Intro:
В каждой компании есть некие данные, показывать которые кому бы то ни было со стороны нет желания. Однако есть желание (и необходимость) работать с этими данными (под win32) некоему ограниченому кругу доверенных лиц.
Задача:
Нужно обезопасить наши данные.
1) собрать их в одном месте.
2) предотвратить утечку этих данных по любым каналам/устройствам кроме монитора.
3) обеспечить работу с ними.
4) максимально скрыть их местонахождение от недоверенных инсайдеров.
5) уменшить стоимость конечного решения.
Идея состоит в следующем:
Очевидно, что для предотвращения утечки данных нужно использовать максимально ограниченную сессию RDP. Кроме того нужно сделать так, чтобы недоверенный инсайдер не знал реальных ip адресов (не смог сдать даже эту информацию).
У нас есть 3 компьютера, 2 из которых серверы и один - клиент.
Пусть A - будет MS Terminal Server, B - Router и C - client.
openvpn server <-A-ovpn link-B-> openvpn client, iptables, openvpn server <-B-ovpn link-A-> openvpn client;
Таким образом клиент коннектится только к машине B, а обращается к виртуальному ip opvn'а.
Сам клиент - т.н thinclient Linux с RDP и openvpn. допустим thinstation ;)
Все что есть у клиента (доверенное лицо) - это ключ шифрования ovpn и ключ авторизации. На USB флешке. Он грузит образ linux по pxe/tftp, цепляет ключик с флешки и коннектится по ovpn, открывая RDP сессию. И все, дальше человек работает в привычной среде, максимально ограниченной т.е нет интернета, почты, домена, принтеров и пр.
Плюсы такого решения в том, что сервер A может быть где угодно, как в инете, так и в локалке (DMZ).
Собственно дальшейшее развитие идеи - это использования smart карт (token), для поднятия ovpn линка с B. Карта много безопасней, не поддается копированию, openvpn умеет общаться с картами с помощью pkcs11. Таким образом мы избавимся от легко доступных для копирования ключей на флешке у доверенных лиц.
Но проблема в том, что внутри thinstation нет ничего, для доступа к token'у посредством pkcs11. Алладинские eToken'ы распространяются со своими бинарными библиотеками, заставить работать которые внутри thinstation - дело нетривиальное, на которое у меня пока опыта не хватает. Впрочем, экспорт девайса посредством Rdesktop на Win уже реализован. Но меня такое решение не устраивает - на сервере TS отлично авторизуются по связке login/pass.
Для чего я это тут описал, во первых, чтобы покритиковали идею, во вторых - чтобы нашлись люди могущие подтолкнуть по правильной дорожке, касабельно реализации/использования pkcs11 в thinstation
27 апреля 2007 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.