на море и т. д. и т. п.
Дорогие форумчане, специалисты по безопасности и просто отзывчивые люди! Пожалуйста, подскажите более или менее приемлемое решение для меня.
Заранее благодарен всем.
Прошу прощения за неточности и неясности, которые, наверняка, есть здесь:)
комментариев: 1515 документов: 44 редакций: 5786
А вот доступ к сетевым дискам получает действительно только после пункта 5.
И про человека, сидящего на кнопке рубильника втечение всего времени как сервера включены я тоже говорил (рядом с каждым из сотрудников тоже такая кнопка,
и после входа каждого нового человека через дверь где вмонтирован спецдатчик должен набираться специальный код – если код набран втечение минуты, допустим, не будет, питание компьютеров отключается). Точно так же и про чеовека на кнопке следует сказать: каждый интервал времени он должен набирать какой-то код, как только не набрал – опять: питание отключается. И важно что имея в распоряжении всю спецтехнику в оффисе нельзя подключить диск без желания кого-то на стороне сделать этоу удалённо (принцип разделения доступа).
Если задуматься, то все эти способы очевидны и используются активно во всех сферах: когда квартира ставится на сигнализацию, каждый раз после входа нужно втечение нескольких минут позвонить по телефону на спецномер и сказать код – либо приедут дяди с автоматами и пересчитают рёбра. Когда спецобъект охраняется, каждые 10 минут идёт прозвон линии – верховный нажимает на кнопку "тревоги" и ждёт звонки с каждой из проходных – если звонок не приходит с какой-то проходной, туда опять же выбегжают дяди с автоматами. Думаю, что и в банках что-то аналогичное есть... То что я привёл – это всего лишь синтез уже известных идей, хотя услышать критические замечания было бы интересно :-)
P. S.: не было упомянуто что абсолютно все компьютеры участвующие в фирме и удалённом подключении сервера полностью шифруют свои диски, и в момент удалённого подключения сервера в квартиру к админу никто не может входить/выходить.
P. P. S: самым слабым звеном здесь будет сотрудник: если один кто-то захочет заложить фирму, он расскажет систему защиты, и потом он будет действовать только как сопровождающий элемент, а админ даже ничего не заподозрит пока сотрудник фирмы будет арудовать с "оппонентом". В этом смысле можно не гемориться а просто дать полные права каждому для монтирования сервера, но чисто технически всё равно схема с удалённым монтированием сложнее для взлома при условии реализации всего что сказано. При умелой организации интерфеса к документам фирмы можно сделать так. что собрать информацию оппоненту при взаимодействии с сотрудником фирмы будет не просто, а тупое изъятие дисков ничего не даст кроме доказательства факта самого наличия шифрованной информации.
комментариев: 1515 документов: 44 редакций: 5786
Не обязательно. Некоторые ещё content делают на продажу.
комментариев: 9796 документов: 488 редакций: 5664
Т.е. начинку для ракет, системы управления, доставки, да мало ли чего :)
комментариев: 61 документов: 47 редакций: 68
тем более винХРень...
Блин, представляю: суровые челябинские сторожа ходят дозором по суровому офису охраняя суровые компы от суровых челябинских шпионов с отвёртками.....
А суровые админы переставляют суровую винду на суровом сервере :D
Стоимиость защиты не должна превышать стоимости ущерба от её нарушения. :)
Может лучше использовать смарт-карту?
Когда вас возьмут за чувствительное место (в прямом или переносном смысле), ваше личное желание может оказаться совпадающим с желанием "налоговика".
комментариев: 1515 документов: 44 редакций: 5786
Нет, в том весь и смысл: смарт-карта сработает как только захочет получить доступ сотрудник. Звонок админу сработает если сочтёт нужным админ – он более тонкая система чем смарткарта и может отказать только потому что ему что-то не то показалось... например, ядерная кнопка так же устроена: вначале президент решает что надо запустить ракету, потом главнокомандущий решает независимо что надо запустить ракету, потом приходит сигнал на пультовую. Там сидят 2 офицера которые независимо тоже думаю – а не запустить ли нам? Могут и не запустить. Если решают что запустить, то система сделана так, что дял этого надо одновременно повернуть специальные штуки, синхронно, которые находятся далеко друг от друга – сделать это могут только 2 человека, работая одновременно. И только тогда ракета полетит (Гудбай, америка, о-о-о-о..., где я не был никогда...) Так вот, а было что тараканы перемкнули провода соответствующих систем и на пультовую пришёл сигнал о запуске ракеты... – офицеры почесали затылок (по формальным правилам, они должны были запустить ракету в это момент), и решили её не запускать – потом ещё премию мира кому-то из них дали... много лет спустя. А вы говорите... Вот вам реальный пример зацепки на человеческий фактор. В серьёхных системах нельзя полагаться всецело на технику никогда. Или чё, никто ни разу за пультовой ракеты не сидел что ли? Что за детский сад?
комментариев: 1515 документов: 44 редакций: 5786
Нет. Пока вы сами по своей дурости не расскажете что существуют "пароли отказа" никто не поймёт на чьей стороне проблема – мож админ свой пароль забыл и смонтировать не может? Ты всегда можешь сказать, что ыт всё сделал что от тебя зависит как сотрудник и всё проблемы сейчас на стороне админа, и можешь даже несколько раз перезвонить админу подтвердив ему пароль отказа на глазах налоговика. если у вас нормальная психическая выдержка, то отличить эти два случая технически будет невозможно.
комментариев: 2 документов: 1 редакций: 2
Задача немного скорректировалась после общения с руководством.
1. Черных (тех, которые НАДО шифровать) данных будет мало – 1 ГБайт.
2. Доступ к черным и к белым данным можно будет получать только локально – главный бухгалтер или директор.
3. Доступ к белым данным будет осуществляться по ключу № 1.
4. Доступ к черным данным будет осуществляться по двум ключам: № 1 + № 2. Не знаю в чем смысл...ну это в каком-то смысле безопасней. А может и нет...поправьте меня в этом вопросе.
5. Оба ключа, как и положено, сопровождаются парольным фразами.
6. Ключ № 1 хранится у бухглатера в столе.
7. Ключ № 2 хранится в США на сервере.
8. Доступ к ключу № 2 можно получить только по звонку админу. Схему получения очень хочу уточнить у spinore. Как он уже говорил, ключ надо получить в таком режиме, что всегда есть два вариант: дать и не дать в зависимости от того, какой ответ админу даст пользователь.
Возможный вопрос от вас:
Зачем делать так, что ключ № 1 открывает белые данные? То есть зачем вообще шифаровать белые данные?
Ответ: если налоговая попросит отктыть данные, то бухгалтер честно откроет их ключем № 1 и скажет: вот наша бухгалтерия, вот так мы с ней работаем.
Думаю, теперь все стало ясней и прозрачней. По-прежнему прошу поправить меня где требуется и подсказать то, что я мог не учесть.
Спасибо всем!
комментариев: 1515 документов: 44 редакций: 5786
Что значит "можно будет получать только локально"?
Для доступа к белым даннм достаточно дать все пароли тем кто должен иметь к ним доступ в силу работы. Вопрос можно ли при этом будет впараллель использовать удалённое подключение нижнего контейнера трукрипт с чёрной бухгалтерией... – чисто технический вопрос.
"оба ключа должны сопровождать парольными фразами" – бессмысленное утверждение, Доступ в верхний контейнер трукрипт с белой бухгалтерий будет идти по обычному паролю (который даже можно записатьв личной книжке, так как это не сверхсекъюрным быть обязано), доступ к нижнему контейнеру – путём уговоров удалённого админа, удалённо подмонтирующего скрытый раздел в трукрипт (по звонку, и т.п.).
комментариев: 2 документов: 1 редакций: 2
Можно подробней о верхнем и нижнем контейнерах – что это вообще?:)
Одновременное использование черных и белых данных исключено. Или то или другое.
spinore, если у тебя глобальных замечаний нет, то мне бы хотелось услышать от людей советы по реализации. С кем-то можно в онлайне обсудить?:)
комментариев: 11558 документов: 1036 редакций: 4118
Если будете использовать TrueCrypt и его скрытые контейнеры, можете столкнуться с одной проблемой. Если в одном контейнере хотите хранить и "чёрные", и "белые" данные (черные в скрытой части, белые — в открытой), то все пользователи должны будут знать и ключ №2, иначе при записи в открытую часть данные в скрытой могут оказаться повреждены. Лучше всё-таки размещать чёрные и белые в независимых контейнерах, хотя чёрные всё-таки держать в скрытых частях, а в открытые поместить какие-нибудь некритические данные типа обычной рабочей документации директора и главбуха.
Если пользователи не собираются копировать секретные данные к себе на диски, то достаточно шифровать своп и временные файлы ОС. Для этого подходит TCTEMP, причём подключать его не нужно, он монтируется автоматически при запуске ПК.
Касаемо удалённых подключений, у меня один вопрос: предполагается использовать SSH, или все пароли и данные будут гулять по проводам в открытом виде? И ещё. Тот "суровый сервер", сделанный на базе ПК, он будет функционировать именно как автономный сервер или за ним будет параллельно какой-то пользователь работать (для экономии аппаратных ресурсов, так сказать)?
комментариев: 11558 документов: 1036 редакций: 4118
Ага, разжевать и в рот положить. ;-)
комментариев: 1515 документов: 44 редакций: 5786
Глобальных замечаний нет.