Hlavní navigace

Řešení pro správu PC i bezpečnosti sítě

5. 9. 2007

Sdílet

Koncem srpna Intel uvedl na trh již druhou generaci procesorové technologie vPro s kódovým označením Weybridge. Produkt klade největší důraz na zvýšení zabezpečení proti útokům hackerů a virů, i dalším hrozbám. Platforma v sobě snoubí procesor Intel Core 2 Duo (E6x50) a čipovou sadu Intel Q35 Express, přičemž nově podporuje například nastartování a opravu počítače bez funkčního operačního systému nebo pevného disku.

Koncem srpna Intel uvedl na trh již druhou generaci procesorové technologie vPro s kódovým označením Weybridge. Produkt klade největší důraz na zvýšení zabezpečení proti útokům hackerů a virů, i dalším hrozbám. Platforma v sobě snoubí procesor Intel Core 2 Duo (E6x50) a čipovou sadu Intel Q35 Express, přičemž nově podporuje například nastartování a opravu počítače bez funkčního operačního systému nebo pevného disku.

Novinkou je také technologie Trusted Execution Technology (TXT), kódově označovaná jako LaGrande, která chrání data ve virtualizovaném počítačovém prostředí. V kombinaci s novou generací virtualizační technologie Intel VT (Virtualization Technology) for Directed I/O a mikrořadičem TPM v 1.2 (Trusted Platform Module Version 1.2), přítomným v některých počítačích (například značky Dell či Fujitsu-Siemens) zajišťuje TXT vyšší zabezpečení virtuálních strojů (konkrétněji jejich monitorů) před útoky, které nelze zjistit současnými softwarovými aplikacemi. Kromě toho společnost Intel vybavila procesorovou technologii Intel vPro vylepšeným filtrováním síťového provozu. Tyto filtry tak zčásti mohou zastat funkci klasického firewallu. Sledován a analyzován přitom bude provoz v obou směrech. V první verzi Intel vPro byla nastavení firewallu zcela odkázána na produkty třetích stran.

Možnosti správy PC dále rozšiřuje nejnovější generace technologie AMT (Intel Active Management Technology). Ta umožňuje inventarizaci a opravy počítačů, které jsou mimo provoz, tedy vypnuté nebo mají havarovaný operační systém či poškozený disk. Nejnovější verze poskytuje kromě jiného nástroje vzdálené konfigurace a podporu aktuálních průmyslových standardů. Společnost Intel očekává, že počítače s nejnovější verzí procesorové technologie vPro budou mezi prvními produkty odpovídajícími specifikacím Distributed Management Task Force DASH 1.0 a Web Services Management (WS-MAN). Mezi výrobce počítačů, kteří své produkty opatří 2. generací platformy vPro, patří například Dell, Lenovo či HP.

Active Management Technology

AMT běží na ME (Management Engine), separátním procesoru ARC vestavěném v North Bridgi základní desky. Jelikož je software AMT uložen na stejné komponentě flash jako BIOS, updatuje se obyčejně zároveň s ním. Umožňuje lepší správu síťového výpočetního prostředí a koncových stanic. Děje se tak pomocí vestavěného hardwarového webového serveru (port 16992, eventuelně 16993 přes HTTPS), který umožňuje vypínat, zapínat, ovládat a inventarizovat prostředky, a to nejen bez podpory operačního systému, ale dokonce i v případě vypnutého počítače či nefunkčního disku. Speciální vestavěný procesor pro AMT obsahuje kromě toho paměť typu flash, do které si povolené aplikace pro správu mohou ukládat různé důležité informace. Dále je součástí hardwarový síťový filtr, který umí např. PC infikované virem odpojit od sítě (komunikace prostřednictvím iAMT je přitom zachována). Třešinkou na dortu je přesměrování IDE a/nebo floppy, např. CD-ROM do ISO obrazu na disku správce sítě.

AMD Remote IT

Přímou konkurencí AMT by mohla být technologie, kterou AMD zatím nazývá prostě „Remote IT“. Té bychom se měli dočkat současně s vydáním čipsetů řady 780. Skromné informace zatím naznačují, že nová podniková platforma bude používat procesory Phenom a čipset AMD 780G (RS780) + SB700. Tento South Bridge bude také podporovat technologie TPM v 1.2 (Trusted Platform Module) pro zvýšení bezpečnosti a nějaký druh IDM (Intelligent Device Management) pro vzdálený monitoring a správu zařízení . Připojení k síti budou zajišťovat přídavné řadiče od Broadcomu.

Desky určené pro podnikový segment budou vybaveny konkrétně Ethernet adaptérem Broadcom BCM5761, který vzdálenou správu umožní. Čipsety řady AMD 780 budou uvedeny na trh někdy příští rok. Ještě před nimi se dočkáme AMD 740G s integrovanou grafikou podporující DirectX 9.

Správa bezpečnosti

Kromě těchto celostních přístupů existuje také celá řada produktů, které pokrývají jen určité aspekty vzdálené správy. V této souvislosti lze zmínit například NAC (Network Admission Control) pro správu z hlediska bezpečnosti. Podle analytické společnosti Forrester Research NAC představuje kombinaci hardwarových a softwarových technologií, jež dynamicky řídí přístup klientských systémů do korporátních sítí, a to na základě splnění určitých pravidel. Mezi základní architektury řešení NAC patří Network Admission Control od společnosti Cisco či Unified Access Control od firmy Juniper Networks. Samostatná zařízení vyhovující požadavkům NAC zahrnují produkty společností ConSentry Networks, StillSecure a Vernier Networks. Další dodavatelé, jako například firmy Lockdown Networks a Mirage Networks, spolupracují s dalšími partnery.

Skupina Trusted Computing Group (TCG), která vytváří standardy pro NAC za účelem zajištění interoperability mezi různými dodavateli, představila také vlastní schéma NAC - Trusted Network Connect (TNC) specifikuje rozhraní produktů, která mohou dodavatelé použít ohledně začlenění svých výrobků do TNC architektury. TCG definuje NAC jako „otevřenou, neproprietální specifikaci, která umožní aplikovat a vynucovat bezpečnostní požadavky v případě klientů, kteří se chtějí připojit do firemních sítí“. Dodavatelé tedy mohou postavit své produkty na TNC NAC standardech, ale aby vytvořili fungující systém NAC, musejí se spoléhat na další produkty. Microsoftu vlastní obdobou NAC je pak NAP (Network Access Protection). Agenti NAP monitorují, zda zařízení zapojované do sítě splňují veškeré požadavky nastavené administrátorem – aktualizovaný OS, nainstalovaný antivirus či firewall apod. - nevyhovujícím přístrojům je přístup zablokován.

Administrace PC na dálku

Pro vzdálenou správu počítačů a jejich nastavení existuje rovněž celá řada programů. V rámci korporátní sítě lze například využívat funkce samotných operačních systémů. V rámci Windows to umožňuje implementace adresářových služeb LDAP s názvem Active Directory. Hlavním účelem AD je poskytování centrálních autentizačních a autorizačních služeb pro koncové stanice s OS Windows. Active Directory umožňuje měnit pravidla, instalovat software i aktualizovat systémy pomocí kritických updatů, a to v rámci celé organizace.

V operačních systémech Linux, Unix a BSD je vzdálená správa dosažena přihlášením přes síť na kýžený počítač. Připojení většinou probíhá přes protokol SSH (Secure Shell), neboť Telnet již není považován za dostatečně bezpečný. Díky síťovému a zobrazovacímu protokolu X Windows System lze pak z vlastního systému spravovat ten vzdálený pomocí přehledného GUI.
Mimoto existuje také celá řada programů, přímo určených pro vzdálenou správu počítačů mimo korporátní síť (přes internet). Jejich tvorbou se zabývají jak velké firmy (například Citrix či Scriptlogic), tak jednotlivci a užitná hodnota tohoto softwaru prudce variuje. Některé z programů (třeba Back Orifice) lze dokonce označit spíše za hackerské nástroje (nebo spíše script kiddies), než software pro seriózní správce...

 

Byl pro vás článek přínosný?