KVM over IP? Denk aan beveiliging!

Overstap naar remote beheer maakt servers kwetsbaar

Steeds meer ict-afdelingen stappen over van traditionele kvm-switches (keyboard, video, mouse) op modellen die via ip functioneren. Daarbij kunnen zich echter gemakkelijk beveiligingsproblemen voordoen.

In datacenters worden al jaren kvm-switches gebruikt. De laatste tijd is echter een overstap zichtbaar waarbij de traditionele switch wordt ingeruild voor systemen die kvm over ip mogelijk maken. Kvm-switches werden tot voor kort uitsluitend toegepast voor het beheren van servers in een rack. De communicatie verliep via de seriële of usb-poorten van de systemen. Hierdoor kon op een veilige manier een hele serie computersystemen worden beheerd.

Een nadeel is echter dat het aantal systemen beperkt is tot de capaciteit van het rack. Om kosten te besparen kiezen veel it-managers steeds vaker voor kvm-switches die via een ip-netwerk functioneren. Hiermee kan vanaf één locatie iedere via het ip-netwerk of internet bereikbare server worden beheerd.

Verkeer afvangen

Digitale inbrekers hebben met kvm over ip-switches nieuwe 'ingangen'.

Digitale inbrekers hebben met kvm over ip-switches nieuwe 'ingangen'.

Kvm-over-ip switches introduceren echter ook een beveiligingsprobleem. Alle verkeer verloopt via een regulier ip-netwerk en kan dus worden afgevangen. Ook zijn deze apparaten daarmee in principe gevoelig voor bijvoorbeeld 'denial of service attacks' (DoD) en zelfs virussen.

Bovendien constateren aanbieders als Raritan of Avocent graag dat de kvm-switch de laatste barrière is die een hacker moet nemen voordat hij toegang tot bedrijfsinformatie heeft. Ook stelt men dat het geen goed idee is als een kvm over ip switch gebaseerd is op hetzelfde besturingssysteem dat in bedrijfssystemen wordt gebruikt. Daarom gebruiken aanbieders veelal geoptimaliseerde Linux-distributies waar alle overbodige functionaliteit uit verwijderd is.

Inbelverbinding

Goed uitgeruste kvm over ip-switches zijn voorzien vaan dubbele verbindingen.

Goed uitgeruste kvm over ip-switches zijn voorzien vaan dubbele verbindingen.

Een voor de hand liggend, maar volgens aanbieders van kvm-switches vaak vergeten beveiligingsprobleem is beschikbaarheid. Vooral het netwerk speelt hierbij uiteraard een cruciale rol. Is dit netwerk om wat voor reden dan ook niet beschikbaar, dan zullen de systeembeheerders toch toegang tot de servers en dus de kvm-switches moeten hebben. Daarom is het van groot belang dat er mogelijkheden bestaan om via een inbelverbinding contact te leggen. Soms is een modem ingebouwd, in andere gevallen kan een extern modem worden aangesloten. De communicatie zal beduidend trager verlopen dan via een goed geconfigureerd ip-netwerk, maar de te beheren servers zijn in ieder geval toch bereikbaar.

Om dezelfde reden voorzien fabrikanten hun switch vaak van dubbele ethernet-poorten. Weigert een van de poorten dienst, dan zal de ingebouwde managementsoftware het dataverkeer naar de andere poort sturen. Het is ook mogelijk om beide poorten te gebruiken, maar deze via andere netwerksegmenten met de te beheren servers te verbinden.

Over deze netwerkverbindingen gaan alle data die bedoeld is voor het besturen en beheren van systemen. Dat is voor iedere hacker belangrijke informatie en dan gaat het uiteraard niet alleen om inloggegevens en dergelijke. Encryptie van dit verkeer is dus van groot belang. De meeste aanbieders maken dit mogelijk, alleen gaan sommige daarbij een stap verder door ook alle video te versleutelen. Op die manier kan ook de data die op het scherm wordt gepresenteerd worden veiliggesteld. Kijk ook naar de gebruikte algoritmes. Het gebruik van het https-protocol zorgt voor een duidelijke verbetering van de beveiliging.

Authenticatie en autorisatie zijn uiteraard ook van groot belang. Is de systeembeheerder wel wie hij zegt te zijn? Hiertoe beschikken switches over een interne database, die op zijn beurt uiteraard ook weer versleuteld zal moeten zijn. Bovendien kunnen de betere kvm over ip switches met Radius-servers samenwerken.

Teniet doen

Belangrijk is ook of er verschil wordt gemaakt tussen de toegang tot systemen op afstand en de lokale servers die in hetzelfde rack zijn opgenomen. Gelden hiervoor niet dezelfde beveiligingsmaatregelen, dan kan hier een belangrijk gat in de beveiliging zitten. Niet alleen mag een switch uitsluitend via een inlogprocedure toegankelijk zijn, ook zal een overzicht moeten worden bijgehouden van alle inlogpogingen en beheeractiviteiten.

In het ideale geval wordt nog een extra beperking opgelegd: systeembeheerders zien alleen de servers waarvoor zij verantwoordelijk zijn. De rest is onzichtbaar. Op deze manier heeft een hacker die zich voordoet als een systeembeheerder hooguit toegang tot een beperkte reeks systemen.

De beveiliging wordt in sommige switches nog verder opgevoerd door het aantal tcp-poorten te beperken. Soms is er maar één poort open en kan dit bovendien uitsluitend handmatig worden gewijzigd. Dit maakt het lastiger om toegang tot de switch te verkrijgen. Sommige aanbieders koppelen dit aan een zogeheten 'access control list'. De switch zal dan alleen op verkeer via die ene tcp-poort reageren als de data afkomstig is van een van de in dit overzicht opgenomen ip-adressen.