iBank 2 относится к классу систем защищенного электронного документооборота. Обмен электронными документами в PC-Банкинге, Internet-Банкинге, и Mobile-Банкинге происходит между банком и клиентом. Электронный документ, отправленный клиентом и полученный банком, является основанием для совершения банком финансовых операций.
Конечной целью всех атак на систему является:
Клиент в Web-браузере указывает полный URL банковского Web-сервера, включая тип используемого протокола HTTPS. Например, https://ibank.bankname.ru
Загружаемые в Web-браузер HTML-страницы, конфигурационные XML-файлы, Java-апплеты и другие данные являются открытыми. Никаких идентификаторов и паролей для аутентификации клиент не вводит, никакие секретные параметры клиент не загружает, поэтому шифровать трафик на этапе подключения к Internet-Банкингу необязательно.
Атаки злоумышленника на этапе подключения могут быть направлены:
К надежности и защищенности банковского Web-сервера, к его администрированию предъявляются исключительно высокие требования.
В связи с этим в Сервер Приложения «iBank 2» встроен вспомогательный защищенный Web-сервер с необходимыми функциональными ограничениями с целью исключения даже потенциальных атак на модификацию HTML-страниц, Java-апплетов и других ресурсов.
В Web-сервере используется реализация криптографического протокола SSL компании Sun Microsystems.
В составе системы «iBank 2» поставляются утилиты для генерации секретного и открытого ключей (SSL) вспомогательного Web-сервера, формирования запроса на получение Сертификата X.509, импортирования сертификата, выданного Сертификационным Центром.
Сертификат X.509 для вспомогательного Web-сервера банка необходимо получать у одного из мировых Удостоверяющих Центров - VeriSign, Thawte и др.
Во все распространенные Web-браузеры встроены механизмы ускорения загрузки Java-апплетов при повторном подключении пользователя. В Microsoft Internet Explorer этот механизм называется SoftUpdate, в Netscape — SmartUpdate. Механизмы ускорения загрузки (далее для краткости — SoftUpdate) различаются в деталях, но решают единую задачу.
Для использования механизма SoftUpdate в HTML-страницы встраивается несколько строк кода на JavaScript.
При самом первом подключении Web-браузер загружает с Web-сервера Java-апплет (в виде CAB-архива для MS IE или JAR-архива для остальных типов браузеров) и сохраняет его на локальном диске пользователя в одном из служебных подкаталогов Web-браузера.
При последующих повторных подключениях Web-браузер сравнивает ранее загруженную версию Java-апплета, сохраненную в служебном подкаталоге, с текущей версией на Web-сервере.
Если версии совпадают, то используется ранее загруженная версия Java-апплета.. Если на Web-сервере более новая версия Java-апплета, то Web-браузер автоматически загружает, сохраняет в служебном подкаталоге и в дальнейшем использует более новую версию.
Механизм SoftUpdate используется в системе «iBank 2» по умолчанию. В составе системы также есть стартовые HTML-страницы для загрузки Java-апплетов без использования SoftUpdate.
В системе «iBank 2» все загружаемые к клиенту Java-апплеты подписаны ЭЦП компании-разработчика. Механизм проверки ЭЦП разработчика под Java-апплетами стандартный и встроен во все распространенные Web-браузеры.
Проверка ЭЦП разработчика (компании «БИФИТ») осуществляется на основании Сертификата X.509 разработчика, выданного мировым Удостоверяющим Центром Thawte Consulting. Корневые Сертификаты мировых Удостоверяющих Центров идут в составе дистрибутивов всех типов и версий Web-браузеров.
ЭЦП разработчика под Java-апплетами используется:
В Internet-Банкинге инициатором защищенного взаимодействия между клиентским Java-апплетом (в PC-Банкинге и Mobile-Банкинге — Java-приложение) и банковским Сервером Приложения всегда является клиент. Появляется необходимость передать в банк документ или получить информацию - клиентский Java-апплет осуществляет защищенное взаимодействие с банковским Сервером Приложения.
Защищенное взаимодействие разбито на два уровня: верхний уровень - Прикладной Протокол, и нижний уровень - Защищенный Сетевой Протокол.
Уровень | Функция |
Прикладной Протокол | Аутентификация клиента Механизм ЭЦП Прикладные запросы и ответы |
Защищенный Сетевой Протокол | Шифрование данных Обеспечение целостности данных Аутентификация банка |
Механизмы аутентификации пользователя и ЭЦП реализованы в прикладном протоколе. Транзакция выглядит следующим образом:
Прикладной запрос состоит из заголовка и области данных. В области данных передаются значения параметров прикладного запроса. ЭЦП клиента является таким же параметром в области данных прикладного запроса, как и номер документа, дата документа и пр.
В прикладном протоколе реализована двухфазная аутентификация клиента с использованием механизма ЭЦП, что позволяет сохранить гарантированную защищенность и при этом существенно снизить нагрузку на Сервер Приложения, исключив процедуру проверки ЭЦП под каждым прикладным запросом.
Прикладные запросы с ЭЦП клиента не используются при разрешении конфликтных ситуаций и на банковской стороне не сохраняются (но журнализируются). Единственно необходимым и достаточным доказательным материалом при разрешении конфликтных ситуаций являются электронные документы с ЭЦП.
Прикладной ответ также состоит из заголовка и области данных. В заголовке возвращаются код ошибки прикладного ответа и длина области данных. В области данных возвращаются значения параметров прикладного ответа.
Защищенный сетевой протокол выполняет следующие функции:
Защищенный сетевой протокол является модернизированным протоколом SSL v.3 с упрощенной процедурой согласования сеансовых ключей и с заранее определенными используемыми криптографическими алгоритмами, режимами работы, длинами ключей и другими параметрами.
При необходимости защищенный сетевой протокол позволяет клиенту работать и через HTTP Proxy-сервер (MS Proxy, WinGate, Win Proxy, Squid и др.). Используется тот же механизм туннелирования, что и при работе протокола SSL. Поддерживаются режимы работы через Proxy-сервер с базовой аутентификацией и без аутентификации клиента.
Главные достоинства защищенного сетевого протокола - чрезвычайно низкий объем служебных данных, передаваемых в процедуре согласования сеансовых ключей, а также невысокая нагрузка на процессоры банковского сервера, возникающая в процессе защищенного взаимодействия Java-апплетов или Java-приложения с банковским Сервером Приложения.
При передаче данных вся информация шифруется на сеансовых ключах по ГОСТ 28147-89. Для обеспечения целостности данных также используется ГОСТ 28147-89 (имитовставка).
В систему «iBank 2» встроен механизм ограничения доступа клиентов с заданных IP-адресов.
В АРМе «Администратор банка/филиала» системы «iBank 2» ответственный сотрудник банка может настроить индивидуальный список IP-адресов, с который разрешено работать заданному клиенту. Доступ с любых других IP-адресов будет запрещен.
Данный механизм ограничения доступа по IP-адресам является индивидуальным для каждого клиента и включается банком по письменному требованию клиента.
Для полного восстановления действий клиентов и произошедших событий в систему «iBank 2» встроен механизм журнализации. Журналы событий не являются доказательными материалами при разрешении конфликтных ситуаций, но позволяют максимально подробно восстановить весь ход произошедших событий.
В системе «iBank 2» ведется история документов - журнализируется информация о создании документа, об изменении статуса документа. В истории документов сохраняется информация о субъекте, породившем событие, о времени и дате события.
В системе «iBank 2» ведутся журналы учета доступа клиентов по всем сервисам. В журналах хранится информация об IP-адресе клиента, времени доступа, идентификаторе используемого ключа ЭЦП, проводимых операциях.
Администратор системы имеет возможность настраивать уровень подробности журналов, частоту ротации, глубину архивирования.
При внедрении системы «iBank 2» всегда проводятся изменения текущей политики IP-безопасности банка.
Серверы системы «iBank 2» размещаются в отдельном сетевом сегменте с контролируемым на межсетевом экране доступом из Интернета и внутренней защищенной сети банка.
При внедрении системы «iBank 2» всегда проводится тщательная настройка операционных систем на серверах системы «iBank 2» - исключается поддержка неиспользуемых протоколов, сетевых сервисов и служб. На серверах системы «iBank 2» запрещается сетевой доступ к файловой системе, задействуются встроенные в ОС механизмы аудита.
Правильно спроектированная и четко реализованная политика IP-безопасности, постоянный IP-мониторинг позволяют обеспечить гарантированный уровень защиты системы «iBank 2» и внутренней
сети банка.
Данная информация взята с сайта http://www.bifit.com/ru/