Прозрачное шифрование по локальной сети с CyberSafe Top Secret

Прозрачное шифрование по локальной сети

Все мы знаем, как зашифровать данные, передающиеся по Интернету, — нужно использовать всякого рода VPN-сервисы. Если речь идет о защите корпоративных данных, передающихся между филиалами (часто такая передача осуществляется по Интернету: экономически не выгодно строить собственные линии передачи данных), тогда в корпоративной сети разворачивается собственный VPN-сервер.

Если нужно защитить личный трафик, то используются всевозможные VPN-сервисы с оплатой за трафик. Их услуги стоят совсем недорого. К тому же можно использовать проект TOR — он вообще бесплатный.

Прозрачное шифрование с CyberSafe

Содержание

  • Предисловие
  • Как устроено прозрачное шифрование в CyberSafe
  • Как настроить прозрачное шифрование

Но что делать, если нужно зашифровать данные, передающиеся по локальной сети? Представьте, что вы зашифровали важные документы с помощью EFS или же храните их на виртуальном диске. Пока вы пользуетесь этими документами лично, проблем нет. Но проблемы возникнут, если нужно совместно работать над этими документами. Файловая система EFS не поддерживает шифрования данных, передающихся по сети.

Аналогичная ситуация и с виртуальным диском: да, вы можете «расшарить» доступ к виртуальному диску, но ваши данные будут оставаться зашифрованными только на вашем компьютере. Как только они покинут его пределы, они будут передаваться по локальной сети в открытом виде. А это означает, что злоумышленник (которым может быть ваш коллега, который подключен к одной с вами локальной сети, но у которого нет доступа к зашифрованным данным) может легко их перехватить.

Что делать?

Все решения шифрования трафика в основном нацелены на шифрование данных, выходящих за пределы локальной сети, то есть защита осуществляется при передаче данных по Интернету. А локальная сеть считается изначально безопасной средой.

Да, есть аппаратные способы решения данной задачи — специальные сетевые адаптеры и коммутаторы с поддержкой шифрования. Но вы только подумайте: такой коммутатор нужно установить в каждой подсети, а такой сетевой адаптер — на каждый компьютер сети. Довольно затратно получается.

Я начал поиск более дешевого решения. И я его нашел. Это программа CyberSafe Top Secret. Собственно, поэтому я и познакомился с этой программой. Да, программа коммерческая. Правда, благодаря непонятной ценовой политике разработчика на сайте ее можно купить всего за 32 доллара (лицензия на 2 ПК), а не за 100 долларов (такая цена на cybersafesoft.com). Выходит, цена защиты одного компьютера — 16 долларов. Если количество пользователей, которые должны работать с секретными данными, больше, придется купить.

Прозрачное шифрование в CyberSafe

Разберемся, как реализовано прозрачное шифрование в программе CyberSafe. Для прозрачного шифрования используется драйвер Alfa Transparent File Encryptor1, который шифрует файлы с помощью алгоритма AES-256.

В драйвер передается правило шифрования (маска файлов, разрешенные/запрещенные процессы и т.д.), а также ключ шифрования. Сам ключ шифрования хранится в ADS папки (Alternate Data Streams) и зашифрован с помощью OpenSSL (алгоритм RSA) — для этого используются сертификаты.

Логика следующая: добавляем папку, CyberSafe создает ключ для драйвера, шифрует его выбранными публичными сертификатами (они должны быть предварительно созданы или импортированы в CyberSafe). При попытке доступа какого-либо пользователя к папке CyberSafe открывает ADS папки и читает зашифрованный ключ. Если у этого пользователя есть приватный ключ сертификата (у него может быть один или несколько своих сертификатов), который применялся для шифрования ключа, он может открыть эту папку и прочитать файлы. Нужно отметить, что драйвер расшифровывает только то, что нужно, а не все файлы при предоставлении доступа к файлу.

Например, если пользователь открывает большой документ Word, то расшифровывается только та часть, которая сейчас загружается в редактор, по мере необходимости загружается остальная часть. Если файл небольшой, то он расшифровывается полностью, но остальные файлы остаются зашифрованными.

Если папка — сетевая расшаренная, то в ней файлы так и остаются зашифрованными, драйвер клиента расшифровывает только файл или часть файла в памяти, хотя это справедливо и для локальной папки. При редактировании файла драйвер шифрует изменения в памяти и записывает в файл. Другими словами, даже когда папка включена (далее будет показано, что это такое), данные на диске всегда остаются зашифрованными.

Принцип прост: на сервере (так будем условно называть компьютер, где хранится папка с зашифрованными документами) мы храним зашифрованную папку, доступ к этой папке — общий. На компьютере каждого пользователя, который должен получать доступ к секретным документам, устанавливается программа CyberSafe. Суть в том, что шифрование и расшифровка данных происходит на клиенте, а не на сервере. Поэтому по сети данные передаются в зашифрованном виде.

Внимание! У программы CyberSafe есть одна очень важная и непонятная мне особенность. На компьютере, на котором будут храниться зашифрованные документы, программа CyberSafe не должна быть установлена. Если ее установить, то на других компьютерах будут проблемы с доступом к зашифрованной папке. Зачем так сделано, мне не понятно. В крупных предприятиях, конечно, такое поведение очень удобно и оправдано. Как правило, общие документы хранятся на сервере (обычно под управлением Windows Server), и выделение отдельного компьютера не требуется — он уже и так выделен. Да и на сервер не нужно покупать отдельную лицензию, что, как говорится, мелочь, а приятно.

Как настроить прозрачное шифрование

Опишу только общий процесс настройки:

  1. Каждый пользователь должен сгенерировать и опубликовать свой ключ.
  2. На сервере нужно создать пустую папку, а уже после шифрования скопировать в нее данные. Пусть это будет папка \\ACER\test\secret.
  3. Нужно предоставить общий доступ к папке с секретными документами.
  4. На одном из компьютеров нужно импортировать сертификаты всех
    пользователей, которые должны получить доступ к секретным документам. Все готово к шифрованию папки.
  5. Перейдите в раздел Прозрачное шифрование, нажмите кнопку Доб. папку и выберите папку, которую нужно зашифровать. Напомню, что вы должны выбрать сетевую папку \\ACER \test\secret.
  6. Нажмите кнопку Применить. Появится запрос на добавление ключей шифрования для папки, нужно нажать кнопку Да. Если вы случайно ответили Нет, выделите папку в списке и нажмите кнопку Ключи.
  7. Появится диалог выбора ключей пользователей. Выберите только тех, у кого должен быть доступ к папке (тех, кто сможет расшифровать файлы). Нажмите кнопку ОК.
  8. Появится запрос на добавления ключа администратора к папке. Администратор может управлять списком ключей пользователей. Если список пользователей, у которых есть доступ к папке, будет неизменным, ключ администратора можно не добавлять. Далее нужно будет выбрать администратора папки.
  9. Все, папка зашифрована. Чтобы начать работу с ней, выделите ее и нажмите кнопку Включить. После этого можно будет начать работу с папкой.
Важно! Каждый раз, как вам понадобится зашифрованная папка, нужно включать ее через кнопку Enable. Если папка не включена и в нее добавить файлы, они будут не зашифрованы!

На этом все. Но хотелось бы еще раз обратить ваше внимание на сервер. В качестве сервера может выступать обычный компьютер под управлением Windows. Вот только не забывайте о количестве одновременно работающих с сетевой папкой пользователей. Это количество ограничивает сама Windows, и если пользователей много, вероятнее всего, придется купить Windows Server. И еще: на сервер, как уже отмечалось, не нужно устанавливать программу, иначе процесс шифрования не будет проходить корректно.

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *