Сертификат AM Test Lab
Номер сертификата: 112
Дата выдачи: 09.01.2013
Срок действия: 09.01.2018
Введение
Компания "Код Безопасности" предложила российским пользователям "Континент Т-10" - устройство со встроенной криптографической защитой, построенной на основе российского алгоритма шифрования ГОСТ 28147-89. Устройство позволяет установить VPN-соединение с аппаратно-программным корпоративным шлюзом АПКШ "Континент" и через него получить доступ к корпоративной сети. Решение позиционируется в качестве удалённого рабочего места для мобильных корпоративных сотрудников со встроенным в операционную систему средством защищенного подключения к корпоративной сети.
Рисунок 1. Устройство АПКШ "Континент"
Устройство АПКШ "Континент" предназначено для построения VPN-соединений корпоративной сети с филиалами, но его же можно использовать и для защищенного удаленного доступа с мобильного устройства "Континент Т-10". Поэтому, чтобы протестировать работу устройства придется взаимодействовать с администраторами шлюза. Нам для целей тестирования дали доступ к тестовому сегменту самого "Кода Безопасности".
Технические характеристики
В качестве базы используется планшет под управлением операционной системы Android 4.0.4.
В комплект поставки входит кроме планшета, блок питания и два шнура: для соединения с компьютером через порт USB (планшет при этом выступает в роли внешнего USB-накопителя) и для подключения внешних USB-накопителей к самому устройству.
Рисунок 2. "Континент Т-10" с подключенными шнурами USB и питания
По внешнему виду "Континент Т-10" (рисунок 1) полностью соответствует привычному форм-фактору планшетного компьютера - непривычными будут, в основном, расположение двух камер - фронтальной (в правом верхнем углу) и задней, а также функциональных клавиш на торце устройства.
Рисунок 3. Заставка, отображаемая при загрузке "Континент Т-10"
Технические характеристики устройства следующие:
- Размер и разрешение экрана: 9.7", 4:3, 1024 x 768, технология IPS;
- Тип сенсора экрана: емкостный мультисенсорный экран (10 точек касания);
- Операционная система: ОС Android 4.0.4;
- Процессор: Rockchips (RK2918) A8 1.2ГГц;
- Оперативная память (ОЗУ): DDR3 1Гбайт;
- Встроенная флеш-память: 16 Гбайт;
- Поддержка карт памяти: Micro-SD/SDHC (до 32х Гбайт);
- Датчики: G-сенсор;
- Разъемы устройства: аудио 3.5mm Jack (стерео-гарнитура), micro-USB x 2 (USB 2.0 Host x 1, USB 2.0 OTG x 1), разъем для подключения ЗУ;
- Камера: встроенная задняя камера 2.0Mpx, дополнительная фронтальная камера 2.0Mpx
- Поддержка беспроводных сетей: Wi-Fi (802.11b/g/n);
- Звук: встроенные стерео-динамики, микрофон;
- Емкость аккумулятора: 7600mAh (встроенный, несъемный);
- Характеристики ЗУ: 100-240В, 12В, 2А;
- Время автономной работы: свыше 7 часов;
- Габаритные размеры: 243*190*9.8 мм;
- Вес: ~600г.
Операционная система Android подверглась модификации — в нее разработчиками "Кода Безопасности" был встроен программный клиент "Континет-АП", который предоставляет доступ к корпоративному шлюзу по защищённому каналу - он подключается к АПКШ "Континент", установленному на границе корпоративной сети.
Рисунок 4. Версия операционной системы, ядра и сборки
Подготовка к работе
Эксплуатацию устройства стоит начинать с проверки обновления операционной системы - раздел настроек "О планшетном ПК". Часто, за время пока устройство лежало на складе, производитель может выпустить обновления операционной системы и приложений, которые закрывают те или иные уязвимости.
Рисунок 5. Результат проверки обновлений
У нас, поскольку «пирожок» очень горячий, обновлений не было (рисунок 5).
Кроме того, стоит проверить правильность установки времени - от этого также зависит работа механизмов шифрования, поскольку сертификат выдается на определенный срок. К счастью, операционная система имеет возможность синхронизировать время по сети по протоколу RTP - для этого есть специальная настройка в разделе "Дата и время", но эту возможность стоит активировать - у нас она оказалась выключена.
Настройка соединения
Для выполнения процедуры подключения к корпоративной сети используется SD-карта (точнее micro-SD - именно такой разъём есть в устройстве). Она необходима для сохранения ключевой информации, поэтому прежде чем проходить процедуру получения сертификата и его секретного ключа нужно подготовить ключевой носитель.
Для подключения устройства к корпоративной сети необходимо получить сертификат, в котором хранятся ключи для аутентификации пользователя при входе в корпоративную сеть.
Для этого нужно открыть приложение "Континент-АП" и в правом верхнем углу (где три квадратика) открыть меню и выбрать пункт "Создать запрос на сертификат" (рисунок 6).
Рисунок 6. Меню для подготовки запроса на сертификат (в правом верхнем углу)
В появившемся интерфейсе нужно правильно заполнить поля в соответствии с их наименованием: имя, фамилия (рисунок 7), компания и так далее - они в дальнейшем будут использоваться для проверки подлинности пользователя.
Рисунок 7. Заполнение полей запроса
В этом же интерфейсе указывается и пароль (PIN-код), который в дальнейшем будет использоваться для доступа к ключевому контейнеру при прохождении сеанса аутентификации для входа в корпоративную сеть. Также нужно указать имя директории, которая будет сформирована на SD-карте.
В интерфейсе есть пункт выбора крипто-провайдера. Эта настройка относится к шлюзу. Когда-то АПКШ "Континент" делали на библиотеках "Крипто-ПРО", а сейчас "Код Безопасности" разработали собственный крипто-провайдер. Эту настройку нужно узнать у администратора.
Рисунок 8. Выбор крипто-провайдера для шлюза, к которому будет подключаться "Континент Т-10"
Не забудьте указать имя директории, куда будут записаны файлы запроса.
Рисунок 9. Содержание директории, указанной в запросе на подготовку сертификата
Когда будет нажата кнопка "Создать", в этой директории будет сформировано два файла (рисунок 9): запрос на сертификат (с расширением .req) и крипто-контейнер (с расширением .key). Для доступа к контейнеру и потребуется тот самый пароль, указанный при регистрации. Дальше оба файла нужно передать администратору шлюза "Континент Т-10", который заверит сертификаты своим ключом и, тем самым, встроит устройство в корпоративную инфраструктуру PKI. Обратно он пришлет корневой сертификат шлюза и сертификат для самого устройства. По этим сертификатам в дальнейшем и выполняется аутентификация пользователя.
Подключение к серверу
Установив и зарегистрировав сертификаты в "Континент Т-10" пользователь получает возможность подключаться к корпоративной сети через VPN-туннель.
Рисунок 10. Выбор соединения
Для этого достаточно зайти в приложение "Континент АП" и нажать кнопочку в левом верхнем углу "Подключить". Соединение можно устанавливать с различными шлюзами - выбрать их можно в меню слева вверху (рисунок 10). Происходит установление связи, в процессе которого планшет и шлюз обмениваются сертификатами и вырабатывают ключи для защиты шифрованного канала. При этом, если администратором шлюза была установлена опция "Общий запрет незащищенного трафика", то само устройство теряет связь с Интернет напрямую, и будет взаимодействовать только через корпоративный шлюз, где администратор может контролировать его трафик.
Рисунок 11. Подключение к сайту в демо-зоне "Кода безопасности"
Впрочем получить доступ мы могли только к специальному внутреннему демо-сайту (рисунок 11), где располагалась только документация на устройство - IP в адресной строке браузера находится в диапазоне корпоративных адресов тестовой зоны "Кода Безопасности".
Рисунок 12. Попытка подключения к тому же сайту без установленного соединения
Если попытаться подключиться к сайту напрямую, без запущенного "Континент АП", то сайт просто не будет найден (рисунок 12). Таким же способом можно было бы подключаться к внутри-корпоративным веб-приложениям и устанавливать с ними доверенные соединения.
Защита внутренней памяти
Доступ по зашифрованному соединению обеспечивает защиту только во время ее передачи на корпоративный шлюз. В то же время необходимо защитить и данные на самом планшетном компьютере. Для этого на компьютере предусмотрена процедура полного шифрования данных средствами операционной системы. Шифрование встроено в Android 4, но пока только международный вариант. В последующих версиях "Код Безопасности" планирует встроить в операционную систему реализацию алгоритма ГОСТ 28147-89 для создания в устройстве защищенного хранилища данных.
Рисунок 13. Предупреждение системы при шифровании данных
Для того, чтобы провести процедуру полного шифрования всех данных нужно подключить устройство к сети питания и полностью зарядить аккумулятор. Собственно, само устройство предупреждает об этом (рисунок 13).
Рисунок 14. Выбор способа защиты компьютера от постороннего вмешательства
Чтобы шифровать данные на диске обязательно требуется установить блокировку на вход. Операционная система предлагает два варианта на выбор: либо пароль, либо цифровой PIN-код. Хотя способов блокировки в операционной системе предусмотрено несколько больше (рисунок 14), но шифрование внутренней памяти возможно только при использовании пароля или PIN-кода.
Для этого в настройках в разделе "Безопасность" нужно установить пароль и подтвердить его. Если к этому времени аккумулятор полностью зарядился, то можно нажимать кнопку "Зашифровать данные".
Рисунок 15. Изображение, которое появляется во время шифрования внутренней памяти "Континента Т-10"
Во время шифрования на экране планшетного компьютера показывается изображение, продемонстрированное на рисунке 15. В соответствии с предупреждением разработчиков (рисунок 13) процедура полного шифрования данных планшета занимает не менее часа - у нас же на этот процесс ушло несколько часов. Прерывать процесс шифрования не рекомендуется, поэтому для шифрования данных стоит выбрать время, когда доступ к устройству не потребуется, например, оставить его на ночь. Когда внутренняя память устройства зашифрована, скорость работы "Континент Т-10" меняется незначительно.
Выводы
Разработанное "Кодом Безопасности" устройство работает вполне адекватно - не тормозит и позволяет выполнять набор наиболее важных задач. Для тестирования скорости работы "Континент Т-10" мы проверили его на запуск различного рода приложений. Устройство вполне справилось с этими задачами - производительность и качество звука было на высоте. Таким образом, "Континент Т-10" вполне можно использовать как мобильный терминал с защищенным доступом к корпоративным веб-приложениям или другим ресурсам внутренней сети.
Достоинства:
- Экран достаточно большой - для приложений не требуется очень точно позиционировать палец.
- Встроенные камеры и микрофон позволяют фотографировать нужные объекты или участвовать в корпоративных коммуникациях.
- Разъем Micro-SD пригодиться для увеличения объема доступной памяти для данных.
- На устройство можно установить приложения привычным для пользователей планшетов методом - из Google Play.
- Устройство не нужно взламывать для установления средств шифрования, как это приходится делать для некоторых программных продуктов.
- Планшет можно использовать как дополнение к корпоративному рабочему месту, так и самостоятельно - подключаясь через встроенный Wi-Fi.
- Возможность установить для защиты режим подключения только к корпоративной сети обеспечивает более надежную защиту устройства и контроль со стороны корпоративного специалиста по информационной безопасности.
- Поддержка внешних 3G USB модемов.
Недостатки:
- Плохо работал гравитационный датчик - фактически только при съемке фотографий. В результате, не удобно было переходить из портретного в пейзажный режим работы.
- Разрешения камер не достаточно для качественной съемки, тем не менее для решения простых задач их вполне можно использовать.
- Не хватало встроенного модема мобильной передачи данных - из связи только Wi-Fi. Разработчик заявляет о поддержке USB-модемов, однако постоянно им пользоваться может быть удобно не для всех.
- Устройство не смогло подключить внешний USB-диск. Накопители с небольшим объемом памяти подключить к устройству вполне возможно, но большие диски - уже не получится.
- Инструкция к устройству оказалась недостаточно подробной - нам пришлось долго разбираться как делать снимки экрана.