Информационна сигурност при предаването на сигнали KVM Over IP
Материал от производителя на KVM оборудване (Адер Tchnology)
Тази статия разглежда въпроса за сигурността на информацията с дистанционно управление на ИТ оборудване, реализиран с помощта на KVM през IP технологии. Особено внимание се отделя на изграждането на сигурна архитектура с помощта на KVM-удължители AdderLink IP Gold.
Традиционните KVM превключватели
Традиционните KVM превключватели позволяват на потребителя да превключвате между групи от компютри, като по този начин се елиминира необходимостта да се свържете с монитор, клавиатура и мишка за всеки компютър и да освободите място, намаляване на цената и консумацията на енергия.
За да използвате KVM превключвател на компютрите не е необходимо да изтегляте софтуер, така че при условие, лекота на използване и управление на защитена компютър, който продължава да функционира дори и в случай на отказ на багажника на операционната система.
Един от основните недостатъци на тази технология - е, че монитор, клавиатура и мишка трябва да има директна кабелна връзка с преминаването на KVM и следователно разстоянието се ограничава до няколко стотин метра между входните и изходните устройства и сървъри в най-добрия.
виртуализация
При тази организация, дистанционно управление е възможно само на ниво операционна система.
KVM през IP
KVM през IP решения за виртуализация комбинират и традиционните KVM превключватели. Както и KVM превключватели, KVM през IP устройства не изисква инсталиране на софтуер, на управлявания сървъра, и в същото време да не налага никакви ограничения върху разстоянието от входните и изходните устройства към сървъра.
IP KVM Extender AdderLink IP Gold
IP KVM Extender AdderLink IP Gold - е устройство, създадено специално за нуждите на големите предприятия с високи изисквания за сигурност. Тази статия обяснява как за да се гарантира сигурността на информацията в нивото на архитектура на устройството.
KVM Extender AdderLink IP Gold може да бъде свързан локално чрез отдалечен модем или IP връзка към компютъра цел или превключвател KVM.
Използването на такова свързване към IP Gold AdderLink, потребителите могат да използват едновременно местното KVM конзола и отдалечен достъп до техните сървъри през IP-базирани мрежи. Комбинацията от местната и отдалечен достъп е много удобна за системни администратори, защото им позволява да имат пряк достъп до компютрите на ниво BIOS, както от страна на сървъра и от всяко работно място се намира навсякъде в офиса, или дори от дома.
AdderLink IP Gold устройства имат вградена VNC сървър. VNC - е общ световен стандарт за различни платформи за дистанционно управление, и това е естествен избор за KVM през IP решения. VNC-клиенти вече се използват в милиони компютри у дома, малки предприятия, държавни учреждения, училища, университети и по-големи компании. В случай на AdderLink IP Gold VNC вече е инсталиран на оборудването, и това може да се инсталира директно от сайта на RealVNC. В допълнение, също вградена Java клиент, който работи, когато се свържете с уеб браузър и елиминира инсталирането на софтуера на отдалечения компютър.
Изисквания за сигурност
Традиционните KVM превключватели са всъщност доста безопасни, защото превключването се базира на физическа връзка с оборудването. Ограничаване на достъпа до контрола в този случай е възможно по обичайния начин: с помощта на брави и ключове.
При свързване чрез LAN, WAN, и още повече, че през интернет за контрол на достъпа е много по-трудно. Къде и достъп до конзолата на сървъра с помощта на KVM през IP решения, потенциално по-голяма уязвимост. Поради тази причина, сигурност за KVM през IP продукти е от жизнено важно значение. Въпреки това, при разработването на безопасността на продуктите въпроси са отложени, като правило, до последния момент.
Но за сигурност - е в основата на разработване и прилагане на интегрирана система, както и закъснялото внимание на въпросите на сигурността може да доведе до наличието на "вратички", "патерици", неправилни настройки за конфигурация.
При разработването на въпросите Адер за сигурност IP KVM оборудване, се разглежда на първо място. Предварително дефинираните концепция и структура на сигурността, а след това на разработчиците да започнат процес на проектиране самото устройство или решение. Въз основа на опита и съветите на експерти по сигурността на академичната общност в Кеймбридж, Адер оборудване отговаря на предизвикателни изискванията на оборудването трябва да бъдат свързани с интернет.
Сега ще разгледаме функциите за сигурност, включени в AdderLink IP линия от продукти, които могат да се комбинират, което позволява да се използва в най-неблагоприятни от гледна точка на сигурността, среда на.
контрол на достъпа
идентификация
Потребителските имена и пароли, образуват последното ниво на защита на всички, които имам физически достъп до устройството.
Частен режим
Една от характеристиките на устройствата AdderLink IP - за потребителите възможността да се получи временно изключителен достъп до компютъра. През времето, докато потребителят ще бъде свързан с компютър, достъп до него на други потребители ще бъдат блокирани (това, което потребителите ще бъдат уведомени по предупреждение). Тази функция е достъпна за местните и за отдалечена връзка, която осигурява допълнителен комфорт при конфигуриране на системи за сигурност и достъп до важна информация.
заключване на екрана
След период на липса на активност на клавиатура и мишка, на екрана ще се заключва автоматично, като не се допуска използването на компютъра без надзор. Това е възможно както за местни и за отдалечени връзки.
локален достъп
модем връзка
Свързване чрез IP мрежа
В повечето AdderLink IP устройства използват видими при връзка през IP мрежа. По този начин, според IP мрежа, за да контролирате компютъра си от всяка точка на света, което е и причината много потребители избират KVM през IP решения. Но това изисква специално ниво на опасения за безопасността.
Криптиране и автентификация връзки
Стандартните подходи за осигуряване на сигурна връзка
Като правило, KVM през IP устройства са вградени в системата за сигурност, базирани на използването на протокол HTTPS, пряката цел на който - за да се гарантира сигурността на транзакциите, извършени в уеб-пространството. В същото време, HTTPS протокол не е конкретно "заточени" за използване KVM през IP устройства и затова има някои недостатъци. Всеки сайт трябва да използва HTTPS SSL - уникален цифров подпис.
Като правило, KVM през IP устройства използват HTTPS, да създадете свои собствени, "самоподписани» SSL сертификати. Когато сте свързани с устройство, удостоверението се показва в изскачащ прозорец и браузъра ви моли да се потвърди дали сертификатът е доверен. Когато за първи път свържете това може да се счита за приемлива политика. Въпреки това, той е изключително трудно и в някои случаи не е възможно да се създаде своя браузър така, че тези сертификати се кешират, така изскачащ прозорец ще се появи всеки път, когато се свържете с устройството. Тази ситуация увеличава риска от атаки, тъй като цялата отговорност се носи от потребителя: той ще вземе сертификат или не, и потребителят трябва да вземе решение въз основа на визуален контрол на сертификата е между две последователни връзки не се е променила към едно и също устройство. Въпреки това, опитът показва, че потребителите често трябва само да кликнете всеки път "приемат сертификата." Тази ситуация е още по-зле с SSH, когато удостоверението се кешира във файловата система, а потребителят е принуден да бъдат по-внимателни по темата за промените в сертификата.
AdderLink IP Solution
Според мотивите на AdderLink IP устройства, изброени по-горе, не използвайте протокола HTTPS. В допълнение, изпълнението на HTTPS и SSL сертификат система е тромава и сложна и включва редица функционални характеристики, които не са съвместими с дистанционно оборудване достъп.
AdderLink IP въплъщава философията на SSH и някои концепции SSL. Clever проектиране и изпълнение ще премахне "вратичка", за да се проведе при използване на HTTPS и SSH. Системата за сигурност, използвани в устройствата AdderLink IP, е преминало обстоен преглед и оценка от разгръщането на широкомащабно в редица мултинационални компании. Удостоверяване с помощта на публичен ключ се извършва с помощта на RSA 2048-битов kriptoskhemy на. ключ алгоритъм поколение използва няколко източници на ентропия устройство - за да се гарантира, че генерираните ключът е наистина случаен и не може да се прогнозира. Източници на ентропия, от своя страна, да използват информацията на натиснатите клавиши и движения с мишката - действия, извършени от потребителя по време на генериране на ключове. След това, с помощта на шифроването поточен шифър AES ключ за 128-битово, която се генерира безопасно и заместена в резултат на фазата на идентификация.
сигурно криптиране в устройствата AdderLink IP
След това генерира произволно генериран низ или еднократна N кодове, въз основа на който е създаден ключ за достъп. Тъй като те са криптирани с помощта на публични ключове на всяка страна само притежателите съответните частни ключове могат да получат еднократна употреба. Това не позволява на ключ прихващане.
128-битов ключ сесия се изчислява на базата на две еднократни кодове, използващи SHA-1 хеширане.
Използвайки нов ключ на сесия, AES протокол се използва за кодиране на информацията, известна (AdderLink IP използва хеш на публичен ключ), което позволява на двете страни да проверяват коректността на формирането на ключ за достъп.
След това всички следващи обмен на съобщения между устройството и VNC-клиент шифровани по подобен начин, използвайки AES криптиране режими поточни да осигури защита срещу по-задълбочен анализ или преиграе атаки за сигурни ключове комуникационна сесия. Първият подобен съобщения е достъпът на контрол за фазите на устройството, включително и потребителско име и парола, изпратени от VNC-клиент към устройството.
Java клиент
Java клиент може да се изтегли директно от устройството, което осигурява допълнителна сигурност и не е необходимо да инсталирате допълнителен софтуер на отдалечения компютър.
Всички браузъри предоставят сигурна среда за изпълнение на програми на Java, не позволява достъп до локалната файлова система или регистър. Ето защо, Java-клиентът не може да кешира всички сертификати, издадени от всеки продукт, KVM през IP. При липсата на подписани сертификати Java-базирани приложения са уязвими към атака.
актуализация на фърмуера
За да се подобри функционалността и подобряване на работата на устройствата може да се наложи да инсталирате новия фърмуер. Това може да стане чрез IP-базирана мрежа, или като се свържете устройството директно чрез порт RS-232. Необходимо е да се определят само одобрени актуализации от надежден източник. А системата за сигурност предотвратява този проблем с помощта на ключ цифров подпис.
Всички актуализации на фърмуера и свързаните с цифрови подписи разпределени Адер или RealVNC. Актуализации на фърмуера са бинарни и не изискват криптиране. Подписът се изчислява на два етапа. Първо, двоичен отпечатък се изчислява чрез публично достъпни хеш функция SHA-1. След това отпечатайте подпише с RSA-криптографията с помощта на частен ключ AdderLink ПР, известен само Адер и RealVNC.
Когато обновяване на фърмуера е зареден и придружаващата цифровия подпис, AdderLink IP устройство удостоверява с дължина 2048 бита подпис, като RSA-криптографията, получена от отворен AdderLink IP клавиша инсталирана по време на производството. Получената стойност може да бъде проверена за пръстови отпечатъци изтеглен двоичен код изчислява като се използва същият SHA-1 хеш функция.
Този метод на проверка на фърмуера е изключително безопасно, тъй като другата страна не е възможно да се изчисли двоичен актуализацията на фърмуера се използват съответния RSA подпис двойка. Това не позволява актуализация на данните изигравам заплаха.
Конфигуриране и управление
AdderLink IP устройства се отличават с елегантен и прост подход за създаване и управление. Първоначална настройка, например, настройката на параметрите на IP мрежа се извършва, когато местен устройство, свързано към монитора и клавиатурата. Менюто на екрана (OSD) е лесен за навигация. Търсене необходими настройки не представляват трудност. Друга конфигурация от разстояние е възможно - когато е свързан към устройството за IP-базирана мрежа.
Едно дистанционно връзка
Основна характеристика - използването на една единствена връзка за IP-базирана мрежа, за да AdderLink IP устройство за дистанционно управление и конфигурация. Тази уникална комбинация от функции, представени в един прозорец на отдалечения компютър, осигурява изключителна удобство за администратора.
Използването на един софтуер, клиентът VNC, означава, че има и други инструменти, които трябва да инсталирате и стартирате по-далеч и управлявали смесица от прозорци. Други продукти KVM през IP, са склонни да предлагат различни приложения: единична - за дистанционното управление, отделно - за конфигурация.
В допълнение към удобен и функционален интерфейс, като интегриран подход опростява управлението на сигурността: само един IP-порт може да бъде достъпен през защитната стена. архитектура на сигурността, описана по-горе гарантира пълна безопасност на връзката.
Друго значително опростяване - способността AdderLink IP устройства да отговарят на нуждите както на уеб сървъра и VNC за същото на IP-пристанища - чрез автоматичното идентифициране на типа на връзката. Това позволява на потребителя да се свърже с всяко устройство, с помощта на уеб браузър или чрез Java-клиента, или чрез VNC-клиент, инсталиран на отдалечения компютър. Други решения KVM през IP, са склонни да използват различни портове за дистанционно управление и за уеб сървъра и изискват по-сложна конфигурация на оборудването за защитна стена и маршрутизация.
Различни методи за разполагане
Някакви въпроси? Напиши на [email protected] или се обадете на +7 495 648 67 41.