Огляд захищеного планшета Континент Т-10 з вбудованим криптографічним захистом ГОСТ 28147-89 від компанії Код Безпеки

1. Вступ
2. Технічні характеристики
3. Підготовка до роботи
4. Налаштування з'єднання
5. Підключення до сервера
6. Захист внутрішньої пам'яті
7. висновки

1. Введення

2. Технічні характеристики

3. Підготовка до роботи

4. Налаштування з'єднання

5. Підключення до сервера

6. Захист внутрішньої пам'яті

7. Висновки

Вступ

компанія "Код безпеки" запропонувала російським користувачам "Континент Т-10" - пристрій з вбудованою криптографічним захистом, побудованої на основі російського алгоритму шифрування ГОСТ 28147-89. Пристрій дозволяє встановити VPN-з'єднання з апаратно-програмним корпоративним шлюзом АПКШ "Континент" і через нього отримати доступ до корпоративної мережі. Рішення позиціонується як віддаленого робочого місця для мобільних корпоративних співробітників з вбудованим в операційну систему засобом захищеного підключення до корпоративної мережі.

Пристрій АПКШ "Континент" призначено для побудови VPN-з'єднань корпоративної мережі з філіями, але його ж можна використовувати і для захищеного віддаленого доступу з мобільного пристрою "Континент Т-10". Тому, щоб протестувати роботу пристрою доведеться взаємодіяти з адміністраторами шлюзу. Нам для цілей тестування дали доступ до тестового сегменту самого "Коду Безпеки".

Технічні характеристики

За базу використовується планшет під управлінням операційної системи Android 4.0.4.

У комплект поставки входить крім планшета, блок живлення і два шнура: для з'єднання з комп'ютером через порт USB (планшет при цьому виступає в ролі зовнішнього USB-накопичувача) і для підключення зовнішніх USB-накопичувачів до самого пристрою.

Малюнок 2. "Континент Т-10" з підключеними шнурами USB і харчування

За зовнішнім виглядом "Континент Т-10" (рисунок 1) повністю відповідає звичному форм-фактору планшетного комп'ютера - незвичними будуть, в основному, розташування двох камер - фронтальної (в правому верхньому куті) і задньої, а також функціональних клавіш на торці пристрою.

Малюнок 3. Заставка, яка відображається при завантаженні "Континент Т-10"

Технічні характеристики пристрою наступні:

• Розмір і дозвіл екрана: 9.7 ", 4: 3, 1024 x 768, технологія IPS;
• Тип сенсора екрану: ємнісний мультисенсорний екран (10 точок дотику);
• Операційна система: ОС Android 4.0.4;
• Процесор: Rockchips (RK2918) A8 1.2ГГц;
• Оперативна пам'ять (ОЗУ): DDR3 1Гбайт;
• Вбудована флеш-пам'ять: 16 Гбайт;
• Підтримка карт пам'яті: Micro-SD / SDHC (до 32х Гбайт);
• Датчики: G-сенсор;
• Роз'єми пристрою: аудіо 3.5mm Jack (стерео-гарнітура), micro-USB x 2 (USB 2.0 Host x 1, USB 2.0 OTG x 1), роз'єм для підключення ЗУ;
• Камера: вбудована задня камера 2.0Mpx, додаткова фронтальна камера 2.0Mpx
• Підтримка бездротових мереж: Wi-Fi (802.11b / g / n);
• Звук: вбудовані стерео-динаміки, мікрофон;
• Ємність акумулятора: 7600mAh (вбудований, незнімний);
• Характеристики ЗУ: 100-240В, 12В, 2А;
• Час автономної роботи: більше 7 годин;
• Габаритні розміри: 243 * 190 * 9.8 мм;
• Вага: ~ 600г.

Операційна система Android піддалася модифікації - в неї розробниками "Коду Безпеки" був вбудований програмний клієнт "Континет-АП", який надає доступ до корпоративного шлюзу по захищеному каналу - він підключається до АПКШ "Континент", встановленим на кордоні корпоративної мережі.

Малюнок 4. Версія операційної системи, ядра і збірки

Підготовка до роботи

Експлуатацію пристрою варто починати з перевірки оновлення операційної системи - розділ налаштувань "Про планшетному ПК". Часто, за час поки пристрій лежав на складі, виробник може випустити оновлення операційної системи і додатків, які закривають ті чи інші уразливості.

Малюнок 5. Результат перевірки оновлень

У нас, оскільки «пиріжок» дуже гарячий, оновлень не було (малюнок 5).

Крім того, варто перевірити правильність установки часу - від цього також залежить робота механізмів шифрування, оскільки сертифікат видається на певний термін. На щастя, операційна система має можливість синхронізувати час по мережі по протоколу RTP - для цього є спеціальна настройка в розділі "Дата та час", але цю можливість варто активувати - у нас вона виявилася виключена.

Налаштування з'єднання

Для виконання процедури підключення до корпоративної мережі використовується SD-карта (точніше micro-SD - саме такий роз'єм є в пристрої). Вона необхідна для збереження ключової інформації, тому перш ніж проходити процедуру отримання сертифіката і його секретного ключа потрібно підготувати ключовий носій.

Щоб пристрій відобразився на корпоративній мережі необхідно отримати сертифікат, в якому зберігаються ключі для аутентифікації користувача при вході в корпоративну мережу.

Для цього потрібно відкрити програму "Континент-АП" і в правому верхньому куті (де три квадратика) відкрити меню і вибрати пункт "Створити запит на сертифікат" (рисунок 6).

Малюнок 6. Меню для підготовки запиту на сертифікат (у правому верхньому куті)

У який з'явився інтерфейсі потрібно правильно заповнити поля відповідно до їх найменування: ім'я, прізвище (малюнок 7), компанія і так далі - вони в подальшому будуть використовуватися для перевірки автентичності користувача.

Малюнок 7. Заповнення полів запиту

У цьому ж інтерфейсі вказується і пароль (PIN-код), який в подальшому буде використовуватися для доступу до ключового контейнера при проходженні сеансу аутентифікації для входу в корпоративну мережу. Також потрібно вказати ім'я директорії, яка буде сформована на SD-карті.

В інтерфейсі є пункт вибору крипто-провайдера. Ця установка відноситься до шлюзу. Колись АПКШ "Континент" робили на бібліотеках "Кріпто-ПРО", а зараз "Код Безпеки" розробили власний крипто-провайдер. Цю настройку потрібно дізнатися у адміністратора.

Малюнок 8. Вибір крипто-провайдера для шлюзу, до якого буде підключатися "Континент Т-10"

Не забудьте вказати ім'я директорії, куди будуть записані файли запиту.

Малюнок 9. Зміст директорії, зазначеної в запиті на підготовку сертифіката

Коли буде натиснута кнопка "Створити", в цій директорії буде сформовано два файли (рисунок 9): запит на сертифікат (з розширенням .req) і крипто-контейнер (з розширенням .key). Для доступу до контейнера і буде потрібно той самий пароль, вказаний при реєстрації. Далі обидва файли потрібно передати адміністратору шлюзу "Континент Т-10", який запевнить сертифікати своїм ключем і, тим самим, вмонтує пристрій в корпоративну інфраструктуру PKI. Назад він надішле кореневий сертифікат шлюзу і сертифікат для самого пристрою. За цими сертифікатами надалі і виконується аутентифікація користувача.

Підключення до сервера

Встановивши і зареєструвавши сертифікати в "Континент Т-10" користувач отримує можливість підключатися до корпоративної мережі через VPN-тунель.

Малюнок 10. Вибір з'єднання

Для цього досить зайти в додаток "Континент АП" і натиснути кнопочку в лівому верхньому кутку "Підключити". З'єднання можна встановлювати з різними шлюзами - вибрати їх можна в меню зліва вгорі (рисунок 10). Відбувається встановлення зв'язку, в процесі якого планшет і шлюз обмінюються сертифікатами і виробляють ключі для захисту шифрованого каналу. При цьому, якщо адміністратором шлюзу була встановлена ​​опція "Загальний заборона незахищеного трафіку", то сам пристрій втрачає зв'язок з Інтернет безпосередньо, і буде взаємодіяти тільки через корпоративний шлюз, де адміністратор може контролювати його трафік.

Малюнок 11. Підключення до сайту в демо-зоні "Коду безпеки"

Втім отримати доступ ми могли тільки до спеціального внутрішнього демо-сайту (малюнок 11), де розташовувалася тільки документація на пристрій - IP в адресному рядку браузера знаходиться в діапазоні корпоративних адрес тестової зони "Коду Безпеки".

Малюнок 12. Спроба підключення до того ж сайту без встановленого з'єднання

Якщо спробувати підключитися до сайту безпосередньо, без запущеного "Континент АП", то сайт просто не буде знайдений (рисунок 12). Таким же способом можна було б підключатися до внутрішньо-корпоративних веб-додатків і встановлювати з ними довірені з'єднання.

Захист внутрішньої пам'яті

Доступ по зашифрованому з'єднанню забезпечує захист тільки під час її передачі на корпоративний шлюз. У той же час необхідно захистити і дані на самому планшетному комп'ютері. Для цього на комп'ютері передбачена процедура повного шифрування даних засобами операційної системи. Шифрування вбудовано в Android 4, але поки тільки міжнародний варіант. У наступних версіях "Код Безпеки" планує вбудувати в операційну систему реалізацію алгоритму ГОСТ 28147-89 для створення в пристрої захищеного сховища даних.

Малюнок 13. Попередження системи при шифруванні даних

Для того, щоб провести процедуру повного шифрування всіх даних потрібно підключити пристрій до мережі живлення і повністю зарядити акумулятор. Власне, сам пристрій попереджає про це (рисунок 13).

Малюнок 14. Вибір способу захисту комп'ютера від стороннього втручання

Щоб шифрувати дані на диску обов'язково потрібно встановити блокування на вхід. Операційна система пропонує два варіанти на вибір: або пароль, або цифровий PIN-код. Хоча способів блокування в операційній системі передбачено трохи більше (рисунок 14), але шифрування внутрішньої пам'яті можливо тільки при використанні пароля або PIN-коду.

Для цього в настройках в розділі "Безпека" потрібно встановити пароль і підтвердити його. Якщо до цього часу акумулятор повністю зарядився, то можна натискати кнопку "Зашифрувати дані".

Малюнок 15. Зображення, яке з'являється під час шифрування внутрішньої пам'яті "Континенту Т-10"

Під час шифрування на екрані планшетного комп'ютера з'являється зображення, продемонстроване на малюнку 15. Відповідно до попередженням розробників (рисунок 13) процедура повного шифрування даних планшета займає не менше години - у нас же на цей процес пішло кілька годин. Переривати процес шифрування не рекомендується, тому для шифрування даних варто вибрати час, коли доступ до пристрою не буде потрібно, наприклад, залишити його на ніч. Коли внутрішня пам'ять пристрою зашифрована, швидкість роботи "Континент Т-10" змінюється незначно.

висновки

Розроблене "Кодом Безпеки" пристрій працює цілком адекватно - не гальмує і дозволяє виконувати набір найбільш важливих завдань. Для тестування швидкості роботи "Континент Т-10" ми перевірили його на запуск різного роду додатків. Пристрій цілком впоралося з цими завданнями - продуктивність і якість звуку було на висоті. Таким чином, "Континент Т-10" цілком можна використовувати як мобільний термінал з захищеним доступом до корпоративним веб-додатків або інших ресурсів внутрішньої мережі.

переваги:

• Екран досить великий - для додатків не потрібно дуже точно позиціонувати палець.
• Вбудовані камери і мікрофон дозволяють фотографувати потрібні об'єкти або брати участь в корпоративних комунікаціях.
• Роз'єм Micro-SD в нагоді для збільшення обсягу доступної пам'яті для даних.
• На пристрій можна встановити додатки звичним для користувачів планшетів методом - з Google Play.
• Пристрій не потрібно зламувати для встановлення засобів шифрування, як це доводиться робити для деяких програмних продуктів.
• Планшет можна використовувати як доповнення до корпоративного робочого місця, так і самостійно - підключаючись через вбудований Wi-Fi.
• Можливість встановити для захисту режим підключення тільки до корпоративної мережі забезпечує більш надійний захист пристрою і контроль з боку корпоративного фахівця з інформаційної безпеки.
• Підтримка зовнішніх 3G USB модемів.

недоліки:

• Погано працював гравітаційний датчик - фактично тільки при зйомці фотографій. В результаті, не зручно було переходити з портретного в пейзажний режим роботи.
• Дозволи камер мало для якісної зйомки, проте для вирішення простих завдань їх цілком можна використовувати.
• Не вистачало вбудованого модему мобільної передачі даних - з зв'язку тільки Wi-Fi. Розробник заявляє про підтримку USB-модемів, проте постійно ним користуватися може бути зручно не для всіх.
• Пристрій не змогло підключити зовнішній USB-диск. Накопичувачі з невеликим об'ємом пам'яті підключити до пристрою цілком можливо, але великі диски - вже не вийде.
• Інструкція до пристрою виявилася недостатньо докладної - нам довелося довго розбиратися як робити знімки екрану.