Complejo de software y hardware Sable 3.0. Cerradura de sable electrónica

Sable es un medio para proteger la información del acceso no autorizado en computadoras personales. Sable actúa como un módulo de hardware y software para un arranque confiable. PAK Sobol creado para protección de información confidencial, información que contiene información que constituye secreto de estado con un grado de secreto " ultra secreto"inclusivo o relacionado con información personal.

El certificado FSTEC No. 1967 confirma que PAK Sobol cumple con los requisitos de los documentos rectores FSTEC de Rusia según el segundo nivel de control para la ausencia de NDV y se puede utilizar en sistemas automatizados nivel de seguridad hasta 1B inclusive.

El certificado FSB No. СФ / 027-1450 confirma que PAK Sobol cumple con los requisitos del módulo hardware y software de carga confiable (APMDZ) según clase 1B.

Posibilidades de PAK Sobol

PAK Sobol realiza las siguientes funciones seguridad:

• Bloquea los intentos de iniciar el sistema operativo desde un medio extraíble. Después de cargar correctamente una copia del sistema operativo estándar, se restaura el acceso a estos dispositivos. La prohibición de descargar se aplica a todos los usuarios de la computadora, excepto al administrador.
• Identifica y autentica a los usuarios.
• Supervisa la integridad de los archivos y sectores de duro disco (antes de cargar el sistema operativo). Usado en un complejo Sable El mecanismo de control de integridad le permite controlar la inmutabilidad de archivos y sectores físicos. disco duro antes de cargar el sistema operativo.
• Sirve como temporizador de perro guardián. El mecanismo de vigilancia proporciona acceso de bloqueo a la computadora, siempre que después de encender la computadora y después de un intervalo de tiempo específico, el control no se transfiera a la extensión BIOS del complejo " Sable"
• Registra eventos de seguridad del sistema en su propia memoria no volátil.

PAK Sobol es compatible con los siguientes sistemas operativos:

• Sistema operativo de la familia Windows (compatible con 32 y 64 bits)
• SO MSVS 3.0
• Trustverse Linux XP Desktop 2008 Secure Edition
• FreeBSD versión 5.3, 6.2, 6.3 o 7.2, 8.0, 8.1, 8.2
• VMWare ESX 3.5 - 4.0

PAK Sobol Admite sistemas de archivos: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

Dignidad PAK Sobol

• PAK Sobol cumple con los requisitos de FSTEC para la protección de datos personales
• PAK Sobol recibió un certificado FSB para APMDZ hasta clase 1B
• PAK Sobol funciona con éxito en el sistema operativo Windows moderno (32 y 64 bits)
• Apoyo diferentes tipos identificadores (Rutoken, eToken, "tabletas" DS iButton)
• Posibilidad de inicialización del software del complejo.

Capacidades de administración

Para la configuración PAK Sobol el administrador tiene la capacidad de:

• Determine la longitud mínima de la contraseña de un usuario;
• Determine el límite para el número de inicios de sesión de usuarios fallidos;
• Agregar y eliminar nombres de usuario;
• Bloquear el trabajo del usuario en la computadora;
• Cree copias de seguridad del ID de administrador personal.
• Inicialice el complejo mediante programación.

Especificación de hardware

PAK Sobol se produce en forma de placa que admite bus PCI de 3 y 5 voltios o bus estándar PCI-Express versión 1.0ay superior. Sable está disponible en dos versiones de hardware:

Se proporciona el equipo 1 año de garantía desde la fecha de compra.

PAK Sobol utilizado en el Banco Central de la Federación de Rusia, GAS Vybory, el Ministerio del Interior de Rusia, el Tesoro Federal de Rusia, El Fondo de Pensiones Rusia.

PAK Sobol 3 es una cerradura electrónica. Es una tarjeta que se conecta a un servidor o estación de trabajo. La seguridad es nuestro todo. Este producto no se pone a petición del administrador, sino si existen tales requisitos. Fabricante: Security Code LLC.

Pongámoslo en el servidor HPE Proliant DL360 Gen10.

Enlaces

Por qué lo necesitas

• Protección de la información del acceso no autorizado.
• Control de integridad de los componentes del CI.
• Prohibir la carga del sistema operativo desde medios externos.
• Protección de información confidencial y secretos de estado de acuerdo con los requisitos de los documentos reglamentarios.
• Aumento de la clase de protección de CIPF.

Beneficios

Aquí copié del folleto, agregando mis comentarios.

• Supervisión de la integridad del sistema registro de windows, configuración de hardware de la computadora y archivos antes de cargar el sistema operativo.
• Reforzado (¿qué es reforzado? - aceite aceite) Autenticación de dos factores utilizando identificadores electrónicos personales modernos (si la clave del intercomunicador se considera un identificador electrónico moderno).
• Fácil de instalar, configurar y administrar.
• Capacidad para inicializar programáticamente sin alterar unidad del sistema.
• Generador de números aleatorios por hardware que cumple con los requisitos del FSB.

Capacidades

• Supervisión de la integridad del entorno del software. Control de la inmutabilidad de archivos y sectores físicos del disco duro, así como sistemas de archivos: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 en sistemas operativos Linux y Windows. Sistemas operativos compatibles:
  • Ventanas
    • Windows 7/8 / 8.1 / 10
    • Servidor de windows 2008/2008 R2 / 2012/2012 R2
  • Linux
    • MSVS 5.0 х64
    • Alt Linux 7.0 Centaur x86 / x64
    • Astra Linux Special Edition "Smolensk" 1.4 x64
    • CentOS 6.5 x86 / x64
    • ContinentOS 4.2 x64
    • Debian 7.6 x86 / x64
    • Mandriva ROSA "Nickel" x86 / x64
    • Red Hat Enterprise Linux 7.0 x64
    • Escritorio / servidor Ubuntu 14.04 LTS x86 / x64
    • VMware vSphere ESXi 5.5 x64
  • Apoyando a otros sistemas operativos realizado bajo pedido al servicio apoyo técnico"Código de seguridad".
• Identificación y autenticación.
  • Uso de identificadores electrónicos personales:
    • iButton
    • eToken PRO
    • eToken PRO (Java)
    • Rutoken
    • Rutoken RF
    • Tarjetas inteligentes eToken PRO
  • El sistema operativo se carga desde el disco duro solo después de que se presenta el EI registrado.
• Llevar un diario. Manteniendo syslog, cuyos registros se almacenan en una memoria especial no volátil. Los siguientes eventos se registran en el registro:
  • Dato de inicio de sesión de usuario y nombre de usuario.
  • Presentación de un identificador no registrado.
  • Ingresando la contraseña incorrecta.
  • Se superó el número de intentos de inicio de sesión.
  • Fecha y hora de registro de eventos de manipulación.
• Controlar la integridad del registro de Windows. Controlando la inmutabilidad registro del sistema Windows aumenta la protección de las estaciones de trabajo contra acciones no autorizadas dentro del sistema operativo.
• Generador de números aleatorios por hardware. Aumentar la clase de protección del sistema de protección criptográfica y proporcionar números aleatorios al software de la aplicación.
• Control de configuración. Control de la invariabilidad de la configuración del equipo: dispositivos PCI, ACPI, SMBIOS y RAM.
• Prohibir el arranque desde medios externos. Asegurando la prohibición de cargar el sistema operativo desde medios extraíbles (USB, FDD, DVD / CD-ROM, LPT, puertos SCSI, etc.).
• Temporizador de vigilancia. Bloquear el acceso a la computadora mediante el mecanismo de temporizador de vigilancia si el control no se transfiere al Sobol PAK cuando está encendido.
• Inicialización del software. Posibilidad de inicialización de PAK "Sobol" programáticamente, sin abrir la unidad del sistema y quitar el puente de la placa.

Principio de funcionamiento

La alineación

• PCI Express 57x80
• Mini PCI Express
• Mini PCI Express de tamaño medio
• M.2 A-E

Reflexiones del administrador

Cuando lo recibe un atacante Acceso completo a la consola del servidor remoto, esta cerradura electrónica no ayudará. Basta con cambiar al modo Arranque UEFI y Sable no ara: el factor doble se convierte en una calabaza. Parece que la 4ta versión de Sobol tuvo la oportunidad de trabajar en UEFI, no miró lo que había ahí.

Llamó la atención sobre la frase "Facilidad de administración". ¿Simplemente? Sí, no es difícil. Convenientemente? Nifiga no es conveniente. El servidor se ha reiniciado; vaya al centro de datos. No existe un medio normal de autenticación remota de dos factores.

Controlar la integridad del registro es algo dudoso. Sí, lo hace. Windows se ha actualizado: un viaje al centro de datos. Por lo general, no es seguro dejar Windu sin actualizaciones y Sable interfiere con estas actualizaciones.

Equipo

Apariencia

Un lado. Hay saltadores en el tablero, los necesitaremos más adelante. Los saltadores en el plano del tablero no afectan el funcionamiento, solo afectan aquellos que son perpendiculares al plano del tablero. Se instaló un puente J0; aparentemente, Sable ya estaba en algún lugar. En teoría, debería determinar que el hardware ha cambiado y no permitir que funcione, lo comprobaremos durante la instalación.

Otro lado.

Vista del conector.

Instalación

Instálelo en el servidor.

Vista trasera.

Conectamos un lector externo para iButton.

Encendemos el servidor. Entramos en la BIOS y cambiamos el modo de arranque a Legacy.

Guardar: reinicia el servidor.

Para que Sable funcione, el sistema debe intentar arrancar. No tengo nada en el disco ahora, luego edito Imagen ISO con un instalador de SO.

Y no permite la descarga.

Porque estaba en otro servidor antes. La protección funciona. Apagamos todo. Desmontamos todo. Llegamos a los saltadores de Sobol.

Retire el puente J0. Recopilamos todo.

Sable toma el control.

Sable sin jumper J0 entra en modo de inicialización. Seleccione "Inicialización de placa".

Se abre la ventana "Configuración general del sistema". Puede configurar los parámetros necesarios. Presione Esc.

Se abre la ventana "Control de integridad". Puede configurar los parámetros necesarios. Presione Esc.

Esperamos. A Sable le encanta probar el generador de números aleatorios.

Se realiza el registro inicial del administrador. Si.

Especificamos la contraseña. Ingresar.

Repetimos la contraseña. Ingresar.

Se nos pide que peguemos la llave. Nos quedamos en el primero que se incluyó.

Una advertencia de que se formateará la clave. Si.

¿Está seguro? Windu recuerda. Si.

Crear un respaldo ID de administrador? Por supuesto, tenemos dos claves. Sacamos la primera llave. Elegimos Sí.

Pegamos la segunda clave.

Se nos dice que nos volvamos a poner el jersey. está bien. El servidor se está apagando.

Llegamos a la tabla de marta y volvemos a poner el jumper en J0.

Encendemos el servidor.

Cargando en Legacy. Sable toma el control.

Se nos pide que peguemos la llave. Nos quedamos.

Ingresa tu contraseña.

Presiona cualquier tecla.

Sistema de hardware y software PAK "Sobol" 4.0 Es un candado electrónico para proteger su computadora del acceso no autorizado (módulo de hardware y software para descarga confiable). Cerradura electronica"Sable" se puede utilizar como un dispositivo de protección para una computadora independiente, así como una estación de trabajo o servidor que forman parte de una red de área local.
La cerradura electrónica "Sable" se utiliza para proteger Computadoras personales, incluidos equipos de escritorio, portátiles, ultrabooks, así como servidores y una serie de dispositivos especializados (pasarelas criptográficas, enrutadores, etc.).
El producto ha pasado el control de inspección en la FSTEC de Rusia para el cumplimiento de las directrices para el 2do nivel de control por ausencia de NDV y puede ser utilizado en centrales nucleares hasta clase 1B inclusive e ISPDn del más alto nivel de seguridad. La versión actualizada del Sobol PAK también se ha transferido al FSB de Rusia, donde se realizan pruebas de control temático con el fin de confirmar los certificados de conformidad existentes.

Capacidades cerradura electronica"Sable":

• Autenticacion de usuario.
• Bloqueo de arranque del sistema operativo desde medios extraíbles.
• Supervisión de la integridad del entorno del software.
• Supervisión de la integridad del registro de Windows.
• Control de configuración informática (dispositivos PCI, ACPI, SMBIOS).
• Temporizador de vigilancia.
• Registro de intentos de acceso a PC.

Ventajas de la cerradura electrónica "Sobol":

• Disponibilidad de certificados del FSB y FSTEC de Rusia.
• Protección de la información que constituye un secreto de estado.
• Asistencia en la construcción de aplicaciones criptográficas aplicadas.
• Fácil de instalar, configurar y operar.
• Soporte para sistemas operativos de 64 bits Sistemas Windows(incluidos Windows 8 y Windows Server 2012).
• Soporte para iButton, iKey 2032, eToken PRO, eToken PRO (Java) y Rutoken S / RF S.
• Elección flexible de formatos de ejecución de tarjetas (PCI, PCI-E, Mini PCI-E) y opciones de configuración.
• Soporte para el sistema de archivos EXT 4 en sistemas operativos Linux.
• Admite el modo de alta velocidad USB 2.0 / 3.0 para una mejor identificación del usuario.

Cambios importantes en la versión 4.0 de PAK "Sobol":

1. Funcionamiento en el entorno UEFI;
2. Soporte para particiones de disco en formato GPT;
3. Compatible con USB 3.0;
4. Soporte para nuevos sistemas operativos:

• Alt Linux SPT 7;
• Astra Linux Special Edition "Smolensk" 1.5;
• VMware vSphere ESXi 5.5 / 6.

5. El número de usuarios admitidos se ha incrementado de 32 a 100;
6. El número de entradas del registro de seguridad aumentó de 80 a 2000;
7. Se ha ampliado la lista de identificadores admitidos: \

• Llaves USB JaCarta-2 GOST, JaCarta-2 PKI / GOST, JaCarta SF / GOST, Rutoken EDS y Rutoken Lite;
• Tarjetas inteligentes JaCarta-2 GOST, JaCarta-2 PKI / GOST.

PAK "Sobol" 3.0 es un complejo de hardware y software, que es un candado electrónico que protege la computadora de accesos no autorizados y descargas confiables. El uso de una cerradura electrónica "Sable" es posible para garantizar la protección de una computadora, estación de trabajo o servidor que están conectados a red local... La versión 3.0 es compatible con alta velocidad. modo USB 2.0/3.0.

PAK Sobol 3.0 cumple con todos los requisitos y estándares de la legislación federal, lo que está confirmado por el certificado No. 1967 y la aprobación del control de inspección por parte de la FSTEC de la Federación de Rusia para el cumplimiento de las pautas para el segundo nivel de control.

"Sobol" 3.0, como cerradura electrónica, está diseñado para proteger computadoras personales (incluyendo ultrabooks, laptops, desktops), servidores y dispositivos especializados como routers, gateways criptográficos y otros. Una versión mejorada del complejo Sobol es compatible con los sistemas operativos Windows 8 y Windows Server 2012, así como sistema de archivos EXT4 en sistemas operativos Linux.

Gracias al paso del control de inspección en el FSTEC RF, este producto se puede utilizar en sistemas automatizados hasta e incluida la clase 1B y sistemas de información datos personales con un alto nivel de seguridad. Ahora PAK "Sobol" 3.0 está siendo sometido a pruebas de control en el FSB de Rusia para certificar los certificados de conformidad existentes.

Funciones de la cerradura electrónica PAK "Sobol":

• gestión de la configuración de la computadora (ACPI, dispositivos PCI, SMBIOS);
• bloquear la carga del sistema operativo desde medios externos;
• control de la integridad del registro del sistema de Windows;
• contabilidad de intentos de acceder a una computadora personal;
• autenticacion de usuario;
• control de integridad del sistema;
• temporizador de vigilancia.

Ventajas de la cerradura electrónica PAC "Sobol":

• soporte para los sistemas operativos Windows 8 y Windows Server 2012 con un sistema de 64 bits;
• Compatible con el modo de alta velocidad USB 2.0 / 3.0 para una mejor identificación del usuario;
• interacción con identificadores Rutoken S / RF S, eToken PRO, eToken PRO (Java), iKey 2032, iButton;
• soporte técnico en la creación de soluciones criptográficas simples;
• protección de datos secretos de estado;
• elección flexible de opciones de configuración y formatos de placa (PCI-E, Mini PCI-E, PCI);
• facilidad de implementación, optimización y operación;
• Certificación FSTEC y FSB de Rusia.