KVM Over IP руководство к действию

Введение

Традиционные переключатели KVM (клавиатура, монитор, мышка) делают возможным подключение KVM консоли к целой группе компьютеров, избегая таким образом  необходимости присоединения клавиатуры, монитора и мышки к каждому отдельно взятому компьютеру, что ведет к экономии места, стоимости и энергии. KVM переключатели не требуют загрузки никакого программного обеспечения на компьютер и, следовательно, предлагают простое и разумное управление им, которое продолжает работать даже при его выходе из строя. Одним из наиболее серьезных недостатков технологии такого типа является то, что KVM консоль должна иметь прямое кабельное присоединение к КВМ переключателю, что ограничивает площадь применения несколькими сотнями метров. Программное обеспечение удаленного доступа позволяет контролировать компьютеры в любой точке мира удаленным или сетевым способом, через IP-соединение. Существует много программ подобного типа, но все они основываются на одних и тех же принципах действия.

Программное обеспечение загружается на головной компьютер, который перехватывает сигналы видео, клавиатуры и мышки. Это программное обеспечение передает  эти сигналы другой программе, установленной на  удаленном терминале, который позволяет видеть и управлять головным компьютером. Подобное  программное обеспечение систем удаленного управления не может справиться с проблемами, возникающими при загрузке компьютера, и не работает, если головной компьютер выходит из строя. 

Продукты KVM-over-IP являются результатом объединения преимуществ программ удаленного доступа с достоинствами КВМ-технологии. Как и KVM переключатели, продукты KVM-over-IP не требуют загрузки никакого дополнительного программного обеспечения на головной компьютер, а вместо этого напрямую связывают с клавиатурой, монитором и мышкой коннекторы  головного компьютера или КВМ-переключателя. Схематика приспособления КVM-over-IP оцифровывает  входящий видео-сигнал и преобразует его в цифровую информацию, которая передается программе просмотра на удаленном компьютера по  локальной сети,  через VPN или общедоступный Интернет.

KVM устройства ADDERLink  – это инновационный KVM-over-IP продукт, разработанный в ответ на потребности предприятий. Остается высокой потребность в обеспечении безопасности ,  приведенное далее техническое описание объясняет архитектуру обеспечения безопасности продукта.KVM устройства серии ADDERLink IP можно разделить на 2 категории:

1) KVM Over IP удлинители:

• ALIP  (KVM удлинитель по протоколу IP, удлиняющий интерфейсы VGA, USB1.1, PS/2, RS232 и стерео аудио, использует 1 витую пару для передачи)
• ALIP-GILD (KVM удлинитель по протоколу IP, удлиняющий интерфейсы DVI-I, USB1.1, PS/2, RS232 и стерео аудио, использует 1 витую пару для передачи)
• IPEPS (KVM IP удлинитель по IP, передающий интерфейсы VGA, PS/2, USB. Шифрование 512-2048 bits (High Security), поддержка разрешения до 1900×1200@60Hz, Virtual Media, Java)
• IPEPS-DA (KVM IP удлинитель по IP, передающий интерфейсы VGA, PS/2, USB с локальной консолью. Шифрование 512-2048 bits (High Security), поддержка разрешения до 1900×1200@60Hz, Virtual Media, Java)
• ALD-IPEPS (KVM IP удлинитель по IP, передающий интерфейсы DVI, PS/2, USB с локальной консолью. Шифрование 512-2048 bits (High Security), поддержка разрешения до 1900×1200@60Hz, Virtual Media, Java)

2) KVM Over IP переключатели 

• AVX1008IP (8 портовый KVM переключатель по CAT5, 1 локальный и 1 удаленный пользователь по IP, c возможностью крепления в серверную стойку)
• AVX1016IP (16 портовый KVM переключатель по CAT5, 1 локальный и 1 удаленный по IP, c возможностью крепления в серверную стойку)
• AVX4016IP (16 портовый KVM переключатель по CAT5, 1 локальный, 2 удаленных пользователя по CAT5 и 1 пользователя по IP, c возможностью крепления в серверную стойку)
• AVX4024IP (24 портовый KVM переключатель по CAT5, 1 локальный, 2 удаленных пользователя по CAT5 и 1 пользователя по IP, c возможностью крепления в серверную стойку)
• AVX5016IP (16 портовый  KVM переключатель по CAT5 с возможностью управления по IP 4 независымым пользователям)

Описание продукта.

Система KVM OVER IP ADDERLink  – это обособленный узел, который легко конфигурируется для локальных, внутренних или удаленных IP соединений с  хостом назначения или КВМ-переключателем. Используя локальное соединение через ADDERLink IP, пользователи могут иметь как локальный доступ через КВМ-консоль, так и удаленный IP доступ к их серверам. Эта смесь из локального и удаленного доступа крайне привлекательна для системных администраторов, так как позволяет им иметь прямой доступ к компьютерам в серверном помещении, а также обеспечивает доступ из офиса или другого удаленного месторасположения. Способность к одновременной поддержке IP  и телефонных  соединений через модем предоставляет системным администраторам удобство передачи данных через сеть и  безопасность надежного дополнительного канала в случае, если Интернет связь прерывается.

KVM OVER IP ADDERLink обеспечивает инструментами расширенный VNC-сервер, встроенный в аппаратные средства компьютера. VNC – это стандарт де-факто, принятый во всем мире для межплатформного программного обеспечения удаленного контроля и представляет из себя естественный выбор для KVM- over- IP продуктов. В настоящее время VNC установлен и используется миллионами пользователей в домашних условиях, правительственных учреждениях, школах, университетских городках  и в самых крупных компаниях. Расширенный VNC-клиент является составной частью продукта, и может также быть установлен либо запускаться с действующего VNC-сайта [1]. Вдобавок, Java-клиент может работать через соединение с веб-браузером, избегая таким образом необходимости устанавливать программный продукт на удаленный терминал

Потребность в безопасности.

Традиционные KVM переключатели по своей природе имеют высокую степень защищенности, так  как им требуется физический доступ к оборудованию. Это может быть проверено общепринятым способом с помощью системы замков и ключей. Для пользователей, уже имеющих физический доступ, для обеспечения следующего уровня контроля безопасного доступа к  отдельным пользователям и группам пользователей достаточно простой системы паролей, полностью локальной для КВМ – переключателя.

Контроль доступа является весьма сложным и вызывающим беспокойство вопросом, когда речь идет о продуктах, соединенных с сетью любой конфигурации – от  LAN, WAN до VPN – и, что очень важно – с Интернетом. В случае, когда для удаленного доступа применяется KVM- over- IP для удаленного доступа к  привилегированной консоли сервера, такой как  файловый сервер, нарушение защиты потенциально может быть крайне разрушительно. В связи с этим, в высшей степени важна уверенность в безопасности KVM- over- IP. Но вопросы безопасности часто откладываются на потом и «за уши привязываются» в конце процесса разработки продукта. На самом деле, решение этих вопросов существенно влияет на дизайн и разработку системы в целом, и их запоздалое рассмотрение ведет к ошибкам, черным ходам и некорректности установки и конфигурирования.  При создании ADDERLink IP вопросы безопасности рассматривались с самого начала, и еще до разработки и сборки продукта была сформирована  полностью продуманная и официально принятая архитектура защиты. Следуя советам и заключениям экспертов по безопасности (академические круги Кэмбриджа),   ADDERLink IP соответствует всем требованиям к устройствам, использующих Интернет-соединения.

А теперь перейдем к обсуждению ряда мер по безопасности, включенных в ADDERLink IP продукт, которые все вместе позволяют ему быть использованным в самых неблагоприятных условиях с полной уверенностью в безопасности.

Контроль  доступа.

Идентификация.

При любом доступе к продукту KVM over IP ADDERLink, локально, через телефон или через Интернет, требуются имя зарегистрированного пользователя и пароль. Пользователь с привилегиями – «админ» – имеет полный доступ к конфигурации и управлению сегментом программы. Пользователь с правами администратора может создать других пользователей, имеющих доступ к хосту, но ограниченных  в правах его конфигурирования. Каждый пользовательский профиль имеет целый ряд потенциальных разрешений, которые могут быть переданы ему пользователем с правами администратора, включая права локального и удаленного доступа. Список пользователей и паролей хранится в закрытом разделе в защищенном виде в самой программе, не дублируется и находится вне зоны доступа извне. Имена пользователей и пароли формируют последний оборонительный рубеж для каждого, кто получил физический или сетевой доступ к узлу.

Пароли.

Для обеспечения максимальной безопасности важно выбирать надежные пароли, которые нелегко  подобрать. При установлении паролей программный блок протестирует криптографическую надежность пароля и предупредит, если сочтет выбранный пароль слабым. Такое же предупреждение будет выведено на экран и в случае, если поле ввода пароля останется пустым. Узел выполняет временную блокировку учетной записи, если недавно имели место неудачные повторяющиеся попытки входа в систему. Эта схема эффективно предотвращает использование атак по методу грубой силы для вскрытия пароля.

Ведение журнала.

Продукты ADDERLink IP хранит внутренний журнал с метками даты и времени имевшейся активности. Это позволяет администратору получать информацию о включении питания, перезагрузке и обновлении программно-аппаратных узлов. Активностью являются удачные или неудачные попытки входа, информация включает в себя  имя учетной записи и тип доступа (локальный, через модем или удаленный). В случае удаленного доступа высвечивается IPадрес  удаленного компьютера. Вдобавок  к информации по штатному режиму работы подобные журналы регистрации   предлагают ценную диагностику для выявления и анализа подозрительной активности.

Приватный режим.

Удобной функцией ADDERLink IP продукта является предоставление любому пользователю возможности запроса временного эксклюзивного доступа к хосту назначения. В течение этого времени другие пользователи блокируются, что предваряется предупреждающим сообщением. Эта функция доступна как локально, так и удаленно, и предоставляет дополнительное удобство при конфигурации систем безопасности или реализации доступа к критичной информации.

Блокировка экрана.

Дальнейшая безопасность обеспечивается блокировкой экрана, которая наступает автоматически после определенного времени бездействия клавиатуры и мышки, это оберегает экран, оставленный без внимания, от эксплуатации с нарушением установленных режимов.

Способ локального доступа.

Физический доступ к любому устройству несет в себе возможность неправильного использования  и, несмотря на другие меры безопасности,  встроенные  в продукт, вопрос безаварийной работы оборудования всегда остается слабым местом. Однако доступ к локальному KVM- соединению защищен учетной записью и паролем таким же способом, как и при удаленном соединении. В случае локального соединения, отображаемые на экране сообщения представляют собой диалоговое окно с именем учетной записи. Для достижения максимальной безопасности  ADDERLink IP может быть помещен в  высокой степени защищённую и ограниченную среду, в то время как локальное КВМ -соединение выносится в менее защищенную среду, в которой имя пользователя и пароль помогают достичь надежного контроля доступа.

Метод доступа по телефонной линии.

Осуществляя соединение через внешний модем, ADDERLink IP предлагает  устройство удаленного доступа через стандартную телефонную линию. Доступ через телефон предоставляет изначально заложенный первый уровень безопасности, так как взломщику потребуется знать номер телефона, к которому подсоединено устройство, чтобы осуществить попытку подключения. Общепринято, что в общественную телефонную сеть, как и в соединение через телефон, трудно внедриться или перехватить через нее информацию. Программа  использует сервер РРР [2], что позволяет осуществить IP соединение через стандартную телефонную сетевую конфигурацию с удаленного хоста. Расширенный VNC -терминал может быть запущен через IP соединение, как описано ниже, включая заложенный в него полный спектр мер  по шифрованию и аутентификации. 

Метод соединения через IP сеть.

Полные возможности продукта KVM OVER IP ADDERLink становятся очевидны, когда он связан с IP сетью. Поскольку IP сети едины и хост назначения можно контролировать из любой точки мира, для удобства многие пользователи ожидают возможности осуществлять доступ KVM-via- IP продукта через Интернет соединение. Что касается безопасности, это требует особого уровня предосторожности.

Другие методы.

Другие программы KVM-over-IP имеют встроенные схемы безопасности, основанные на протоколе HTTPS [3], что в первую очередь применяется в целях обеспечения безопасной передачи данных по глобальной сети. HTTPS  не был специально создан для  использования с KVM –over- IP продуктами и, следовательно, имеет некоторые недостатки. Каждый сайт, использующий HTTPS-протокол должен иметь сертификат безопасности, например, такой как Verisign [5] или Thawte [6] . который должен быть подписан ими при помощи их секретного ключа.  Веб-браузеры разработаны и созданы таким образом, чтобы доверять данным разработчикам, и могут подтвердить, что любой сертификат, предоставленный браузеру  HTTPS-сайтом, является подписанным самим разработчиком. Это легко проверяется использованием открытого ключа этого разработчика.

Для эффективного использования KVM-over-IP продукта, от владельца каждого узла требуется получение сертификата и конфигурации этого узла в соответствии с сертификатом. Это ведет к серьезным административным и финансовым издержкам, так как обычная стоимость сертификата составляет более $100 в год. Больше того, сертификаты завязаны на IP адрес или DNS имя, которые остаются неизменными в течение всего срока действия сертификата.  В результате, приобретение подписанных сертификатов не оправдано в практических инсталляциях.

Вместо этого, продукты KVM -over –IP, которые используют  HTTPS, создают свои собственные ими же самими подписанные SSL-сертификаты. При загрузке узла в браузере сертификат предстает перед пользователем  во всплывающем окне, и браузер запрашивает, можно ли доверять сертификату.  В случае самого первого соединения это можно считать вполне приемлемым. На самом деле и программные оболочки безопасного удаленного входа в систему, такие как SSH [7], действуют подобным образом. Однако, необычайно трудно, а в некоторых случаях и невозможно, обеспечить браузерам возможность кэшировать эти сертификаты, поэтому всплывающее окно будет появляться каждый раз при соединении браузера с узлом. Эта ситуация остается открытой для атак класса «человек посередине», так как зрительная проверка того, что сертификат не изменился между последовательными подсоединениями к одному узлу, остается на совести пользователя. Опыт показывает, что пользователи не предпринимают подобной предосторожности, а обычно принимают новый сертификат. Это даже хуже, чем ситуация с SSH, когда сертификат кэшируется в файловую систему компьютера, и пользователь рассматривает ситуацию более внимательно, если оказывается, что сертификат изменился. 

Подход ADDERLink IP.

По этим причинам  продукт KVM OVER IP ADDERLink не полагается на HTTPS в плане безопасности доступа и тем самым избегает соответствующих проблем ограничения управления сертификатом. Больше того,  ввод в работу HTTPS и SSL являет собой громоздкий и сложный процесс, который содержит многое из того, что не имеет прямого отношения к удаленному доступу.  Продукт основан на философии SSH и некоторых концепциях SSL. Разработка и внедрение привели к  высоко сфокусированному внедрению и избежали многих дыр в системе безопасности, в которые  благодаря их вместимости и изобилию фиктивных дополнительных функций, попали  внедрения сторонних производителей HTTPS и SSH. Внедрение мер безопасности подверглось жесткому тестированию и оценке через  полномасштабное внедрение на ряде многонациональных компаний.

Во-первых, аутентификация по открытому ключу выполнена при помощи алгоритма RSA  с 2048-битным ключом (расширяемым до большей длины). Процесс  включает в себя запуск алгоритма генерации ключей для выработки пары больших простых чисел. Алгоритм генерации ключей  применяет ряд  энтропийных источников узла для  обеспечения того, чтобы сгенерированные ключи были действительно случайными и непредсказуемыми. Энтропийные источники включают нажатие клавиш и движение мышки, которые пользователь должен осуществить на этапе генерирования ключа. Затем выполняется шифрование с использованием  AES для потока данных [9] с ключом  128 бит, который генерируется и секретно передается как результат  фазы аутентификации.  

Полный текст статьи на сайте www.vmgcompany.ru

По всем вопросам, связанным с подбором и приобретением KVM оборудования, пожалуйста, обращайтесь в компанию “Видео Медиа Групп“

Телефон: 7(495) 642 87 75
Факс: 7(495) 642 87 75

ICQ: 452-817-443
Skype: zaky-85

E-mail: sales@vmgcompany.ru

Время работы: Понедельник – Пятница, с 9.00 до 19.00

Адрес:
115114, г. Москва, Шлюзовая наб., д.6, стр. 4, метро Павелецкая (радиальная).