eng
Выпуск #9/2018
Романец Юрий Васильевич, Дударев Дмитрий Александрович, Панасенко Сергей Петрович
Модуль доверенной загрузки с возможностью удаленного управления серверами
Модуль доверенной загрузки с возможностью удаленного управления серверами
Просмотры: 3668
Аппаратно-программные модули доверенной загрузки позволяют обеспечить контроль и разграничение доступа к ресурсам компьютера на основе строгой двухфакторной аутентификации, а также контроль целостности используемой программной среды. Их оснащение функциями управления серверами позволяет обеспечить надежное и безопасное управление серверами в клиент-серверных архитектурах.
УДК 004.056
DOI: 10.22184/1993-8578.2018.82.92.100
УДК 004.056
DOI: 10.22184/1993-8578.2018.82.92.100
Теги: access restriction authentication information protection remote control trusted boot modules апмдз аутентификация защита данных контроль доступа удаленное управление
В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (IPMI — Intelligent Platform Management Interface), предназначенного для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 г. корпорацией Intel и используется многими ведущими производителями компьютеров [1].
Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Данный интерфейс имеет, в частности, следующие возможности удаленного управления и мониторинга:
мониторинг ряда технических параметров сервера, включая температуру основных аппаратных блоков, напряжение и состояние источников питания, скорость вращения вентиляторов, наличие ошибок на системных шинах и др.;
включение/выключение и перезагрузка компьютера;
определение выходящих за пределы допустимых диапазонов и аномальных состояний и их фиксация для последующего исследования и предотвращения;
ряд других функций по управлению сервером.
Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер, который носит название BMC (Baseboard Management Controller — контроллер управления материнской платой) и работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS — Basic Input/Output System) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.
Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в работе [2].
Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о своей продукции, не гарантирует отсутствия в ней недекларируемых возможностей, следовательно, не позволяет гарантировать требуемую степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их информационным ресурсам.
Это может усугубляться недостаточно проработанными механизмами защиты; в частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды — аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой, помимо пароля, требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем различных средств защиты информации, включая криптографические средства, в комплексную систему защиты ИВС.
В связи с тем, что интерфейс IPMI, с одной стороны, дает масштабные возможности по управлению сервером, а с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что данный интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через Интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.
Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI (см., например, [3–5]).
Данный факт подтверждает обоснованность требований отечественного регулятора в дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ.
АПМДЗ предназначены для обеспечения контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.
Примером АПМДЗ является разработанное ООО Фирма «АНКАД» семейство устройств «КРИПТОН-ЗАМОК». Данные устройства имеют следующие основные возможности:
идентификация и усиленная аутентификация пользователей до загрузки ОС компьютера;
аппаратная защита от загрузки ОС со сменных носителей;
контроль целостности программной среды;
разграничение доступа к ресурсам компьютера;
создание нескольких контуров защиты;
удаленное централизованное управление и администрирование;
работа с различными ключевыми носителями;
безопасное хранение собственного доверенного ПО на встроенной флэш-памяти;
возможность интеграции с различными аппаратными и программными средствами защиты информации.
АПМДЗ данного семейства могут быть выполнены как в виде платы расширения, подключаемой к материнской плате компьютера [6], так и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7].
Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей, обеспечивающих выполнение функций удаленного управления серверами, позволяет обеспечить безопасное выполнение ряда функций по удаленному управлению, свойственных контроллеру BMC.
На основе такого варианта АПМДЗ может быть разработана система, в которую, на верхнем уровне, входят следующие два компонента (см. рис. 1):
управляемый сервер, оснащенный устройством «КРИПТОН-ЗАМОК», включающим компоненты и модули удаленного управления серверами;
АРМ администратора, оснащенный классическим АПМДЗ семейства «КРИПТОН-ЗАМОК», но с установленными на уровне ОС программными модулями, взаимодействующими с модулями установленного на управляемый сервер устройства «КРИПТОН-ЗАМОК» и совместно с ними обеспечивающими строгую удаленную аутентификацию администраторов и удаленное управление сервером.
Опишем основные принципы функционирования предложенной системы удаленного управления сервером.
На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:
На управляемый сервер устанавливается устройство АПМДЗ с функциями удаленного управления серверами (АПМДЗ-УС), включающее в себя (помимо обычного набора модулей базового АПМДЗ «КРИПТОН-ЗАМОК») следующие программные модули:
модуль доверенного соединения (МДС);
модуль удаленной многофакторной взаимной аутентификации (МУМВА);
модуль удаленного управления (МУУ); модули МУМВА и МУУ выполняются в доверенной среде АПМДЗ-УС.
На АРМ администратора устанавливается классическое устройство АПМДЗ, в качестве которого, в частности, может использоваться одно из устройств семейства «КРИПТОН-ЗАМОК» (см., например, [6, 7]).
На АРМ администратора загружаются программные модули, обеспечивающие взаимную аутентификацию управляемого сервера и АРМ, защищенный канал связи между ними и удаленное управление сервером: МУМВА, МДС и программное обеспечение администратора (ПОА).
Устанавливаемый на АРМ администратора АПМДЗ осуществляет строгую аутентификацию пользователя на АРМ и его доверенную загрузку. Данный АПМДЗ также используется для контроля целостности программных компонентов АРМ, в частности, загружаемых на АРМ программных модулей МУМВА, МДС и ПОА.
Кроме того, АПМДЗ на АРМ администратора может использоваться для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора.
В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:
Выполняется двухфакторная взаимная аутентификация администратора на основе данных, считываемых с аутентифицирующего носителя администратора (АНА) на АРМ администратора, и данных, сохраненных на сервере во время регистрации администратора на предварительном этапе; аутентификация производится с помощью работающих на сервере и АРМ программных модулей МУМВА на основе данных, полученных в рамках предварительного выполнения локальной аутентификации администратора с помощью АПМДЗ АРМ администратора.
Модулями доверенного соединения на стороне сервера и АРМ администратора формируется защищенный канал связи между сервером и АРМ администратора; данный защищенный канал организуется на базе технологии виртуальных частных сетей (VPN — Virtual Private Network), что позволяет инкапсулировать в защищенный канал трафик различных протоколов, включая используемые в рамках взаимодействия по интерфейсу IPMI.
С помощью модуля МУУ организуется передача управляющей информации между АРМ администратора и управляемым сервером.
Процесс администрирования сервера осуществляется с помощью ПОА, работающего в операционной системе АРМ администратора.
При необходимости управляемый сервер и АРМ администратора могут быть опционально оснащены устройствами «КРИПТОН AncNet» [8]. Данное устройство представляет собой криптографический сетевой адаптер, выполняющий проходное шифрование передаваемых через него данных. С помощью устройств «КРИПТОН AncNet» может быть создан альтернативный, криптографически защищенный канал для передачи данных между сервером и АРМ администратора.
Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рис. 2.
Устройство состоит из двух основных функциональных блоков, находящихся на общей плате:
блока АПМДЗ, логически объединяющего основные функции, присущие аппаратно-программным модулям доверенной загрузки;
блока управления ресурсами, включающего в себя дополнительные функции, включая функции удаленного управления серверами.
Блок АПМДЗ включает в себя следующие компоненты:
модуль локальной идентификации и аутентификации, осуществляющий локальную аутентификацию пользователей и доверенную загрузку компьютера;
модуль управления питанием, реализующий, независимо от чипсета материнской платы компьютера, управление основным питанием компьютера и блокировку компьютера в случае обнаружения системой защиты нарушений;
блок функциональных модулей, выполняющих штатные функции АПМДЗ;
модуль взаимодействия с внешними (по отношению к устройству АПМДЗ-УС) средствами защиты информации (СЗИ);
программное обеспечение доверенной среды;
блок настроек устройства АПМДЗ-УС, содержащий список контролируемых аппаратных и программных объектов, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;
электронный журнал, в который записываются критичные события и попытки НСД, зарегистрированные в системе;
блок с учетными данными зарегистрированных пользователей.
Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:
модуль контроля целостности;
модуль диагностики состояния компонентов устройства;
модуль контроля критичных интервалов времени процедуры запуска и загрузки компьютера;
модуль настройки устройства;
модуль идентификации модели материнской платы компьютера;
датчик случайных чисел.
В качестве модулей взаимодействия с внешними СЗИ могут использоваться следующие:
модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские и/или проходные шифраторы (в том числе, упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым может быть оснащен управляемый сервер);
модуль взаимодействия с установленной на компьютере системой разграничения доступа;
модуль обеспечения сквозной аутентификации в операционной системе компьютера;
модуль поддержки взаимодействия с серверами для проведения централизованного администрирования;
модуль настройки устройства АПМДЗ-УС в части обеспечения возможности подключения к нему дополнительных устройств.
Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.
Программное обеспечение доверенной среды включает в себя следующие программные модули:
ПО проверки целостности программно-контролируемых объектов и диалога с оператором;
ПО удаленного управления устройством;
доверенную ОС.
Второй из основных блоков устройства АПМДЗ-УС — блок управления ресурсами — включает в себя следующие компоненты:
модуль доверенного соединения;
модуль удаленного управления;
модуль удаленной многофакторной взаимной аутентификации, предназначенный для удаленной аутентификации пользователя (администратора) на управляемом сервере;
модуль, реализующий сетевой интерфейс Ethernet.
МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.
Как было сказано выше, сервер и АРМ администратора могут быть оснащены устройствами «КРИПТОН AncNet», формирующими альтернативный, криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора становятся связаны двумя защищенными каналами, используемыми следующим образом:
канал связи, сформированный модулями МДС на основе VPN-соединений, с программной защитой сетевого трафика, используется в рамках удаленного управления сервером;
канал связи, сформированный устройствами «КРИПТОН AncNet», с аппаратным проходным шифрованием сетевого трафика, используется для передачи различной информации (например, содержимого файлов, хранящихся на управляемом сервере) в рамках информационного обмена между сервером и АРМ администратора.
МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления.
Для обеспечения выполнения как основных функций АПМДЗ, так и функций удаленного управления серверами, устройство АПМДЗ-УС имеет следующие внешние интерфейсы:
различные интерфейсы связи с компьютером, в качестве которых могут использоваться интерфейсы PCI, PCI Express (PCIe), USB и др.;
интерфейс управления питанием компьютера и его блокировки, в качестве которого может использоваться любой проводной интерфейс;
различные интерфейсы, обеспечивающие применение технологий удаленного управления сервером: serial-over-IP, KVM-over-IP, эмуляции USB-устройств и передачи информации датчиков состояний сервера (сенсоров) через Интернет;
сетевой интерфейс Ethernet, на основе которого строится канал взаимодействия с АРМ;
интерфейс связи с АНП (АНА), конкретный тип которого зависит от типа аутентифицирующего носителя;
межмодульный интерфейс взаимодействия с устройством «КРИПТОН AncNet» и другие интерфейсы взаимодействия с внешними СЗИ, конкретные типы которых зависят от используемых СЗИ, например, межмодульный интерфейс (для загрузки ключей шифрования в аппаратные шифраторы), USB host (может также использоваться для подключения внешних устройств, в частности, считывателей смарт-карт или USB-идентификаторов), асинхронный последовательный интерфейс UART, например, RS-232 и др.
Разъемы данных интерфейсов могут быть выполнены как на плате самого устройства АПМДЗ-УС, так и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.
В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты различных типов, USB-идентификаторы и носители, карты памяти различных типов и т. п. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:
коннектор для электронных таблеток типа Touch Memory;
интерфейс USB для USB-идентификаторов и носителей;
контактный или бесконтактный (включая интерфейс ближнего поля NFC — Near Field Communication) интерфейс для смарт-карт;
считыватель биометрических признаков и т. п.
Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:
используемых в конкретной ИВС технологий;
реализуемых устройством функций защиты;
конкретного набора используемых внешних СЗИ.
Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.
Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе данного устройства являются:
обеспечение надежной защиты ИВС и ее компонентов (сервера, АРМ администратора) на основе отечественных доверенных криптографических средств;
проведение удаленной двухфакторной взаимной аутентификации;
реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами и при использовании различных платформ и физических средств передачи и обработки информации.
Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также возможность удаленного администрирования и удаленной аутентификации в компьютерных сетях с различными протоколами передачи данных и используемыми платформами.
Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления, устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно, способность выполнять системообразующие функции и возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, данное устройство обеспечивает возможность удаленного администрирования и управления серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.
Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы, используемые в различных специальных применениях, в соответствии с которыми предъявляются повышенные требования к обеспечению информационной безопасности ИВС.
Авторы считают, что в данной работе новыми являются следующие результаты:
Предложены принципы создания систем удаленного управления серверами по криптографически защищенному каналу с использованием механизмов строгой аутентификации пользователей, осуществляющих удаленное управление.
Разработана функциональная схема устройства АПМДЗ-УС, совмещающего в себе основные функции, присущие аппаратно-программным модулям доверенной загрузки (такие, как идентификация и аутентификация пользователей, организация доверенной среды исполнения, контроль целостности программных модулей, контроль доступа к ресурсам защищаемого компьютера и др.), и возможности по удаленному управлению серверами по защищенному каналу связи.
Разработаны макетные образцы устройства АПМДЗ-УС и системы удаленного управления серверами.
В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9, 10].
ЛИТЕРАТУРА
1. IPMI — Intelligent Platform Management Interface Specification Second Generation v2.0. — Document Revision 1.1, October 1, 2013 — Intel, Hewlett-Packard, NEC,Dell.
2. Minyard C. IPMI — A Gentle Introduction with OpenIPMI. // http://openipmi.sourceforge.net — Montavista Software, 2006.
3. Schneier B. The Eavesdropping System in Your Computer. // https://www.schneier.com — 2013.
4. Farmer D. IPMI: Freight Train to Hell or Linda Wu & The Night of the Leeches. // http://fish2.com — Version 2.0.3 — August 22nd, 2013.
5. Farmer D. Sold Down the River. // http://fish2.com — June 23rd, 2014.
6. Дударев Д. А., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров информационно-вычислительных систем. Патент РФ на изобретение № 2538329 — ООО Фирма «АНКАД», 2014.
7. Дударев Д. А., Кравцов А. Ю., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров специального назначения. Патент РФ на изобретение № 2569577 — ООО Фирма «АНКАД», ЗАО «Крафтвэй корпорейшн ПЛС», 2015.
8. Сетевые шифраторы «КРИПТОН AncNet». // http://www.ancud.ru.
9. Дударев Д. А., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления. Заявление о выдаче патента РФ на изобретение № 2016144763 — ООО Фирма «АНКАД», 2016.
10. Бычков И. Н., Дударев Д. А., Молчанов И. А., Орлов М. В., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды. Заявление о выдаче патента РФ на изобретение № 2017103816 — ООО Фирма «АНКАД», ПАО «ИНЭУМ им. И. С. Брука», 2017.
Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Данный интерфейс имеет, в частности, следующие возможности удаленного управления и мониторинга:
мониторинг ряда технических параметров сервера, включая температуру основных аппаратных блоков, напряжение и состояние источников питания, скорость вращения вентиляторов, наличие ошибок на системных шинах и др.;
включение/выключение и перезагрузка компьютера;
определение выходящих за пределы допустимых диапазонов и аномальных состояний и их фиксация для последующего исследования и предотвращения;
ряд других функций по управлению сервером.
Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер, который носит название BMC (Baseboard Management Controller — контроллер управления материнской платой) и работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS — Basic Input/Output System) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.
Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в работе [2].
Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о своей продукции, не гарантирует отсутствия в ней недекларируемых возможностей, следовательно, не позволяет гарантировать требуемую степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их информационным ресурсам.
Это может усугубляться недостаточно проработанными механизмами защиты; в частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды — аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой, помимо пароля, требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем различных средств защиты информации, включая криптографические средства, в комплексную систему защиты ИВС.
В связи с тем, что интерфейс IPMI, с одной стороны, дает масштабные возможности по управлению сервером, а с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что данный интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через Интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.
Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI (см., например, [3–5]).
Данный факт подтверждает обоснованность требований отечественного регулятора в дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ.
АПМДЗ предназначены для обеспечения контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.
Примером АПМДЗ является разработанное ООО Фирма «АНКАД» семейство устройств «КРИПТОН-ЗАМОК». Данные устройства имеют следующие основные возможности:
идентификация и усиленная аутентификация пользователей до загрузки ОС компьютера;
аппаратная защита от загрузки ОС со сменных носителей;
контроль целостности программной среды;
разграничение доступа к ресурсам компьютера;
создание нескольких контуров защиты;
удаленное централизованное управление и администрирование;
работа с различными ключевыми носителями;
безопасное хранение собственного доверенного ПО на встроенной флэш-памяти;
возможность интеграции с различными аппаратными и программными средствами защиты информации.
АПМДЗ данного семейства могут быть выполнены как в виде платы расширения, подключаемой к материнской плате компьютера [6], так и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7].
Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей, обеспечивающих выполнение функций удаленного управления серверами, позволяет обеспечить безопасное выполнение ряда функций по удаленному управлению, свойственных контроллеру BMC.
На основе такого варианта АПМДЗ может быть разработана система, в которую, на верхнем уровне, входят следующие два компонента (см. рис. 1):
управляемый сервер, оснащенный устройством «КРИПТОН-ЗАМОК», включающим компоненты и модули удаленного управления серверами;
АРМ администратора, оснащенный классическим АПМДЗ семейства «КРИПТОН-ЗАМОК», но с установленными на уровне ОС программными модулями, взаимодействующими с модулями установленного на управляемый сервер устройства «КРИПТОН-ЗАМОК» и совместно с ними обеспечивающими строгую удаленную аутентификацию администраторов и удаленное управление сервером.
Опишем основные принципы функционирования предложенной системы удаленного управления сервером.
На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:
На управляемый сервер устанавливается устройство АПМДЗ с функциями удаленного управления серверами (АПМДЗ-УС), включающее в себя (помимо обычного набора модулей базового АПМДЗ «КРИПТОН-ЗАМОК») следующие программные модули:
модуль доверенного соединения (МДС);
модуль удаленной многофакторной взаимной аутентификации (МУМВА);
модуль удаленного управления (МУУ); модули МУМВА и МУУ выполняются в доверенной среде АПМДЗ-УС.
На АРМ администратора устанавливается классическое устройство АПМДЗ, в качестве которого, в частности, может использоваться одно из устройств семейства «КРИПТОН-ЗАМОК» (см., например, [6, 7]).
На АРМ администратора загружаются программные модули, обеспечивающие взаимную аутентификацию управляемого сервера и АРМ, защищенный канал связи между ними и удаленное управление сервером: МУМВА, МДС и программное обеспечение администратора (ПОА).
Устанавливаемый на АРМ администратора АПМДЗ осуществляет строгую аутентификацию пользователя на АРМ и его доверенную загрузку. Данный АПМДЗ также используется для контроля целостности программных компонентов АРМ, в частности, загружаемых на АРМ программных модулей МУМВА, МДС и ПОА.
Кроме того, АПМДЗ на АРМ администратора может использоваться для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора.
В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:
Выполняется двухфакторная взаимная аутентификация администратора на основе данных, считываемых с аутентифицирующего носителя администратора (АНА) на АРМ администратора, и данных, сохраненных на сервере во время регистрации администратора на предварительном этапе; аутентификация производится с помощью работающих на сервере и АРМ программных модулей МУМВА на основе данных, полученных в рамках предварительного выполнения локальной аутентификации администратора с помощью АПМДЗ АРМ администратора.
Модулями доверенного соединения на стороне сервера и АРМ администратора формируется защищенный канал связи между сервером и АРМ администратора; данный защищенный канал организуется на базе технологии виртуальных частных сетей (VPN — Virtual Private Network), что позволяет инкапсулировать в защищенный канал трафик различных протоколов, включая используемые в рамках взаимодействия по интерфейсу IPMI.
С помощью модуля МУУ организуется передача управляющей информации между АРМ администратора и управляемым сервером.
Процесс администрирования сервера осуществляется с помощью ПОА, работающего в операционной системе АРМ администратора.
При необходимости управляемый сервер и АРМ администратора могут быть опционально оснащены устройствами «КРИПТОН AncNet» [8]. Данное устройство представляет собой криптографический сетевой адаптер, выполняющий проходное шифрование передаваемых через него данных. С помощью устройств «КРИПТОН AncNet» может быть создан альтернативный, криптографически защищенный канал для передачи данных между сервером и АРМ администратора.
Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рис. 2.
Устройство состоит из двух основных функциональных блоков, находящихся на общей плате:
блока АПМДЗ, логически объединяющего основные функции, присущие аппаратно-программным модулям доверенной загрузки;
блока управления ресурсами, включающего в себя дополнительные функции, включая функции удаленного управления серверами.
Блок АПМДЗ включает в себя следующие компоненты:
модуль локальной идентификации и аутентификации, осуществляющий локальную аутентификацию пользователей и доверенную загрузку компьютера;
модуль управления питанием, реализующий, независимо от чипсета материнской платы компьютера, управление основным питанием компьютера и блокировку компьютера в случае обнаружения системой защиты нарушений;
блок функциональных модулей, выполняющих штатные функции АПМДЗ;
модуль взаимодействия с внешними (по отношению к устройству АПМДЗ-УС) средствами защиты информации (СЗИ);
программное обеспечение доверенной среды;
блок настроек устройства АПМДЗ-УС, содержащий список контролируемых аппаратных и программных объектов, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;
электронный журнал, в который записываются критичные события и попытки НСД, зарегистрированные в системе;
блок с учетными данными зарегистрированных пользователей.
Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:
модуль контроля целостности;
модуль диагностики состояния компонентов устройства;
модуль контроля критичных интервалов времени процедуры запуска и загрузки компьютера;
модуль настройки устройства;
модуль идентификации модели материнской платы компьютера;
датчик случайных чисел.
В качестве модулей взаимодействия с внешними СЗИ могут использоваться следующие:
модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские и/или проходные шифраторы (в том числе, упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым может быть оснащен управляемый сервер);
модуль взаимодействия с установленной на компьютере системой разграничения доступа;
модуль обеспечения сквозной аутентификации в операционной системе компьютера;
модуль поддержки взаимодействия с серверами для проведения централизованного администрирования;
модуль настройки устройства АПМДЗ-УС в части обеспечения возможности подключения к нему дополнительных устройств.
Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.
Программное обеспечение доверенной среды включает в себя следующие программные модули:
ПО проверки целостности программно-контролируемых объектов и диалога с оператором;
ПО удаленного управления устройством;
доверенную ОС.
Второй из основных блоков устройства АПМДЗ-УС — блок управления ресурсами — включает в себя следующие компоненты:
модуль доверенного соединения;
модуль удаленного управления;
модуль удаленной многофакторной взаимной аутентификации, предназначенный для удаленной аутентификации пользователя (администратора) на управляемом сервере;
модуль, реализующий сетевой интерфейс Ethernet.
МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.
Как было сказано выше, сервер и АРМ администратора могут быть оснащены устройствами «КРИПТОН AncNet», формирующими альтернативный, криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора становятся связаны двумя защищенными каналами, используемыми следующим образом:
канал связи, сформированный модулями МДС на основе VPN-соединений, с программной защитой сетевого трафика, используется в рамках удаленного управления сервером;
канал связи, сформированный устройствами «КРИПТОН AncNet», с аппаратным проходным шифрованием сетевого трафика, используется для передачи различной информации (например, содержимого файлов, хранящихся на управляемом сервере) в рамках информационного обмена между сервером и АРМ администратора.
МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления.
Для обеспечения выполнения как основных функций АПМДЗ, так и функций удаленного управления серверами, устройство АПМДЗ-УС имеет следующие внешние интерфейсы:
различные интерфейсы связи с компьютером, в качестве которых могут использоваться интерфейсы PCI, PCI Express (PCIe), USB и др.;
интерфейс управления питанием компьютера и его блокировки, в качестве которого может использоваться любой проводной интерфейс;
различные интерфейсы, обеспечивающие применение технологий удаленного управления сервером: serial-over-IP, KVM-over-IP, эмуляции USB-устройств и передачи информации датчиков состояний сервера (сенсоров) через Интернет;
сетевой интерфейс Ethernet, на основе которого строится канал взаимодействия с АРМ;
интерфейс связи с АНП (АНА), конкретный тип которого зависит от типа аутентифицирующего носителя;
межмодульный интерфейс взаимодействия с устройством «КРИПТОН AncNet» и другие интерфейсы взаимодействия с внешними СЗИ, конкретные типы которых зависят от используемых СЗИ, например, межмодульный интерфейс (для загрузки ключей шифрования в аппаратные шифраторы), USB host (может также использоваться для подключения внешних устройств, в частности, считывателей смарт-карт или USB-идентификаторов), асинхронный последовательный интерфейс UART, например, RS-232 и др.
Разъемы данных интерфейсов могут быть выполнены как на плате самого устройства АПМДЗ-УС, так и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.
В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты различных типов, USB-идентификаторы и носители, карты памяти различных типов и т. п. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:
коннектор для электронных таблеток типа Touch Memory;
интерфейс USB для USB-идентификаторов и носителей;
контактный или бесконтактный (включая интерфейс ближнего поля NFC — Near Field Communication) интерфейс для смарт-карт;
считыватель биометрических признаков и т. п.
Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:
используемых в конкретной ИВС технологий;
реализуемых устройством функций защиты;
конкретного набора используемых внешних СЗИ.
Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.
Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе данного устройства являются:
обеспечение надежной защиты ИВС и ее компонентов (сервера, АРМ администратора) на основе отечественных доверенных криптографических средств;
проведение удаленной двухфакторной взаимной аутентификации;
реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами и при использовании различных платформ и физических средств передачи и обработки информации.
Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также возможность удаленного администрирования и удаленной аутентификации в компьютерных сетях с различными протоколами передачи данных и используемыми платформами.
Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления, устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно, способность выполнять системообразующие функции и возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, данное устройство обеспечивает возможность удаленного администрирования и управления серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.
Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы, используемые в различных специальных применениях, в соответствии с которыми предъявляются повышенные требования к обеспечению информационной безопасности ИВС.
Авторы считают, что в данной работе новыми являются следующие результаты:
Предложены принципы создания систем удаленного управления серверами по криптографически защищенному каналу с использованием механизмов строгой аутентификации пользователей, осуществляющих удаленное управление.
Разработана функциональная схема устройства АПМДЗ-УС, совмещающего в себе основные функции, присущие аппаратно-программным модулям доверенной загрузки (такие, как идентификация и аутентификация пользователей, организация доверенной среды исполнения, контроль целостности программных модулей, контроль доступа к ресурсам защищаемого компьютера и др.), и возможности по удаленному управлению серверами по защищенному каналу связи.
Разработаны макетные образцы устройства АПМДЗ-УС и системы удаленного управления серверами.
В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9, 10].
ЛИТЕРАТУРА
1. IPMI — Intelligent Platform Management Interface Specification Second Generation v2.0. — Document Revision 1.1, October 1, 2013 — Intel, Hewlett-Packard, NEC,Dell.
2. Minyard C. IPMI — A Gentle Introduction with OpenIPMI. // http://openipmi.sourceforge.net — Montavista Software, 2006.
3. Schneier B. The Eavesdropping System in Your Computer. // https://www.schneier.com — 2013.
4. Farmer D. IPMI: Freight Train to Hell or Linda Wu & The Night of the Leeches. // http://fish2.com — Version 2.0.3 — August 22nd, 2013.
5. Farmer D. Sold Down the River. // http://fish2.com — June 23rd, 2014.
6. Дударев Д. А., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров информационно-вычислительных систем. Патент РФ на изобретение № 2538329 — ООО Фирма «АНКАД», 2014.
7. Дударев Д. А., Кравцов А. Ю., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров специального назначения. Патент РФ на изобретение № 2569577 — ООО Фирма «АНКАД», ЗАО «Крафтвэй корпорейшн ПЛС», 2015.
8. Сетевые шифраторы «КРИПТОН AncNet». // http://www.ancud.ru.
9. Дударев Д. А., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления. Заявление о выдаче патента РФ на изобретение № 2016144763 — ООО Фирма «АНКАД», 2016.
10. Бычков И. Н., Дударев Д. А., Молчанов И. А., Орлов М. В., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды. Заявление о выдаче патента РФ на изобретение № 2017103816 — ООО Фирма «АНКАД», ПАО «ИНЭУМ им. И. С. Брука», 2017.
Отзывы читателей
