<  |  |  ^ 

Безопасность (вопросы и ответы)

Как обеспечивается защита передаваемого трафика? [++]

Есть два участка передачи трафика: первый между пользователем и шлюзом ТЕДИСК, второй между шлюзом и файловым сервером. На обоих участках используется шифрование. Первый участок является обычным соединением с web-сайтом, поэтому на нём используется стандартный стэк протоколов TLS/SSL. Второй участок представляет собой VPN-туннель и защищается похожим образом, поскольку программа OpenVPN использует библиотеку OpenSSL и её криптографические алгоритмы.

Стойкость защиты определяется степенью актуальности используемых протоколов и алгоритмов. Библиотека OpenSSL и её клоны (LibreSSL, BoringSSL и другие), а также программа OpenVPN активно разрабатываются, собирая самые современные достижения криптографии. Мы отслеживаем изменения и регулярно обновляем компоненты сервиса ТЕДИСК.

Зачем профиль VPN привязывается к серверу? [++]

Привязка к серверу защищает от логической ошибки: попытки использовать один профиль VPN для различных файловых серверов. ТЕДИСК различает серверы по значению SIN, записанному в профиле, и в соответствии с SIN назначает серверу туннельный ip-адрес. Поэтому разные серверы обязаны иметь различные профили. Привязка профиля обеспечивает гарантированный отказ соединения для всех инстансов VPN, кроме основного (первого подключенного сервера), что позволяет клиенту легко разобраться в причинах проблемы без помощи техподдержки.

Кроме того, привязка к серверу защищает от использования профиля VPN посторонними в случае его компроментации (кражи, фишинга, случайного раскрытия и т.п.). Если действительный профиль попадает в руки злоумышленников, то он может быть использован для попыток несанкционированного подключения к сервису ТЕДИСК, при котором происходит подмена оригинального сервера. В случае удачной подмены злоумышленники могли бы получить возможность перехвата логинов и паролей от пользовательских соединений. Привязка к серверу обеспечивает дополнительный элемент защиты: соединения от поддельных серверов будут отвергаться, поскольку их цифровые отпечатки будут отличаться от отпечатка оригинального сервера.

Данный элемент защиты имеет низкую криптографическую стойкость, однако его наличие является безусловным плюсом.

Почему сервис требует от меня личный логин и пароль? [++]

Логин и пароль требуются для авторизации на файловом сервере, поэтому пользователь, подключающийся через шлюз ТЕДИСК, должен передать шлюзу свои реквизиты доступа, чтобы шлюз мог авторизоваться на файловом сервере от имени пользователя.

Эта ситуация похожа на использование платёжных сервисов, через которые производится оплата услуг интернет-магазинов с помощью банковских карт. Покупатель переходит на сайт сервиса, где вводит данные своей карты, чтобы сервис осуществил банковскую транзакцию от имени покупателя. При этом данные карты, достаточные для проведения платежей, остаются у посредника (платёжного сервиса). Насколько безопасно оставлять данные карты у посредника -- вопрос доверия платёжному сервису. Если доверия посреднику нет, пользоваться его услугами не следует, это относится и к сервису ТЕДИСК.

С технической точки зрения проблема заключается не в том, что логин и пароль запрашиваются у пользователя, а в том, что они передаются на облачный шлюз открытым текстом (хотя и через зашифрованный канал, по HTTPS), и затем хранятся на шлюзе.

Теоретически существуют алгоритмы, которые позволяют авторизоваться без передачи паролей открытым текстом. Но для их практической реализации в сервисе ТЕДИСК необходимо, чтобы механизмы авторизации HTTP и CIFS имели совместимые форматы данных и были совместимы алгоритмически, так чтобы стала возможна прокси-авторизация на основе обмена хэшами. Поддержка таких механизмов требуется как со стороны web-клиентов, так и со стороны файловых серверов. Удовлетворящих всем требованиям программных продуктов на сегодняшний день нет, поэтому используется связка BASIC-авторизации HTTP и плейнтекстовый API для клиента CIFS.

Однако следует отметить, что нахождение паролей на стороне шлюза не является существенным снижением уровня безопасности сервиса. Пароли имеют ценность лишь как средство получения доступа, а шлюз ТЕДИСК должен получать доступ к файлам пользователя независимо от механизма авторизации (то есть независимо от того, используются ли при авторизации открытые пароли или их хэши). Тем не менее, мы предпринимаем все меры для того, чтобы защитить пароли от возможных утечек, в частности, храним их исключительно в памяти рабочих процессов и никогда не записываем на долговременные носители (в базы данных, на диски).

Почему SIN считается конфиденциальной информацией? [++]

Разглашение SINа снижает уровень защиты, поскольку даёт злоумышленникам возможность проводить атаки на файловый сервер через Интернет. В частности, возможны попытки взлома методами словарного подбора и DoS-атаки против известных учётных записей, приводящие к их блокировкам.

Следует иметь в виду, что возможны также атаки методами перебора SINa (хотя вероятность их успеха крайнет низка). Поэтому на серверах, подключенных через ТЕДИСК, не должно быть стандартных учётных записей (guest, admin и т.п.), которые могут быть использованы злоумышленниками для проверки валидности SINа.

 ^   
   <