Модуль доверенной загрузки с возможностью удаленного управления серверами

В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (Intelligent Platform Management Interface, IPMI). Этот интерфейс предназначен для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 г. корпорацией Intel, и используется многими ведущими производителями компьютеров [1].

Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Этот интерфейс имеет, в частности, следующие возможности удаленного управления и контроля:

• мониторинг ряда технических параметров сервера, включая температуру основных аппаратных блоков, напряжение и состояние источников питания, скорость вращения вентиляторов, наличие ошибок на системных шинах и т. д.;
• включение/выключение и перезагрузка компьютера;
• определение выходящих за пределы допустимых диапазонов и аномальных состояний и их фиксация для последующего исследования и предотвращения;
• ряд других функций по управлению сервером.

Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер управления материнской платой (Baseboard Management Controller, BMC), который работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.

Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в [2]. Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о продукции, не гарантирует отсутствия в ней недекларируемых возможностей. Следовательно, не гарантируется требуемая степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их ресурсам.

Это может усугубляться недостаточно проработанными механизмами защиты. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды – аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем средств защиты информации, включая криптографические, в комплексную систему защиты ИВС.

Поскольку интерфейс IPMI, с одной стороны, предоставляет большие возможности по управлению сервером, а, с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что этот интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.

Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4, 5].

Этот факт подтверждает обоснованность требований отечественного регулятора по дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ. АПМДЗ предназначены для контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.

Примером АПМДЗ является разработанное ООО «Фирма «Анкад» семейство устройств «КРИПТОН-ЗАМОК». Эти устройства имеют следующие основные возможности:

• идентификация и усиленная аутентификация пользователей до загрузки ОС компьютера;
• аппаратная защита от загрузки ОС со сменных носителей;
• контроль целостности программной среды;
• разграничение доступа к ресурсам компьютера;
• создание нескольких контуров защиты;
• удаленное централизованное управление и администрирование;
• работа с ключевыми носителями;
• безопасное хранение собственного доверенного ПО на встроенной флэш-памяти;
• возможность интеграции с аппаратными и программными средствами защиты информации.

АПМДЗ этого семейства выполнены не только в виде платы расширения, подключаемой к материнской плате компьютера [6], но и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7]. Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей для удаленного управления серверами обеспечивает безопасное выполнение ряда функций, свойственных контроллеру BMC.

На основе такого варианта АПМДЗ можно разработать систему, в которую на верхнем уровне входят следующие два компонента (см. рис. 1):

• управляемый сервер с устройством «КРИПТОН-ЗАМОК», включающим компоненты и модули удаленного управления серверами;
• АРМ администратора, оснащенный классическим АПМДЗ семейства «КРИПТОН-ЗАМОК», но с установленными на уровне ОС программными модулями, взаимодействующими с модулями установленного на управляемый сервер устройства «КРИПТОН-ЗАМОК» и совместно с ними обеспечивающими строгую удаленную аутентификацию администраторов и удаленное управление сервером.

Опишем основные принципы функционирования предложенной системы удаленного управления сервером. На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:

1. На управляемый сервер устанавливается устройство АПМДЗ с функциями удаленного управления серверами (АПМДЗ-УС), включающее в себя (помимо обычного набора модулей базового АПМДЗ «КРИПТОН-ЗАМОК») следующие программные модули:
   • модуль доверенного соединения (МДС);
   • модуль удаленной многофакторной взаимной аутентификации (МУМВА);
   • модуль удаленного управления (МУУ); модули МУМВА и МУУ выполняются в доверенной среде АПМДЗ-УС.
2. На АРМ администратора устанавливается классическое устройство АПМДЗ, в качестве которого, в частности, может использоваться одно из устройств семейства «КРИПТОН-ЗАМОК» [6–7].
3. На АРМ администратора загружаются программные модули, обеспечивающие взаимную аутентификацию управляемого сервера и АРМ, защищенный канал связи между ними и удаленное управление сервером: МУМВА, МДС и ПО администратора (ПОА). Устанавливаемый на АРМ администратора АПМДЗ осуществляет строгую аутентификацию пользователя на АРМ и его доверенную загрузку. Этот АПМДЗ также используется для контроля целостности программных компонентов АРМ, в частности, загружаемых на АРМ программных модулей МУМВА, МДС и ПОА.

Кроме того, АПМДЗ на АРМ администратора применяется для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора. В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:

1. Выполняется двухфакторная взаимная аутентификация администратора на основе данных, считываемых с аутентифицирующего носителя администратора (АНА) на АРМ администратора, и данных, сохраненных на сервере во время регистрации администратора на предварительном этапе. Аутентификация осуществляется с помощью работающих на сервере и АРМ программных модулей МУМВА на основе данных, полученных в рамках предварительного выполнения локальной аутентификации администратора с использованием АПМДЗ АРМ администратора.
2. Модули доверенного соединения на стороне сервера и АРМ администратора формируют защищенный канал связи между сервером и АРМ администратора. Этот канал организуется на базе технологии виртуальных частных сетей (VPN), что позволяет инкапсулировать в защищенный канал трафик различных протоколов, включая используемые в рамках взаимодействия по интерфейсу IPMI.
3. С помощью модуля МУУ организуется передача управляющей информации между АРМ администратора и управляемым сервером.
4. Процесс администрирования сервера осуществляется с помощью ПОА, работающего в операционной системе АРМ администратора.

При необходимости управляемый сервер и АРМ администратора можно оснастить устройствами «КРИПТОН AncNet» [8]. Эти устройства представляют собой криптографические сетевые адаптеры, выполняющие проходное шифрование передаваемых данных. С помощью устройств «КРИПТОН AncNet» можно создать альтернативный криптографически защищенный канал для передачи данных между сервером и АРМ администратора.

Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рисунке 2.

Устройство состоит из двух основных функциональных блоков на общей плате:

• блока АПМДЗ, логически объединяющего основные функции, которые присущи аппаратно-программным модулям доверенной загрузки;
• блока управления ресурсами, включающего в себя дополнительные функции, включая функции удаленного управления серверами.

Блок АПМДЗ включает в себя следующие компоненты:

• модуль локальной идентификации и аутентификации, осуществляющий локальную аутентификацию пользователей и доверенную загрузку компьютера;
• модуль управления питанием, реализующий независимо от чипсета материнской платы управление основным питанием компьютера и его блокировку при обнаружении нарушений системой защиты;
• блок функциональных модулей, выполняющих штатные функции АПМДЗ;
• модуль взаимодействия с внешними (по отношению к устройству АПМДЗ-УС) средствами защиты информации (СЗИ);
• программное обеспечение доверенной среды;
• блок настроек устройства АПМДЗ-УС, содержащий список контролируемых аппаратных и программных объектов, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;
• электронный журнал, в который записываются критичные события и попытки НСД, зарегистрированные в системе;
• блок с учетными данными зарегистрированных пользователей.

Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:

• модуль контроля целостности;
• модуль диагностики состояния компонентов устройства;
• модуль контроля критичных интервалов времени при процедуре запуска и загрузки компьютера;
• модуль настройки устройства;
• модуль идентификации модели материнской платы компьютера;
• датчик случайных чисел.

Для взаимодействия с внешними СЗИ применяются следующие модули:

модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские или проходные шифраторы (в т. ч. упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым оснащается управляемый сервер);

• модуль взаимодействия с установленной на компьютере системой разграничения доступа;
• модуль обеспечения сквозной аутентификации в операционной системе компьютера;
• модуль поддержки взаимодействия с серверами для проведения централизованного администрирования;
• модуль настройки устройства АПМДЗ-УС для подключения к нему дополнительных устройств.

Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.

Программное обеспечение доверенной среды включает в себя следующие программные модули:

• ПО проверки целостности программно-контролируемых объектов и диалога с оператором;
• ПО удаленного управления устройством;
• доверенную ОС.

Второй из основных блоков устройства АПМДЗ-УС – блок управления ресурсами – включает в себя следующие модули:

• модуль доверенного соединения;
• модуль удаленного управления;
• модуль удаленной многофакторной взаимной аутентификации, предназначенный для удаленной аутентификации пользователя (администратора) на управляемом сервере;
• модуль, реализующий сетевой интерфейс Ethernet.

МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.

Как уже упоминалось, сервер и АРМ администратора могут оснащаться устройствами «КРИПТОН AncNet», формирующими альтернативный криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора связаны двумя защищенными каналами, используемыми следующим образом:

• канал связи с программной защитой сетевого трафика, сформированный модулями МДС на основе VPN-соединений, используется в рамках удаленного управления сервером;
• канал связи с аппаратным проходным шифрованием сетевого трафика, сформированный устройствами «КРИПТОН AncNet», используется для передачи информации (например, содержимого файлов, хранящихся на управляемом сервере) в рамках информационного обмена между сервером и АРМ администратора.

МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления. Для выполнения основных функций АПМДЗ и функций удаленного управления серверами устройство АПМДЗ-УС имеет следующие внешние интерфейсы:

• интерфейсы связи с компьютером – PCI, PCI Express (PCIe), USB и т. д.;
• интерфейс управления питанием компьютера и его блокировки, в качестве которого может использоваться любой проводной интерфейс;
• интерфейсы для удаленного управления сервером: serial-over-IP, KVMover-IP, эмуляции USB-устройств и передачи информации с датчиков состояний сервера через интернет;
• сетевой интерфейс Ethernet, на основе которого строится канал взаимодействия с АРМ;
• интерфейс связи с АНП (АНА), конкретный тип которого зависит от типа аутентифицирующего носителя;
• межмодульный интерфейс взаимодействия с устройством «КРИПТОН AncNet» и другие интерфейсы для взаимодействия с внешними СЗИ, конкретные типы которых зависят от используемых СЗИ: например, межмодульный интерфейс (для загрузки ключей шифрования в аппаратные шифраторы), USB host (используемый также для подключения внешних устройств, в частности, считывателей смарт-карт или USB-идентификаторов), асинхронный последовательный интерфейс UART, например RS‑232 и т. д.

Разъемы этих интерфейсов могут быть выполнены не только на плате самого устройства АПМДЗ-УС, но и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.

В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты разных типов, USB-идентификаторы и носители, карты памяти и т. д. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:

• разъем для электронных таблеток типа Touch Memory;
• интерфейс USB для USB-идентификаторов и носителей;
• контактный или бесконтактный интерфейс для смарт-карт (в т. ч. интерфейс ближнего поля – NFC);
• считыватель биометрических признаков и т. д.

Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:

• используемых в конкретной ИВС технологий;
• реализуемых устройством функций защиты;
• конкретного набора используемых внешних СЗИ.

Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.

Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе этого устройства являются:

• обеспечение надежной защиты ИВС и ее компонентов (сервера, АРМ администратора) на основе отечественных доверенных криптографических средств;
• проведение удаленной двухфакторной взаимной аутентификации;
• реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами при использовании разных платформ, физических средств передачи и обработки информации.

Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также удаленное администрирование и удаленную аутентификацию в компьютерных сетях с разными протоколами передачи данных и платформами. Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно: способность выполнять системообразующие функции, возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, это устройство обеспечивает удаленное администрирование и управление серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.

Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы для специальных применений, где предъявляются повышенные требования к обеспечению информационной безопасности ИВС.

Авторы считают, что в этой работе новыми являются следующие результаты:

1. Предложены принципы создания систем удаленного управления серверами по криптографически защищенному каналу с использованием механизмов строгой аутентификации пользователей, осуществляющих удаленное управление.
2. Разработана функциональная схема устройства АПМДЗ-УС, совмещающего в себе основные функции, которые присущи аппаратно-программным модулям доверенной загрузки (например, идентификация и аутентификация пользователей, организация доверенной среды исполнения, контроль целостности программных модулей, контроль доступа к ресурсам защищаемого компьютера), и возможности по удаленному управлению серверами по защищенному каналу связи.
3. Разработаны макетные образцы устройства АПМДЗ-УС и системы удаленного управления серверами.

В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9–10].