Pa gen anpil atik sou Habré konsakre nan sistèm operasyon Qubes, ak sa mwen te wè yo pa dekri anpil nan eksperyans nan sèvi ak li. Anba koupe a, mwen espere korije sa a lè l sèvi avèk egzanp lè l sèvi avèk Qubes kòm yon mwayen pou pwoteksyon (kont) anviwònman an Windows epi, an menm tan an, estime kantite itilizatè ki pale Ris nan sistèm nan.
Poukisa Qubes?
Istwa a nan fen sipò teknik pou Windows 7 ak enkyetid la ogmante nan itilizatè yo te mennen nan bezwen nan òganize travay la nan eksplwatasyon sa a, pran an kont kondisyon sa yo:
- asire itilizasyon Windows 7 konplètman aktive ak kapasite pou itilizatè a enstale mizajou ak aplikasyon divès kalite (ki gen ladan atravè entènèt la);
- aplike eksklizyon konplè oswa selektif nan entèraksyon rezo ki baze sou kondisyon (operasyon otonòm ak mòd filtraj trafik);
- bay kapasite nan oaza konekte medya detachable ak aparèy.
Ansanm restriksyon sa a sipoze yon itilizatè ki byen prepare, depi administrasyon endepandan gen dwa, epi restriksyon yo pa gen rapò ak bloke aksyon potansyèl li yo, men nan esklizyon erè posib oswa efè lojisyèl destriktif. Moun sa yo. Pa gen okenn delenkan entèn nan modèl la.
Nan rechèch nou an pou yon solisyon, nou byen vit abandone lide pou aplike restriksyon lè l sèvi avèk zouti Windows entegre oswa adisyonèl, paske li se byen difisil pou efektivman mete restriksyon sou yon itilizatè ki gen dwa administratè, kite l 'kapasite pou enstale aplikasyon yo.
Pwochen solisyon an te izolasyon lè l sèvi avèk Virtualization. Zouti byen li te ye pou Virtualization Desktop (pa egzanp, tankou Virtualbox) yo mal adapte pou rezoud pwoblèm sekirite ak restriksyon ki nan lis la pral oblije fè pa itilizatè a pa toujou ap chanje oswa ajiste pwopriyete yo nan machin nan vityèl envite (apwe sa refere a. kòm VM), ki ogmante risk pou erè.
An menm tan an, nou te gen eksperyans lè l sèvi avèk Qubes kòm yon sistèm Desktop itilizatè a, men te gen dout sou estabilite nan travay ak Windows envite. Li te deside tcheke vèsyon aktyèl la nan Qubes, depi limit yo deklare anfòm trè byen nan paradigm nan nan sistèm sa a, espesyalman aplikasyon an nan modèl machin vityèl ak entegrasyon vizyèl. Apre sa, mwen pral eseye pale yon ti tan sou lide ak zouti Qubes, lè l sèvi avèk egzanp pou rezoud pwoblèm nan.
Kalite Xen Virtualization
Qubes baze sou hypervisor Xen, ki minimize fonksyon jere resous processeur, memwa ak machin vityèl. Tout lòt travay ak aparèy konsantre nan dom0 ki baze sou nwayo Linux (Qubes pou dom0 sèvi ak distribisyon Fedora).
Xen sipòte plizyè kalite virtualizasyon (mwen pral bay egzanp pou achitekti Intel, byenke Xen sipòte lòt moun):
- paravirtualization (PV) - yon mòd Virtualization san yo pa itilize sipò pyès ki nan konpitè, okoumansman de Virtualization veso, ka itilize pou sistèm ki gen yon nwayo adapte (dom0 opere nan mòd sa a);
- Virtualization konplè (HVM) - nan mòd sa a, sipò pyès ki nan konpitè yo itilize pou resous processeur, ak tout lòt ekipman yo imite lè l sèvi avèk QEMU. Sa a se fason ki pi inivèsèl yo kouri sistèm opere divès kalite;
- paravirtualization nan pyès ki nan konpitè (PVH - ParaVirtualized Hardware) - yon mòd Virtualization lè l sèvi avèk sipò pyès ki nan konpitè lè, pou travay ak pyès ki nan konpitè, nwayo a sistèm envite itilize chofè ki adapte ak kapasite yo nan hypervisor la (pa egzanp, memwa pataje), elimine nesesite pou QEMU emulation. ak ogmante pèfòmans I/O. Kernel Linux kòmanse nan 4.11 ka travay nan mòd sa a.
Kòmanse ak Qubes 4.0, pou rezon sekirite, yo abandone itilizasyon mòd paravirtualization (tankou akòz frajilite li te ye nan achitekti Intel, ki pasyèlman atténue pa itilizasyon virtualizasyon konplè); mòd PVH yo itilize pa default.
Lè w ap itilize imitasyon (mòd HVM), QEMU lanse nan yon VM izole ki rele stubdomain, kidonk diminye risk pou eksplwate erè potansyèl nan aplikasyon an (pwojè QEMU a gen anpil kòd, ki gen ladan konpatibilite).
Nan ka nou an, mòd sa a ta dwe itilize pou Windows.
Sèvis machin vityèl
Nan achitekti sekirite Qubes, youn nan kapasite kle nan hypervisor la se transfè aparèy PCI nan anviwònman envite. Eksklizyon pyès ki nan konpitè pèmèt ou izole pati lame a nan sistèm nan soti nan atak ekstèn. Xen sipòte sa a pou mòd PV ak HVM, nan dezyèm ka a li mande sipò pou IOMMU (Intel VT-d) - jesyon memwa pyès ki nan konpitè pou aparèy virtualize.
Sa a kreye plizyè sistèm machin vityèl:
- sys-net, nan ki aparèy rezo yo transfere epi ki itilize kòm yon pon pou lòt VMs, pou egzanp, sa yo ki aplike fonksyon yo nan yon firewall oswa yon kliyan VPN;
- sys-usb, kote USB ak lòt contrôleur aparèy periferik yo transfere;
- sys-firewall, ki pa sèvi ak aparèy, men ki travay kòm yon firewall pou VM ki konekte.
Pou travay ak aparèy USB, yo itilize sèvis prokurasyon, ki bay, pami lòt bagay:
- pou klas aparèy HID (aparèy koòdone imen), voye kòmandman bay dom0;
- pou medya detachable, redireksyon volim aparèy nan lòt VM (eksepte pou dom0);
- redireksyon dirèkteman nan yon aparèy USB (itilize USBIP ak zouti entegrasyon).
Nan yon konfigirasyon konsa, yon atak siksè atravè pile rezo a oswa aparèy konekte ka mennen nan konpwomi a nan sèlman sèvis la kouri VM, epi yo pa tout sistèm nan kòm yon antye. Epi apre rekòmanse VM sèvis la, li pral chaje nan eta orijinal li.
Zouti entegrasyon VM
Gen plizyè fason yo kominike avèk Desktop nan yon machin vityèl - enstale aplikasyon nan sistèm envite oswa imite videyo lè l sèvi avèk zouti Virtualization. Aplikasyon pou envite yo ka divès kalite zouti aksè inivèsèl aleka (RDP, VNC, Spice, elatriye) oswa adapte ak yon hypervisor espesifik (zouti sa yo anjeneral yo rele sèvis piblik envite). Yon opsyon melanje kapab tou itilize, lè hypervisor la imite I/O pou sistèm envite a, epi deyò a bay kapasite pou sèvi ak yon pwotokòl ki konbine I/O, pou egzanp, tankou Spice. An menm tan an, zouti aksè aleka anjeneral optimize imaj la, paske yo enplike travay atravè yon rezo, ki pa gen yon efè pozitif sou bon jan kalite a nan imaj la.
Qubes bay zouti pwòp li yo pou entegrasyon VM. Premye a tout, sa a se yon sous-sistèm grafik - fenèt ki soti nan diferan VM yo parèt sou yon sèl Desktop ak pwòp ankadreman koulè yo. An jeneral, zouti entegrasyon yo baze sou kapasite hypervisor - memwa pataje (tab sibvansyon Xen), zouti notifikasyon (chanèl evènman Xen), xenstore depo pataje ak pwotokòl kominikasyon vchan. Avèk èd yo, eleman debaz qrexec ak qubes-rpc, ak sèvis aplikasyon yo aplike - redireksyon odyo oswa USB, transfere dosye oswa kontni clipboard, egzekite kòmandman ak lanse aplikasyon yo. Li posib pou mete règleman ki pèmèt ou limite sèvis ki disponib sou yon VM. Figi ki anba a se yon egzanp pwosedi pou inisyalize entèraksyon de VM.
Kidonk, travay nan VM a fèt san yo pa itilize yon rezo, ki pèmèt tout itilizasyon VM otonòm pou evite flit enfòmasyon. Pou egzanp, sa a se ki jan separasyon nan operasyon kriptografik (PGP / SSH) aplike, lè kle prive yo itilize nan VM izole epi yo pa ale pi lwen pase yo.
Modèl, aplikasyon ak VM yon sèl fwa
Tout travay itilizatè nan Qubes fèt nan machin vityèl. Se sistèm prensipal lame yo itilize pou kontwole ak visualiser yo. OS la enstale ansanm ak yon seri debaz machin vityèl ki baze sou modèl (TemplateVM). Modèl sa a se yon VM Linux ki baze sou distribisyon Fedora oswa Debian, ak zouti entegrasyon enstale ak konfigirasyon, ak sistèm dedye ak patisyon itilizatè. Enstalasyon ak ajou lojisyèl se yon manadjè estanda pake (dnf oswa apt) ki soti nan depo konfigirasyon ak verifikasyon obligatwa siyati dijital (GnuPG). Objektif VM sa yo se asire konfyans nan VM aplikasyon yo te lanse sou baz yo.
Nan demaraj, yon aplikasyon VM (AppVM) sèvi ak yon snapshot nan patisyon sistèm nan modèl VM ki koresponn lan, epi apre yo fin efase snapshot sa a san yo pa sove chanjman yo. Done itilizatè a mande yo estoke nan yon patisyon itilizatè inik pou chak aplikasyon VM, ki monte nan anyè kay la.
Sèvi ak VM jetab (disposableVM) ka itil nan yon pwen de vi sekirite. Yon VM konsa kreye ki baze sou yon modèl nan moman demaraj la epi li lanse pou yon sèl objektif - pou egzekite yon aplikasyon, ranpli travay apre li fin fèmen. Yo ka itilize VM jetab pou louvri dosye sispèk ki gen sa ki ka mennen nan eksplwatasyon frajilite aplikasyon espesifik yo. Kapasite nan kouri yon VM yon sèl-fwa entegre nan manadjè a dosye (Nautilus) ak kliyan imel (Thunderbird).
Windows VM ka itilize tou pou kreye yon modèl ak yon VM yon sèl fwa lè w deplase pwofil itilizatè a nan yon seksyon separe. Nan vèsyon nou an, itilizatè a pral itilize yon modèl konsa pou travay administrasyon ak enstalasyon aplikasyon an. Dapre modèl la, yo pral kreye plizyè VM aplikasyon - ak aksè limite nan rezo a (kapasite estanda sys-firewall) epi san aksè nan rezo a ditou (yon aparèy rezo vityèl pa kreye). Tout chanjman ak aplikasyon ki enstale nan modèl la ap disponib pou travay nan VM sa yo, e menm si yo prezante pwogram makè yo, yo p ap gen aksè rezo pou konpwomi.
Goumen pou Windows
Karakteristik ki dekri pi wo a se baz Qubes ak travay byen estab; difikilte yo kòmanse ak Windows. Pou entegre Windows, ou dwe itilize yon seri zouti envite Qubes Windows Tools (QWT), ki gen ladann chofè pou travay ak Xen, yon chofè qvideo ak yon seri sèvis piblik pou echanj enfòmasyon (transfè fichye, clipboard). Pwosesis enstalasyon ak konfigirasyon dokimante an detay sou sit entènèt pwojè a, kidonk nou pral pataje eksperyans aplikasyon nou an.
Difikilte prensipal la se esansyèlman mank de sipò pou zouti yo devlope. Key Developers (QWT) parèt pa disponib epi pwojè entegrasyon Windows la ap tann yon devlopè plon. Se poutèt sa, anvan tout bagay, li te nesesè yo evalye pèfòmans li yo ak fòme yon konpreyansyon sou posibilite pou sipòte li poukont li, si sa nesesè. Pi difisil pou devlope ak debug se chofè grafik, ki imite adaptè videyo a ak ekspozisyon pou jenere yon imaj nan memwa pataje, sa ki pèmèt ou montre tout Desktop la oswa fenèt aplikasyon an dirèkteman nan fenèt sistèm lame a. Pandan analiz operasyon chofè a, nou adapte kòd la pou asanble nan yon anviwònman Linux epi nou te travay sou yon konplo debogaj ant de sistèm envite Windows. Nan etap nan crossbuild, nou te fè plizyè chanjman ki senplifye bagay sa yo pou nou, sitou an tèm de enstalasyon "silans" nan sèvis piblik, epi tou li elimine degradasyon an anmèdan nan pèfòmans lè w ap travay nan yon VM pou yon tan long. Nou prezante rezilta yo nan travay la nan yon separe , kidonk pa pou lontan Dirijan Qubes Developer.
Etap ki pi kritik an tèm de estabilite nan sistèm envite se demaraj Windows, isit la ou ka wè ekran an ble abitye (oswa pa menm wè li). Pou pifò erè yo idantifye yo, te gen divès kalite solisyon - elimine chofè aparèy blòk Xen, enfim balanse memwa VM, repare anviwònman rezo a, ak minimize kantite nwayo. Zouti envite nou yo fè enstalasyon ak kouri sou Windows 7 ak Windows 10 konplètman mete ajou (eksepte qvideo).
Lè w ap deplase soti nan yon anviwònman reyèl nan yon anviwònman vityèl, yon pwoblèm rive ak aktive Windows si yo itilize vèsyon OEM pre-enstale. Sistèm sa yo sèvi ak aktivasyon ki baze sou lisans ki espesifye nan UEFI aparèy la. Pou travay kòrèkteman deklanchman an, li nesesè pou tradui youn nan tout seksyon ACPI nan sistèm lame a (tablo SLIC) nan sistèm envite ak yon ti kras modifye lòt yo, enskri manifakti a. Xen pèmèt ou Customize kontni ACPI nan tab adisyonèl, men san yo pa modifye sa yo prensipal yo. Yon patch ki soti nan yon pwojè OpenXT ki sanble, ki te adapte pou Qubes, te ede ak solisyon an. Koreksyon yo te sanble itil pa sèlman pou nou epi yo te tradui nan depo prensipal Qubes ak bibliyotèk Libvirt la.
Dezavantaj yo evidan nan zouti entegrasyon Windows yo enkli mank de sipò pou odyo, aparèy USB, ak konpleksite nan travay ak medya, depi pa gen okenn sipò pyès ki nan konpitè pou GPU la. Men, pi wo a pa anpeche itilize VM a pou travay ak dokiman biwo, ni li anpeche lansman aplikasyon espesifik antrepriz yo.
Egzijans pou chanje nan mòd opere san yon rezo oswa ak yon rezo limite apre yo fin kreye yon modèl Windows VM te rive vre lè yo kreye konfigirasyon apwopriye nan VM aplikasyon yo, ak posibilite pou seleksyone konekte medya detachable te rezoud tou pa zouti OS estanda - lè konekte. , yo disponib nan sistèm VM sys-usb la, kote yo ka "voye" nan VM ki nesesè yo. Desktop itilizatè a sanble yon bagay tankou sa a.
Vèsyon final la nan sistèm lan te pozitivman (osi lwen ke yon solisyon konplè pèmèt) itilizatè yo aksepte, ak zouti yo estanda nan sistèm nan te fè li posib yo elaji aplikasyon an nan estasyon mobil itilizatè a ak aksè atravè VPN.
Olye pou yo yon konklizyon
Virtualizasyon an jeneral pèmèt ou diminye risk ki genyen nan itilize sistèm Windows kite san sipò - li pa fòse konpatibilite ak nouvo pyès ki nan konpitè, li pèmèt ou eskli oswa kontwole aksè nan sistèm nan sou rezo a oswa atravè aparèy ki konekte, epi li pèmèt ou. aplike yon anviwònman lansman yon sèl fwa.
Ki baze sou lide izolasyon atravè Virtualization, Qubes OS ede ou ogmante mekanis sa yo ak lòt pou sekirite. Soti nan deyò a, anpil moun wè Qubes prensipalman kòm yon dezi pou anonim, men li se yon sistèm itil tou de pou enjenyè, ki souvan Jungle pwojè, enfrastrikti, ak sekrè jwenn aksè nan yo, ak pou chèchè sekirite. Separasyon aplikasyon, done ak fòmalizasyon entèraksyon yo se premye etap analiz menas ak konsepsyon sistèm sekirite. Separasyon sa a ede estriktire enfòmasyon ak diminye chans pou erè akòz faktè imen an - prese, fatig, elatriye.
Kounye a, anfaz prensipal la nan devlopman se sou elaji fonctionnalités nan anviwònman Linux. Vèsyon 4.1 ap prepare pou lage, ki pral baze sou Fedora 31 epi ki gen ladan vèsyon aktyèl konpozan kle Xen ak Libvirt. Li se vo anyen ke Qubes se kreye pa pwofesyonèl sekirite enfòmasyon ki toujou san pèdi tan pibliye mizajou si yo idantifye nouvo menas oswa erè.
Apreword
Youn nan kapasite eksperimantal n ap devlope pèmèt nou kreye VM ak sipò pou aksè envite nan GPU ki baze sou teknoloji Intel GVT-g, ki pèmèt nou sèvi ak kapasite adaptè grafik la ak elaji siyifikativman sijè ki abòde lan sistèm nan. Nan moman w ap ekri a, fonksyonalite sa a ap travay pou tès Qubes 4.1, epi li disponib sou .
Sous: www.habr.com