Перейти к основному содержанию

ПАК Соболь 3 — описание и установка

ПАК Соболь

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО "Код Безопасности".

Поставим на сервер HPE Proliant DL360 Gen10.

    Ссылки

    Код Безопасности: https://www.securitycode.ru

    Листовка Соболь 3: Sobol-R3_Listovka_2018_WEB.pdf

    Зачем нужен

    • Защита информации от несанкционированного доступа.
    • Контроль целостности компонентов ИС.
    • Запрет загрузки ОС с внешних носителей.
    • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
    • Повышение класса защиты СКЗИ.

    Преимущества

    Тут я списал с листовки, добавив свои комментарии.

    • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
    • Усиленная (чем усиленная? - масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором). 
    • Простота установки, настройки и администрирования.
    • Возможность программной инициализации без вскрытия системного блока.
    • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

    sobol

    Возможности

    • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
      • Windows
        • Windows 7/8/8.1/10
        • Windows Server 2008/2008 R2/2012/2012 R2
      • Linux
        • МСВС 5.0 х64
        • Альт Линукс 7.0 Кентавр x86/x64
        • Astra Linux Special Edition "Смоленск" 1.4 x64
        • CentOS 6.5 x86/x64
        • ContinentOS 4.2 x64
        • Debian 7.6 x86/x64
        • Mandriva РОСА "Никель" x86/x64
        • Red Hat Enterprise Linux 7.0 x64
        • Ubuntu 14.04 LTS Desktop/Server x86/x64
        • VMware vSphere ESXi 5.5 x64
      • Поддержка других операционных систем осуществляется по запросу в службу технической поддержки "Код Безопасности".
    • Идентификация и аутентификация.
      • Использование персональных электронных идентификаторов:
        • iButton 
        • eToken PRO
        • eToken PRO (Java)
        • Rutoken
        • Rutoken RF
        • смарт-карты eToken PRO
      • Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного ЭИ.
    • Журналирование. Ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. В журнале фиксируются следующие события:
      • Факт входа пользователя и имя пользователя.
      • Предъявление незарегистрированного идентификатора.
      • Ввод неправильного пароля.
      • Превышение числа попыток входа в систему.
      • Дата и время регистрации событий НСД.
    • Контроль целостности реестра Windows. Контроль неизменности системного реестра Windows повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.
    • Аппаратный датчик случайных чисел. Повышение класса защиты СКЗИ и предоставление случайных чисел прикладному ПО.
    • Контроль конфигурации. Контроль неизменности конфигурации компьютера: PCI-устройств, ACPI, SMBIOS и оперативной памяти.
    • Запрет загрузки с внешних носителей. Обеспечение запрета загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).
    • Сторожевой таймер. Блокировка доступа к компьютеру с помощью механизма сторожевого таймера в случае, если управление при его включении не передано ПАК "Соболь".
    • Программная инициализация. Возможность инициализации ПАК "Соболь" программным способом, без вскрытия системного блока и удаления джампера на плате.

    Принцип работы

    sobol

    Модельный ряд

    • PCI Express 57x80
    • Mini PCI Express
    • Mini PCI Express Half Size
    • M.2 A-E

    Размышления админа

    При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет - двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

    Обратил внимание на фразу "Простота администрирования". Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

    Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

    Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.

    Комплектация

    sobol

    Внешний вид

    Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен - видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

    sobol

    Другая сторона.

    sobol

    Вид на разъём.

    sobol

    Установка

    Устанавливаем в сервер.

    sobol

    sobol

    Вид сзади.

    sobol

    Подключаем внешний считыватель для iButton.

    sobol

    sobol

    Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

    sobol

    Сохраняемся — перезагружаем сервер.

    sobol

    Обнаружено новое устройство. Рекомендую ребутнуться второй раз. 

    Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

    sobol

    sobol

    Соболь перехватывает управление.

    sobol

    И не разрешает загрузку.

    sobol

    Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

    sobol

    Снимаем джампер J0. Собираем всё.

    sobol

    Соболь перехватывает управление.

    sobol

    Соболь без джампера J0 переходит в режим инициализации. Выбираем "Инициализация платы".

    sobol

    Открывается окно "Общие параметры системы". Можно установить необходимые параметры. Нажимаем Esc.

    sobol

    Открывается окно "Контроль целостности". Можно установить необходимые параметры. Нажимаем Esc.

    sobol

    Ждём. Соболь любит тестировать датчик случайных чисел.

    sobol

    Производится первичная регистрация администратора. Да.

    sobol

    Указываем пароль. Enter.

    sobol

    Повторяем пароль. Enter.

    sobol

    Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

    sobol

    sobol

    Предупреждение, что ключ отформатируется. Да.

    sobol

    Вы уверены? Винду напоминает. Да.

    sobol

    Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

    sobol.

    Втыкаем второй ключ.

    sobol

    Да.

    sobol

    Да.

    sobol

    Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

    Добираемся до платы соболя и ставим обратно джампер на J0. 

    sobol

    Включаем сервер.

    sobol

    Грузимся в Legacy. Соболь перехватывает управление.

    sobol

    Нас просят воткнуть ключ. Втыкаем.

    sobol

    Вводим пароль.

    sobol

    Enter.

    sobol

    Ждём.

    sobol

    Нажимаем любую клавишу.

    sobol

    Выбираем "Загрузка операционной системы". Enter.

    sobol

    И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера. 

     

    Похожие материалы

    Межсетевой экран Cisco ASA 5505

    Оборудование Cisco ASA 5505 поддерживает разнообразные сервисы, включая межсетевой экран, виртуальные сети (VPN), SSL. ASDM (Cisco Adaptive Security Device Manager) позволяет эксплуатировать оборудование. Cisco ASA 5505 поддерживает функции 8-ми портового коммутатора 10/100 с динамическим перераспределением портов, поддерживает организацию 3-х виртуальных сетей.

    Hikvision IP-камера DS-2CD2523G0-IS обзор и настройка

    Пришла парочка новых камер для видеонаблюдения, характеристики приведу ниже. Ниже расскажу по каким критериям выбрана именно эта камера. Камера сделана добротно и выглядит надёжно. Поставляется в коробке.

    Модуль памяти CRUCIAL Ballistix Elite BLE2K8G4D36BEEAK DDR4 — 2 x 8 Гб

    Оперативная память Ballistix Elite предназначена для комплектации мощного игрового компьютера или универсального системного блока. Рассчитана на высокую производительность и стабильную работу.Оснащена радиаторами охлаждения. Поставляется комплектом из двух планок памяти.