Securitatea informațiilor în transmiterea semnalelor KVM over IP
Materialul de la producătorul de echipamente KVM (Adder Tchnology)
Acest articol abordează problema securității informațiilor cu gestionarea de la distanță a IT-echipamente, implementat cu ajutorul tehnologiei KVM over IP. O atenție deosebită este acordată la construirea unei arhitecturi securizate folosind KVM-extensii de AdderLink IP de aur.
switch-uri KVM tradiționale
switch KVM tradiționale permit utilizatorului pentru a comuta între grupuri de calculatoare, eliminând astfel necesitatea de a conecta un monitor, tastatură și mouse-ul pentru fiecare calculator și eliberarea spațiului, reducerea consumului de energie și de cost.
Pentru a utiliza KVM pentru calculatoarele nu au nevoie pentru a descărca orice software, astfel încât ușurința cu condiția de utilizare și gestionare a unui computer sigur care continuă să funcționeze chiar și în cazul defectării ghetei sistemului de operare.
Unul dintre principalele dezavantaje ale acestei tehnologii - este faptul că monitorul, tastatura și mouse-ul ar trebui să aibă o conexiune directă prin cablu la switch KVM, și, prin urmare, distanța este limitată la câteva sute de metri între dispozitivele de intrare și de ieșire și servere cel mai bun caz.
virtualizare
Prin această organizare, de management de la distanță este posibilă numai la nivel de sistem de operare.
KVM over IP
KVM over IP soluții combină virtualizare și tradiționale KVM-switch-uri. La fel ca și KVM-switch-uri, KVM over IP dispozitive nu necesită instalarea de orice software de pe server gestionat, și, în același timp, nu impune nicio restricție privind distanța de la intrare și de ieșire dispozitivele pe server.
Aur IP KVM Extender AdderLink IP
IP KVM Extender AdderLink IP Gold - este un dispozitiv special conceput pentru nevoile întreprinderilor mari, cu cerințe ridicate de securitate. Acest articol explică modul în care să se asigure securitatea informațiilor la nivelul arhitecturii dispozitivului.
KVM Extender AdderLink IP de aur poate fi conectat local printr-un modem de la distanță sau conexiune IP la calculatorul țintă sau switch KVM.
Folosind o conexiune locală la AdderLink IP de aur, utilizatorii pot folosi simultan consola KVM locale și accesul de la distanță la serverele lor prin rețele bazate pe IP. Combinația de acces local și la distanță este foarte convenabil pentru administratorii de sistem, deoarece le permite să aibă acces direct la calculatoare la nivel de BIOS, atât de server și de la orice stație de lucru situat oriunde în birou, sau chiar de la domiciliu.
Dispozitivele AdderLink IP de aur au construit serverul VNC. VNC - este standard la nivel mondial comun pentru control de la distanță cross-platform, și este o alegere naturala pentru KVM over IP soluții. VNC-clienții sunt acum folosite în milioane de calculatoare la domiciliu, întreprinderi mici, birouri guvernamentale, școli, campusuri universitare și companii mari. În cazul Gold VNC AdderLink IP este deja instalat pe echipamentul, și acesta poate fi, de asemenea, instalat direct de pe site-ul RealVNC. În plus, de asemenea, built-in Java client care se execută atunci când vă conectați la un browser web și elimină instalarea software-ului de pe computerul la distanță.
Cerințe de securitate
KVM-switch-uri tradiționale sunt de fapt destul de sigur, deoarece comutare se bazează pe o conexiune fizică la echipamentul. Restricționarea accesului la controale în acest caz, este posibil în mod obișnuit: cu ajutorul încuietori și chei.
La conectarea prin LAN, WAN, și cu atât mai mult pe Internet pentru a controla accesul este mult mai dificil. În cazul în care accesul la consola server folosind KVM over IP, solutii potential mai mare vulnerabilitate. Din acest motiv, securitatea pentru KVM over IP este de o importanță vitală. Cu toate acestea, atunci când în curs de dezvoltare un produs de siguranță probleme sunt amânate, de regulă, până în ultimul moment.
Dar securitatea - este fundamentul dezvoltării și a punerii în aplicare a unui sistem integrat, și atenția cu întârziere la problemele de securitate ar putea conduce la prezența de „lacune“, „cârje“, setările de configurare incorecte.
Atunci când în curs de dezvoltare de echipamente KVM probleme de securitate Adder IP sunt tratate în primul rând. Conceptul si arhitectura de securitate pre-definite, și apoi dezvoltatorii începe dispozitivul specifice procesului de proiectare sau de soluție. Pe baza expertizei și sfaturile experților privind securitatea comunității academice din Cambridge, echipamente Adder îndeplinește cerințele dificile ale echipamentului care urmează să fie conectat la Internet.
Acum vom discuta despre caracteristicile de securitate incluse în linia AdderLink IP a produselor, care pot fi combinate, permițând să fie utilizate în cele mai nefavorabile din punct de vedere al mediilor de securitate.
de control al accesului
identificare
Numele de utilizator și parole, formează ultimul nivel de protecție a tuturor celor care au primit acces fizic la dispozitiv.
mod privat
Una dintre caracteristicile dispozitivelor AdderLink IP - capacitatea utilizatorilor de a obține un acces exclusiv temporar la calculator. În timpul până când un utilizator va fi conectat la un calculator, acces la acesta pentru alți utilizatori vor fi blocate (ceea ce utilizatorii vor fi notificați printr-un avertisment). Această funcție este disponibilă pentru locale și pentru conexiunea la distanță, oferind confort suplimentar la configurarea sistemelor de securitate sau de acces la informații critice.
ecran de blocare
După o perioadă de absență a activității de tastatură și mouse-ul, ecranul se va bloca în mod automat, nu permite utilizarea calculatorului nesupravegheat. Acest lucru este posibil atât pentru locale cât și pentru conexiuni de la distanță.
acces local
conexiune prin modem
Conectarea printr-o rețea IP
În cele mai multe dispozitive IP AdderLink folosesc vizibil atunci când este conectat prin rețea IP. Astfel, în conformitate cu o rețea IP pentru a controla computerul de oriunde din lume, motiv pentru care mulți utilizatori aleg KVM over IP soluții. Dar acest lucru necesită un nivel special de probleme de siguranță.
conexiuni de criptare și autentificare
abordări standard pentru a asigura o conexiune sigură
Ca o regulă, KVM over IP dispozitive au construit în sistemul de securitate, bazat pe utilizarea protocolul HTTPS, scopul direct al care - pentru a asigura securitatea tranzacțiilor efectuate în spațiul web. Între timp, protocolul HTTPS nu este în mod specific „ascuțit“ pentru utilizarea KVM over IP dispozitive și, prin urmare, are unele dezavantaje. Fiecare site trebuie să utilizeze HTTPS SSL - o semnătură digitală unică.
De regulă, KVM over IP dispozitive folosesc HTTPS, de a crea propriul dvs. „» certificate SSL auto-semnat. Când sunteți conectat la un dispozitiv, certificatul este afișat într-o fereastră pop-up, iar browser-ul vă solicită să confirmați dacă certificatul este de încredere. Când vă conectați mai întâi acest lucru poate fi considerată o politică acceptabilă. Cu toate acestea, este extrem de dificil și, în unele cazuri, este imposibil să configurați browser-ul dvs., astfel încât aceste certificate sunt memorate în cache, astfel încât fereastra pop-up va apărea de fiecare dată când vă conectați la dispozitiv. Această situație crește riscul de atacuri, din moment ce întreaga responsabilitate revine utilizatorului: el va lua un certificat sau nu, iar utilizatorul trebuie să ia o decizie pe baza inspecției vizuale: certificatul este între conexiuni succesive nu sa schimbat la același dispozitiv. Cu toate acestea, experiența arată că utilizatorii de multe ori doar de fiecare dată când faceți clic pe „acceptați certificatul.“ Această situație este chiar mai rău, cu SSH, atunci când certificatul este în cache în sistemul de fișiere, iar utilizatorul este obligat să fie mai atent cu privire la subiectul modificărilor certificat.
Soluție AdderLink IP
În conformitate cu motivele pentru dispozitivele AdderLink IP enumerate mai sus nu utilizează protocolul HTTPS. În plus, punerea în aplicare a HTTPS și certificare SSL sistem este greoi și complex și include o serie de caracteristici funcționale, care nu sunt compatibile cu echipamentele de acces la distanță.
AdderLink IP întruchipează filozofia SSH și unele concepte SSL. proiectarea și punerea în aplicare inteligent ar elimina „portiță“ pentru a avea loc atunci când se utilizează HTTPS și SSH. Sistemul de securitate utilizat în dispozitivele AdderLink IP, a trecut printr-o examinare și o evaluare aprofundată prin implementarea pe scară largă într-un număr de companii multinaționale. Autentificarea folosind o cheie publică este realizată folosind 2048-bit kriptoskhemy RSA. Algoritmul de generare de chei utilizează mai multe surse de dispozitiv de entropie - pentru a se asigura că cheia generată este cu adevărat aleatoriu și nu poate fi prezis. Surse de entropie, la rândul său, utilizați informațiile privind intrarile de la tastatura si miscarile mouse-ului - acțiunile efectuate de către utilizator în momentul generării cheii. Apoi, criptarea folosind o cheie de 128 de biți cifru flux AES, care este generat în condiții de siguranță și substituit, ca urmare a fazei de autentificare.
caracteristici de criptare sigure în dispozitivele AdderLink IP
Apoi a generat șir generat aleator sau coduri de unică folosință N, pe baza căruia se creează o cheie de sesiune. Din moment ce acestea sunt criptate folosind chei publice ale fiecărei părți numai deținătorii chei private corespunzătoare pot primi de unică folosință. Acest lucru previne cheie de interceptare.
cheie de sesiune de 128 de biți se calculează pe baza două coduri de unică folosință, folosind SHA-1 hashing.
Folosind o nouă cheie de sesiune, protocolul AES este folosit pentru a cripta informațiile cunoscute (AdderLink IP foloseste un hash al unei chei publice), care permite ambelor părți să verifice corectitudinea formării unei chei de sesiune.
După aceea, toate schimburile de mesaje ulterioare între dispozitiv și VNC-client în mod similar criptate folosind AES moduri de criptare de streaming pentru a oferi protecție împotriva analiză în profunzime sau atacurile de reluare pentru chei de sesiune de comunicații securizate. Prima astfel de mesaje este accesul de control de fază la dispozitiv, inclusiv un nume de utilizator și parola trimise de la VNC-client la aparat.
Java client
Java client pot fi descărcate direct de pe dispozitivul care oferă securitate suplimentară și nu este nevoie să instalați nici un software suplimentar pe computerul la distanță.
Toate browserele oferă un mediu de execuție sigură a programelor Java, împiedicând accesul la sistemul de fișiere local sau registru. Prin urmare, Java-client nu poate cache certificate eliberate de către orice produs KVM over IP. În absența certificatelor semnate aplicații bazate pe Java sunt vulnerabile la atac.
actualizare firmware
Pentru a îmbunătăți funcționalitatea și a îmbunătăți performanța dispozitivelor poate fi necesar să instalați noul firmware. Acest lucru se poate face prin retea IP, sau prin conectarea dispozitivului direct prin portul RS-232. Este necesar să se stabilească actualizări numai aprobate de la o sursă de încredere. Iar sistemul de securitate previne această problemă prin utilizarea unei chei de semnătură digitală.
Toate actualizările firmware și semnături digitale aferente distribuite Adder sau RealVNC. actualizări de firmware sunt binare și nu necesită criptare. Semnătura se calculează în două etape. În primul rând, amprenta binar se calculează folosind disponibile public funcție hash SHA-1. Apoi imprimați semnat utilizând RSA-criptografia cu ajutorul cheii private AdderLink IP, cunoscut doar Adder și RealVNC.
Când actualizarea firmware-ului este încărcat și semnătura digitală însoțitoare, dispozitivul AdderLink IP autentifică 2048 biți semnătura folosind RSA-criptografia obținută din cheia deschis AdderLink IP instalat în timpul fabricației. Valoarea rezultată poate fi verificată cu amprentă digitală descărcat cod binar calculat folosind același SHA-1 funcție hash.
Această metodă de verificare a firmware-ului este extrem de sigur, deoarece cealaltă parte nu este posibil să se calculeze actualizarea firmware-ului binar folosind semnătura pereche RSA corespunzătoare. Acest lucru previne actualizarea datelor spoofing amenințare.
Configurarea și gestionarea
Dispozitivele AdderLink IP dispun de o abordare elegantă și simplu de înființarea și administrarea. Configurarea inițială, de exemplu, setarea parametrilor de IP-rețea este realizată atunci când un dispozitiv local, conectat la monitor și tastatură. Meniul pe ecran (OSD) este ușor de navigat. Setări de căutare necesare nu prezintă nici o dificultate. Alte configurare de la distanță este posibil - atunci când este conectat la dispozitivul de rețea bazate pe IP.
O singură conexiune la distanță
O caracteristică cheie - utilizarea unei singure conexiuni pentru rețea pe bază de IP pentru dispozitiv AdderLink IP pentru control de la distanță și configurare. Această combinație unică de caracteristici prezentate într-o singură fereastră a computerului la distanță, oferă confort excepțional pentru administrator.
Utilizarea unui singur software, clientul VNC, înseamnă că există și alte instrumente de care aveți nevoie pentru a instala și rula în continuare și conduse amestecatura de ferestre. Alte produse KVM over IP, tind să ofere aplicații diferite: un singur - pentru controlul de la distanță, o separat - pentru configurare.
În plus față de interfață confortabil și funcțional, o astfel de abordare integrată simplifică managementul securității: doar un singur IP-port poate fi accesat prin intermediul firewall. arhitectura de securitate descrise mai sus asigură o siguranță completă a conexiunii.
O altă simplificare semnificativă - capacitatea dispozitivelor AdderLink IP satisface nevoile atât serverul web și VNC la fel de IP-porturi - prin identificarea automată a tipului de conexiune. Acest lucru permite utilizatorului să se conecteze la orice dispozitiv folosind un browser web sau prin intermediul Java-client, sau prin intermediul VNC-client instalat pe computerul la distanță. Alte soluții KVM over IP, au tendința de a folosi diferite porturi pentru control de la distanță și pentru serverul de web și necesită configurare mai complexă a echipamentului firewall și de rutare.
Diferite metode de implementarea
Orice întrebări? Scrie pe [email protected] sau sunați +7 495 648 67 41.