Что не обеспечивает плата электронного замка соболь
Перейти к содержимому

Что не обеспечивает плата электронного замка соболь

  • автор:

Программно аппаратный комплекс соболь версия 3.0 pci. Электронный замок соболь. Функции электронного замка ПАК «Соболь»

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО «Код Безопасности».

Поставим на сервер HPE Proliant DL360 Gen10.

Ссылки

Зачем нужен

  • Защита информации от несанкционированного доступа.
  • Контроль целостности компонентов ИС.
  • Запрет загрузки ОС с внешних носителей.
  • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
  • Повышение класса защиты СКЗИ.

Преимущества

Тут я списал с листовки, добавив свои комментарии.

  • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
  • Усиленная (чем усиленная? — масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
  • Простота установки, настройки и администрирования.
  • Возможность программной инициализации без вскрытия системного блока.
  • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

Возможности

  • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
    • Windows
      • Windows 7/8/8.1/10 2008/2008 R2/2012/2012 R2
      • МСВС 5.0 х64
      • Альт Линукс 7.0 Кентавр x86/x64
      • Astra Linux Special Edition «Смоленск» 1.4 x64
      • CentOS 6.5 x86/x64
      • ContinentOS 4.2 x64
      • Debian 7.6 x86/x64
      • Mandriva РОСА «Никель» x86/x64
      • Red Hat Enterprise Linux 7.0 x64
      • Ubuntu 14.04 LTS Desktop/Server x86/x64
      • VMware vSphere ESXi 5.5 x64
      • Использование персональных электронных идентификаторов:
        • iButton
        • eToken PRO
        • eToken PRO (Java)
        • Rutoken
        • Rutoken RF
        • смарт-карты eToken PRO
        • Факт входа пользователя и имя пользователя.
        • Предъявление незарегистрированного идентификатора.
        • Ввод неправильного пароля.
        • Превышение числа попыток входа в систему.
        • Дата и время регистрации событий НСД.

        Принцип работы

        Модельный ряд

        • PCI Express 57×80
        • Mini PCI Express
        • Mini PCI Express Half Size
        • M.2 A-E

        Размышления админа

        При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет — двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

        Обратил внимание на фразу «Простота администрирования». Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

        Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

        Комплектация

        Внешний вид

        Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен — видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

        Установка

        Устанавливаем в сервер.

        Подключаем внешний считыватель для iButton.

        Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

        Сохраняемся — перезагружаем сервер.

        Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

        И не разрешает загрузку.

        Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

        Снимаем джампер J0. Собираем всё.

        Соболь перехватывает управление.

        Соболь без джампера J0 переходит в режим инициализации. Выбираем «Инициализация платы».

        Открывается окно «Общие параметры системы». Можно установить необходимые параметры. Нажимаем Esc.

        Открывается окно «Контроль целостности». Можно установить необходимые параметры. Нажимаем Esc.

        Ждём. Соболь любит тестировать датчик случайных чисел.

        Производится первичная регистрация администратора. Да.

        Указываем пароль. Enter.

        Повторяем пароль. Enter.

        Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

        Предупреждение, что ключ отформатируется. Да.

        Вы уверены? Винду напоминает. Да.

        Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

        Втыкаем второй ключ.

        Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

        Добираемся до платы соболя и ставим обратно джампер на J0.

        Грузимся в Legacy. Соболь перехватывает управление.

        Нас просят воткнуть ключ. Втыкаем.

        Нажимаем любую клавишу.

        Программно-аппаратный комплекс ПАК «Соболь» 4.0 – это электронный замок для защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
        Электронный замок «Соболь» применяется для защиты персональных компьютеров, в том числе десктопов, ноутбуков, ультрабуков, а также серверов и ряда специализированных устройств (криптографических шлюзов, маршрутизаторов и т. д.).
        Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.

        Возможности электронного замка «Соболь»:

        • Аутентификация пользователей.
        • Блокировка загрузки ОС со съемных носителей.
        • Контроль целостности программной среды.
        • Контроль целостности системного реестра Windows.
        • Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS).
        • Сторожевой таймер.
        • Регистрация попыток доступа к ПЭВМ.
        • Наличие сертификатов ФСБ и ФСТЭК России.
        • Защита информации, составляющей государственную тайну.
        • Помощь в построении прикладных криптографических приложений.
        • Простота в установке, настройке и эксплуатации.
        • Поддержка 64-битных операционных систем Windows (в том числе Windows 8 и Windows Server 2012).
        • Поддержка идентификаторов iButton, iKey 2032, eToken PRO, eToken PRO (Java) и Rutoken S/ RF S.
        • Гибкий выбор форматов исполнения платы (PCI, PCI-E, Mini PCI-E) и вариантов комплектации.
        • Поддержка файловой системы EXT 4 в ОС семейства Linux.
        • Поддержка высокоскоростного режима USB 2.0/3.0 для усиленной идентификации пользователей.

        1. Функционирование в среде UEFI;
        2. Поддержка разметки диска в формате GPT;
        3. Совместимость с USB 3.0;
        4. Поддержка новых операционных систем:

        • Альт Линукс СПТ 7;
        • Astra Linux Special Edition «Смоленск» 1.5;
        • VMware vSphere ESXi 5.5/6.
        • USB-ключи JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite;
        • Смарт-карты JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ.

        Соболь является средством защиты информации от несанкционированного доступа на персональных компьютерах. Соболь выполняет роль аппаратно-программного модуля доверенной загрузки. ПАК Соболь предназначен для защиты конфиденциальной информации , информации, содержащей сведения, составляющие государственную тайну со степенью секретности «совершенно секретно » включительно или относящейся к персональным данным .

        Сертификат ФСТЭК №1967 подтверждает, что ПАК Соболь соответствует требованиям руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и может использоваться в автоматизированных системах уровня защищенности до 1Б включительно.

        Сертификат ФСБ № СФ/027-1450 подтверждает, что ПАК Соболь соответствует требованиям аппаратно-программному модулю доверенной загрузки (АПМДЗ) по классу 1Б.

        Возможности ПАК Соболь

        ПАК Соболь выполняет следующие функции безопасности :

        • Блокирует попытки загрузки ОС со съемных носителей. После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Запрет на загрузку распространяется на всех пользователей компьютера, за исключением администратора.
        • Идентифицирует и аутентифицирует пользователей.
        • Выполняет контроль целостности файлов и секторов жесткого диска (до загрузки ОС). Используемый в комплексе Соболь механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы.
        • Выполняет роль Сторожевого таймера. Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь «
        • Регистрирует события безопасности системы в собственной энергонезависимой памяти.

        ПАК Соболь поддерживает работу со следующими операционными системами:

        • ОС семейства Windows (поддержка как 32, так и 64 битных)
        • ОС МСВС 3.0
        • Trustverse Linux XP Desktop 2008 Secure Edition
        • FreeBSD версии 5.3, 6.2, 6.3 или 7.2, 8.0, 8.1, 8.2
        • VMWare ESX 3.5 – 4.0

        ПАК Соболь поддерживает файловые системы: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

        Достоинства ПАК Соболь

        • ПАК Соболь удовлетворяет требованиям ФСТЭК по защите ПДн
        • ПАК Соболь получил сертификат ФСБ по АПМДЗ до класса 1Б
        • ПАК Соболь успешно функционирует в современных ОС Windows (32 и 64 bit)
        • Поддержка различных типов идентификаторов (Rutoken, eToken, «таблетки» DS iButton)
        • Возможность программной инициализации комплекса

        Возможности по администрированию

        Для настройки ПАК Соболь администратор имеет возможность:

        • Определять минимальную длину пароля пользователя;
        • Определять предельное число неудачных входов пользователя;
        • Добавлять и удалять имена пользователей;
        • Блокировать работу пользователя на компьютере;
        • Создавать резервные копии персонального идентификатора администратора.
        • Программно инициализировать комплекс.

        Аппаратные характеристики

        ПАК Соболь выпускается в виде платы, которая поддерживает 3-х и 5-ти вольтовую шину стандарта PCI или шину стандарта PCI Express версии 1.0а и выше. Соболь выпускается в двух аппаратных вариантах:

        На аппаратуру предоставляется гарантия 1 год с даты приобретения.

        ПАК Соболь применяется в Центробанке РФ, ГАС Выборы, МВД России, Федеральном Казначействе России, Пенсионном фонде России.

        Электронный замок «Соболь» (ПАК «Соболь») — сертифицированное аппаратно-программное средство защиты компьютера от несанкционированного доступа. Может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Cертификаты ФСБ и ФСТЭК обеспечивает возможность использования ПАК «Соболь» для защиты сведений, содержащих информацию, составляющую государственную тайну в автоматизированных системах уровня защищенности до 1Б включительно.

        2018: Получение сертификата соответствия ФСТЭК России

        10 декабря 2018 года компания «Код Безопасности » объявила о получении сертификата соответствия ФСТЭК России на ПАК «Соболь» версии 4. Сертификат №4043 от 05.12.2018 г. подтверждает соответствие электронного замка «Соболь» 4 требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты.

        Полученный сертификат сроком действия до 05.12.2023 г. дает возможность использования ПАК «Соболь» версии 4 для защиты конфиденциальной информации и гостайны с грифом «совершенно секретно», для применения продукта в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно.

        О выпуске ПАК «Соболь» версии 4 «Код безопасности» объявил в январе 2018 года. Четвертое поколение ПАК «Соболь» стало очередным шагом в развитии продукта: значительно изменились функциональные возможности электронного замка, и при этом сохранилась преемственность интерфейса , к которой привыкли пользователи предыдущей версии. Ключевыми отличиями данного поколения модулей доверенной загрузки стали поддержка технологии UEFI, совместимость с USB 3.0, а также расширение функциональных возможностей.

        Функционирование ПАК «Соболь» в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры . Поддержка разметки GPT позволяет работать с жесткими дисками объемом более 2 терабайт.

        В обновленной версии продукта обеспечена поддержка совместимости с USB 3.0 и осуществлен переход от 16-битной к 64-битной архитектуре. Интеграция с последними типами идентификаторов по сравнению с предыдущей версией ПАК «Соболь» требует значительно меньших затрат.

        В ПАК «Соболь» 4 расширен список поддерживаемых идентификаторов:

        • USB-ключи: JaCarta -2 ГОСТ, JaCarta-2 PKI /ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite;
        • Смарт-карты : JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ.

        Для упрощения использования ПАК «Соболь» в крупных инфраструктурах количество поддерживаемых пользователей было увеличено с 32 до 100, кроме того, были расширены возможности журнала безопасности: количество записей возросло с 80 до 2000. Для повышения удобства привычную консоль электронного замка сменил графический интерфейс, однако логика управления была сохранена. Также появилась возможность работы с компьютерной мышью.

        Электронный замок «Соболь» версии 4 уже поступил в продажу в трех форматах исполнения: на платах PCI Express, Mini PCI Express Half и М.2.

        Соболь» 4 – это совершенно другой подход к обеспечению доверенной загрузки современных компьютеров. Теперь нет необходимости переводить работу BIOS в 16-битный режим, а можно пользоваться всеми преимуществами 64-битной среды UEFI. Мы постарались сделать обновленный интерфейс максимально дружелюбным и интуитивно понятным – для того чтобы у администраторов не возникло трудностей с освоением продукта.

        ПАК «Соболь» 3.0 с новой платой PCI Express

        Компания «Код безопасности» объявила в сентябре 2016 года о начале продаж ПАК «Соболь» 3.0 (релиз 3.0.9) с новой платой PCI Express. Продукт прошел инспекционный контроль по требованиям ФСТЭК России в подтверждение выданного ранее сертификата №1967.

        В числе особенностей обновленной версии электронного замка «Соболь» — механизм сторожевого таймера, полный апгрейд элементной базы и ряд других доработок. Нововведения расширяют функциональные возможности продукта и сферу его применения, отметили в компании. Среди отличий от предыдущих версий — более высокая производительность при меньшей потребляемой мощности. При этом широкий выбор форматов исполнения платы дает возможность применять электронный замок «Соболь» для защиты моноблоков, ноутбуков и ультрабуков.

        ПАК «Соболь» 3.0 (релиз 3.0.9) доступен на платах PCI, Mini PCI Express, Mini PCI Express Half Size и на новой плате PCI Express, в которой реализовано дублирование электрических цепей. Подача питания на новой плате осуществляется как со слота PCI Express, так и с разъема SATA.

        Обновленная версия продукта может работать практически во всех операционных системах семейства Windows и Linux , даже в устаревших версиях (по запросу в техническую поддержку «Кода безопасности»). В числе совместимых новых дистрибутивов ОС Linux — МСВС 5.0, «Альт Линукс» 7.0, «Кентавр» x32/64, Astra Linux Special Edition «Смоленск» 1.4 х64, «Mandriva Роса Никель» x86/x64.

        По словам разработчиков, продукт прошел инспекционный контроль: сертификат ФСТЭК России подтверждает соответствие обновленной версии ПАК «Соболь» требованиям регулятора к средствам доверенной загрузки. Электронный замок может использоваться для обеспечения безопасности ИСПДн до 1-го уровня защищенности включительно и ГИС до 1-го класса защищенности включительно.

        «Соболь» 3.0 с платой PCI Express

        Версия ПАК «Соболь» 3.0 (релиз 3.0.9) доступна в нескольких форматах исполнения: на платах PCI, Mini PCI Express, Mini PCI Express Half и на плате PCI Express. В продукте усовершенствован механизм сторожевого таймера.

        В используемой плате PCI Express реализовано дублирование электрических цепей: подача питания осуществляется как со слота PCI Express, так и с разъема SATA. Эта модификация повышает надежность работы сторожевого таймера.

        Поскольку размеры PCI Express в два раза меньше платы предыдущей модификации, комплекс может быть установлен в мини-корпусах. Элементная база платы полностью обновлена, объем памяти увеличен в 4 раза, ПЛИС (программируемая логическая интегральная схема) изготовлена по 45-нм техпроцессу, а это значит, что у продукта более высокая производительность при меньшей потребляемой мощности. Широкий выбор форматов исполнения платы позволяет применять электронный замок «Соболь» для защиты моноблоков, ноутбуков и ультрабуков.

        Вышедшая версия электронного замка «Соболь» поддерживает файловые системы NTFS, FAT32, FAT16, FAT12, UFS2, UFS, EXT4, EXT3, EXT2. Продукт может работать практически во всех операционных системах семейства Windows и Linux , в том числе – в устаревших версиях (необходимое программное обеспечение предоставляется по запросу в техническую поддержку «Кода безопасности»). В релизе 3.0.9 добавилась поддержка версий операционных систем:

        • «Альт Линукс» 7.0 Кентавр x32/64;

        Как заявила компания, модернизированная версия ПАК «Соболь» передана на инспекционный контроль в ФСТЭК России для подтверждения соответствия ранее выданному сертификату №1967.

        Электронный замок «Соболь» протестирован на аппаратной платформе Inspur

        Модифицированная версия BIOS включена в релиз обновления HP Service Pack for ProLiant (HP SPP 2015.10.0) для всех основных моделей серверов HP Gen9 ProLiant . Интеграция обеспечивает гарантированную поддержку работы ПАК «Соболь» в качестве средства защиты от НСД на серверах HP ProLiant и допускает использование сертифицированного ПАК «Соболь» для защиты серверов от НСД и доверенной загрузки в соответствии с требованиями безопасности информации.

        2014: Соболь 3.0.7 в продаже

        Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.

        Соболь 3.0.7

        Сертификация соответствия

        Обновленная версия ПАК «Соболь» передана в ФСТЭК России для прохождения инспекционного контроля и в ФСБ России для проведения контрольных тематических испытаний с целью подтверждения имеющихся сертификатов соответствия.

        Электронные замки «Соболь-PCI» и «Соболь»

        Изделия «Программно-аппаратный комплекс «Соболь-PCI» и «Электронный замок «Соболь» устанавливаются в компьютеры сетевого (см. Рис. 9 ) и автономного вариантов системы Secret Net. Автономный вариант системы отличается от сетевого отсутствием средств централизованного управления защитой, а, именно, сервера безопасности и подсистемы управления.

        Сервернаячасть Secret Net Клиентскаячасть Secret Net

        Что не обеспечивает плата электронного замка соболь

        Электронный замок «Соболь» может быть использован для того, чтобы:

        • Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право.
        • В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.
        Преимущества

        «Соболь» прост в установке, настройке, администрировании, его использование не требует от пользователя высокой квалификации в области информационных технологий.

        Современная элементная база

        Современная элементная база обеспечивает высокую надежность и долговечность.

        Контроль целостности до загрузки ОС

        Электронный замок «Соболь» позволяет осуществлять контроль состояния системных файлов и любых других важных файлов пользователей до загрузки операционной системы. В случае нарушения целостности контролируемых объектов, электронный замок блокирует доступ к компьютеру для всех, кроме администратора, что позволяет администратору вовремя принять меры по восстановлению работоспособности ПЭВМ.

        Техническая поддержка
        Пользователи электронного замка «Соболь» в течение года обеспечиваются качественной и своевременной технической поддержкой, которая включает в себя: консультации по установке, настройке и эксплуатации электронного замка «Соболь» по телефону и электронной почте; устранение выявленных проблем совместимости с аппаратным обеспечением Заказчика.

        Технические характеристики
        • Идентификация пользователей по электронным идентификаторам
        • Защита операционной системы от модификации
        • Проверка целостности программной среды и запрет загрузки с внешних носителей
        • Защита от подбора пароля
        • Защита BIOS компьютера от несанкционированной модификации
        • Регистрация несанкционированных действий
        • Энергонезависимая память
        • Датчик случайных чисел
        • Использование электронного замка «Соболь» в Secret Net и «Континент»
        Область применения
        Сертификат

        ФСТЭК России №1967 от 7 декабря 2009 г. на соответствие руководящих документов по 2-му уровню контроля на отсутствие НДВ и может использоваться в автоматизированных системах до класса 1Б включительно.

        ФСБ России №СФ/027–0792 и №СФ/027–0887 на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б. Может использоваться для защиты информации содержащей сведения, составляющие государственную тайну.

        ПАК Соболь 3 — описание и установка

        Profile picture for user Олег

        ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО «Код Безопасности».

        Поставим на сервер HPE Proliant DL360 Gen10.

        Ссылки

        Зачем нужен

        • Защита информации от несанкционированного доступа.
        • Контроль целостности компонентов ИС.
        • Запрет загрузки ОС с внешних носителей.
        • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
        • Повышение класса защиты СКЗИ.

        Преимущества

        Тут я списал с листовки, добавив свои комментарии.

        • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
        • Усиленная (чем усиленная? — масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
        • Простота установки, настройки и администрирования.
        • Возможность программной инициализации без вскрытия системного блока.
        • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

        sobol

        Возможности

        • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
          • Windows
            • Windows 7/8/8.1/10
            • Windows Server 2008/2008 R2/2012/2012 R2
            • МСВС 5.0 х64
            • Альт Линукс 7.0 Кентавр x86/x64
            • Astra Linux Special Edition «Смоленск» 1.4 x64
            • CentOS 6.5 x86/x64
            • ContinentOS 4.2 x64
            • Debian 7.6 x86/x64
            • Mandriva РОСА «Никель» x86/x64
            • Red Hat Enterprise Linux 7.0 x64
            • Ubuntu 14.04 LTS Desktop/Server x86/x64
            • VMware vSphere ESXi 5.5 x64
            • Использование персональных электронных идентификаторов:
              • iButton
              • eToken PRO
              • eToken PRO (Java)
              • Rutoken
              • Rutoken RF
              • смарт-карты eToken PRO
              • Факт входа пользователя и имя пользователя.
              • Предъявление незарегистрированного идентификатора.
              • Ввод неправильного пароля.
              • Превышение числа попыток входа в систему.
              • Дата и время регистрации событий НСД.

              Принцип работы

              sobol

              Модельный ряд

              • PCI Express 57×80
              • Mini PCI Express
              • Mini PCI Express Half Size
              • M.2 A-E

              Размышления админа

              При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет — двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

              Обратил внимание на фразу «Простота администрирования». Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

              Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

              Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.

              Комплектация

              sobol

              Внешний вид

              Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен — видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

              sobol

              sobol

              sobol

              Установка

              Устанавливаем в сервер.

              sobol

              sobol

              sobol

              Подключаем внешний считыватель для iButton.

              sobol

              sobol

              Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

              sobol

              Сохраняемся — перезагружаем сервер.

              sobol

              Обнаружено новое устройство. Рекомендую ребутнуться второй раз.

              Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

              sobol

              sobol

              Соболь перехватывает управление.

              sobol

              И не разрешает загрузку.

              sobol

              Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

              sobol

              Снимаем джампер J0. Собираем всё.

              sobol

              Соболь перехватывает управление.

              sobol

              Соболь без джампера J0 переходит в режим инициализации. Выбираем «Инициализация платы».

              sobol

              Открывается окно «Общие параметры системы». Можно установить необходимые параметры. Нажимаем Esc.

              sobol

              Открывается окно «Контроль целостности». Можно установить необходимые параметры. Нажимаем Esc.

              sobol

              Ждём. Соболь любит тестировать датчик случайных чисел.

              sobol

              Производится первичная регистрация администратора. Да.

              sobol

              Указываем пароль. Enter.

              sobol

              Повторяем пароль. Enter.

              sobol

              Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

              sobol

              sobol

              Предупреждение, что ключ отформатируется. Да.

              sobol

              Вы уверены? Винду напоминает. Да.

              sobol

              Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

              sobol.

              Втыкаем второй ключ.

              sobol

              sobol

              sobol

              Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

              Добираемся до платы соболя и ставим обратно джампер на J0.

              sobol

              sobol

              Грузимся в Legacy. Соболь перехватывает управление.

              sobol

              Нас просят воткнуть ключ. Втыкаем.

              sobol

              sobol

              sobol

              sobol

              Нажимаем любую клавишу.

              sobol

              Выбираем «Загрузка операционной системы». Enter.

              sobol

              И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *