Информационная безопасность при передаче сигналов KVM over IP

В этой статье рассматривается вопрос информационной безопасности при удалённом управлении IT-оборудованием, реализованном при помощи технологий KVM over IP. Особое внимание уделено построению безопасной архитектуры при использовании KVM-удлинителей AdderLink IP.

Материал от производителя KVM оборудования (Adder Technology)

В этой статье рассматривается вопрос информационной безопасности при удалённом управлении IT-оборудованием, реализованном при помощи технологий KVM over IP. Особое внимание уделено построению безопасной архитектуры при использовании KVM-удлинителей AdderLink IP Gold.

---

Традиционные KVM переключатели

Традиционные KVM переключатели позволяют переключаться пользователю между группами компьютеров, исключая, таким образом, необходимость в подключении монитора, клавиатуры и мыши к каждому компьютеру и освобождая пространство, снижая стоимость и потребление электроэнергии.

Для использования KVM переключателя на компьютеры не требуется загружать какое-либо программное обеспечение, вследствие чего предоставляется простота использования и защищённое управление компьютером, которое продолжает функционировать даже в случае сбоя загрузки операционной системы.

Один из основных недостатков этой технологии – это то, что монитор, клавиатура и мышь должны иметь прямое кабельное подключение к KVM переключателю, и вследствие этого расстояние между устройствами ввода-вывода и серверами ограничивается несколькими сотнями метров в лучшем случае.

Виртуализация

Удалённый доступ посредством виртуализации позволяет контролировать компьютеры на любом расстоянии через модем или по IP-сети. Этот способ создания удалённого управления многим приходится по вкусу, но все подобные решения основаны на базовом принципе: на управляемый компьютер устанавливается программное обеспечение, которое «перехватывает» сигналы видео, клавиатуры и мыши и отправляет их на клиентское приложение, установленное, соответственно на компьютере администратора.

При такой организации удалённое управление возможно лишь на уровне операционной системы.

KVM over IP

Решения KVM over IP сочетают в себе возможности виртуализации и традиционных KVM-переключателей. Так же, как и KVM-переключатели, устройства KVM over IP не требуют установки какого-либо программного обеспечения на управляемый сервер и в то же время не накладывают никаких ограничений на расстояние от устройств ввода-вывода до сервера.

Передача сигналов по технологии KVM over IP осуществляется следующим образом: передатчик преобразует входящие видео, аудио и USB сигналы в пакеты TCP/IP (процесс преобразования основывается на использовании уникального алгоритма кодирования) и передаёт их на приёмник по сети LAN, VPN или Интернет.

Требования к безопасности

Традиционные KVM-переключатели по сути весьма безопасны, поскольку в основе коммутации лежит именно физическое подключение к оборудованию. Ограничить доступ к управлению в этом случае можно обычным способом: с помощью замков и ключей.

Для пользователей, уже получивших физический доступ, действует простая – локальная – система авторизации через логин/пароль, позволяющая обеспечить дополнительный уровень безопасности посредством индивидуальной настройки прав пользователей и групп пользователей.

При подключении через сети LAN, WAN и тем более через Интернет контролировать доступ намного сложнее. Где в качестве доступа к серверной консоли используются решения KVM over IP, потенциально уязвимость более высокая. По этой причине обеспечение безопасности для продуктов KVM over IP имеет огромную важность. Однако при разработке продукта вопросы безопасности откладываются, как правило, до последнего момента.

Но безопасность – это фундамент разработки и реализации комплексной системы, и запоздалое внимание к вопросам безопасности может привести к наличию «лазеек», «костылям», некорректным настройкам конфигурации.

При разработке IP KVM оборудования Adder вопросы безопасности рассматриваются в первую очередь. Предварительно определяется концепция и архитектура безопасности, и только потом разработчики приступают к процессу проектирования конкретного устройства или решения. Основываясь на экспертизе и советах экспертов по безопасности академического сообщества Кембриджа, оборудование Adder отвечает сложным требованиям оборудования, подключаемого к Интернету.

Сейчас мы обсудим особенности безопасности, включённые в продукты линейки AdderLink IP, которые комбинируются, позволяя быть использованными в самых неблагоприятных, с точки зрения безопасности, средах.

Контроль доступа

Идентификация

Любой доступ к устройствам AdderLinkIP, будь то локальный, модемный или через IP сеть, требует авторизации посредством ввода логина/пароля. Привилегированный пользователь («администратор») имеет полный доступ к конфигурированию и управлению устройством. Администратор может создавать другие учётные записи. Каждый пользовательский профиль имеет определённый набор прав, которые определяются администратором, например, возможность локального и удалённого доступа. Список имён пользователей и паролей хранится в защищённом режиме на устройстве и не дублируется на каких-либо внешних ресурсах.

Пользовательские имена и пароли образуют последний уровень защиты для всех тех, кто получил физический доступ к устройству.

Пароли

Для максимальной безопасности важно выбрать хороший пароль, который будет сложно подобрать. Когда пароль установлен, устройство тестирует его и отображает предупреждение, если сочтёт выбранный пароль слабым. Также предупреждение отображается, если пароль не установлен. KVM удлинитель имеет функцию временной блокировки пользователя при нескольких неудачных попытках авторизации. Эта схема эффективна на тот случай, если злоумышленник попытается получить доступ путём перебора паролей.

Авторизация

Устройства AdderLink IP ведут журнал активности пользователей, фиксируя все события авторизации и производимых действий. Это позволяет администратору просматривать историю подключений, перезагрузки и обновлений устройств. Также в информации о пользовательской активности можно узнать о процессе авторизации: были ли неудачные попытки авторизации, сколько их было, под каким логином, какое соединение при этом использовалось (локальное, модемное или IP). Для соединений посредством удалённого доступа доступен просмотр IP адреса удалённого компьютера. Подобная информация позволяет вовремя обнаружить подозрительную активность и принять соответствующие меры безопасности.

Приватный режим

Одна из особенностей устройств AdderLink IP – возможность для пользователей получить временный эксклюзивный доступ к компьютеру. В течение времени, пока один пользователь будет подключен к компьютеру, доступ к нему для других пользователей будет заблокирован (о чём пользователи будут уведомлены предупреждением). Эта особенность доступна и для локального, и для удалённого подключения, предоставляя дополнительный комфорт при конфигурировании систем безопасности или доступе к критически важной информации.

Блокировка экрана

По истечении некоторого периода отсутствия активности клавиатуры и мыши, автоматически блокируется экран, не позволяя использовать компьютер, оставленный без присмотра. Это возможно как для локальных, так и для удалённых подключений.

Локальный доступ

Физический доступ к любому оборудованию предоставляет возможности для нецелевого использования, и, несмотря на все меры безопасности, уязвимость остаётся всегда. В частности, локальный доступ защищается именем пользователя и паролем, так же, как и удалённое подключение. В случае локального подключения, для снятия блокировки экрана необходимо авторизоваться заново. Для максимальной безопасности устройство AdderLink IP может быть расположено в защищённом от внешнего вторжения месте.

Подключение через модем

Будучи подключенным к внешнему модему, устройство AdderLink IP Gold предоставляет удалённый доступ через стандартную телефонную линию. Сам способ коммутации предоставляет дополнительный барьер для злоумышленника, которому нужно знать номер телефона, чтобы подключиться к устройству.

В отличие от IP сети, организовать автоматическое зондирование телефонной сети – процедура довольно сложная и дорогостоящая. Также соединение по телефонной линии очень сложно перехватить. Устройство включает в себя сервер PPP, позволяющий осуществлять IP-соединение, используя стандартную конфигурацию удаленного доступа с удаленного хоста. Усовершенствованный VNC-клиент можно запускать по IP-соединению, как описано ниже, включая полный набор доступных мер шифрования и аутентификации.

Подключение по IP сети

В наибольшей степени польза устройств AdderLink IP видна при подключении через IP сеть. Так, по IP сети управлять компьютером можно из любой точки мира, именно поэтому многие пользователи выбирают решения KVM over IP. Но это требует особого уровня заботы о безопасности.

Шифрование и аутентификация соединения

Стандартные подходы к обеспечению безопасного соединения

Как правило, устройства KVM over IP имеют встроенные системы безопасности, основанные на использовании протокола HTTPS, прямое назначение которого – обеспечение безопасности транзакций, проводимых в веб-пространстве. Между тем, протокол HTTPS не является специально «заточенным» для использования устройств KVM over IP и, следовательно, имеет некоторые недостатки. Каждый HTTPS сайт должен использовать SSL – уникальную цифровую подпись.

Веб-браузеры спроектированы и построены таким образом, чтобы доверять этим органам власти, и могут подтвердить, что любой сертификат, представленный в браузере сайтом HTTPS, подписан такими полномочными органами. Это легко сделать, используя открытый ключ авторитета.

Чтобы использовать протокол HTTPS как средство защиты информации в решениях KVM over IP, подобный сертификат должен быть получен на каждое устройство, и каждое устройство, в свою очередь, настраивается под работу с конкретным сертификатом. Это влечёт за собой значительные накладные расходы. При том, что стоимость сертификата, как правило, превышает 100 долларов в год. Кроме того, SSL сертификаты привязываются к IP адресам или именам DNS, то есть устройство KVM over IP должно быть предварительно сконфигурировано для работы под определённым адресом, который не будет меняться в течение всего срока действия сертификата. Таким образом, в реальных условиях практически нереально получить подобные сертификаты.

Как правило, устройства KVM over IP используют HTTPS, создавая собственные, «самоподписанные» сертификаты SSL. Когда имеется подключение к устройству, сертификат отображается во всплывающем окне, и браузер запрашивает подтверждение, является ли этот сертификат доверенным. При первом соединении это можно считать приемлемой политикой. Однако чрезвычайно сложно и в некоторых случаях невозможно настроить браузеры таким образом, чтобы эти сертификаты кэшировались, поэтому всплывающее окно будет появляться при каждом подключении к устройству. Такое положение повышает риск атак, поскольку вся ответственность ложится на пользователя: примет он сертификат или нет, и пользователь должен принять решение на основе визуальной проверке: не изменился ли сертификат между последовательными подключениями к одному и тому же устройству. Однако опыт показывает, что пользователи чаще всего просто каждый раз нажимают «принять сертификат». И эта ситуация даже хуже с SSH, когда сертификат кэшируется в файловой системе компьютера, и пользователь вынужден быть более внимательным на предмет изменения сертификата.

Решение AdderLink IP

По обозначенным выше причинам устройства AdderLink IP не используют протокол HTTPS. Кроме того, реализация системы сертификации HTTPS и SSL громоздка и сложна и включает множество функциональных особенностей, несовместимых с оборудованием удалённого доступа.

AdderLink IP воплощает в себе философию SSH и некоторые концепты SSL. Продуманный дизайн и реализация позволили исключить «лазейки», имеющие место быть при использовании HTTPS и SSH. Система безопасности, используемая в устройствах AdderLink IP, подверглась тщательной проверке и оценке посредством широкомасштабного развертывания в ряде транснациональных компаний. Аутентификация с использованием открытого ключа выполняется с использованием криптосхемы RSA 2048 бит. Алгоритм генерации ключа использует несколько источников энтропии устройства – для гарантии того, что генерируемый ключ действительно случаен и не может быть предсказан. Источники энтропии, в свою очередь, используют информацию о нажатии клавиш и движении мыши – действиях, производимых пользователем в момент генерации ключа. Затем выполняется шифрование с использованием поточного шифра AES с 128-битным ключом, который генерируется и безопасно подставляется в результате этапа аутентификации.

Особенности безопасного шифрования в устройствах AdderLink IP

Обозначение Pk {m} используется для указания того, что сообщение m должно быть зашифровано открытым ключом Pk. Обозначение Ss {m} указывает, что сообщение m должно быть зашифровано с помощью симметричного ключа Ss. Символы V и U используются для обозначения VNC клиента и устройства в процессе обмена информацией. В первую очередь, устройство отправляет информацию о своём ключе клиенту. На этом этапе клиент сравнивает IP-адрес устройства и присланный ключ со значениями, хранящимися в локальной файловой системе или кеше реестра. Если ключ будет изменён с момента предыдущего подключения, пользователь увидит предупреждение.

U -> V : PU

V -> U : PV

Затем генерируются случайно сгенерированные строки или одноразовые коды N, на основе которых создается ключ сеанса. Поскольку они зашифрованы с помощью открытых ключей каждой стороны, только обладатели соответствующих закрытых ключей могут получить одноразовые. Это предотвращает перехват ключа.

U -> V : PV{NU}

V -> U : PU{NV}

128-битный ключ сессии высчитывается на основе двух одноразовых кодов, с использованием хеширования SHA-1.

SV2U = H(NV, NU)

SU2V = H(NU, NV)

Используя новый ключ сессии, протокол AES используется для шифрования известной информации (AdderLink IP использует хеш открытых ключей), позволяя обоим сторонам проверить корректность формирования ключа сессии.

U-> V : SU2V{H(PU, PV)}

V -> U : SV2U{H(PV, PU)}

После этого безопасного обмена сеансовыми ключами все последующие обмены сообщениями между устройством и VNC-клиентом аналогичным образом шифруются AES с использованием режима потокового шифрования, чтобы обеспечить защиту от углубленного анализа или атак повторного воспроизведения. Первым таким обменом сообщениями является фаза управления доступом к устройству, включающая в себя имя пользователя и пароль, передаваемые от VNC-клиента к устройству.

Прочее

Фильтр IP-адресов

Устройство позволяет фильтровать IP-адреса входящих пакетов. Это позволяет пользователю с правами администратора установить маску для IP-адресов, с которых могут быть приняты удалённые подключения. Во всех других попытках подключения будет отказано. Это позволяет сконфигурировать устройство для работы только с определённым набором IP-адресов, например, относящихся к корпоративной LAN. Либо, например, позволяет получить доступ с определённых внешних IP-адресов, например, из дома системного администратора. Эта особенность даёт возможность дополнительного контроля и комфорта, когда необходимо организовать доступ через брандмауэр.

Java клиент

Java клиент можно скачать непосредственно с устройства, что предоставляет дополнительную безопасность и отсутствие необходимости инсталлировать какое-либо дополнительное программное обеспечение на удалённый компьютер.

Все браузеры обеспечивают безопасную среду выполнения программ Java, препятствуя доступу к локальной файловой системе или реестру. Поэтому Java-клиент не может кэшировать какие-либо сертификаты, выпущенные любым продуктом KVM over IP. При отсутствии подписанных сертификатов Java-приложения уязвимы для атак.

Обновление прошивки

Для расширения функциональности и повышения производительности устройств может потребоваться установить новую прошивку. Это можно сделать по IP-сети, или подключившись к устройству напрямую, через порт RS-232. Необходимо, чтобы устанавливались только сертифицированные обновления с проверенного источника. И система безопасности предупреждает эту проблему посредством использования ключа цифровой подписи.

Все обновления прошивки и сопутствующие цифровые подписи распространяются Adder или RealVNC. Обновления микропрограммы являются двоичными и не требуют шифрования. Подпись вычисляется в два этапа. Во-первых, отпечаток двоичного файла вычисляется с использованием общедоступной хэш-функции SHA-1. Затем отпечаток подписывается с использованием RSA-криптографии, используя закрытый ключ AdderLink IP, известный только Adder и RealVNC.

Когда загружается обновление прошивки и сопровождающая цифровая подпись, устройство AdderLink IP проверяет подлинность 2048-битной сигнатуры, используя RSA-криптографию, полученную из открытого ключа AdderLink IP, установленного при производстве. Полученное значение можно проверить по отпечатку скачанного двоичного кода, вычисленному с использованием той же хэш-функции SHA-1.

Этот способ верификации прошивки чрезвычайно безопасен, так как стороннему лицу невозможно вычислить бинарное обновление прошивки с помощью соответствующей пары сигнатур RSA. Таким образом, предотвращается угроза подмены данных для обновления.

Конфигурирование и управление

Устройства AdderLink IP отличаются элегантным и простым подходом к настройке и управлению. Первоначальная настройка, например, настройка параметров IP-сети, выполняется при локальном подключении к устройству монитора и клавиатуры. В экранном меню (OSD) легко сориентироваться. Поиск необходимых параметров настройки не представляет никакой сложности. Прочее конфигурирование возможно удалённо – при подключении к устройству по IP-сети.

Одиночное удалённое подключение

Ключевая особенность – использование одиночного подключения по IP-сети к устройству AdderLink IP как для удалённого управления, так и для конфигурирования. Эта уникальная комбинация возможностей, представленная в едином окне удалённого компьютера, предоставляет исключительное удобство для администратора.

Использование единого программного обеспечения, VNC клиента, означает, что нет других инструментов, которые необходимо инсталлировать и запускать дополнительно, и исключено нагромождение окон. Другие продукты KVM over IP, как правило, предлагают разные приложения: отдельное – для удалённого контроля, отдельное – для конфигурирования.

Вдобавок к удобному и функциональному интерфейсу, такой интегрированный подход упрощает управление безопасностью: только один IP-порт может быть доступен через межсетевой экран. Описанная выше архитектура безопасности гарантирует полную безопасность такого подключения.

Ещё одно существенное упрощение – способность устройств AdderLink IP отвечать запросам как веб-сервера, так и VNC на одном и том же IP-порту – посредством автоматической идентификации типа подключения. Это позволяет пользователю подключиться к устройство либо через веб-браузер, либо через Java-клиент, либо через VNC-клиент, установленный на удалённом компьютере. Другие решения KVM over IP, как правило, используют разные порты для удалённого управления и для веб-сервера и требуют более сложной конфигурации через брандмауэр и оборудование маршрутизации.

Различные способы развёртывания

Предполагается, что различные проекты имеют разные требования к уровню безопасности. Так, в случае использования удалённого доступа только внутри корпоративной сети, вопросы безопасности могут не вызывать беспокойства: достаточно лишь пользовательской авторизации. А вот в более крупных, общедоступных сетях может потребоваться дополнительная защита. В этом случае информация, передаваемая по IP-сети, должна быть надёжно зашифрована, а подключение организовываться по строгой и многоступенчатой процедуре аутентификации. Только так можно обеспечить защиту от различных атак. Оборудование AdderLink IP отличается гибкостью в плане организации информационной безопасности и может быть настроено индивидуально для каждого проекта.

---

Есть вопросы? Пишите на info@kvmtech.ru или звоните +7 495 648 67 41.