КОНЦЕПЦИЯ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ БЕЗДИСКОВЫХ СТАНЦИЙ НА ОСНОВЕ ТЕХНОЛОГИИ СЕТЕВОЙ ЗАГРУЗКИ IPXE И ПРОТОКОЛА RDP

PRINCIPLES FOR CREATION PROTECTED DISSKLESS NODES ON THE BASIS OF IPXE NETWORK BOOTING TECHNOLOGY AND THE RDP PROTOCOL

Pavel Struk

postgraduate of Far Eastern Federal University,

Russia, Vladivostok

АННОТАЦИЯ

Информационная безопасность в современном своем представлении берет начало в 1946 г., с появлением первой гражданской универсальной электронной цифровой вычислительной машины ЭНИАК и последующим внедрением в практическую деятельность общего назначения более современных и миниатюрных электронно-вычислительных устройств [1].  Цели и задачи по обеспечению информационной безопасности решались в основном методами и способами ограничения физического доступа к оборудованию. В дальнейшем, с развитием глобальных информационно-коммуникационных сетей, появились новые способы и средства защиты информации, теперь препятствовать несанкционированному доступу стали и через каналы связи, но ограничение физического доступа и в настоящее время осталось одной из базовых и необходимых мер для ограничения несанкционированного доступа [2].

ABSTRACT

Information security in its present notion originates in 1946, with the advent of the first civil universal electronic digital computer ENIAC and the subsequent introduction into general practical activity of more modern and miniature electronic computing devices [1]. The goals and objectives for ensuring information security were addressed, basically, by methods and ways of limiting physical access to equipment. Further, with the development of global information and communication networks, new ways and instrument of protecting information have appeared, now it was also necessary to prevent unauthorized access through communication channels, but the restriction of physical access and now stays one of the basic and necessary measures to limit unauthorized access [2].

Ключевые слова: iPXE, gPX, EtherBoot, PXE через WAN, Wi-FI PXE, RDP через WAN, бездисковая станция, тонкий клиент, веб-сервер, Live-образы,  удаленный узел сети, перенаправление портов, VPN-туннель.

Keywords: iPXE, gPX, EtherBoot, PXE via WAN, Wi-Fi PXE, RDP over WAN, diskless node, thin client, Web-server, Live-images, remote host, port forwarding, VPN-tunnel.

В сочетании со стандартами группы IEEE 802 подгруппы 802.3, являющихся основой семейства технологий пакетной передачи данных для компьютерных сетей Ethernet и набором стандартов связи для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 0,9; 2,4; 3,6 и 5 ГГц IEEE 802.11 [3-5], организационные и технические меры по обеспечению информационной безопасности вышли на новый уровень ‒ внедрение сетевых технологий позволяет добиться при проектировании компьютерной информационной системы различного сочетания и расположения комплектующих, периферии или отдельных функциональных компонентов, в т. ч. удаленного расположения накопителей данных или серверов, т. е. когда сервер и клиент находятся в разных сетях, соединяясь через шлюзы и не влияя на работу в системе для конечного пользователя.

В данной статье описан эффективный и легко реализуемый способ работы по клиент-серверной и терминальной архитектуре на основе тонких клиентов, где бездисковая станция в локальный сети выполняет соединение с удаленным веб-сервером в глобальной сети и удаленным узлом с накопителем в другой локальной сети (поскольку оптимальным и наиболее часто используемым вариантом для рядового пользователя является IBM-PC-совместимый компьютер, а не терминальный сервер, рассматриваться в конфигурации далее будет типичный настольный персональный компьютер с установленной операционной системой семейства Windows NT), связываться все узлы сети будут через витую пару категории 5e. Для инициализации загрузки по сети используется загрузчик iPXE (ответвление среды для загрузки компьютера с помощью сетевой карты Preboot Execution Environment (PXE)), который в отличие от оригинальной технологии PXE, использующей для загрузки системы IP, UDP, BOOTP и TFTP, поддерживает для извлечения данных с сервера такие протоколы, как HTTP, ISCSI, ATA через Ethernet (AoE) и Fiber Channel через Ethernet (FCoE), а также Wi-Fi-соединение [6].

iPXE ‒ свободное программное обеспечение, реализация среды загрузки по сети PXE существует в виде прошивки в BootRom сетевой карты и загрузчика, который можно записать на оптические диски и USB-накопители. Создан в 2010 году в качестве ответвления из проекта gPXE (Etherboot). Он может быть использован для того, чтобы компьютеры без встроенной поддержки PXE могли быть загружены по сети, или для расширения существующей стандартной реализации PXE клиента, так как поддерживает передачу данных не только через TFTP протокол, дополнительные межсетевые протоколы.  Исходный код открытый, скачать и создать собственную сборку загрузчика можно на официальном сайте http://ipxe.org/download [6].

Далее приведена минимальная конфигурация персонального компьютера пользователя, удаленного узла (к которому будет подключаться компьютер клиента (пользователя)), необходимого коммутационного оборудования и описание публичного веб-сервера:

• на стороне клиента это IBM-PC-совместимый компьютер, например, для настольных компьютеров в составе необходимы  материнская плата, центральный процессор, оперативная память,  блок питания, монитор, клавиатура, шлюз для выхода в глобальную сеть Интернет [7];
• сервер для загрузки минимального окружения linux является публичным веб-сервером, находится в глобальной сети и загружает образы операционных систем или различные системные утилиты на запрос USB-загрузчика iPXE, конфигурацию и настройку программного пакета для сервера не имеет смысла рассматривать в рамках данной статьи, т. к. он в точности может повторять стандартный PXE-сервер, основанный на операционных системах на базе ядра Linux с установленными TFTP, Samba, Syslinux, HTTP, NFS и DHCP серверами [8-9];
• удаленный узел сети, к которому подключается клиент, ‒ это такой же персональный компьютер, как и клиентский, но с накопителем данных в системном блоке и установленной операционной системой. На удаленном узле, собственно, и будет работать клиент через rdp-сессию, для удаленного узла также необходим шлюз для доступа к нему из глобальной сети. Для обеспечения более безопасных соединений возможно использование маршрутизаторов, чтобы создать демилитаризованную зону, позволяющую минимизировать ущерб в случае атаки на один из общедоступных сервисов [10-12].

Как это работает:

1. Для загрузки окружения Linux будет использоваться публичный веб-сервер https://netboot.xyz/. Возьмем готовый iPXE образ загрузчика с сайта https://netboot.xyz/, загрузчик будет автоматически подключаться к веб-серверу https://netboot.xyz/ и  загружать  образы по протоколу HTTP\HTTPS. Создание загрузочного носителя можно выполнить с помощью штатных средств почти любой современной операционной системы. В интерфейсе UEFI или BIOS следует выбрать загрузку с USB-носителя или оптического диска, далее загрузка пойдет в автоматическом режиме. Если используется стандартный загрузчик с сайта http://ipxe.org/, то при полной загрузке iPXE кода следует нажать комбинацию клавиш «Ctrl-B» для входа в консоль, в консоли с помощью команды «ifstat» можно настроить и указать сетевые интерфейсы, через которые будет происходить загрузка. Подключение к публичному веб-серверу через глобальную вычислительную сеть выполняется командой «chain https://netboot.xyz/» [13-14].

2. Подключившемуся к веб-серверу  пользователю открывается загрузочное меню с образами операционных систем и различных утилит. Наиболее удобным вариантом загрузки окружения Linux будут образы с графическим интерфейсом, не требующие установки (Live-образы) [15].

3. Загрузив окружение Linux, пользователь через протокол RDP может подключиться к удаленному настольному персональному компьютеру (удаленному узлу с накопителем). Для подключения через глобальную сеть к удаленному компьютеру через RDP-сессию персональному компьютеру необходим статический адрес, выдаваемый маршрутизатором; белый ip-адрес или настроенный статически DynDNS на маршрутизаторе для замены динамического IP-адреса на статический домен третьего уровня; и правило перенаправления любого свободного порта WAN-интерфейса маршрутизатора на порт 3389 персонального компьютера. Также требуется подходящая редакция операционной системы, поддерживающая подключения по протоколу RDP (например, редакции ниже Windows 7 Professional не поддерживают удаленный рабочий стол (RDP-подключения)), поддержка удаленного рабочего стола должна быть разрешена как в настройках операционной системы, так и на межсетевом экране (программном и/или программно-аппаратном). Полная схема подключения клиентского персонального компьютера до веб-сервера и удаленного узла представлена ниже на рисунке 1 [11, 16-18].

Преимущества такого метода и другие варианты загрузки:

Связка «бездисковая станция ↔ публичный веб-сервер ↔ удаленный накопитель», безусловно, предупреждает физическую кражу носителя информации, т. к. персональный компьютер им не оснащен, к тому же, предложенный вариант крайне прост в предварительной настройке и не требует финансовых вложений. Для дополнительной безопасности передаваемых данных по каналам связи в глобальной вычислительной сети между маршрутизаторами придется установить VPN-туннель, вместо публичного сервера собрать собственный или использовать сервисы, которые гарантируют надежное шифрование передаваемых данных, вместо удаленного настольного персонального компьютера использовать терминальный сервер ‒ процесс трудоемкий и, скорее, нужен корпоративным клиентам, но некоторые дополнительные действия для обеспечения безопасности информации может произвести и обычный пользователь. Поэтому при реальной угрозе физического изъятия накопителей использование такой связки вполне оправданно: взлом современных сетевых служб – явление не самое частое, а физическое окружение пользователя достаточно защищено. При наличии на бездисковой станции wifi-адаптера возможно создать беспроводное соединение от компьютера до маршрутизатора и шлюза. В консоли iPXE-загрузчика для управления и настройки интерфейса беспроводной сети используются следующие команды [14, 19]:

iwlist [interface] – посмотреть список Wi-Fi точек доступа (interface можно не указывать)

iwstat [interface] – посмотреть состояние Wi-Fi сетевого интерфейса

ifstat [interface] – посмотреть состояние всех сетевых карт или указанной

ifopen [interface] – открыть сетевой интерфейс

ifclose [interface] – закрыть сетевой интерфейс

set [interface]/ssid <SSID> -– указать имя точки доступа

set [interface]/key <KEY> – указать ключ WEP\WPA\WPA2 точки доступа

set [interface]/key:hex aa:bb:cc:dd:ee – указать ключ WEP в hex-формате

ifconf [interface] – автосконфигурировать интерфейс(ы)

Рисунок 1. Подключение бездисковой станции к удаленному узлу, используя RDP-сессию и технологию iPXE

Список литературы:

1. Википедия: свободная электронная энциклопедия: на русском языке // История вычислительной техники [Электронный ресурс]. 15 мая 2017. URL: https://ru.wikipedia.org/wiki/История_вычислительной_техники (Дата обращения: 10.06.2017).
2. Википедия: свободная электронная энциклопедия: на русском языке // Информационная безопасность [Электронный ресурс]. 17 февраля 2017. URL: https://ru.wikipedia.org/wiki/Информационная_безопасность (Дата обращения: 10.06.2017).
3. Википедия: свободная электронная энциклопедия: на русском языке // Ethernet [Электронный ресурс]. 22 мая 2017. URL: https://ru.wikipedia.org/wiki/Ethernet (Дата обращения: 10.06.2017).
4. Википедия: свободная электронная энциклопедия: на русском языке // IEEE 802.3 [Электронный ресурс]. 6 марта 2017. URL: https://ru.wikipedia.org/wiki/IEEE_802.3 (Дата обращения: 10.06.2017).
5. Википедия: свободная электронная энциклопедия: на русском языке // IEEE 802.11 [Электронный ресурс]. 18 апреля 2017. URL: https://ru.wikipedia.org/wiki/IEEE_802.11 (Дата обращения: 10.06.2017).
6. Vikipedija: svobodnaja jelektronnaja jenciklopedija: na anglijskom jazyke [Wikipedia: the free electronic encyclopedia: in English] // IPXE [Electronic resource]. 13 May 2017. URL: https://en.wikipedia.org/wiki/IPXE (date of the application: 12.06.2017) [in Russian​​].
7. Википедия: свободная электронная энциклопедия: на русском языке // IBM-PC-совместимый_компьютер [Электронный ресурс]. 2 октября 2016. URL: https://ru.wikipedia.org/wiki/IBM-PC-совместимый_компьютер (Дата обращения: 12.06.2017).
8. Википедия: свободная электронная энциклопедия: на русском языке // PXE [Электронный ресурс]. 3 апреля 2017. URL: https://ru.wikipedia.org/wiki/PXE (Дата обращения: 12.06.2017).
9. Википедия: свободная электронная энциклопедия: на русском языке  // Веб-сервер [Электронный ресурс]. 14 апреля 2017. URL: https://ru.wikipedia.org/wiki/Веб-сервер (Дата обращения: 12.06.2017).
10. Википедия: свободная электронная энциклопедия: на русском языке  // Узел_сети [Электронный ресурс]. 5 июня 2017. URL: https://ru.wikipedia.org/wiki/Узел_сети (Дата обращения: 13.06.2017).
11. Википедия: свободная электронная энциклопедия: на русском языке  // Remote Desktop Protocol [Электронный ресурс]. 19 января 2017. URL: https://ru.wikipedia.org/wiki/Remote_Desktop_Protocol (Дата обращения: 13.06.2017).
12. Википедия: свободная электронная энциклопедия: на русском языке // DMZ компьютерные сети [Электронный ресурс]. 21 мая 2016. URL: https://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети) (Дата обращения: 14.06.2017).
13. URL: http://ipxe.org/cmdline
14. URL: http://ipxe.org/cmd
15. Википедия: свободная электронная энциклопедия: на русском языке // Live CD [Электронный ресурс]. 18 января 2017. URL: https://ru.wikipedia.org/wiki/Live_CD (Дата обращения: 14.06.2017).
16. Википедия: свободная электронная энциклопедия: на русском языке // DynDNS [Электронный ресурс]. 30 декабря 2016. URL: https://ru.wikipedia.org/wiki/Dyn (Дата обращения: 14.06.2017).
17. Википедия: свободная электронная энциклопедия: на русском языке // Межсетевой экран [Электронный ресурс]. 9 июня 2017. URL: https://ru.wikipedia.org/wiki/Межсетевой_экран (Дата обращения: 14.06.2017).
18. Википедия: свободная электронная энциклопедия: на русском языке // Трансляция порт-адрес [Электронный ресурс]. 22 февраля 2016. URL: https://ru.wikipedia.org/wiki/Трансляция_порт-адрес (Дата обращения: 14.06.2017).
19. Википедия: свободная электронная энциклопедия: на русском языке // VPN [Электронный ресурс] 8 июня 2017. URL: https://ru.wikipedia.org/wiki/VPN (Дата обращения: 14.06.2017).