Архив выступлений: 2000-2001 учебный год, осенний семестр
Аннотация доклада.
При предоставлении удаленного (т.е. через Интернет) доступа к многопроцессорным вычислителям неизбежно возникает задача защиты от НСД. Данная работа посвящена способу организации удаленного защищенного доступа, который разработан и применяется в ИПМ им.М.В. Келдыша РАН.
Предполагается, что многопроцессорная ВС (МПВС) состоит из вычислителя и управляющей ЭВМ, через которую пользователи получают доступ к вычислителю. Предлагаемый авторами подход заключается в следующем.
Удаленный доступ к МПВС должен осуществляться с использованием средств контроля и ограничения доступа:
- вычислитель и управляющая ЭВМ помещаются в закрытую сеть, доступ в которую возможен не иначе, как через специально выделенную ЭВМ - шлюз;
- на шлюз возлагаются функции дополнительной идентификации и аутентификации пользователей;
- шлюз осуществляет специальную фильтрацию сетевых пакетов в/из закрытой сети.
В качестве базовых ОС для компонент закрытой сети и шлюза должны использоваться системы, соответствующие классу защиты, не ниже пятого по классификации Гостехкомиссии РФ. В частности, должна обеспечиваться однозначная идентификация пользователей, их аутентификация, должно обеспечиваться, как минимум, дискреционное управление доступом к объектам системы.
Все пользователи системы делятся на три группы: администраторов, локальных и удаленных пользователей. Администраторам и локальным пользователям запрещается удаленный доступ к закрытой сети. Пользователи данных категорий могут осуществлять доступ к закрытой сети исключительно с территории объекта, на которой расположена закрытая сеть. При этом администраторы имеют неограниченные права в системе (права суперпользователей), а локальные пользователи имеют права в рамках дискреционного доступа к ресурсам закрытой сети. Локальные пользователи могут использовать все возможности, предоставляемые стандартными ОС, функционирующими в закрытой сети.
Удаленные пользователи - это пользователи, осуществляющие доступ к МПВС через Интернет. Непосредственный доступ пользователи данной категории должны иметь только к шлюзу. На работу удаленных пользователей накладываются следующие ограничения:
- сетевой трафик между рабочим местом пользователя и шлюзом шифруется;
- пользователь имеет доступ только к той информации в системе, которая принадлежит лично ему;
- доступ пользователя к закрытой сети ограничивается следующими возможностями: подготовкой исходных текстов программ для вычислителя многопроцессорной ВС и их трансляции, подготовкой исходных данных для программ и обработкой результатов расчетов, запуска, останова и контроля за исполнением своих параллельных программ на вычислителе;
- невозможным является доступ пользователя к процессам, которые при своем запуске получают права администратора (суперпользователя).
Для удаленных пользователей реализуется отдельная изолированная среда, содержащая все необходимые для их работы команды, программы, файлы и библиотеки. Организация отдельной изолированной среды позволяет предотвратить доступ удаленных пользователей к системным командам, программам и файлам, чем пресекаются возможные попытки НСД. Доступ удаленных пользователей из шлюза в закрытую сеть ограничивается строго определенным набором сетевых служб, необходимых для подготовки пользователями исходных текстов программ и данных, трансляции параллельных программ и их выполнения на вычислителе. Доступ удаленных пользователей контролируется администратором системы с использованием системных журналов.
Осуществление предлагаемого подхода на практике возможно за счет применения специального системного вызова change_root(), позволяющего установить домашний каталог пользователя в качестве корневого, а также за счет применения специальных разработанных авторами программных средств защищенной удаленной трансляции, запуска и контроля за прохождением параллельных задач в системе.