幾乎可在任意位置實(shí)施帶外(OOB)安全高級(jí)遠(yuǎn)程管理
數(shù)字標(biāo)牌顯示屏隨處可見(jiàn)�,就連偏僻鄉(xiāng)村的加油站也有其蹤影。如今�,3G 的廣泛普及和 4G 蜂窩式無(wú)線寬帶網(wǎng)絡(luò)的出現(xiàn)���,使數(shù)字標(biāo)牌幾乎能夠部署在任意位置����。1 當(dāng)有線寬帶服務(wù)不可用時(shí)���,這是最佳替代品���,能夠?yàn)閮?nèi)容下載和更新提供連接���。
另外����,技術(shù)人員也可以使用網(wǎng)絡(luò)連接從遠(yuǎn)程控制臺(tái)集中監(jiān)控和管理顯示屏�。相比派遣人員到現(xiàn)場(chǎng)提供日常支持和維修服務(wù),遠(yuǎn)程管理能夠節(jié)省大量的成本和時(shí)間�。對(duì)于需要 3G 連接的顯示屏��,遠(yuǎn)程管理會(huì)帶來(lái)更大的節(jié)省。
高級(jí)遠(yuǎn)程管理
帶有英特爾® 主動(dòng)管理技術(shù)(英特爾® AMT)2 的英特爾® 博銳™ 技術(shù)支持控制臺(tái)解決更廣泛的系統(tǒng)問(wèn)題�,甚至在操作系統(tǒng)關(guān)閉時(shí)也可以實(shí)現(xiàn)��,從而將遠(yuǎn)程管理提升到全新水平。例如����,遠(yuǎn)程在沒(méi)有響應(yīng)(無(wú)法運(yùn)行或啟動(dòng))的標(biāo)牌系統(tǒng)上維修受損的驅(qū)動(dòng)程序�、應(yīng)用軟件或操作系統(tǒng)�。這些操作能夠通過(guò)帶外(OOB)管理功能在英特爾® 博銳™ 技術(shù)支持的顯示屏上
完成,詳細(xì)描述請(qǐng)見(jiàn)下文�。
英特爾® AMT 的高級(jí)功能有助于降低數(shù)字標(biāo)牌的總體擁有成本(TCO)����,尤其是當(dāng)系統(tǒng)部署在遙遠(yuǎn)的位置時(shí)����。針對(duì)此類(lèi)情況,本白皮書(shū)描述了如何使用永久性站點(diǎn)到站點(diǎn) IPSec VPN 隧道通過(guò) 3G 設(shè)置英特爾® AMT����。實(shí)際上����,VPN 隧道可以將管理服務(wù)器網(wǎng)絡(luò)延伸到接受管理的設(shè)備�,讓公司防火墻內(nèi)的管理控制臺(tái)發(fā)現(xiàn)和更安全地與防火墻外的數(shù)字標(biāo)牌系統(tǒng)進(jìn)行
通信。除數(shù)字標(biāo)牌以外��,這種方法也適用于其它公司防火墻之外通過(guò)有線或無(wú)線高速網(wǎng)絡(luò)連接的嵌入式設(shè)備�,例如自動(dòng)售貨機(jī)、信息亭和醫(yī)療設(shè)備��。還有更多利用英特爾® AMT 通過(guò) 3G 或公司防火墻以外的其它網(wǎng)絡(luò)管理設(shè)備的方法�,但這些方法不在本文討論范圍之內(nèi)�。
英特爾® 主動(dòng)管理技術(shù)的與眾不同之處是什么?
帶有英特爾® AMT 的英特爾® 博銳™ 技術(shù)內(nèi)建于英特爾® 指定的處理器和芯片組中。
英特爾® AMT 采用一種駐留在芯片上的管理機(jī)制����,可用于遠(yuǎn)程發(fā)現(xiàn)����、修復(fù)和保護(hù)計(jì)算系統(tǒng)����。該電路能夠建立一個(gè)全新的通信渠道,即“帶外”鏈路����。該鏈路獨(dú)立于計(jì)算系統(tǒng)的“帶內(nèi)”通道�,可提供永久性連接。
這種帶外鏈路采用一個(gè)專(zhuān)用管理引擎(ME)����,如圖 1 所示����,支持對(duì)未運(yùn)行的系統(tǒng)加以控制�。英特爾® 博銳™ 技術(shù)的其它要素包括 FLASH 設(shè)備中的少量?jī)?nèi)存和一個(gè)帶過(guò)濾器的防火墻。英特爾® 以太網(wǎng)和英特爾® 芯片組支持這些過(guò)濾器��。當(dāng)系統(tǒng)正常運(yùn)行時(shí)�,英特爾® 處理器運(yùn)行本地管理服務(wù)(LMS)軟件,用于通過(guò)本地接口連接 ME����。ME 可執(zhí)行代碼和數(shù)據(jù)存儲(chǔ)在FLASH 中�,ME 從芯片組的內(nèi)部?jī)?nèi)存或從主機(jī)內(nèi)存運(yùn)行�,使用一個(gè)主機(jī)看不到的專(zhuān)用區(qū)域。
相比之下��,傳統(tǒng)遠(yuǎn)程管理控制臺(tái)使用標(biāo)準(zhǔn)網(wǎng)絡(luò)功能即帶內(nèi)鏈路(利用設(shè)備的操作系統(tǒng)�、CPU 和網(wǎng)絡(luò)驅(qū)動(dòng)程序)來(lái)與設(shè)備進(jìn)行通信。當(dāng)設(shè)備出現(xiàn)故障時(shí)��,這種帶內(nèi)方法依賴(lài)許多設(shè)備組件連續(xù)運(yùn)行的缺點(diǎn)就會(huì)暴露出來(lái)��,從而大大減少能夠遠(yuǎn)程修復(fù)的問(wèn)題或故障類(lèi)型。
英特爾® AMT 包含一個(gè)叫作“通過(guò) IP 的KVM 重定向”特性��,允許 IT 控制臺(tái)的鍵盤(pán)-顯示器-鼠標(biāo)(KVM)控制和顯示現(xiàn)場(chǎng)標(biāo)牌系統(tǒng)的圖形用戶(hù)界面(GUI)��,無(wú)需額外硬件����。英特爾® AMT 6.0 KVM 支持需要一個(gè)采用 2010 英特爾® 博銳™ 技術(shù)和英特爾® 集成顯卡的平臺(tái)����。
另外,英特爾® AMT KVM 還支持播放驗(yàn)證,這是一種確認(rèn)數(shù)字標(biāo)牌顯示屏上實(shí)際播放內(nèi)容的功能����。該功能定期捕獲截屏和時(shí)間戳�,證明系統(tǒng)在一天當(dāng)中播放了什么內(nèi)容��。在播放驗(yàn)證出現(xiàn)之前�,廣告商很難驗(yàn)證他們購(gòu)買(mǎi)的廣告在實(shí)際中是否播出��。
除了花費(fèi)高額成本派遣審計(jì)員到現(xiàn)場(chǎng)檢查顯示屏����,廣告商還不得不依靠接收播放列表來(lái)了解廣告播放情況����,但是這無(wú)法證明標(biāo)牌系統(tǒng)是否正常運(yùn)行或者實(shí)際顯示的內(nèi)容是什么。
通過(guò) 3G 實(shí)施英特爾® 主動(dòng)管理技術(shù)本白皮書(shū)將進(jìn)一步介紹英特爾® AMT����,通過(guò)一個(gè)配置示例來(lái)說(shuō)明��,公司防火墻內(nèi)
的管理控制臺(tái)如何借助站點(diǎn)到站點(diǎn) VPN隧道通過(guò) 3G 網(wǎng)絡(luò)與防火墻外的系統(tǒng)進(jìn)行安全通信�。任何能夠建立站點(diǎn)到站點(diǎn)
VPN 的 VPN 技術(shù)(例如 SSL VPN、PPTP和 L2TP)都有可能在該配置示例中得到運(yùn)用�。VPN 技術(shù)已經(jīng)成熟����,并且能夠在IPsec�、MPLS、ATM����、載波以太網(wǎng)或其它網(wǎng)絡(luò)技術(shù)上運(yùn)行����。無(wú)論采用哪種網(wǎng)絡(luò)技術(shù)傳輸 IP 流量�,關(guān)鍵是在英特爾® AMT 支持的控制臺(tái)和英特爾® 博銳™ 技術(shù)支持的標(biāo)牌設(shè)備之間實(shí)現(xiàn)直接的 IP 級(jí)網(wǎng)絡(luò)可見(jiàn)性,以便從控制臺(tái)“看到”所有標(biāo)牌設(shè)備��。實(shí)際上����,通過(guò)使用 VPN����,支持數(shù)字標(biāo)牌系統(tǒng)的遠(yuǎn)程 LAN 成為了公司網(wǎng)絡(luò)的延伸��;因此����,隧道一側(cè)的數(shù)字標(biāo)牌設(shè)備能夠被另一側(cè)的管理控制臺(tái)看見(jiàn)和發(fā)現(xiàn)�。使用永久性站點(diǎn)到站點(diǎn) VPN 而非客戶(hù)端 VPN 的原因是,保持隧道正常運(yùn)行����,甚至在設(shè)備關(guān)機(jī)或無(wú)法運(yùn)行時(shí)也可以實(shí)現(xiàn)�;這是充分利用英特爾® AMT 的 OOB 管理特性所必需的����。
在最簡(jiǎn)單的形式中����,實(shí)施的關(guān)鍵組件包括支持 VPN 的路由器或連接到管理控制臺(tái)的設(shè)備和支持 VPN 的 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)。
這個(gè) 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)連接著一個(gè)或更多英特爾® 博銳™ 技術(shù)支持的數(shù)字標(biāo)牌系統(tǒng)����,如圖 2 所示����。在實(shí)際實(shí)施中��,可能有額外的 IT 基礎(chǔ)設(shè)施����,例如 DNS����、DHCP、CA�、AD 和更多路由器和交換機(jī)��,具體情況取決于安全和 IT 策略,以及所需設(shè)備和VPN 連接的數(shù)量����。針對(duì)本次概念驗(yàn)證選擇的設(shè)備并不意味著��,英特爾會(huì)為這些設(shè)備及其制造商做任何擔(dān)保。數(shù)字標(biāo)牌廠商應(yīng)當(dāng)選擇能夠滿(mǎn)足其安全和可用性要求的設(shè)備����。
配置示例:通過(guò) 3G 實(shí)施英特爾® 主動(dòng)管理技術(shù)
英特爾構(gòu)建了圖 2 中的網(wǎng)絡(luò)��,并使用Sprint* 無(wú)線網(wǎng)絡(luò)展示了如何通過(guò) 3G 實(shí)施英特爾® AMT�。這一部分以及附錄 A-D 將描述路由器和 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)的配置細(xì)節(jié),而且盡管描述的是特定網(wǎng)絡(luò)要素,但這些信息也適用于其它網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備�。
Sierra* Wireless AirLink* Raven XE 以太網(wǎng)網(wǎng)關(guān)Raven XE 可以用作具備 DHCP 和 VPN 隧道功能的 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)設(shè)備��。相比簡(jiǎn)單的 3G 調(diào)制解調(diào)器,該設(shè)備可以提供更簡(jiǎn)單、成本更低的解決方案��,避免在調(diào)制解調(diào)器和數(shù)字標(biāo)牌設(shè)備之間添加具備VPN 功能的路由器����。Raven XE 支持兩種運(yùn)行模式:調(diào)制解調(diào)器和網(wǎng)關(guān)。在調(diào)制解調(diào)器模式下,插入 Raven XE 以太網(wǎng)端口的系統(tǒng)與 3G WAN 接口擁有相同的 IP 地址。在網(wǎng)關(guān)模式下����,可以選擇為標(biāo)牌設(shè)備
設(shè)置本地靜態(tài) IP 地址��,或者讓它的 DHCP為一個(gè)或更多直接連接或通過(guò)交換機(jī)連接 Raven XE 的設(shè)備分配動(dòng)態(tài) IP 地址。因此,啟用 DHCP 的網(wǎng)關(guān)模式可以在網(wǎng)關(guān)背后的 LAN 上為每個(gè)數(shù)字標(biāo)牌系統(tǒng)提供動(dòng)態(tài)IP 地址,避免添加路由器,從而在 RavenXE 背后創(chuàng)建專(zhuān)用 LAN��。
該配置示例采用網(wǎng)關(guān)模式��。盡管調(diào)制解調(diào)器模式和網(wǎng)關(guān)模式都經(jīng)過(guò)測(cè)試而且可行,但網(wǎng)關(guān)模式更受青睞。在調(diào)制解調(diào)器模式下,可能不需要用 VPN 隧道進(jìn)行發(fā)現(xiàn)�,但為了實(shí)現(xiàn)安全、加密的通信,最好有 VPN隧道��。在網(wǎng)關(guān)模式下��,網(wǎng)關(guān)背后專(zhuān)用 LAN上的設(shè)備 IP 地址只能被隧道另一側(cè)的控制臺(tái)和設(shè)備看見(jiàn)��;然而����,在調(diào)制解調(diào)器模式下,直接連接到 Raven 的設(shè)備的 IP 地址可以被網(wǎng)絡(luò)上的任何用戶(hù)看見(jiàn)��,從安全角度來(lái)講����,這是不可取的。
通過(guò)在 Raven XE 和設(shè)備之間添加路由器����,讓 VPN 隧道成為必備組件,可以解決這一問(wèn)題�。但是����,這種解決方案比使用網(wǎng)關(guān)模式需要更高的成本��。
思科* SA520 安全設(shè)備在實(shí)驗(yàn)中��,英特爾使用了帶 VPN 功能的基礎(chǔ) SA520 路由功能,然而,更加全面、能夠建立數(shù)百個(gè) VPN 連接的安全路由設(shè)備可以為其它實(shí)施提供更好的保護(hù)�。
配置標(biāo)牌設(shè)備
采用英特爾® 博銳™ 技術(shù)的設(shè)備必須配置英特爾® AMT,才能使用英特爾® AMT 進(jìn)行管理����。本次實(shí)驗(yàn)在手動(dòng)模式下配置了標(biāo)牌設(shè)備��,并啟用了 DHCP��。或許其它配置方法更合適,具體情況取決于 IT 基礎(chǔ)設(shè)施����、安全要求以及其它因素。
英特爾® AMT 軟件開(kāi)發(fā)套件提供了一系列的推薦設(shè)置��,以構(gòu)建更加安全的配置。
其它方法包括使用 Kerberos 身份驗(yàn)證�,利用 KVM 重定向端口而非遠(yuǎn)程幀緩沖器(RFB)�,同時(shí)禁用 KVM 偵聽(tīng)器(僅在需要開(kāi)啟會(huì)話(huà)時(shí)啟用)��。
表 1 總結(jié)了路由器配置步驟����。
結(jié)果
英特爾使用 WebUI 和其它控制臺(tái)通過(guò)Sprint 3G 網(wǎng)絡(luò)成功管理 VPN 隧道上的數(shù)字標(biāo)牌設(shè)備。經(jīng)過(guò)測(cè)試的使用案例包
括 OOB 庫(kù)存和資產(chǎn)管理�、KVM�、啟動(dòng)BIOS����、電源控制特性、網(wǎng)絡(luò)隔離和lDE-R��。
標(biāo)牌無(wú)處不在
哪怕是只需要一次現(xiàn)場(chǎng)維修訪問(wèn)����,數(shù)字標(biāo)牌的投資回報(bào)也會(huì)大大降低。借助英特爾®AMT�,技術(shù)人員可以遠(yuǎn)程解決更多問(wèn)題�,從而節(jié)省成本�。本白皮書(shū)提供了配置和管理采用英特爾® AMT、通過(guò) 3G 網(wǎng)絡(luò)連接的標(biāo)牌設(shè)備的重要信息�,開(kāi)啟了在有線互聯(lián)網(wǎng)不可用的地區(qū)部署數(shù)字標(biāo)牌的大門(mén)����。
如欲了解有關(guān)英特爾® 數(shù)字標(biāo)牌解決方案
的更多信息�,請(qǐng)?jiān)L問(wèn):
www.intel.com/go/digitalsignage
附錄概述
附錄 A-D 描述了 Sierra* 3G 網(wǎng)關(guān)和思科* 安全設(shè)備的 LAN/WAN 和 VPN 配置步驟��。由于網(wǎng)關(guān)和防火墻彼此之間必須進(jìn)行通信��,VPN配置表中的必要字段應(yīng)當(dāng)包含相同的信息,如“匹配值”欄所示��。換言之��,匹配值相同的配置步驟在相應(yīng)配置字段中應(yīng)該有相同的值��。關(guān)于配置步驟的更多信息請(qǐng)見(jiàn)下文。
步驟注釋
1 VPN 1 類(lèi)型:選擇“IPSec Tunnel”�,
2 VPN 網(wǎng)關(guān)地址:這是與公司路由器相關(guān)的 WAN IP 地址��。注:路由器中的匹配字段。
3 預(yù)共享密鑰 1:用戶(hù)設(shè)置的身份驗(yàn)證密鑰�。注:路由器中的匹配字段����。
4 我的身份:與 Raven XE 相關(guān)的 WAN IP 地址��。注:路由器中的匹配字段��。
5 同伴身份:這必須與第 5 步中輸入的值相匹配。 本地地址類(lèi)型:選擇“Use the Host Subnet”�。
6 本地地址:這是數(shù)字標(biāo)牌系統(tǒng)的 IP 地址�。注:路由器中的匹配字段����。
7 本地地址 — 子網(wǎng)掩碼:這是數(shù)字標(biāo)牌系統(tǒng)的 LAN 的子網(wǎng)掩碼地址。注:路由器中的匹配字段����。
8 遠(yuǎn)程地址:這是管理控制臺(tái)的 IP 地址����。注:路由器中的匹配字段����。
9 遠(yuǎn)程地址 — 子網(wǎng)掩碼:這是管理控制臺(tái)的 LAN 的子網(wǎng)掩碼��。注:防火墻中的匹配字段����。
10 遠(yuǎn)程地址 — 子網(wǎng)掩碼:這是管理控制臺(tái)的 LAN 的子網(wǎng)掩碼�。注:防火墻中的匹配字段。
11 IKE 加密算法:配置中使用的 3DES。如果支持,建議使用 AES128 或更強(qiáng)大的加密算法。注:路由器中的匹配字段。
12 IKE 身份驗(yàn)證算法:配置中使用的 SHAI。如果支持����,建議至少使用 SHA2����。注:路由器中的匹配字段��。
步驟注釋
1 VPN 類(lèi)型:本配置示例使用“Site-to-Site”����,IPSec 隧道。
2 接口名稱(chēng):任何名稱(chēng)。
3 預(yù)共享密鑰是什么��?用戶(hù)設(shè)置的身份驗(yàn)證密鑰�,它必須與 3G 網(wǎng)關(guān)的密碼相匹配。
4 遠(yuǎn)程 WAN 的 IP 地址/FQDN:與 3G 網(wǎng)關(guān)相關(guān)的 WAN IP 地址。
5 遠(yuǎn)程 LAN IP 地址:這是數(shù)字標(biāo)牌系統(tǒng)的 LAN 基礎(chǔ) IP 地址。
6 遠(yuǎn)程 LAN 子網(wǎng)掩碼:這是數(shù)字標(biāo)牌系統(tǒng)的 LAN 子網(wǎng)掩碼��。
7 起始 IP 地址:這是管理控制臺(tái)的 LAN IP 地址�。
8 子網(wǎng)掩碼:這是管理控制臺(tái)的 LAN 子網(wǎng)掩碼。
9 加密算法:配置示例中使用的 3DES。如果支持�,建議使用 AES128 或更強(qiáng)大的加密算法�。
10 身份驗(yàn)證算法:配置示例中使用的是 SHA1�。如果支持,建議至少使用 SHA2��。
表 5:路由器 VPN 配置示例:思科* SA520 安全設(shè)備
