Модуль доверенной загрузки с возможностью удаленного управления серверами


PDF версия

Аппаратно-программные модули доверенной загрузки обеспечивают контроль и разграничение доступа к ресурсам компьютера на основе строгой двухфакторной аутентификации, а также контроль целостности используемой программной среды. Их оснащение функциями управления серверами обеспечивает надежное и безопасное управление серверами в клиент-серверных архитектурах.

В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (Intelligent Platform Management Interface, IPMI). Этот интерфейс предназначен для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 г. корпорацией Intel, и используется многими ведущими производителями компьютеров [1].

Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Этот интерфейс имеет, в частности, следующие возможности удаленного управления и контроля:

  • мониторинг ряда технических параметров сервера, включая температуру основных аппаратных блоков, напряжение и состояние источников питания, скорость вращения вентиляторов, наличие ошибок на системных шинах и т. д.;
  • включение/выключение и перезагрузка компьютера;
  • определение выходящих за пределы допустимых диапазонов и аномальных состояний и их фиксация для последующего исследования и предотвращения;
  • ряд других функций по управлению сервером.

Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер управления материнской платой (Baseboard Management Controller, BMC), который работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.

Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в [2]. Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о продукции, не гарантирует отсутствия в ней недекларируемых возможностей. Следовательно, не гарантируется требуемая степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их ресурсам.

Это может усугубляться недостаточно проработанными механизмами защиты. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды – аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем средств защиты информации, включая криптографические, в комплексную систему защиты ИВС.

Поскольку интерфейс IPMI, с одной стороны, предоставляет большие возможности по управлению сервером, а, с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что этот интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.

Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4, 5].

Этот факт подтверждает обоснованность требований отечественного регулятора по дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ. АПМДЗ предназначены для контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.

Примером АПМДЗ является разработанное ООО «Фирма «Анкад» семейство устройств «КРИПТОН-ЗАМОК». Эти устройства имеют следующие основные возможности:

  • идентификация и усиленная аутентификация пользователей до загрузки ОС компьютера;
  • аппаратная защита от загрузки ОС со сменных носителей;
  • контроль целостности программной среды;
  • разграничение доступа к ресурсам компьютера;
  • создание нескольких контуров защиты;
  • удаленное централизованное управление и администрирование;
  • работа с ключевыми носителями;
  • безопасное хранение собственного доверенного ПО на встроенной флэш-памяти;
  • возможность интеграции с аппаратными и программными средствами защиты информации.

АПМДЗ этого семейства выполнены не только в виде платы расширения, подключаемой к материнской плате компьютера [6], но и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7]. Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей для удаленного управления серверами обеспечивает безопасное выполнение ряда функций, свойственных контроллеру BMC.

На основе такого варианта АПМДЗ можно разработать систему, в которую на верхнем уровне входят следующие два компонента (см. рис. 1):

  • управляемый сервер с устройством «КРИПТОН-ЗАМОК», включающим компоненты и модули удаленного управления серверами;
  • АРМ администратора, оснащенный классическим АПМДЗ семейства «КРИПТОН-ЗАМОК», но с установленными на уровне ОС программными модулями, взаимодействующими с модулями установленного на управляемый сервер устройства «КРИПТОН-ЗАМОК» и совместно с ними обеспечивающими строгую удаленную аутентификацию администраторов и удаленное управление сервером.
Схема системы удаленного управления сервером
Рис. 1. Схема системы удаленного управления сервером

Опишем основные принципы функционирования предложенной системы удаленного управления сервером. На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:

  1. На управляемый сервер устанавливается устройство АПМДЗ с функциями удаленного управления серверами (АПМДЗ-УС), включающее в себя (помимо обычного набора модулей базового АПМДЗ «КРИПТОН-ЗАМОК») следующие программные модули:
    • модуль доверенного соединения (МДС);
    • модуль удаленной многофакторной взаимной аутентификации (МУМВА);
    • модуль удаленного управления (МУУ); модули МУМВА и МУУ выполняются в доверенной среде АПМДЗ-УС.
  2. На АРМ администратора устанавливается классическое устройство АПМДЗ, в качестве которого, в частности, может использоваться одно из устройств семейства «КРИПТОН-ЗАМОК» [6–7].
  3. На АРМ администратора загружаются программные модули, обеспечивающие взаимную аутентификацию управляемого сервера и АРМ, защищенный канал связи между ними и удаленное управление сервером: МУМВА, МДС и ПО администратора (ПОА). Устанавливаемый на АРМ администратора АПМДЗ осуществляет строгую аутентификацию пользователя на АРМ и его доверенную загрузку. Этот АПМДЗ также используется для контроля целостности программных компонентов АРМ, в частности, загружаемых на АРМ программных модулей МУМВА, МДС и ПОА.

Кроме того, АПМДЗ на АРМ администратора применяется для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора. В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:

  1. Выполняется двухфакторная взаимная аутентификация администратора на основе данных, считываемых с аутентифицирующего носителя администратора (АНА) на АРМ администратора, и данных, сохраненных на сервере во время регистрации администратора на предварительном этапе. Аутентификация осуществляется с помощью работающих на сервере и АРМ программных модулей МУМВА на основе данных, полученных в рамках предварительного выполнения локальной аутентификации администратора с использованием АПМДЗ АРМ администратора.
  2. Модули доверенного соединения на стороне сервера и АРМ администратора формируют защищенный канал связи между сервером и АРМ администратора. Этот канал организуется на базе технологии виртуальных частных сетей (VPN), что позволяет инкапсулировать в защищенный канал трафик различных протоколов, включая используемые в рамках взаимодействия по интерфейсу IPMI.
  3. С помощью модуля МУУ организуется передача управляющей информации между АРМ администратора и управляемым сервером.
  4. Процесс администрирования сервера осуществляется с помощью ПОА, работающего в операционной системе АРМ администратора.

При необходимости управляемый сервер и АРМ администратора можно оснастить устройствами «КРИПТОН AncNet» [8]. Эти устройства представляют собой криптографические сетевые адаптеры, выполняющие проходное шифрование передаваемых данных. С помощью устройств «КРИПТОН AncNet» можно создать альтернативный криптографически защищенный канал для передачи данных между сервером и АРМ администратора.

Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рисунке 2.

Схема устройства АПМДЗ-УС
Рис. 2. Схема устройства АПМДЗ-УС

Устройство состоит из двух основных функциональных блоков на общей плате:

  • блока АПМДЗ, логически объединяющего основные функции, которые присущи аппаратно-программным модулям доверенной загрузки;
  • блока управления ресурсами, включающего в себя дополнительные функции, включая функции удаленного управления серверами.

Блок АПМДЗ включает в себя следующие компоненты:

  • модуль локальной идентификации и аутентификации, осуществляющий локальную аутентификацию пользователей и доверенную загрузку компьютера;
  • модуль управления питанием, реализующий независимо от чипсета материнской платы управление основным питанием компьютера и его блокировку при обнаружении нарушений системой защиты;
  • блок функциональных модулей, выполняющих штатные функции АПМДЗ;
  • модуль взаимодействия с внешними (по отношению к устройству АПМДЗ-УС) средствами защиты информации (СЗИ);
  • программное обеспечение доверенной среды;
  • блок настроек устройства АПМДЗ-УС, содержащий список контролируемых аппаратных и программных объектов, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;
  • электронный журнал, в который записываются критичные события и попытки НСД, зарегистрированные в системе;
  • блок с учетными данными зарегистрированных пользователей.

Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:

  • модуль контроля целостности;
  • модуль диагностики состояния компонентов устройства;
  • модуль контроля критичных интервалов времени при процедуре запуска и загрузки компьютера;
  • модуль настройки устройства;
  • модуль идентификации модели материнской платы компьютера;
  • датчик случайных чисел.

Для взаимодействия с внешними СЗИ применяются следующие модули:

модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские или проходные шифраторы (в т. ч. упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым оснащается управляемый сервер);

  • модуль взаимодействия с установленной на компьютере системой разграничения доступа;
  • модуль обеспечения сквозной аутентификации в операционной системе компьютера;
  • модуль поддержки взаимодействия с серверами для проведения централизованного администрирования;
  • модуль настройки устройства АПМДЗ-УС для подключения к нему дополнительных устройств.

Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.

Программное обеспечение доверенной среды включает в себя следующие программные модули:

  • ПО проверки целостности программно-контролируемых объектов и диалога с оператором;
  • ПО удаленного управления устройством;
  • доверенную ОС.

Второй из основных блоков устройства АПМДЗ-УС – блок управления ресурсами – включает в себя следующие модули:

  • модуль доверенного соединения;
  • модуль удаленного управления;
  • модуль удаленной многофакторной взаимной аутентификации, предназначенный для удаленной аутентификации пользователя (администратора) на управляемом сервере;
  • модуль, реализующий сетевой интерфейс Ethernet.

МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.

Как уже упоминалось, сервер и АРМ администратора могут оснащаться устройствами «КРИПТОН AncNet», формирующими альтернативный криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора связаны двумя защищенными каналами, используемыми следующим образом:

  • канал связи с программной защитой сетевого трафика, сформированный модулями МДС на основе VPN-соединений, используется в рамках удаленного управления сервером;
  • канал связи с аппаратным проходным шифрованием сетевого трафика, сформированный устройствами «КРИПТОН AncNet», используется для передачи информации (например, содержимого файлов, хранящихся на управляемом сервере) в рамках информационного обмена между сервером и АРМ администратора.

МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления. Для выполнения основных функций АПМДЗ и функций удаленного управления серверами устройство АПМДЗ-УС имеет следующие внешние интерфейсы:

  • интерфейсы связи с компьютером – PCI, PCI Express (PCIe), USB и т. д.;
  • интерфейс управления питанием компьютера и его блокировки, в качестве которого может использоваться любой проводной интерфейс;
  • интерфейсы для удаленного управления сервером: serial-over-IP, KVMover-IP, эмуляции USB-устройств и передачи информации с датчиков состояний сервера через интернет;
  • сетевой интерфейс Ethernet, на основе которого строится канал взаимодействия с АРМ;
  • интерфейс связи с АНП (АНА), конкретный тип которого зависит от типа аутентифицирующего носителя;
  • межмодульный интерфейс взаимодействия с устройством «КРИПТОН AncNet» и другие интерфейсы для взаимодействия с внешними СЗИ, конкретные типы которых зависят от используемых СЗИ: например, межмодульный интерфейс (для загрузки ключей шифрования в аппаратные шифраторы), USB host (используемый также для подключения внешних устройств, в частности, считывателей смарт-карт или USB-идентификаторов), асинхронный последовательный интерфейс UART, например RS‑232 и т. д.

Разъемы этих интерфейсов могут быть выполнены не только на плате самого устройства АПМДЗ-УС, но и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.

В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты разных типов, USB-идентификаторы и носители, карты памяти и т. д. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:

  • разъем для электронных таблеток типа Touch Memory;
  • интерфейс USB для USB-идентификаторов и носителей;
  • контактный или бесконтактный интерфейс для смарт-карт (в т. ч. интерфейс ближнего поля – NFC);
  • считыватель биометрических признаков и т. д.

Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:

  • используемых в конкретной ИВС технологий;
  • реализуемых устройством функций защиты;
  • конкретного набора используемых внешних СЗИ.

Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.

Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе этого устройства являются:

  • обеспечение надежной защиты ИВС и ее компонентов (сервера, АРМ администратора) на основе отечественных доверенных криптографических средств;
  • проведение удаленной двухфакторной взаимной аутентификации;
  • реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами при использовании разных платформ, физических средств передачи и обработки информации.

Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также удаленное администрирование и удаленную аутентификацию в компьютерных сетях с разными протоколами передачи данных и платформами. Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно: способность выполнять системообразующие функции, возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, это устройство обеспечивает удаленное администрирование и управление серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.

Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы для специальных применений, где предъявляются повышенные требования к обеспечению информационной безопасности ИВС.

Авторы считают, что в этой работе новыми являются следующие результаты:

  1. Предложены принципы создания систем удаленного управления серверами по криптографически защищенному каналу с использованием механизмов строгой аутентификации пользователей, осуществляющих удаленное управление.
  2. Разработана функциональная схема устройства АПМДЗ-УС, совмещающего в себе основные функции, которые присущи аппаратно-программным модулям доверенной загрузки (например, идентификация и аутентификация пользователей, организация доверенной среды исполнения, контроль целостности программных модулей, контроль доступа к ресурсам защищаемого компьютера), и возможности по удаленному управлению серверами по защищенному каналу связи.
  3. Разработаны макетные образцы устройства АПМДЗ-УС и системы удаленного управления серверами.

В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9–10].

Литература

  1. IPMI – Intelligent Platform Management Interface Specification Second Generation v2.0. Document Revision 1.1. 1 October. 2013. Intel. Hewlett-Packard. NEC. Dell.
  2. Minyard  IPMI – A Gentle Introduction with OpenIPMI. Montavista Software. 2006.
  3. Schneier  The Eavesdropping System in Your Computer.
  4. Farmer  IPMI: Freight Train to Hell or Linda Wu & the Night of the Leeches. Version 2.0.3. 22 August. 2013.
  5. Farmer  Sold Down the River. 23 June. 2014.
  6. Дударев Д. А., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров информационно-вычислительных систем. Патент РФ на изобретение № 2538329. ООО Фирма «Анкад». 2014.
  7. Дударев Д. А., Кравцов А. Ю., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров специального назначения. Патент РФ на изобретение № 2569577. ООО Фирма «Анкад». ЗАО «Крафтвэй корпорейшн ПЛС». 2015.
  8. Сетевые шифраторы «КРИПТОН AncNet».
  9. Дударев Д. А., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления. Заявление о выдаче патента РФ на изобретение № 2016144763. ООО Фирма «Анкад». 2016.
  10. Бычков И. Н., Дударев Д. А., Молчанов И. А., Орлов М. В., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды. Заявление о выдаче патента РФ на изобретение № 2017103816. ООО Фирма «Анкад». ПАО «ИНЭУМ им. И. С. Брука». 2017.
Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *