Обзор консольного сервера Altusen SN0108: Serial over the NET

Многие сетевые устройства оборудованы одним интересным портом – "Console". Порт этот предназначен для непосредственного подключения к консоли управления устройством, через интерфейс RS232, и служит для настройки устройства через терминальную программу (например, Hyperterminal). При этом, как правило, устройство можно также настраивать через Telnet или веб-интерфейс, подключившись к нему по сети. Однако, наличие порта "Console" не случайно – это один из элементов концепции "выделенной сети для управления" ("Out Of Band Management"). Суть этой концепции заключается в том, что для управления сетевыми устройствами организуется отдельная сеть, которая изолирована от т.н. "рабочей" ("production") сети, то есть той, которая передаёт "пользовательские" данные.

Назначение такой сети для управления состоит в том, чтобы отделить информацию, которой управляется сетевая инфраструктура, от информации, которая передаётся по сетям, доступным пользователям.

Это позволяет, во-первых, повысить уровень безопасности сети, поскольку не все устройства поддерживают шифрование данных. Например, поддерживают только Telnet, но не SSH или только SNMP v1, но не v2.

Во-вторых, защищает от случаев, когда пользователь, по какой-то причине, узнал пароль для управления устройством – он всё равно не сможет из своей "рабочей" сети попасть в сеть управления.

В-третьих, это позволяет сделать управление устройствами более надёжным: защищает от атак типа DOS ("Deny Of Service"), которые направлены, как правило, на пользовательские сети, перегрузок каналов связи и ошибок в настройке межсетевых экранов (когда, в результате ошибки настройки, устройство становится недоступным для управления по IP).

Реализуется эта концепция путём установки дополнительных сетевых адаптеров и подключения их к выделенной сети управления, плюс организация управления по консольным портам по протоколу RS232 (для устройств и серверов это поддерживающих).

Если установить вторую сетевую плату и подключить её к сети управления довольно просто, то "пробросить" по сети порт RS232 можно только с применением специального устройства – консольного сервера. Консольный сервер подключается непосредственно к портам "console" сетевых устройств и делает их доступными через терминальные протоколы для IP-сетей, в частности: Telnet, SSH и Java-версию Telnet. Такая схема управления может применяться и для серверов с поддержкой управления через порт RS232, а именно - различных Unix-серверов.

Altusen SN0108

Altusen SN0108 - это консольный сервер, к которому можно подключить до 8 устройств по интерфейсу RS232, на скорости до 115200 бит/сек, и сделать их доступными по протоколам Telnet, SSH или через веб-браузер с поддержкой Java. Один из RS232-портов можно переключить в режим "OOBC Console" ("Out Of Band Configuration"), что позволит управлять устройством не только через IP-сеть, но через порт RS232, аналогично другим, управляемым таким образом устройствам.

Altusen – это торговая марка, уже известной у нас по KVM-коммутаторам, фирмы Aten. Под брендом "Altusen", Aten предлагает решения уровня предприятий, а концепция "Out Of Band Management", как раз, и относится к этому уровню.

Исполнение Aten Altusen SN0108

Устройство SN0108 выполнено в металлическом корпусе 1U, размеры которого позволяют монтировать его в стандартный шкаф (стойку) 19" или устанавливать на стол. Все необходимые крепления идут в комплекте.

На переднюю панель SN0108 выведены:

• индикаторы активности RS232-портов (8 шт.). При подключении к порту через IP, соответствующий индикатор мигает;
• кнопка сброса;
• индикатор подключения к сети Ethernet;
• индикатор активности интерфейса Ethernet;
• индикатор питания.

На заднюю панель SN0108 выведены:

• разъёмы RJ45 для подключения RS232-портов (8 шт.);
• разъём RJ45 для подключения сети Ethernet;
• выключатель питания;
• стандартный разъём подачи питания 220 В.

Интересно, что устройство также подаёт и звуковые сигналы. Например, при включении и подключении/отключении от него пользователей.

Комплект поставки SN0108

В коробке мы нашли:

• само устройство Altusen SN0108;
• кабель питания 220 В.;
• переходники DB9-RJ45, типа "папа" (8 шт.);
• переходник DB9-RJ45, типа "мама";
• резиновые ножки для установки на стол;
• комплект креплений для шкафа (однорамной стойки) 19";
• CD-диск с ПО и документацией в формате PDF;
• документацию по настройке на английском языке;
• документацию по быстрой установке на английском языке.

Стоит отметить, что с устройством SN0108, из кабелей поставляется только кабель питания. Для подключения к портам RS232 применяются переходники DB9-RJ45, типа "папа", которые соединяются с устройством посредством стандартных патч-кордов. В случае необходимости подключения к портам с разъёмом DB25, переходники придётся докупать отдельно. В комплекте идёт один переходник DB9-RJ45, типа "мама", для подключения внешнего модема и организации управления устройством по схеме OOBC, о чём будет рассказано далее.

Первоначальная настройка SN0108

По умолчанию устройство работает на адресе 192.168.0.10. Для изменения адреса можно воспользоваться следующими интерфейсами управления:

• Telnet;
• SSH;
• веб-браузер.
• Помимо этого, возможно задание IP-адреса специальной утилитой IPInstaller под Windows.

Минимальная настройка сводится к выбору IP-адреса, установке текущего времени, смене пароля администратора и установке сертификатов в веб-браузер и SSH-клиент. Дальнейшая настройка производится, согласно индивидуальным потребностям.

Для снижения возможности осуществления атаки, типа "Man in Middle" (злоумышленник между вами и устройством), следует осуществлять первоначальную настройку SN0108 через прямое подключение по Ethernet-кабелю, и импортировать сертификат, предъявляемый устройством (для Internet Explorer). Далее пометить его как доверенный (в случае Firefox) и импортировать публичный ключ сервера в SSH-клиент.

Настройка Firefox

При первом подключении нужно выбрать "Accept this certificate permanently". При этом, браузер добавит публичный сертификат устройства в свою базу, и будет считать его доверенным.

После чего, при подключении будет появляться предупреждение, что имя в сертификате ("ATEN") не совпадает с адресом сайта. Это неизбежное сообщение, поскольку в противном случае, пришлось бы выписывать сертификат каждый раз, когда у устройства меняется IP-адрес. Не смотря на то, что, теоретически, это реализуемо, практически, в этом нет большого смысла.

Настройка Internet Explorer

С Internet Explorer процесс несколько сложнее. После подключения следует открыть сертификат для просмотра.

Затем установить сертификат центра сертификации "ATEN" как доверенного.

После чего Internet Explorer станет считать издателя этого сертификата доверенным, но, как и в случае с Firefox, при каждом подключении будет выдавать предупреждение.

SSH

Аналогичным образом нужно поступить и с SSH-клиентом, выполнив первое подключение в тот момент, когда устройство подключено непосредственно к компьютеру.

Затем следует аналогичным образом импортировать сертификаты, подключившись к портам с 5101 по 5108, либо, скопировать первый сертификат так, чтобы он сопоставился и этим портам.

О безопасности

Однако, стоит помнить, что не смотря на то, что мы импортировали публичный ключ устройства для SSH и сертификат центра сертификации, всё же, остаётся возможность того, что злоумышленник получит частный ключ из аналогичного устройства. После этого он попытается "вклинится" между вами и устройством с тем, чтобы выдать себя за устройство и получить имя пользователя и пароль, который вы введёте.

Для снижения этой вероятности, не следует полагаться только на HTTPS и SSH – для доступа в сеть управления лучше использовать дополнительный сервер доступа с поддержкой L2TP, или OpenVPN, и активированной проверкой сертификата сервера доступа.

Доступ к устройству и портам RS232

Настройка устройства SN0108

Для доступа можно использовать Telnet, SSH или веб-браузер с поддержкой Java. Для настройки самого устройства, дополнительно к этим способам, можно использовать прямое подключение к консольному порту. Консольным может являться любой из 8 портов, что указывается в разделе конфигуратора "OOBC".

Консольный порт можно использовать, либо при непосредственном подключении к компьютеру по RS232, либо подсоединить к нему модем, и подключаться через модем. Судя по документации, устройство должно дополнительно поддерживать на консольном порту подключения по PPP, но на практике запустить эту опцию нам не удалось.

Для настройки устройства SN0108 используются следующие порты:

• Telnet: 23/TCP
• SSH: 22/TCP
• HTTPS: 443/TCP (при использовании HTTP по порту 80/TCP устройство автоматически перенаправляет на HTTP 443/TCP).

Порты можно изменять в разделе "Network configuration".

Доступ к RS232-портам

Для доступа к RS232-портам через Telnet, следует установить соединение на порт, рассчитанный по формуле = 5000 + номер RS232-порта. Например, для порта COM1, это будет порт 5001, для COM2 – 5002 и т.д.

В случае соединения по SSH, номер порта рассчитывается по формуле = 5100 + номер порта RS232.

После подключения, работа с портом идёт аналогично тому, как бы подключение было установлено непосредственно по RS232. При нажатии "Ctrl-D" можно вызвать меню, из которого возможно послать сигнал "break" или перейти к настройке CN0108. После вызова меню можно вернуться к работе с устройством, подключенным по RS232.

Доступ через веб-браузер осуществляется путём выбора порта для подключения, после чего запускается приложение Java, и, через защищённый канал HTTPS, предоставляет возможность работать в терминальном режиме.

Авторизация доступа

Для того, чтобы разграничить возможность доступа к портам устройства, в CN0108 имеется локальная база пользователей. Можно создавать дополнительно до 15 пользователей и указывать индивидуально для каждого, с какими RS232-портами он может работать и может ли изменять настройки этих портов.

Помимо доступа к портам, пользователи могут использовать административные интерфейсы для просмотра общедоступной статистики, смены своего пароля и настройки параметров портов (если им дано на это право).

Уведомление о сообщениях с консолей

Интересной функцией  устройства SN0108 является возможность мониторинга сообщений, поступающих с консольных портов устройств и пересылка их через электронную почту, в случае обнаружения заданных фраз. Это позволяет настроить уведомления на различные критические события, которые требуют вмешательства администратора. Всего можно задать до 10 условных фраз для каждого порта.

Порты RS232 

Устройство SN0108 позволяет просматривать текущее состояние и задавать параметры всех портов RS232.

Состояние "Busy" означает, что в данный момент с портом работает пользователь. Так же, отображается состояние "Online", которое показывает, подключено ли к этому порту устройство.

Чтобы не запутаться, какое устройство, к какому порту подключено, для каждого порта  можно задать не только его параметры, но и его имя. Обычно, имя порту присваивают по имени устройства, которое к нему подключено

RADIUS

Устройство SN0108 поддерживает работу с RADIUS-сервером. Правда, нам не удалось выяснить, как именно это происходит – включение использования RADIUS-сервера не повлияло на работу устройства – пользователи, по-прежнему, имели возможность подключаться к устройству, используя свои локальные учётные записи.

Как устройство SN0108 использует RADIUS не описано ни в документации, ни на сайте производителя, поэтому мы ограничились предположением, о том, что RADIUS используется здесь для ведения статистики по аккаунтингу…

Лог

УстройствоSN0108 ведёт довольно подробный лог событий. Причём, лог хранится в энергонезависимой памяти и не сбрасывается при отключении устройства.

Просматривать лог можно как целиком, так и выбрав определённую дату.

Для корректного отображения времени следует его установить вручную или настроить синхронизацию с NTP-сервером.

Однако, возможности задать адрес NTP-сервера нет, что ограничивает функционал устройства.

Выводы

В-целом, устройство SN0108 выполнено и работает довольно качественно. Сразу установлена последняя версия прошивки, хорошо и продуманно реализованы интерфейсы управления. Стоимость устройства SN0108 не так мала, но, как мы уже писали, это корпоративный сегмент рынка, со своими законами и ценами.

В дополнение, мы бы порекомендовали использовать для защиты трафика управления протоколы IPSec, L2TP или OpenVPN.

Сильные стороны SN0108:

• качественное исполнение;
• подробный лог хранится в энергонезависимой памяти;
• подробная документация в комплекте;
• возможность настройки уведомлений, при обнаружении на консолях заданных фраз;
• широкий выбор способов доступа к портам.

Слабые стороны SN0108:

• не работают некоторые второстепенные функции, не описано использование RADIUS;
• невозможно задать адрес NTP-сервера вручную;
• за такие деньги можно было включить в комплект ещё пару переходников DB25-RJ45

Источник: Techlabs