Elektronický sobolí zámek. Elektronický zámek sable Pak sable verze 3.0

PAK "Sobol" 3.0- je hardwarový a softwarový komplex, což je elektronický zámek, který chrání váš počítač před neoprávněným přístupem a důvěryhodným stahováním. Použití elektronického zámku "Sable" je možné pro zajištění ochrany počítače, pracovní stanice nebo serveru, které jsou připojeny k lokální síti. Verze 3.0 je kompatibilní s vysokorychlostním režimem USB 2.0 / 3.0.

PAK Sobol 3.0 splňuje všechny požadavky a normy federální legislativy, což je potvrzeno certifikátem č. 1967 a absolvováním inspekční kontroly FSTEC Ruské federace pro dodržování směrnic pro druhý stupeň kontroly.

„Sobol“ 3.0 jako elektronický zámek je určen k ochraně osobních počítačů (včetně ultrabooků, notebooků, stolních počítačů), serverů a specializovaných zařízení, jako jsou routery, kryptografické brány a další. Vylepšená verze Sobol PAC je kompatibilní s operačními systémy Windows 8 a Windows Server 2012 a také se souborovým systémem EXT4 v operačních systémech Linux.

Vzhledem k průchodu inspekční kontrolou ve FSTEC Ruské federace lze tento produkt používat v automatizovaných systémech do třídy 1B včetně a informačních systémech osobních údajů s vysokou úrovní zabezpečení. Nyní PAK "Sobol" 3.0 prochází kontrolními testy v FSB Ruska k certifikaci stávajících certifikátů shody.

Funkce elektronického zámku PAK "Sobol":

  • správa nastavení počítače (ACPI, PCI zařízení, SMBIOS);
  • blokování načítání operačního systému z externích médií;
  • kontrola integrity systémového registru Windows;
  • účtování pokusů o přístup k osobnímu počítači;
  • Ověření uživatele;
  • kontrola integrity systému;
  • hlídací časovač.

Výhody elektronického zámku PAC "Sobol":

  • podpora operačních systémů Windows 8 a Windows Server 2012 s 64bitovým systémem;
  • Kompatibilní s vysokorychlostním režimem USB 2.0 / 3.0 pro lepší identifikaci uživatele;
  • interakce s identifikátory Rutoken S / RF S, eToken PRO, eToken PRO (Java), iKey 2032, iButton;
  • technická podpora při vytváření jednoduchých kryptografických řešení;
  • ochrana údajů, které jsou státním tajemstvím;
  • flexibilní výběr možností konfigurace a formátů desek (PCI-E, Mini PCI-E, PCI);
  • snadnost nasazení, optimalizace a provozu;
  • Certifikace FSTEC a FSB Ruska.

Hardwarový a softwarový systém PAK "Sobol" 4.0 Je elektronický zámek, který chrání váš počítač před neoprávněným přístupem (hardwarový a softwarový modul pro důvěryhodné stahování). Elektronický zámek "Sobol" lze použít jako ochranné zařízení pro autonomní počítač, stejně jako pracovní stanici nebo server, který je součástí místní sítě.
Elektronický zámek Sobol slouží k ochraně osobních počítačů, včetně stolních počítačů, notebooků, ultrabooků, ale i serverů a řady specializovaných zařízení (kryptografické brány, routery atd.).
Výrobek prošel inspekční kontrolou v FSTEC Ruska pro shodu se směrnicemi pro 2. stupeň kontroly nepřítomnosti NDV a lze jej použít v jaderných elektrárnách do třídy 1B včetně a ISPDn nejvyššího stupně zabezpečení. Aktualizovaná verze Sobol PAK byla také převedena na FSB Ruska, kde se provádějí kontrolní tematické testy za účelem potvrzení stávajících certifikátů shody.

Možnosti elektronického zámku "Sobol":

  • Ověření uživatele.
  • Blokování spouštění OS z vyměnitelného média.
  • Sledování integrity softwarového prostředí.
  • Sledování integrity registru systému Windows.
  • Řízení konfigurace počítače (PCI zařízení, ACPI, SMBIOS).
  • Časovač hlídacího psa.
  • Registrace pokusů o přístup k PC.
Výhody elektronického zámku "Sobol":
  • Dostupnost certifikátů FSB a FSTEC Ruska.
  • Ochrana informací tvořících státní tajemství.
  • Pomoc při vytváření aplikovaných kryptografických aplikací.
  • Snadná instalace, konfigurace a obsluha.
  • Podporuje 64bitové operační systémy Windows (včetně Windows 8 a Windows Server 2012).
  • Podpora pro iButton, iKey 2032, eToken PRO, eToken PRO (Java) a Rutoken S / RF S.
  • Flexibilní výběr formátů provedení karty (PCI, PCI-E, Mini PCI-E) a možností konfigurace.
  • Podpora souborového systému EXT 4 v operačních systémech Linux.
  • Podporuje vysokorychlostní režim USB 2.0 / 3.0 pro lepší identifikaci uživatele.
Hlavní změny ve verzi 4.0 PAK "Sobol":

1. Fungování v prostředí UEFI;
2. Podpora pro dělení disku ve formátu GPT;
3. Kompatibilní s USB 3.0;
4. Podpora pro nové operační systémy:

  • Alt Linux SPT 7;
  • Astra Linux Special Edition "Smolensk" 1.5;
  • VMware vSphere ESXi 5.5 / 6.
5. Počet podporovaných uživatelů byl zvýšen z 32 na 100;
6. Počet položek protokolu zabezpečení se zvýšil z 80 na 2000;
7. Seznam podporovaných identifikátorů byl rozšířen: \
  • USB klíče JaCarta-2 GOST, JaCarta-2 PKI / GOST, JaCarta SF / GOST, Rutoken EDS a Rutoken Lite;
  • Čipové karty JaCarta-2 GOST, JaCarta-2 PKI / GOST.

Sable je prostředek k ochraně informací před neoprávněným přístupem na osobních počítačích. Sable funguje jako hardwarový a softwarový modul pro důvěryhodné spouštění. PAK Sobol vytvořený pro ochrana důvěrných informací, informace obsahující informace tvořící státní tajemství se stupněm utajení" Přísně tajné„zahrnující nebo související osobní data.

Certifikát FSTEC č. 1967 to potvrzuje PAK Sobol vyhovuje požadavkům směrnic FSTEC Ruska na 2. stupni kontroly nepřítomnosti NDV a lze jej použít v automatizovaných systémech stupně zabezpečení do 1B včetně.

Certifikát FSB č. СФ / 027-1450 to potvrzuje PAK Sobol vyhovuje požadavkům hardwarového a softwarového modulu důvěryhodného načítání (APMDZ) podle třídy 1B.

Možnosti PAK Sobol

PAK Sobol provádí následující funkce bezpečnostní:

  • Blokuje pokusy o zavedení operačního systému z vyměnitelného média. Po úspěšném načtení standardní kopie OS je přístup k těmto zařízením obnoven. Zákaz stahování platí pro všechny uživatele počítače kromě správce.
  • Identifikuje a ověřuje uživatele.
  • Sleduje integritu souborů a sektorů pevného disku (před načtením OS). Používá se v komplexu Sable mechanismus kontroly integrity vám umožňuje řídit neměnnost souborů a fyzických sektorů pevného disku před zavedením operačního systému.
  • Slouží jako časovač Watchdog. Mechanismus hlídacího psa poskytuje blokování přístupu k počítači za předpokladu, že po zapnutí počítače a po určeném časovém intervalu nebude řízení přeneseno na rozšíření BIOS komplexu " Sable"
  • Registruje události zabezpečení systému ve své vlastní energeticky nezávislé paměti.

PAK Sobol podporuje následující operační systémy:

  • OS Windows family (podpora 32 i 64 bitů)
  • OS MSVS 3.0
  • Trustverse Linux XP Desktop 2008 Secure Edition
  • FreeBSD verze 5.3, 6.2, 6.3 nebo 7.2, 8.0, 8.1, 8.2
  • VMWare ESX 3.5 - 4.0

PAK Sobol Podporuje systémy souborů: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

Výhody PAK Sobol

  • PAK Sobol splňuje požadavky FSTEC na ochranu osobních údajů
  • PAK Sobol získal certifikát FSB pro APMDZ do třídy 1B
  • PAK Sobol úspěšně funguje v moderním OS Windows (32 a 64 bit)
  • Podpora různých typů identifikátorů (Rutoken, eToken, tablety DS iButton)
  • Možnost softwarové inicializace komplexu

Možnosti administrace

Pro nastavení PAK Sobol správce má možnost:

  • Určete minimální délku hesla uživatele;
  • Určete limit pro počet neúspěšných přihlášení uživatele;
  • Přidávat a odebírat uživatelská jména;
  • Blokovat práci uživatele na počítači;
  • Vytvořte zálohy ID osobního správce.
  • Inicializujte komplex programově.

Hardwarová specifikace

PAK Sobol se vyrábí ve formě desky, která podporuje 3- a 5-voltovou sběrnici PCI nebo sběrnici PCI Express verze 1.0a a vyšší. Sable je k dispozici ve dvou hardwarových verzích:

Vybavení je zajištěno 1 rok záruka od data nákupu.

PAK Sobol používá se v Centrální bance Ruské federace, GAS Vybory, Ministerstvu vnitra Ruska, Federální pokladně Ruska, Penzijním fondu Ruska.

PAK Sobol 3 je elektronický zámek. Je to karta, která se zapojuje do serveru nebo pracovní stanice. Bezpečnost je naše všechno. Tento produkt není umístěn na žádost správce, ale pokud existují takové požadavky. Výrobce: Security Code LLC.

Položme to na server HPE Proliant DL360 Gen10.

Odkazy

Proč potřebuješ

  • Ochrana informací před neoprávněným přístupem.
  • Kontrola integrity součástek IC.
  • Zákaz načítání OS z externích médií.
  • Ochrana důvěrných informací a státních tajemství v souladu s požadavky regulačních dokumentů.
  • Zvýšení třídy ochrany CIPF.

Výhody

Zde jsem zkopíroval z letáku a přidal své komentáře.

  • Kontrola integrity registru Windows, konfigurace hardwaru počítače a souborů před načtením operačního systému.
  • Vylepšená (než posílená? - olejová) dvoufaktorová autentizace pomocí moderních osobních elektronických identifikátorů (pokud považujeme klíč interkomu za moderní elektronický identifikátor).
  • Snadná instalace, konfigurace a správa.
  • Možnost inicializace softwaru bez otevření systémové jednotky.
  • Hardwarový generátor náhodných čísel, který splňuje požadavky FSB.

Možnosti

  • Sledování integrity softwarového prostředí.Řízení neměnnosti souborů a fyzických sektorů pevného disku a také souborových systémů: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 v operačních systémech Linux a Windows. Podporované operační systémy:
    • Okna
      • Windows 7/8/8.1/10
      • Windows Server 2008/2008 R2 / 2012/2012 R2
    • Linux
      • MSVS 5.0 х64
      • Alt Linux 7.0 Centaur x86 / x64
      • Astra Linux Special Edition "Smolensk" 1.4 x64
      • CentOS 6.5 x86 / x64
      • ContinentOS 4.2 x64
      • Debian 7.6 x86 / x64
      • Mandriva ROSA "Nickel" x86 / x64
      • Red Hat Enterprise Linux 7.0 x64
      • Ubuntu 14.04 LTS Desktop / Server x86 / x64
      • VMware vSphere ESXi 5.5 x64
    • Podpora pro jiné operační systémy je poskytována na vyžádání u služby technické podpory Bezpečnostní kód.
  • Identifikace a autentizace.
    • Použití osobních elektronických identifikátorů:
      • iButton
      • eToken PRO
      • eToken PRO (Java)
      • Rutoken
      • Rutoken RF
      • Chytré karty eToken PRO
    • Operační systém se načte z pevného disku až po předložení registrovaného EI.
  • Vedení deníku. Vedení systémového logu, jehož záznamy jsou uloženy ve speciální energeticky nezávislé paměti. V protokolu jsou zaznamenány následující události:
    • Fakta o přihlášení uživatele a uživatelské jméno.
    • Prezentace neregistrovaného identifikátoru.
    • Zadání nesprávného hesla.
    • Byl překročen počet pokusů o přihlášení.
    • Datum a čas registrace událostí manipulace.
  • Řízení integrity registru systému Windows.Řízení neměnnosti registru Windows zvyšuje ochranu pracovních stanic před neoprávněnými akcemi v rámci operačního systému.
  • Hardwarový generátor náhodných čísel. Zvýšení třídy ochrany systému kryptografické ochrany a poskytnutí náhodných čísel aplikačnímu softwaru.
  • Kontrola konfigurace.Řízení neměnnosti konfigurace počítače: PCI zařízení, ACPI, SMBIOS a RAM.
  • Zákaz bootování z externího média. Zajištění zákazu načítání operačního systému z výměnných médií (USB, FDD, DVD / CD-ROM, LPT, SCSI porty atd.).
  • Časovač hlídacího psa. Blokování přístupu k počítači pomocí mechanismu hlídacího časovače, pokud není ovládání přeneseno na Sobol HSS, když je zapnutý.
  • Inicializace softwaru. Možnost inicializace softwarového balíku Sobol bez otevření systémové jednotky a odstranění propojky na desce.

Princip činnosti

Sestava

  • PCI Express 57x80
  • Mini PCI Express
  • Mini PCI Express poloviční velikost
  • M.2 A-E

Úvahy admina

Když útočník získá plný přístup ke konzole vzdáleného serveru, tento elektronický zámek nepomůže. Stačí přepnout do bootovacího režimu UEFI a Sable neorá – dvoufaktor se promění v dýni. Zdá se, že 4. verze Sobola měla možnost pracovat v UEFI, nedíval se, co tam je.

Upozornil jsem na frázi „Snadná administrace“. Prostě? Ano, není to těžké. Komfortní? Nifiga není pohodlná. Server se restartoval - přejděte do datového centra. Neexistuje žádný normální způsob vzdáleného dvoufaktorového ověřování.

Kontrola integrity registru je pochybná věc. Ano. Windows byl aktualizován - výlet do datového centra. Windu obecně není bezpečné odejít bez aktualizací a Sable do těchto aktualizací zasahuje.

Zařízení

Vzhled

Jedna strana. Na desce jsou propojky, budeme je potřebovat později. Propojky v rovině desky nemají vliv na chod, ovlivňují pouze ty, které jsou kolmé na rovinu desky. Jedna propojka J0 je nainstalována - zřejmě Sobol už někde byl. Teoreticky by měl určit, že se hardware změnil a nedovolit mu pracovat, to zkontrolujeme při instalaci.

Druhá strana.

Pohled na konektor.

Instalace

Nainstalujte jej na server.

Zpětný pohled.

Připojíme externí čtečku pro iButton.

Zapneme server. Vstoupíme do BIOSu a přepneme bootovací režim na Legacy.

Uložit - restartování serveru.

Aby Sable fungoval, musí se systém pokusit nabootovat. Teď na disku nic nemám, pak připojím ISO obraz s instalátorem OS.

A neumožňuje stahování.

Protože byl předtím na jiném serveru. Ochranné práce. Všechno vypneme. Vše demontujeme. Dostáváme se ke skokanům na Sobolu.

Odstraňte propojku J0. Sbíráme všechno.

Sable přebírá kontrolu.

Sable bez propojky J0 přejde do inicializačního režimu. Vyberte "Inicializace desky".

Otevře se okno "Obecná nastavení systému". Můžete nastavit požadované parametry. Stiskněte Esc.

Otevře se okno "Kontrola integrity". Můžete nastavit požadované parametry. Stiskněte Esc.

Počkáme. Sable ráda testuje generátor náhodných čísel.

Provede se prvotní registrace správce. Ano.

Uvádíme heslo. Vstupte.

Heslo opakujeme. Vstupte.

Jsme požádáni, abychom přilepili klíč. Držíme se prvního, který byl zahrnut.

Upozornění, že klíč bude naformátován. Ano.

Jsi si jistá? Windu připomíná. Ano.

Zálohovat ID správce? Samozřejmě máme dva klíče. Vytáhneme první klíč. Volíme Ano.

Zapíchneme druhý klíč.

Bylo nám řečeno, abychom si nasadili propojku zpět. OK. Server se vypíná.

Dostaneme se k sobolí desce a nasadíme propojku zpět na J0.

Zapneme server.

Načítání do Legacy. Sable přebírá kontrolu.

Jsme požádáni, abychom přilepili klíč. Přilepíme se.

Zadejte heslo.

Stiskněte libovolnou klávesu.