Найти в Дзене
Лаборатория сисадмина
7046 подписчиков

ПАК Соболь 3 — описание и установка

4493
5 мин
Оглавление

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО "Код Безопасности".

Поставим на сервер HPE Proliant DL360 Gen10.

Ссылки

Код Безопасности: https://www.securitycode.ru

Листовка Соболь 3: Sobol-R3_Listovka_2018_WEB.pdf

Зачем нужен

  • Защита информации от несанкционированного доступа.
  • Контроль целостности компонентов ИС.
  • Запрет загрузки ОС с внешних носителей.
  • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
  • Повышение класса защиты СКЗИ.

Преимущества

Тут я списал с листовки, добавив свои комментарии.

  • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
  • Усиленная (чем усиленная? - масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором). 
  • Простота установки, настройки и администрирования.
  • Возможность программной инициализации без вскрытия системного блока.
  • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

Возможности

  • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
  • Windows
  • Windows 7/8/8.1/10
  • Windows Server 2008/2008 R2/2012/2012 R2
  • Linux
  • МСВС 5.0 х64
  • Альт Линукс 7.0 Кентавр x86/x64
  • Astra Linux Special Edition "Смоленск" 1.4 x64
  • CentOS 6.5 x86/x64
  • ContinentOS 4.2 x64
  • Debian 7.6 x86/x64
  • Mandriva РОСА "Никель" x86/x64
  • Red Hat Enterprise Linux 7.0 x64
  • Ubuntu 14.04 LTS Desktop/Server x86/x64
  • VMware vSphere ESXi 5.5 x64
  • Поддержка других операционных систем осуществляется по запросу в службу технической поддержки "Код Безопасности".
  • Идентификация и аутентификация.
  • Использование персональных электронных идентификаторов:
  • iButton 
  • eToken PRO
  • eToken PRO (Java)
  • Rutoken
  • Rutoken RF
  • смарт-карты eToken PRO
  • Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного ЭИ.
  • Журналирование. Ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. В журнале фиксируются следующие события:
  • Факт входа пользователя и имя пользователя.
  • Предъявление незарегистрированного идентификатора.
  • Ввод неправильного пароля.
  • Превышение числа попыток входа в систему.
  • Дата и время регистрации событий НСД.
  • Контроль целостности реестра Windows. Контроль неизменности системного реестра Windows повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.
  • Аппаратный датчик случайных чисел. Повышение класса защиты СКЗИ и предоставление случайных чисел прикладному ПО.
  • Контроль конфигурации. Контроль неизменности конфигурации компьютера: PCI-устройств, ACPI, SMBIOS и оперативной памяти.
  • Запрет загрузки с внешних носителей. Обеспечение запрета загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).
  • Сторожевой таймер. Блокировка доступа к компьютеру с помощью механизма сторожевого таймера в случае, если управление при его включении не передано ПАК "Соболь".
  • Программная инициализация. Возможность инициализации ПАК "Соболь" программным способом, без вскрытия системного блока и удаления джампера на плате.

Принцип работы

-2

Модельный ряд

  • PCI Express 57x80
  • Mini PCI Express
  • Mini PCI Express Half Size
  • M.2 A-E

Размышления админа

При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет - двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

Обратил внимание на фразу "Простота администрирования". Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.

Комплектация

-3

Внешний вид

Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен - видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

-4

Другая сторона.

-5

Вид на разъём.

-6

Установка

Устанавливаем в сервер.

-7
-8

Вид сзади.

-9

Подключаем внешний считыватель для iButton.

-10
-11

Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

-12

Сохраняемся — перезагружаем сервер.

-13

Обнаружено новое устройство. Рекомендую ребутнуться второй раз. 

Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

-14
-15

Соболь перехватывает управление.

-16

И не разрешает загрузку.

-17

Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

-18

Снимаем джампер J0. Собираем всё.

-19

Соболь перехватывает управление.

-20

Соболь без джампера J0 переходит в режим инициализации. Выбираем "Инициализация платы".

-21

Открывается окно "Общие параметры системы". Можно установить необходимые параметры. Нажимаем Esc.

-22

Открывается окно "Контроль целостности". Можно установить необходимые параметры. Нажимаем Esc.

-23

Ждём. Соболь любит тестировать датчик случайных чисел.

-24

Производится первичная регистрация администратора. Да.

-25

Указываем пароль. Enter.

-26

Повторяем пароль. Enter.

-27

Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

-28
-29

Предупреждение, что ключ отформатируется. Да.

-30

Вы уверены? Винду напоминает. Да.

-31

Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

-32

Втыкаем второй ключ.

-33

Да.

-34

Да.

-35

Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

Добираемся до платы соболя и ставим обратно джампер на J0. 

-36

Включаем сервер.

-37

Грузимся в Legacy. Соболь перехватывает управление.

-38

Нас просят воткнуть ключ. Втыкаем.

-39

Вводим пароль.

-40

Enter.

-41

Ждём.

-42

Нажимаем любую клавишу.

-43

Выбираем "Загрузка операционной системы". Enter.

-44

И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера. 

Источник:
https://internet-lab.ru/pak_sobol

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

19
Взгляните на эти темы
Гаджеты и электроника
Умные колонки
Найти тему
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Интернет
Дроны и квадрокоптеры Autel
Xbox
Инновационные технологии будущего
Дроны и квадрокоптеры
Аудиотехника и акустика
Гаджеты и электроника
5,73 млн интересуются