Аппаратно-программные модули доверенной загрузки обеспечивают контроль и разграничение доступа к ресурсам компьютера на основе строгой двухфакторной аутентификации, а также контроль целостности используемой программной среды. Их оснащение функциями управления серверами обеспечивает надежное и безопасное управление серверами в клиент-серверных архитектурах.
В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (Intelligent Platform Management Interface, IPMI). Этот интерфейс предназначен для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 г. корпорацией Intel, и используется многими ведущими производителями компьютеров [1].
Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Этот интерфейс имеет, в частности, следующие возможности удаленного управления и контроля:
- мониторинг ряда технических параметров сервера, включая температуру основных аппаратных блоков, напряжение и состояние источников питания, скорость вращения вентиляторов, наличие ошибок на системных шинах и т. д.;
- включение/выключение и перезагрузка компьютера;
- определение выходящих за пределы допустимых диапазонов и аномальных состояний и их фиксация для последующего исследования и предотвращения;
- ряд других функций по управлению сервером.
Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер управления материнской платой (Baseboard Management Controller, BMC), который работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.
Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в [2]. Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о продукции, не гарантирует отсутствия в ней недекларируемых возможностей. Следовательно, не гарантируется требуемая степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их ресурсам.
Это может усугубляться недостаточно проработанными механизмами защиты. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды – аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем средств защиты информации, включая криптографические, в комплексную систему защиты ИВС.
Поскольку интерфейс IPMI, с одной стороны, предоставляет большие возможности по управлению сервером, а, с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что этот интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.
Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4, 5].
Этот факт подтверждает обоснованность требований отечественного регулятора по дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ. АПМДЗ предназначены для контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.
Примером АПМДЗ является разработанное ООО «Фирма «Анкад» семейство устройств «КРИПТОН-ЗАМОК». Эти устройства имеют следующие основные возможности:
- идентификация и усиленная аутентификация пользователей до загрузки ОС компьютера;
- аппаратная защита от загрузки ОС со сменных носителей;
- контроль целостности программной среды;
- разграничение доступа к ресурсам компьютера;
- создание нескольких контуров защиты;
- удаленное централизованное управление и администрирование;
- работа с ключевыми носителями;
- безопасное хранение собственного доверенного ПО на встроенной флэш-памяти;
- возможность интеграции с аппаратными и программными средствами защиты информации.
АПМДЗ этого семейства выполнены не только в виде платы расширения, подключаемой к материнской плате компьютера [6], но и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7]. Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей для удаленного управления серверами обеспечивает безопасное выполнение ряда функций, свойственных контроллеру BMC.
На основе такого варианта АПМДЗ можно разработать систему, в которую на верхнем уровне входят следующие два компонента (см. рис. 1):
- управляемый сервер с устройством «КРИПТОН-ЗАМОК», включающим компоненты и модули удаленного управления серверами;
- АРМ администратора, оснащенный классическим АПМДЗ семейства «КРИПТОН-ЗАМОК», но с установленными на уровне ОС программными модулями, взаимодействующими с модулями установленного на управляемый сервер устройства «КРИПТОН-ЗАМОК» и совместно с ними обеспечивающими строгую удаленную аутентификацию администраторов и удаленное управление сервером.
Опишем основные принципы функционирования предложенной системы удаленного управления сервером. На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:
- На управляемый сервер устанавливается устройство АПМДЗ с функциями удаленного управления серверами (АПМДЗ-УС), включающее в себя (помимо обычного набора модулей базового АПМДЗ «КРИПТОН-ЗАМОК») следующие программные модули:
- модуль доверенного соединения (МДС);
- модуль удаленной многофакторной взаимной аутентификации (МУМВА);
- модуль удаленного управления (МУУ); модули МУМВА и МУУ выполняются в доверенной среде АПМДЗ-УС.
- На АРМ администратора устанавливается классическое устройство АПМДЗ, в качестве которого, в частности, может использоваться одно из устройств семейства «КРИПТОН-ЗАМОК» [6–7].
- На АРМ администратора загружаются программные модули, обеспечивающие взаимную аутентификацию управляемого сервера и АРМ, защищенный канал связи между ними и удаленное управление сервером: МУМВА, МДС и ПО администратора (ПОА). Устанавливаемый на АРМ администратора АПМДЗ осуществляет строгую аутентификацию пользователя на АРМ и его доверенную загрузку. Этот АПМДЗ также используется для контроля целостности программных компонентов АРМ, в частности, загружаемых на АРМ программных модулей МУМВА, МДС и ПОА.
Кроме того, АПМДЗ на АРМ администратора применяется для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора. В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:
- Выполняется двухфакторная взаимная аутентификация администратора на основе данных, считываемых с аутентифицирующего носителя администратора (АНА) на АРМ администратора, и данных, сохраненных на сервере во время регистрации администратора на предварительном этапе. Аутентификация осуществляется с помощью работающих на сервере и АРМ программных модулей МУМВА на основе данных, полученных в рамках предварительного выполнения локальной аутентификации администратора с использованием АПМДЗ АРМ администратора.
- Модули доверенного соединения на стороне сервера и АРМ администратора формируют защищенный канал связи между сервером и АРМ администратора. Этот канал организуется на базе технологии виртуальных частных сетей (VPN), что позволяет инкапсулировать в защищенный канал трафик различных протоколов, включая используемые в рамках взаимодействия по интерфейсу IPMI.
- С помощью модуля МУУ организуется передача управляющей информации между АРМ администратора и управляемым сервером.
- Процесс администрирования сервера осуществляется с помощью ПОА, работающего в операционной системе АРМ администратора.
При необходимости управляемый сервер и АРМ администратора можно оснастить устройствами «КРИПТОН AncNet» [8]. Эти устройства представляют собой криптографические сетевые адаптеры, выполняющие проходное шифрование передаваемых данных. С помощью устройств «КРИПТОН AncNet» можно создать альтернативный криптографически защищенный канал для передачи данных между сервером и АРМ администратора.
Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рисунке 2.
Устройство состоит из двух основных функциональных блоков на общей плате:
- блока АПМДЗ, логически объединяющего основные функции, которые присущи аппаратно-программным модулям доверенной загрузки;
- блока управления ресурсами, включающего в себя дополнительные функции, включая функции удаленного управления серверами.
Блок АПМДЗ включает в себя следующие компоненты:
- модуль локальной идентификации и аутентификации, осуществляющий локальную аутентификацию пользователей и доверенную загрузку компьютера;
- модуль управления питанием, реализующий независимо от чипсета материнской платы управление основным питанием компьютера и его блокировку при обнаружении нарушений системой защиты;
- блок функциональных модулей, выполняющих штатные функции АПМДЗ;
- модуль взаимодействия с внешними (по отношению к устройству АПМДЗ-УС) средствами защиты информации (СЗИ);
- программное обеспечение доверенной среды;
- блок настроек устройства АПМДЗ-УС, содержащий список контролируемых аппаратных и программных объектов, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;
- электронный журнал, в который записываются критичные события и попытки НСД, зарегистрированные в системе;
- блок с учетными данными зарегистрированных пользователей.
Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:
- модуль контроля целостности;
- модуль диагностики состояния компонентов устройства;
- модуль контроля критичных интервалов времени при процедуре запуска и загрузки компьютера;
- модуль настройки устройства;
- модуль идентификации модели материнской платы компьютера;
- датчик случайных чисел.
Для взаимодействия с внешними СЗИ применяются следующие модули:
модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские или проходные шифраторы (в т. ч. упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым оснащается управляемый сервер);
- модуль взаимодействия с установленной на компьютере системой разграничения доступа;
- модуль обеспечения сквозной аутентификации в операционной системе компьютера;
- модуль поддержки взаимодействия с серверами для проведения централизованного администрирования;
- модуль настройки устройства АПМДЗ-УС для подключения к нему дополнительных устройств.
Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.
Программное обеспечение доверенной среды включает в себя следующие программные модули:
- ПО проверки целостности программно-контролируемых объектов и диалога с оператором;
- ПО удаленного управления устройством;
- доверенную ОС.
Второй из основных блоков устройства АПМДЗ-УС – блок управления ресурсами – включает в себя следующие модули:
- модуль доверенного соединения;
- модуль удаленного управления;
- модуль удаленной многофакторной взаимной аутентификации, предназначенный для удаленной аутентификации пользователя (администратора) на управляемом сервере;
- модуль, реализующий сетевой интерфейс Ethernet.
МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.
Как уже упоминалось, сервер и АРМ администратора могут оснащаться устройствами «КРИПТОН AncNet», формирующими альтернативный криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора связаны двумя защищенными каналами, используемыми следующим образом:
- канал связи с программной защитой сетевого трафика, сформированный модулями МДС на основе VPN-соединений, используется в рамках удаленного управления сервером;
- канал связи с аппаратным проходным шифрованием сетевого трафика, сформированный устройствами «КРИПТОН AncNet», используется для передачи информации (например, содержимого файлов, хранящихся на управляемом сервере) в рамках информационного обмена между сервером и АРМ администратора.
МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления. Для выполнения основных функций АПМДЗ и функций удаленного управления серверами устройство АПМДЗ-УС имеет следующие внешние интерфейсы:
- интерфейсы связи с компьютером – PCI, PCI Express (PCIe), USB и т. д.;
- интерфейс управления питанием компьютера и его блокировки, в качестве которого может использоваться любой проводной интерфейс;
- интерфейсы для удаленного управления сервером: serial-over-IP, KVMover-IP, эмуляции USB-устройств и передачи информации с датчиков состояний сервера через интернет;
- сетевой интерфейс Ethernet, на основе которого строится канал взаимодействия с АРМ;
- интерфейс связи с АНП (АНА), конкретный тип которого зависит от типа аутентифицирующего носителя;
- межмодульный интерфейс взаимодействия с устройством «КРИПТОН AncNet» и другие интерфейсы для взаимодействия с внешними СЗИ, конкретные типы которых зависят от используемых СЗИ: например, межмодульный интерфейс (для загрузки ключей шифрования в аппаратные шифраторы), USB host (используемый также для подключения внешних устройств, в частности, считывателей смарт-карт или USB-идентификаторов), асинхронный последовательный интерфейс UART, например RS‑232 и т. д.
Разъемы этих интерфейсов могут быть выполнены не только на плате самого устройства АПМДЗ-УС, но и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.
В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты разных типов, USB-идентификаторы и носители, карты памяти и т. д. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:
- разъем для электронных таблеток типа Touch Memory;
- интерфейс USB для USB-идентификаторов и носителей;
- контактный или бесконтактный интерфейс для смарт-карт (в т. ч. интерфейс ближнего поля – NFC);
- считыватель биометрических признаков и т. д.
Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:
- используемых в конкретной ИВС технологий;
- реализуемых устройством функций защиты;
- конкретного набора используемых внешних СЗИ.
Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.
Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе этого устройства являются:
- обеспечение надежной защиты ИВС и ее компонентов (сервера, АРМ администратора) на основе отечественных доверенных криптографических средств;
- проведение удаленной двухфакторной взаимной аутентификации;
- реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами при использовании разных платформ, физических средств передачи и обработки информации.
Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также удаленное администрирование и удаленную аутентификацию в компьютерных сетях с разными протоколами передачи данных и платформами. Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно: способность выполнять системообразующие функции, возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, это устройство обеспечивает удаленное администрирование и управление серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.
Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы для специальных применений, где предъявляются повышенные требования к обеспечению информационной безопасности ИВС.
Авторы считают, что в этой работе новыми являются следующие результаты:
- Предложены принципы создания систем удаленного управления серверами по криптографически защищенному каналу с использованием механизмов строгой аутентификации пользователей, осуществляющих удаленное управление.
- Разработана функциональная схема устройства АПМДЗ-УС, совмещающего в себе основные функции, которые присущи аппаратно-программным модулям доверенной загрузки (например, идентификация и аутентификация пользователей, организация доверенной среды исполнения, контроль целостности программных модулей, контроль доступа к ресурсам защищаемого компьютера), и возможности по удаленному управлению серверами по защищенному каналу связи.
- Разработаны макетные образцы устройства АПМДЗ-УС и системы удаленного управления серверами.
В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9–10].
Литература
- IPMI – Intelligent Platform Management Interface Specification Second Generation v2.0. Document Revision 1.1. 1 October. 2013. Intel. Hewlett-Packard. NEC. Dell.
- Minyard IPMI – A Gentle Introduction with OpenIPMI. Montavista Software. 2006.
- Schneier The Eavesdropping System in Your Computer.
- Farmer IPMI: Freight Train to Hell or Linda Wu & the Night of the Leeches. Version 2.0.3. 22 August. 2013.
- Farmer Sold Down the River. 23 June. 2014.
- Дударев Д. А., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров информационно-вычислительных систем. Патент РФ на изобретение № 2538329. ООО Фирма «Анкад». 2014.
- Дударев Д. А., Кравцов А. Ю., Полетаев В. М., Полтавцев А. В., Романец Ю. В., Сырчин В. К. Устройство создания доверенной среды для компьютеров специального назначения. Патент РФ на изобретение № 2569577. ООО Фирма «Анкад». ЗАО «Крафтвэй корпорейшн ПЛС». 2015.
- Сетевые шифраторы «КРИПТОН AncNet».
- Дударев Д. А., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления. Заявление о выдаче патента РФ на изобретение № 2016144763. ООО Фирма «Анкад». 2016.
- Бычков И. Н., Дударев Д. А., Молчанов И. А., Орлов М. В., Панасенко С. П., Пузырев Д. В., Романец Ю. В., Сырчин В. К. Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды. Заявление о выдаче патента РФ на изобретение № 2017103816. ООО Фирма «Анкад». ПАО «ИНЭУМ им. И. С. Брука». 2017.