Внедрение zServer от SecurIT

Довелось мне недавно внедрять в небольшой организации Zserver от компании SecurIT.

zServer прозрачно шифрует партишн, что позволяет безопасно (по заверениям разработчиков) хранить на нем ваши критические данные.

Опишу некоторые из неочевидных вещей, которые выяснились только после общения с технической поддержкой компании, к слову, очень оперативной и компетентной:

Про шифрование системных разделов.

Как широко известно «в узких кругах» Zserver от SecurIT и Secret Disk Server от компании Aladdin  - вышли из одного продукта порядка 8 лет назад. Однако с тех пор оба продукта сильно эволюционировали, каждый своим путем.

Я почему-то думал, что можно шифровать любой диск на сервере и что перед загрузкой системы у меня будет запрос на загрузку смарт-карты и пин-кода. По крайней мере такая политика была 8 лет назад. Однако, ничего подобного, шифровать можно только не системные разделы и не содержащие файлы подкачки. При этом система загружается и только после обычного логина в Windows Server можно запустить консоль Zserverа и подключить диски с помощью смарт-карты.

Про хранение ключа в памяти.

Неочевидным является тот факт, что после монтирования дисков, ввода пин-кода на смарт-карту ключ шифрования остается в памяти сервера! При этом можно вынуть смарт-карту из ридера,  закрыть консоль Zserver, однако диски будут все равно подключенными, пользователи смогут иметь на них доступ по сети.

Честно говоря, вначале это немного напрягает, как-то ждешь, что при выемке смарт-карты диски должны разблокироваться.

Про красную кнопку.

В комплекте с zServer идет так называемая красная кнопка. По наступлении часа «Ч», ее нужно нажать, сработает режим «Тревога» и шифрованные диски размонтируются, система перегрузится. Красная кнопка это просто метровый провод с кнопкой и входом в серийный порт. Т.к. мало где уже встречается разъем серийного порта, нужно иметь ввиду, что необходим переходник, com2usb, что бы можно было использовать сие удобное устройство на рабочей станции офицера безопасности компании.

Про потерю смарт-карты.

Курьезный случай произошел у клиента. После первоначальной установки ключи шифрования были прописаны на 2 смарт-карты, идущие в комплекте с zServer. При этом одна из карт была оставлена в коробке и отдана клиенту. Конечно ему было разъяснено как важно хранить эту смарт-карту в сохранном месте и необходимость сменить пин-код по умолчанию. На следующее утро (по словам клиента) пришла уборщица, увидела пустую коробку и выбросила ее! На лицо классическая систем компрометации всей системы шифрования: смарт-карта пропала, пин-код на ней  - дефолтный. Пришлось покупать у SecurIt еще одну смарт-карту (резервную) и перешифровывать весь диск с СУБД с новым ключом. А вдруг уборщица – хакер или засланный казачок? J

28-11-2009  | Permalink |  Comments (1)