Intel AMT и CIRA (Client Initiated Remote Access)

Статья "Intel AMT и CIRA (Client Initiated Remote Access)" из серии "Учебник по Intel AMT", часть двенадцатая.

См. также:


С выходом первой беспроводной версии АМТ очень быстро вылезла серьёзная проблема, не так актуальная для десктопов (как "стационарных" компьютеров) и крайне актуальная для лаптопов (как "мобильных"). Дело в том, что для того, чтобы управлять АМТ-компьютером - нужно знать его IP, чтобы, собственно, к нему подключиться. И если десктопы по своей "стационарной сущности" могут иметь "относительно постоянный" (часто статический) IP, то ноутбуки по понятным причинам их "мобильной сущности" - нет, они могут иметь различные IP, например, даже в течении часа, если хозяин оного будет перемещаться, подключаясь каждый раз к новой (ближайшей) WiFi-точке доступа.

CIRA IP

Как же администратор сможет "удалённо подключиться и помочь" в случае проблем?

Решение подобной задачи потребовала серьёзной переработки и кода МЕ, и АМТ, и драйверов, и, вообще, самой архитектуры МЕ/АМТ.

И это решение было простое и сложное одновременно. Для того, чтобы компьютер был всегда доступен администратору - он должен к нему подключаться САМ! Ведь если компьютер сам подключается к админу, то вопрос с IP отпадает сам собой - будь он рядом, в соседней комнате или в Арктике. У админа всегда есть доступ. А у хозяина такого компьютера, соответственно, есть возможность получить помощь админа. Даже когда компьютер не загружает ОС или вообще выключен.

CIRA решение

Присоединяться "напрямую" к администратору тоже не слишком удобно - для этого ему бы пришлось иметь постоянный адрес. А ведь администратор тоже хочет иметь мобильность и иметь возможность управлять компьютером из любого места (а также с любого устройства, например, с планшета или телефона). Потому подобная схема получила "промежуточный элемент" - сервер, на который присоединяется и АМТ-компьютер, и его администратор.

CIRA промежуточный сервер

Основная задача такого сервера быть доступным (и для админа и для АМТ-компьютера), иметь постоянный адрес и "перекидывать" информацию от администратора к АМТ-компьютеру и наоборот. Или если по-простому - это "АМТ прокси-сервер". В документации Intel он значится под созвучным (с "прокси") названием MPS - Management Presence Server.

В древней документации встречал и Management Proxy Server, однако, возможно по каким-то маркетингово-юридическим причинам, в Intel решили его "переименовать", что, в принципе, не меняет сути.

CIRA

При вышеописанной схеме подключения главной особенностью является то, что сам АМТ-компьютер (как клиент по отношению к администратору, а точней - MPS) инициирует (удалённое) соединение. Потому и название - Client Intitiated Remote Access. Такой вариант соединения не требует знания от админа адреса АМТ-компьютера - лишь адреса MPS, который постоянный и который может обслуживать сразу много АМТ-компьютеров (присоединённых в свою очередь к нему). Кроме того, раз АМТ-компьютер САМ соединяется, не важно, за какими NAT-ами и firewall-ами он находится - всё равно после установки канала связи АМТ-MPS, админ сможет к нему присоединиться.

В результате получается следующая схема присоединения админа к АМТ:

CIRA этапы

  1. Intel АМТ инициирует соединение с MPS-сервером. Речь идёт об Intel ME процессоре, на котором исполняется AMT, потому этот процесс может проходить даже при выключенном компьютере - нужно лишь дежурное питание и наличие связи. Данные о MPS (адрес, сертификат - если соединение идёт с использованием TLS) предварительно были записаны в Intel ME в процессе конфигурирования. Так как это исходящий запрос - он пройдёт и через firewall, на пострадает из-за NAT-а и прочих преобразований в роутере.
  2. Если Intel MPS "на связи" (работает и доступен по известному АМТ адресу), а также имеет правильный сертификат (в случае TLS-соединения) - устанавливается канал связи между АМТ и MPS. Время жизни канала связи настраивается при конфигурировании АМТ.
  3. Администратор также (сам) подключается к MPS - потому он может это делать из любого места и с помощью любого устройства (а не только стационарного компьютера, что, конечно, удобней-привычней).
  4. При наличии шифрования или каких-то дополнительных процедур авторизации (доступа к MPS) - они выполняются на этом шаге.
  5. Программное обеспечение MPS-сервера "прокидывает" канал связи админ-MPS в канал MPS-АМТ, создавая таким образом канал админ-AMT и позволяя отправлять команды на АМТ компьютер, а также получать от него данные.

Промежуточное итого.

Итак, с помощью CIRA в AMT 4.0 была решена задача, которая позволяла обслуживать АМТ-компьютеры, находящиеся в любой случайной подсети.

CIRA - теория, реальность (реализация) и практика

Теория

Описанное выше можно отнести к "теории". В описанном варианте не видно особых ограничений, любой из элементов - АМТ-компьютер, MPS-сервер, компьютер админа - может находится в любом месте, лишь требуется наличие у всех интернета. Т.е. условно это:

CIRA теория

Однако это лишь теория.

Реализация

То, как было реализовано, можно увидеть на "официальной картинке" от Intel (отсюда):

Здесь получаем следующую картину. AMT-компьютер может быть где угодно в интернете, MPS и админ - в корпоративной сети. Логика здесь есть, конечно. Связана она с реализацией, в частности кодом Intel MPS-сервера, который может обращаться за авторизацией в корпоративную сеть, шифрованный канал для этого придумывать не стали, решив это вопрос тем, что, собственно, просто поместили его на картинке внутрь подсети. К этому добавилось то, что Intel SCS, как главный инструмент для инициализации/конфигурирования AMT от рождения имеет ошибку, не позволяющую настраивать AMT-компьютер на MPS вне корпоративной сети. А также он не умеет инициализировать AMT-компьютеры, расположенные вне корпоративной сети - в картинке предполагается, типа, что он может быть проинициализирован сначала "внутри", а уже после может спокойно работать "вне" (корпоративной сети), т.е., собственно, в интернете.

Практика

А на практике очень быстро выяснилось, что никто толком работу АМТ-компьютера, подключённого через интернет к Intel MPS, даже особо не тестировал! Тогда, давно (2006-2007-й гг., когда это разрабатывалось), возможно, это было не столь очевидно и актуально. Это сейчас, конечно (и давно) - "архиактуально".

В общем, практика показала, что назвать стабильной и беспроблемной работу AMT-MPS через интернет - нельзя. А если это ещё и через WiFi (на стороне AMT) - просто атас. Именно поэтому все ролики, что вы найдёте в сети, бодренько демонстрируются на парочке компьютеров, расположенных рядом, как-бы "имитирующих интернет", но реально работающих внутри "корпоративной сети", при этом почти всегда они подключены через Ethernet, т.к. WiFi - это (censored).

В результате получаем: и АМТ, и MPS, и админ - все внутри корпоративной сети. Да, это решает вопросы расположения условного ноутбука в любом из условно неизвестных офисов, но лишь внутри её (корпоративной сети). А если не использовать навороченных вариантов авторизации, то выяснилось, что как раз расположение админа в любом месте (интернет) - прекрасно переваривается. Т.е. картинка становится "зеркальной":

CIRA практика

Т.е. АМТ и MPS - внутри подсети, а админы могут быть откуда угодно. И такая схема реально (на практике) и беспроблемно работает. Она тоже, конечно, имеет свой смысл. Однако, всё же, это таки далеко от "теории".

 

Итого.

Теперь, зная "правду жизни" о CIRA, постараемся далее, всё же, воплотить в жизнь именно "правильную" ("теоретическую") версию её работы. Раскрыв весь потенциал, который был изначально закопан и разработчиками, и программистами. Не буду добавлять "индусскими", хотя в отношении как минимум Intel SCS - это чистая правда. :)

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.