Главная Компьютерное железо

Установка комплекса соболь 3 0. Электронный замок соболь. Возможности по администрированию

ПАК «Соболь» 3.0 - это программно-аппаратный комплекс, представляющий собой электронный замок, который обеспечивает защиту компьютера от неразрешенного доступа и доверенную загрузку. Применение электронного замка «Соболь» возможно для обеспечения защиты компьютера, рабочей станции или сервера, которые подключены к локальной сети. Версия 3.0 совместима с высокоскоростным режимом USB 2.0/3.0.

ПАК «Соболь» 3.0 соответствует всем требованиям и стандартам федерального законодательства, что подтверждает сертификат № 1967 и прохождение инспекционного контроля в ФСТЭК РФ на соответствие руководящим документам по второму уровню контроля.

«Соболь» 3.0, как электронный замок, предназначен для защиты персональных компьютеров (в т.ч. ультрабуков, ноутбуков, десктопов), серверов и специализированных устройств, таких как, маршрутизаторы, криптографические шлюзы и прочие. Усовершенствованная версия ПАК «Соболь» совместима с операционными системами Windows 8 и Windows Server 2012, а также файловой системой EXT4 в операционных системах линейки Linux.

Благодаря прохождению инспекционного контроля в ФСТЭК РФ, данный продукт может использоваться в автоматизированных системах включительно до класса 1Б и информационных системах персональных данных с высоким уровнем защищенности. Сейчас ПАК «Соболь» 3.0 проходит контрольные испытания в ФСБ России для удостоверения существующих сертификатов соответствия.

Функции электронного замка ПАК «Соболь»:

  • управление настройками компьютера (ACPI, PCI-устройств, SMBIOS);
  • блокирование загрузки операционной системы с внешних носителей;
  • контроль целостности реестра системы Windows;
  • учет попыток доступа к персональному компьютеру;
  • аутентификация пользователей;
  • контроль целостности системы;
  • сторожевой таймер.

Преимущества электронного замка ПАК «Соболь»:

  • поддержка операционных систем Windows 8 и Windows Server 2012 с 64-х битной системой;
  • совместимость с высокоскоростным режимом USB 2.0/3.0 с целью усиленной пользовательской идентификацией;
  • взаимодействие с идентификаторами Rutoken S/ RF S, eToken PRO, eToken PRO (Java), iKey 2032, iButton;
  • техподдержка при создании простых криптографических решений;
  • защита данных, являющихся государственной тайной;
  • гибкий выбор вариантов комплектации и форматов платы (PCI-E, Mini PCI-E, PCI);
  • простота в развертывании, оптимизации и эксплуатации;
  • сертификация ФСТЭК и ФСБ России.

Программно-аппаратный комплекс ПАК «Соболь» 4.0 – это электронный замок для защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Электронный замок «Соболь» применяется для защиты персональных компьютеров, в том числе десктопов, ноутбуков, ультрабуков, а также серверов и ряда специализированных устройств (криптографических шлюзов, маршрутизаторов и т. д.).
Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.

Возможности электронного замка «Соболь»:

  • Аутентификация пользователей.
  • Блокировка загрузки ОС со съемных носителей.
  • Контроль целостности программной среды.
  • Контроль целостности системного реестра Windows.
  • Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS).
  • Сторожевой таймер.
  • Регистрация попыток доступа к ПЭВМ.
Достоинства электронного замка «Соболь»:
  • Наличие сертификатов ФСБ и ФСТЭК России.
  • Защита информации, составляющей государственную тайну.
  • Помощь в построении прикладных криптографических приложений.
  • Простота в установке, настройке и эксплуатации.
  • Поддержка 64-битных операционных систем Windows (в том числе Windows 8 и Windows Server 2012).
  • Поддержка идентификаторов iButton, iKey 2032, eToken PRO, eToken PRO (Java) и Rutoken S/ RF S.
  • Гибкий выбор форматов исполнения платы (PCI, PCI-E, Mini PCI-E) и вариантов комплектации.
  • Поддержка файловой системы EXT 4 в ОС семейства Linux.
  • Поддержка высокоскоростного режима USB 2.0/3.0 для усиленной идентификации пользователей.
Основные изменения версии 4.0 ПАК «Соболь» :

1. Функционирование в среде UEFI;
2. Поддержка разметки диска в формате GPT;
3. Совместимость с USB 3.0;
4. Поддержка новых операционных систем:

  • Альт Линукс СПТ 7;
  • Astra Linux Special Edition "Смоленск" 1.5;
  • VMware vSphere ESXi 5.5/6.
5. Увеличено количество поддерживаемых пользователей с 32 до 100;
6. Количество записей журнала безопасности возросло с 80 до 2000;
7. Расширен список поддерживаемых идентификаторов:\
  • USB-ключи JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite;
  • Смарт-карты JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ.

ПАК Соболь 3 - это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность - нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО "Код Безопасности".

Поставим на сервер HPE Proliant DL360 Gen10.

Ссылки

Зачем нужен

  • Защита информации от несанкционированного доступа.
  • Контроль целостности компонентов ИС.
  • Запрет загрузки ОС с внешних носителей.
  • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
  • Повышение класса защиты СКЗИ.

Преимущества

Тут я списал с листовки, добавив свои комментарии.

  • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
  • Усиленная (чем усиленная? - масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
  • Простота установки, настройки и администрирования.
  • Возможность программной инициализации без вскрытия системного блока.
  • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

Возможности

  • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
    • Windows
      • Windows 7/8/8.1/10
      • Windows Server 2008/2008 R2/2012/2012 R2
    • Linux
      • МСВС 5.0 х64
      • Альт Линукс 7.0 Кентавр x86/x64
      • Astra Linux Special Edition "Смоленск" 1.4 x64
      • CentOS 6.5 x86/x64
      • ContinentOS 4.2 x64
      • Debian 7.6 x86/x64
      • Mandriva РОСА "Никель" x86/x64
      • Red Hat Enterprise Linux 7.0 x64
      • Ubuntu 14.04 LTS Desktop/Server x86/x64
      • VMware vSphere ESXi 5.5 x64
    • Поддержка других операционных систем осуществляется по запросу в службу технической поддержки "Код Безопасности".
  • Идентификация и аутентификация.
    • Использование персональных электронных идентификаторов:
      • iButton
      • eToken PRO
      • eToken PRO (Java)
      • Rutoken
      • Rutoken RF
      • смарт-карты eToken PRO
    • Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного ЭИ.
  • Журналирование. Ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. В журнале фиксируются следующие события:
    • Факт входа пользователя и имя пользователя.
    • Предъявление незарегистрированного идентификатора.
    • Ввод неправильного пароля.
    • Превышение числа попыток входа в систему.
    • Дата и время регистрации событий НСД.
  • Контроль целостности реестра Windows. Контроль неизменности системного реестра Windows повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.
  • Аппаратный датчик случайных чисел. Повышение класса защиты СКЗИ и предоставление случайных чисел прикладному ПО.
  • Контроль конфигурации. Контроль неизменности конфигурации компьютера: PCI-устройств, ACPI, SMBIOS и оперативной памяти.
  • Запрет загрузки с внешних носителей. Обеспечение запрета загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).
  • Сторожевой таймер. Блокировка доступа к компьютеру с помощью механизма сторожевого таймера в случае, если управление при его включении не передано ПАК "Соболь".
  • Программная инициализация. Возможность инициализации ПАК "Соболь" программным способом, без вскрытия системного блока и удаления джампера на плате.

Принцип работы

Модельный ряд

  • PCI Express 57x80
  • Mini PCI Express
  • Mini PCI Express Half Size
  • M.2 A-E

Размышления админа

При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет - двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

Обратил внимание на фразу "Простота администрирования". Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер - езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

Контроль целостности реестра - сомнительная штука. Да, контролирует. Винда обновилась - поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

Комплектация

Внешний вид

Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен - видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

Другая сторона.

Вид на разъём.

Установка

Устанавливаем в сервер.

Вид сзади.

Подключаем внешний считыватель для iButton.

Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

Сохраняемся - перезагружаем сервер.

Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

И не разрешает загрузку.

Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

Снимаем джампер J0. Собираем всё.

Соболь перехватывает управление.

Соболь без джампера J0 переходит в режим инициализации. Выбираем "Инициализация платы".

Открывается окно "Общие параметры системы". Можно установить необходимые параметры. Нажимаем Esc.

Открывается окно "Контроль целостности". Можно установить необходимые параметры. Нажимаем Esc.

Ждём. Соболь любит тестировать датчик случайных чисел.

Производится первичная регистрация администратора. Да.

Указываем пароль. Enter.

Повторяем пароль. Enter.

Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

Предупреждение, что ключ отформатируется. Да.

Вы уверены? Винду напоминает. Да.

Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

Втыкаем второй ключ.

Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

Добираемся до платы соболя и ставим обратно джампер на J0.

Включаем сервер.

Грузимся в Legacy. Соболь перехватывает управление.

Нас просят воткнуть ключ. Втыкаем.

Вводим пароль.

Нажимаем любую клавишу.

Соболь является средством защиты информации от несанкционированного доступа на персональных компьютерах. Соболь выполняет роль аппаратно-программного модуля доверенной загрузки. ПАК Соболь предназначен для защиты конфиденциальной информации , информации, содержащей сведения, составляющие государственную тайну со степенью секретности "совершенно секретно " включительно или относящейся к персональным данным .

Сертификат ФСТЭК №1967 подтверждает, что ПАК Соболь соответствует требованиям руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и может использоваться в автоматизированных системах уровня защищенности до 1Б включительно.

Сертификат ФСБ № СФ/027-1450 подтверждает, что ПАК Соболь соответствует требованиям аппаратно-программному модулю доверенной загрузки (АПМДЗ) по классу 1Б.

Возможности ПАК Соболь

ПАК Соболь выполняет следующие функции безопасности :

  • Блокирует попытки загрузки ОС со съемных носителей. После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Запрет на загрузку распространяется на всех пользователей компьютера, за исключением администратора.
  • Идентифицирует и аутентифицирует пользователей.
  • Выполняет контроль целостности файлов и секторов жесткого диска (до загрузки ОС). Используемый в комплексе Соболь механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы.
  • Выполняет роль Сторожевого таймера. Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса "Соболь "
  • Регистрирует события безопасности системы в собственной энергонезависимой памяти.

ПАК Соболь поддерживает работу со следующими операционными системами:

  • ОС семейства Windows (поддержка как 32, так и 64 битных)
  • ОС МСВС 3.0
  • Trustverse Linux XP Desktop 2008 Secure Edition
  • FreeBSD версии 5.3, 6.2, 6.3 или 7.2, 8.0, 8.1, 8.2
  • VMWare ESX 3.5 – 4.0

ПАК Соболь поддерживает файловые системы: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

Достоинства ПАК Соболь

  • ПАК Соболь удовлетворяет требованиям ФСТЭК по защите ПДн
  • ПАК Соболь получил сертификат ФСБ по АПМДЗ до класса 1Б
  • ПАК Соболь успешно функционирует в современных ОС Windows (32 и 64 bit)
  • Поддержка различных типов идентификаторов (Rutoken, eToken, "таблетки" DS iButton)
  • Возможность программной инициализации комплекса

Возможности по администрированию

Для настройки ПАК Соболь администратор имеет возможность:

  • Определять минимальную длину пароля пользователя;
  • Определять предельное число неудачных входов пользователя;
  • Добавлять и удалять имена пользователей;
  • Блокировать работу пользователя на компьютере;
  • Создавать резервные копии персонального идентификатора администратора.
  • Программно инициализировать комплекс.

Аппаратные характеристики

ПАК Соболь выпускается в виде платы, которая поддерживает 3-х и 5-ти вольтовую шину стандарта PCI или шину стандарта PCI Express версии 1.0а и выше. Соболь выпускается в двух аппаратных вариантах:

На аппаратуру предоставляется гарантия 1 год с даты приобретения.

ПАК Соболь применяется в Центробанке РФ, ГАС Выборы, МВД России, Федеральном Казначействе России, Пенсионном фонде России.

Последние материалы раздела:

Почему режется скорость Интернета по WiFi: Бесплатные советы как ускорить передачу данных
Почему режется скорость Интернета по WiFi: Бесплатные советы как ускорить передачу данных

Плохая скорость интернета через роутер - одна из наиболее «популярных» проблем всех любителей беспроводного соединения . В предыдущих статьях мы...

Контекстное меню в Windows
Контекстное меню в Windows

Из этой информационной статьи вы узнаете о том, как вызвать контекстное меню для любого файла, папки, ярлыка и т.п используя для этого несколько...

Продвижение в Instagram: самая подробная инструкция
Продвижение в Instagram: самая подробная инструкция

XXI век - стремительно меняющийся и ломающий прежние представления об успехе. Социальные сети стали феноменом, люди часами проводят время в режиме...