Инструкция по установке Vgate и автомобильный сканер Vgate iCar2

Популярный адаптер известной фирмы Vgate, используется при компьютерной диагностике легковых ТС, у которых считывание информации с ЭБУ организовано по стандарту OBD II. Vgate iCar2 имеет малые габаритные размеры и расширенный функционал по сравнению с аналогами данной ценовой категории (исключением является известный launch easydiag 2.0 и общедоступный Scan Tool Pro).

Функционирование сканера Vgate iCar основано на известном  диагностическом чипсете ELM 327 с прошивкой версии 2.1. Благодаря ему поддерживаются все OBD2 протоколы, гарантируется устойчивая передача данных с ЭБУ ДВС, обмен точными и достоверными параметрами.

Следует сразу отметить, что имеются как  Wi-Fi, так и Bluetooth версии автосканера. Внешне они отличаются только обозначениями на корпусе.

Описание и выгодные преимущества

Ранее уже говорилось в самом начале, диагностический автосканер собран на процессоре ELM327, который проверен, и имеет уже несколько версий прошивок. 2.1 – последняя версия, но как показывает практика, у неё есть свой минус в совместимости авто, о котором скажем позднее. Производитель сканера – китайская компания VGATE.

Обе модели VGATE могут использоваться также как бортовые компьютеры, чем пользуются тысячи автовладельцев, применяя для этого любой современный гаджет с экраном. К выгодным преимуществам девайса относится:

• Расширенные функции (вывод для прочтения данных, прочтение кодов авто 2004 и более поздних г. в.).
• Получение большинства показателей (от величины вращения ДВС, до Т воздуха? >100 данных).
• Огромный выбор авто, которые могут быть проверены. Перечислим в таблице таблице основные.

Возможности ELM327 Bluetooth iCar II

Введение

Российская компания «Код безопасности» обновила продукт vGate до версии 4.1. Решение предназначено для защиты платформ виртуализации на базе VMware vSphere и Microsoft Hyper-V. На данный момент разработка vGate 4.1 завершена, и продукт уже проходит процесс сертификации во ФСТЭК России.

Значительные изменения в концепции построения ИТ-инфраструктуры, в частности, массовое внедрение средств виртуализации, безусловно, повлияли и на риски, связанные с ее эксплуатацией.

С одной стороны, с внедрением виртуализации в бизнес-процессы организация получает экономию средств на дорогостоящем оборудовании, гибкость и отказоустойчивость, а с другой — дополнительный уровень абстракции создает и дополнительные риски.

Администратор виртуальной среды имеет ничем не ограниченный доступ к любому элементу инфраструктуры. Его ошибки или намеренные действия могут повлиять на работу всех частей виртуальной среды.

Согласно исследованию «Кода Безопасности», две трети компаний опасаются ущерба, нанесенного действиями оператора виртуальной инфраструктуры (ВИ), причем как умышленными так и непреднамеренными.

Для злоумышленника несанкционированный доступ к гипервизору и консоли управления открывает много возможностей по распространению угроз внутри сети целевой организации. При компрометации системы управления средой виртуализации сегментация сети с помощью межсетевых экранов уже не спасет: злоумышленник будет распространять свое влияние.

Другой проблемой является защита виртуальных машин от вредоносного кода. Эта задача наиболее понятна производителям средств защиты, поэтому предлагается множество вариантов ее решения:

• защита каждой виртуальной машины при помощи полноценного продукта;
• защита на уровне гипервизора, без установки агентов на виртуальные машины — так называемый подход agent-less;
• защита на уровне гипервизора и при помощи «легкого» агента.

Однако первые два риска часто остаются в тени и оставляют инфраструктуру заказчика уязвимой. Опытные пользователи платформ виртуализации могли бы возразить, напомнив о том, что у всех современных систем существует ролевая модель администрирования, ведутся системные логи и тому подобное. Да, это так, но ничто не мешает все тому же администратору, пользуясь своим правом полного доступа ко всей системе, скопировать конфиденциальные данные или целые виртуальные машины для «дальнейших экспериментов», а затем удалить все свидетельства своих действий из журналов событий.

vGate отличается от  большинства решений для защиты «частных облаков» тем, что он фокусируется не на защите виртуальных машин от вредоносного кода,  а на защите от вредоносных действий администратора, повышении защиты непосредственно гипервизора, а также фильтрации трафика между виртуальными машинами.

Всем привет. В этом обзоре речь пойдет об устройстве для самостоятельной диагностики авто. Всех неравнодушных к этой теме прошу под кат.

Думаю многие задумываются о приобретении подобных устройств, после появления каких либо неисправностей. Кто-то дабы ощутить себя великим диагностом)), благо цена позволяет иметь сей девайс у себя в арсенале даже без особой на то надобности (а вдруг пригодится).
История моей покупки проста.Ездил, радовался жизни, пока не загорелся заветный «Check Engine» — погасил сбросом клеммы. Через приблизительно неделю снова та же история, и снова. Живу в небольшом городке, где нету сервисных диагностических центров (да и гаражных тоже нету), до ближайшего города где могут оказать такие услуги 50 км. Все бы ничего, но нужно выбрать время, потратится на поездку и диагностику, и обидно (а с другой стороны счастье) если это все из-за какой-то мелочи. Вот и решил приобрести сабж, так сказать для предварительной диагностики — ехать к мастерам или просто стереть ошибку.
Следующей задачей было выбрать сканер. Не буду описывать весь процесс, скажу лишь, что уделил этому немного времени, и большую часть информации собрал после покупки и использования девайса.
Vgate iCar 2 представляет собой распространенный адаптер ELM327, но в фирменном варианте от компании Vgate.
Так как сравнивать особо не с чем (другими не пользовался), обзор пишу исходя из своих личных впечатлений и информации собраной на различных ресурсах.
Поставляется вот в такой коробочке

Внутри сам адаптер (аккуратно вложен в поролоновою вставку), инструкция на китайском и английском языках, диск с софтом.


Внешний вид



На лицевой поверхности расположена кнопка включения и три светодиодных индикатора.
Индикатор с пиктограммой аккумулятора светится во время когда на адаптер подается питание и он активен. Индикатор с пиктограммой автомобиля сигнализирует о подключении адаптера к мобильному устройству.

Третий индикатор либо не работает, либо я просто не увидел его активным (так как разъем для подключения адаптера находится не в самом удобном месте для наблюдения).
Признаюсь была попытка, которая не увенчалась успехом, разобрать девайс:

Характеристики:
Рабочее напряжение: DC 9 ~ 16V
Потребляемый ток: <75 mAa13.8V
Потребляемый ток в режиме энергосбережения: <25 mAa12.0V
Переход в режим энергосбережения через: 30 мин.
Рабочая температура: -30 ℃ ~ +70 ℃
Класс защиты: IP30
Версия прошивки чипа ELM 327: 2.1
Сетевое имя SSID: V-LINK
Размеры адаптера Д х Ш х В: 46 х 23 х 26 мм
Вес адаптера: 17 гр.

Поддерживаемые протоколы OBD-II:
ISO15765-4 (CAN-шина): Audi, Opel, VW, Ford, Jaguar, Renault, Peugeot, Chrysler, Porsche, Volvo, Saab, Mazda, Mitsubishi
ISO 14230-4 (KWP2000): Daewoo, Hyundai, KIA
ISO 9141-2: Honda, Infinity, Lexus, Nissan, Toyota, Audi, BMW, Mercedes, Porsche
SAE J1850 VPW: Buick, Cadillac, Chevrolet, Chrysler, Dodge, GM, Isuzu
SAE J1850 PWM: Ford, Lincoln, Mazda.

Основные возможности :
Считывание текущих параметров работы системы управления. Всего стандартом поддерживается более 100 параметров. Каждый конкретный блок управления автомобилем поддерживает ограниченное количество параметров. При этом встречаются некоторые автопроизводители, блок управления автомобилем которых, поддерживает расширенные наборы параметров.
Получение сохраненных значений текущих параметров работы системы управления автомобилем на момент возникновение кодов неисправностей (Mode 2 Freeze Frame).
Считывание и просмотр кодов неисправностей (Mode 3 Read Diagnostic Trouble Codes (DTCs)).
Очистка диагностической памяти (Mode 4 Reset DTC’s and Freeze Frame data) — стирание кодов неисправностей, значений сохраненных параметров, результатов тестов датчиков кислорода, результатов тестовых мониторов.

Запрос информации о диагностируемом автомобиле (Mode 9 Request vehicle information) — VIN-кода и калибровочных данных.
Экспорт данных и распечатка;
Вывод текущих параметров в метрической и США системах измерений;
Запись данных и вывод графиков;
Счетчик времени разгона: от 0 до 100 км/ч.

Отображаемые параметры:
• режим работы системы топливной коррекции (PID 03 Fuel system status). При значении «Closed Loop» система работает в режиме обратной связи (замкнутой петли), при этом данные с датчика кислорода используются для корректировки топливоподачи. При значении «Open Loop» данные с датчика кислорода не используются для корректировки топливоподачи;
• расчетная нагрузка на двигатель (PID 04 Calculated Load);
• температура охлаждающей жидкости (PID 05 Coolant temperature);
• краткосрочная коррекция подачи топлива по банку 1/2 (PID 06/08 Short Term Fuel Trim Bank 1/2);
• долгосрочная коррекция подачи топлива по банку 1/2 (PID 07/09 Long Term Fuel Trim Bank 1/2);
• давление топлива (PID 0A Fuel pressure);
• давление во впускном коллекторе (PID 0B Manifold pressure);
• обороты двигателя (PID 0C Engine speed — RPM);
• скорость автомобиля (PID 0D Vehicle speed);
• угол опережения зажигания (PID 0E Ignition Timing Advance);
• температура всасываемого воздуха (PID 0F Intake Air Temperature);
• расход воздуха (PID 10 Air Flow);
• положение дроссельной заслонки (PID 11 Throttleposition);
• режим работы системы подачи дополнительного воздуха (PID 12 Secondary Air Status);
• наличие датчиков кислорода (PID 13 O2 sensors present);
• данные с датчика кислорода №1/2/3/4 по банку 1/2 (PID 14-1B O2 Sensor 1/2/3/4 Bank 1/2 Volts).
• а также множество других параметров.
Скажу сразу, чтобы разобраться со всем этим необходимо

неслабо заморочится

потратить некоторое время.

Основными преимуществами Vgate iCar2 перед ELM327- быстрый ARM процессор, автоматический переход в режим сна после бездействия 30 минут, включение/отключение кнопкой питания.

Современные виртуальные дата-центры, как правило, хорошо защищены от атак извне. Традиционно в виртуальных инфраструктурах (ВИ) применяются межсетевые экраны, антивирусы, IPS/IDS и другие компоненты, однако про атаки изнутри почему-то зачастую забывают, всецело доверяя администраторам ВИ. При этом специфика виртуальной инфраструктуры предполагает большее, по сравнению с физической средой, количество привилегированных пользователей, что автоматически создает для ВИ отдельную группу инцидентов, связанных с умышленными (например, копирование защищаемой информации) или неумышленными действиями (например, администратор случайно выключил хост). Таким образом, в виртуальной инфраструктуре необходимо контролировать и ограничивать доступ привилегированных пользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.

Стенд

Для того чтобы показать, какие инциденты возможны в виртуальной инфраструктуре, мы развернули виртуальный сервер на платформе VMware. Для защиты смоделированной ВИ используется сертифицированный vGate R2. Его главные функции:

• контроль доступа к различным объектам ВИ за счет усиленной аутентификации и разграничения полномочий между администраторами ВИ и администраторами ИБ;
• защита ВМ и конфиденциальных данных, которые хранятся и обрабатываются на этих машинах;
• защита ВИ в соответствии с требованиями регуляторов.

Кроме того, в vGate есть ряд инструментов, которые можно использовать для выявления и расследования инцидентов ИБ. К таким механизмам относятся «Аудит» и «Отчеты». Об этом поподробнее.

«Аудит» в vGate регистрирует события безопасности (например, НСД к инфраструктуре, создание или удаление ВМ, изменение ВМ и др.) и собирает их со всех защищаемых ресурсов (ESX-серверов, VMware vCenter Server, сервера авторизации vGate). С помощью «Аудита» можно проводить фильтрацию событий безопасности (по разным категориям), делать настройку перечня регистрируемых событий, отправлять события безопасности по протоколам SNMP\SMTP и вести журнал событий в текстовом документе.
С помощью «Отчетов» можно проводить мониторинг системы и получать различные отчеты, например по наиболее частым событиям ИБ, доступу к ВИ в нерабочее время, попыткам несанкционированного изменения настроек, контролируемых политиками, доступу к файлам ВМ и управлению ВИ и другие.

Далее мы попробуем смоделировать действия злоумышленника и показать, какие инциденты могут произойти в виртуальной инфраструктуре и как с помощью vGate их можно выявить и расследовать. Наш виртуальный стенд состоит:

• из сервера с VMware vCenter и двух ESXi-хостов (хост № 1 и хост № 2);
• сервера авторизации vGate (вариант развертывания, когда маршрутизацию осуществляет сервер авторизации vGate), на котором также располагается рабочее место администратора информационной безопасности (сокращенно будем называть его АИБ);
• АРМ администратора виртуальной инфраструктуры № 1 (АВИ 1), который имеет доступ к конфиденциальной информации (на АРМ установлен агент аутентификации vGate и VMware vSphere Client); АРМ администратора виртуальной инфраструктуры № 2 (АВИ 2), не имеющего доступа к конфиденциальной информации (на АРМ установлен агент аутентификации vGate и VMware vSphere Client).

Моделируемые ситуации

Инцидент № 1. Подбор пароля

АВИ 1 при попытке доступа к серверу аутентификации получает через агента следующее сообщение:

Инцидент № 2. Клонирование ВМ

Произошла утечка конфиденциальной информации, которая обрабатывалась на виртуальной машине WIN7, АИБ производит фильтрацию событий по категориям:

И находит в перечне событие, относящееся к виртуальной машине WIN7:

Он выясняет, что АВИ 1 клонировал данную ВМ, что требует дальнейших разбирательств по выяснению причины действий АВИ 1.

Инцидент № 3. Нарушение целостности ВМ

Виртуальная машина VM1 не запускается, но на данной машине обрабатываются персональные данные и в соответствии с действующими в организации политиками безопасности для нее настроен контроль целостности. АИБ осуществляет фильтрацию событий аудита по параметру «текст содержит» и вводит имя виртуальной машины VM1.

Выясняется, что была нарушена целостность файла vmx, а именно изменен объем оперативной памяти виртуальной машины.

Просмотрев более ранние события, АИБ выясняет, что АВИ 1 изменил конфигурацию ВМ.

Инцидент № 4. Нарушение доступности ВМ

Пользователь при попытке получить доступ к виртуальной машине получает отказ по причине недоступности виртуальной машины. АИБ производит фильтрацию событий аудита по параметру «текст содержит» и вводит имя виртуальной машины.

В результате применения фильтра АИБ будут доступны все события безопасности, относящиеся к этой виртуальной машине. АИБ выясняет, что АВИ 1 изменил настройки виртуальной машины, удалил ее или произвел другие действия с виртуальной машиной, которые привели к ее недоступности.

Инцидент № 5. Анализ открытых портов

АИБ при проведении периодического мониторинга событий сформировал отчет «Наиболее частые события ИБ»

В отчете часто фигурирует событие «Попытка несанкционированного доступа к защищаемому объекту». АИБ для дальнейшего анализа производит фильтрацию событий аудита по типу событий «предупреждение» и категории «управление доступом».

В результате применения фильтра АИБ видит повторяющиеся события, в которых субъект и объект доступа одинаковые, а порты назначения различные. Из чего можно сделать вывод, что АВИ 2 (IP 192.168.2.143) запускал ПО для анализа открытых портов.

Инцидент № 6. Исчерпание ресурсов

Пользователь ВМ WIN7 не может получить доступ к ней, либо работоспособность данной ВМ замедлена. Пользователь обращается к АВИ 1, который видит, что на данном хосте появились новые ВМ. АВИ 1 обращается к АИБ по поводу случившегося.

АИБ в событиях аудита применяет дополнительную фильтрацию по категориям событий. Выбрав категорию «Виртуальные машины» в полученном перечне событий, связанных с виртуальными машинами, он находит события клонирования и запуска АВИ 2 нескольких виртуальных машин. Соответственно, АИБ делает вывод, что АВИ 2 путем клонирования и последующего запуска большого количества виртуальных машин вызвал исчерпание вычислительных ресурсов хоста.

Инцидент № 7. Выключение ВМ

На виртуальной машине WIN7 установлен безагентный антивирус (или, например, система обнаружения/предотвращения вторжений), обеспечивающий защиту всех виртуальных машин на данном хосте, но, тем не менее, произошло вирусное заражение. Сделав выборку событий, относящихся к данной виртуальной машине, АИБ выяснил, что АВИ 1 выключил данную машину, что является поводом для выяснения причин.

Заключение

Рассмотренные примеры достаточно просты, но главной их целью было показать функционал vGate по выявлению инцидентов, который можно использовать для выявления и более сложных инцидентов. Каждый из рассмотренных инцидентов можно предотвратить с помощь соответствующих настроек и политик vGate, а также настройки оперативных уведомлений администраторов безопасности о подозрительных и злонамеренных действиях. Если же vGate, к примеру, интегрирован с SIEM-системой, это в сумме даст еще больше инструментов для выявления и расследования инцидентов не только в виртуальной инфраструктуре, но и во всей инфраструктуре в целом.

Развертывание средства защиты виртуальной инфраструктуры vGate R2.

Мы уже много писали об универсальном средстве vGate R2 для защиты виртуальных инфраструктур VMware vSphere от компании Код Безопасности. Этот продукт позволяет автоматически настроить серверы ESX / ESXi и виртуальные машины в соответствии требованиями и регламентами безопасности, а также защитить инфраструктуру от несанкционированного доступа. Сегодня мы расскажем о том, как правильно развернуть средство защиты vGate R2 в вашей тестовой или производственной среде.

Для начала напомним, что vGate R2 имеет сертификат ФСТЭК (что очень полезно в разрезе закона ФЗ 152 о персональных данных), а также поддерживает серверы ESXi и сертифицирован для защиты информации представляющей собой гостайну. Обзор возможностей vGate R2 представлен у нас в этой статье.

Начнем, с того, как можно развернуть vGate R2 в тестовой лаборатории и что вам для этого понадобится:

• Серверы VMware ESX / ESXi, которые нужно настроить в соответствии с требованиями и защитить от НСД.
• Сервер vCenter, куда устанавливается vGate Personal Firewall.
• Выделенный сервер для установки сервера авторизации vGate R2
• Машина – рабочее место администратора безопасности, куда можно поставить консоль управления vGate R2. Кроме того, консоль управления можно поставить и на сервер авторизации (как мы и сделали). Сюда же ставится агент аутентификации.
• Рабочая станция с клиентом VMware vSphere, куда ставится агент аутентификации.

Сервер авторизации можно поставить в виртуальной машине, поэтому дополнительного сервера вам не потребуется. Напоминаю, что в соответствии на настройками сетевого окружения для vGate R2, на сервере авторизации должно быть 2 сетевых интерфейса: один – для внешней сети (откуда администратор vSphere получает доступ к vCenter и хостам через vSphhere Client), другой – для доступа сервер авторизации к серверам виртуализации и vCenter.

Опишем системные требования vGate R2 для различных компонентов:

Обратите внимание, что сервер авторизации vGate R2 в домен включать не нужно.

Теперь приведем план установки vGate R2, которого желательно придержиться:

• Настройка локальной сети в соответствии с лучшими практиками для vGate R2.
• Установка и настройка
  сервера авторизации.
• Установка и настройка
  резервного сервера
  авторизации (этот шаг опционален – мы его делать не будем).
• Установка ПО
  на компьютер АИБ (администратор информационной безопасности). Это консоль управления vGate R2, ее мы будем ставить на сервер авторизации. Сюда же поставим агент аутентификации.
• Устанавливается агент аутентификации на рабочие станции с vSphere Client.
• Агент аутентификации нужно установить также на серверы внешнего периметра по отношению к виртуальной инфраструктуре (DNS, AD).
• Установка vGate Personal Firewall – компонента защиты vCenter.

Установка сервера авторизации vGate R2

Запускаем установку vGate R2 на виртуальной или физической машине (не забывайте, что должно быть 2 сетевых адаптера для внешней и внутренней сети):

Выбираем пункт “Сервер Авторизации”.

После принятия соглашения, выбираем устанавливаемые компоненты. Консоль управления ставим на этот же сервер:

Резервирование конфигурации – это установка резервного сервера, которую мы здесь рассматривать не будем.

Далее выбираем сетевые интерфейсы для внутреннего и внешнего периметров. На рисунке у нас адреса из одной подсети, но на самом деле эти подсети должны быть разнесены физически или логически, чтобы администратор с vSphere Client мог получить доступ к управлению виртуальной инфраструктурой только через сервер авторизации. Это очень важный момент в развертывании vGate R2, чтобы он мог контролировать все происходящее.

Далее вводим параметры подсети защищаемого периметра (то есть того, где у нас находятся хосты ESX / ESXi и сервер vCenter):

Далее вводим имя сферы для vGate R2 и задаем пароль главного администратора информационной безопасности в вашей виртуальной инфраструктуре. Кому попало говорить его не нужно.

Собственно, все – далее начнется установка СУБД PostgreSQL. Если вы не устанавливали консоль администрирования vGate R2, то ее можно поставить на отдельный сервер. Для этого при установке клиента аутентификации нужно будет выбрать соответствующий пункт (см. далее).

Установка агента аутентификации vGate R2

Агент аутентификации устанавливается как на рабочем месте администратора ИБ (где консоль администрирования), так и на рабочей станции, откуда происходит управление через vSphere Clinet. Запускаем мастер установки и на сплэш-скрине выбираем пункт “Агент аутентификации”.

Далее принимаем условия лицензионного соглашения и запускаем установку:

Если агент аутентификации устанавливается на рабочее место администратора безопасности во внешнем периметре сети администрирования, то на данный компьютер необходимо установить также консоль
управления. Для установки консоли управления раскройте дерево компонентов, нажмите мышью на значок слева от названия компонента и в раскрывшемся меню выберите нужный пункт.

Вводим имя сервера авторизации и пароль администратора ИБ, который мы задавали при установке сервера авторизации:

Далее нажимаем кнопку “Установить”. После установки у вас будет либо просто агент аутентификации, либо агент+консоль администрирования. На остальные серверы во внешнем периметре (DNS, AD) агент аутентификации устанавливается подобным образом.

При попытке несанкционированного доступа к vCenter будет выдан стандартный отлуп клиента:

Установка компонента защиты vCenter – vGate Personal Firewall

Этот компонент представляет собой сетевой экран, и предназначен он для фильтрации входящего трафика на vCenter для защиты от несанкционированного доступа. На сервере vCenter запускаем установочный диск vGate R2 и на сплэше выбираем “Компонент защиты vCenter”.

После принятия лицензионного соглашения, продолжаем установку:

Далее нажимаем кнопку “Установить”. У этого компонента нет GUI, поэтому после установки можно о нем забыть.

Установка сервера отчетов vGate R2

Для установки сервера отчетов вам понадобится установить на сервер авторизации следующие компоненты:

• Reporting Services для СУБД Microsoft SQL 2005 Server SP3 (любой редакции, за исключением Express
  Edition). Предварительно придется поставить Microsoft IIS.
• Microsoft Visual C++ 2008 Redistributable Package. Для установки компонента следует запус-
  тить vcredist_x86.exe из каталога \redistributables установочного диска vGate и следовать ука-
  заниям мастера установки.

Далее на сервер отчетов следует установить отчеты для vGate, запустив утилиту
report_setup.exe с параметрами. Предварительно утилиту следует скопировать на ПК с установочного диска. Описание параметров вы можете увидеть в документации на vGate R2, идущей в комплекте с продуктом.

Для установки сервера отчетов на сервер авторизации, нужно воспользоваться командой:

report_setup.exe –server 192.168.1.121

В vGate 2 можно настроить специализированный сервер отчетности, который будет генерировать репорты, в которых будут отражены основные конфигурации и изменения с точки зрения информационной безопасности.

Подготовленный отчет можно выгрузить в следующие форматы:

• XML-файл с данными отчета;
• текстовый файл с разделителями (CSV);
• графический файл (TIFF);
• файл Acrobat (PDF);
• веб-архив (MHT);
• файл Excel (XLS)

Выглядит это так:

Более подробно сервер отчетов vGate R2 мы рассмотрим в следующих статьях.

Первичная настройка vGate R2

На этом этапе установка vGate R2 завершена. Теперь давайте запустим консоль администрирования и посмотрим на основные экраны. Вводим имя пользователя и пароль администратора ИБ:

Появляется главный экран:

После успешного соединения с сервером мы сможем увидеть список виртуальных машин на вкладке “Виртуальные машины”:

Теперь нужно настроить учетные записи пользователей на вкладке “Учетные записи”.

Для аутентификации пользователей (АВИ) в vGate нельзя использовать существующие доменные или локальные учетные записи пользователей Windows
(или другой ОС). Поэтому для каждого пользователя vGate следует создать
свою учетную запись средствами консоли управления.

Далее можно приступить к добавлению защищаемых серверов ESX:

И созданию новых политик безопасности, о которых написано вот в этой статье.

На этом вкратце все об установке vGate R2. В следующих статьях мы более подробно расскажем об использовании основных элементов управления продукта и администрировании решения.

Совместимость с протоколами OBD2 и марками различных авто

Прежде чем принимать решение на покупку сканера на базе ELM327 для личного пользования, необходимо убедиться, что ваш автомобиль может быть продиагностировано с использованием именно Vgate iCar. Производитель очертил круг ТС, для который подойдет сканер. Это:

• Все американские легковые авто, выпущенные с 1995 г.
• Техника стран Евросоюза после 2001 года.
• ТС, вышедшие с конвейеров Российских заводов только после 01.2005 года (особенность ver 2.1).
• Автомобили азиатского производства (Япония, Корея, КНР и пр.) с 2005 года. Toyota Camry XLE 2004 iso9141-2/iso14230-4 gasoline (United States).

Сканер Vgate iCar2 поддерживает следующие OBD II протоколы:

ISO15765-4 (CAN-шина): Audi, Chrysler, Ford, Mazda, Mitsubishi Opel, Porsche, Peugeot, Renault, Saab, VW, Volvo, Jaguar. 

ISO 14230-4 (KWP2000): Daewoo, Hyundai, KIA

ISO 9141-2: Audi, BMW, Honda, Infinity, Lexus, Mercedes, Nissan, Porsche, Toyota.

SAE J1850 VPW: Buick, Cadillac, Chevrolet, Chrysler, Dodge Caravan SE 2001 J1850 VPW Gasoline Canada, GM, Isuzu. Subaru Impreza 1997 iso gasoline united

SAE J1850 PWM: Ford, Lincoln, Mazda.

Установка и настройка vGate 4

Процесс установки vGate 4.1 с момента предыдущего обзора изменился незначительно, поэтому мы лишь вкратце коснемся этой темы.

Предполагается, что в сети, где будет внедряться защита, уже проведена подготовительная работа. А именно, есть машина с контроллером домена, в отдельную подсеть отделены физические машины, в том числе те, с которых потом будут работать администраторы информационной безопасности (АИБ) и виртуальной инфраструктуры (АВИ). Также в отдельную подсеть должны быть выделены гипервизоры, системы хранения данных и виртуальные машины. Вероятнее всего, в такой сети может быть выделенный маршрутизатор, отвечающий за разделение подсетей с физическими и виртуальными машинами.

Рисунок 1. Принципиальная схема организации защиты виртуальной инфраструктуры при помощи vGate 4.1

Ключевые моменты, на которые следует обращать внимание при установке:

• На маршрутизаторе, отделяющем виртуальную инфраструктуру, должно быть настроено правило, запрещающее обращение ко всем машинам внутри этой подсети за исключением той, на которой будет развернут сервер авторизации vGate, так как именно он должен стать единой точкой для всех входящих запросов из внешних сетей.
• В ходе настройки сервера авторизации следует сразу позаботиться о создании отдельных учетных записей для администраторов информационной безопасности (АИБ) и виртуальной инфраструктуры (АВИ). Более того, в ходе установки на машины АИБ должны быть установлены консоль управления vGate, сервер отчетов и мониторинга. Для роли АВИ будет достаточно агента аутентификации, чтобы у него была возможность, авторизовавшись через vGate, получить доступ к управлению виртуальной инфраструктурой.
• Продуктом vGate поддерживаются сценарии установки, когда в сети может не быть контроллера домена или отдельного маршрутизатора. В этом случае для аутентификации на vGate можно будет использовать только внутренние учетные записи вместо доменных, а функцию маршрутизатора может на себя взять сервер аутентификации.

Более подробно этот и другие сценарии установки рассматриваются в документации.

Архитектура vGate 4

Решение vGate 4.1 состоит из целого ряда компонентов. На сайте производителя вы можете найти исчерпывающие описания каждого из них. Мы же рассмотрим логику построения системы безопасности и перечислим функциональную нагрузку каждого из компонентов.

Рисунок 13. Принципиальная схема организации защиты виртуальной инфраструктуры при помощи vGate 4.1

На этой схеме проиллюстрирован основной принцип организации защиты виртуальной инфраструктуры при помощи vGate 4.1. А именно: вся виртуальная инфраструктура — гипервизоры и системы хранения данных — выделяются в отдельный сегмент, прямой доступ к которому блокируется при помощи «прокси-сервера». В качестве такого «прокси-сервера» может выступать как сертифицированный маршрутизатор (если он уже у вас есть), так и сам сервер vGate. Доступ к гипервизору у администраторов виртуальной инфраструктуры появится только после аутентификации на vGate.

Таблица 3. Компоненты, используемые vGate для защиты

Scan Tool Pro с прошивкой 2022 года – альтернатива Vgate iCar2

Автосканер Scan Tool Pro построен на базе хорошо знакомой пользователям архитектуры ELM327, где передача с вашего автомобиля на смартфон (ПК, нетбук или планшет) по OBD II. Устройство вышло в 2015 г., прошло проверку практикой, оставило массу положительных отзывов, выявлены также и недостатки. Прошивка 2022 года решила проблемы с совместимостью с авто выпущенных раньше 2006 года, а так же после 2018 года.

IamZevs 
Я езжу на Ford Focus III Wagon 
г. Москва

Написал про то как тестировал совместимость с некоторыми авто. Появилась возможность проверить работоспособность автосканера на 10 марках авто.

Покупил этот сканер ТУТ

В первую очередь автосканер просто проверялся на возможность подключения блока управления к адаптеру. Все марки машин из моего списка были..

Сравним некоторые параметры двух сканеров:

Принципиальная схема функционирования автосканера

С помощью адаптера обеспечивается преобразование логических протоколов и фактических показателей считываемых сигналов. Устройство преобразует сигналы, поступающие от ЭБУ в соответствии с протоколом OBDII, на выходе получаем формат виртуального сервера. Как уже было сказано, присоединение происходит с применением спец. разъема OBDII.

Для осуществления соединения применяются такие протоколы связи как: SO9141-2; ISO14230-2 (KWP2000); SAE J1850 VPW; SAE J1850 PWM; ISO 15765-4 CAN.

ФАКТЫ & СОВЕТЫ

За практическую передачу отвечает специальный микропроцессор. Корпус оснащен светодиодными индикаторами, фиксирующих приемку и отправление информации, подключение к питанию.

1. Найдите в автомобиле OBD2 разъем.
2. Подключите к разъему при выключенном зажигании. О правильности произведенной операции сигнализирует лампочка индикатора.
3. Чтобы сконнектить устройство с выбранным гаджетом, используемым для считывания, необходимо включить зажигание.
4. Далее запустите выбранное ПО (комплект поставки с устройством производителем предусмотрено наличие – ПО «TORQUE».
5. Включаем Bluetooth, соединяем устройства между собой.
6. Теперь остается лишь прочесть полученные коды. Программа позволяет узнать показатели в режиме реального времени, даже на ходу.

Scan Tool Pro Black Edition – бюджетный мультисканер

Хороший выбор для начинающего диагноста. Новинка 2022

Сейчас в продаже имеются модели сканеров с различными версиями прошивок и чипов. Scan Tool Pro с прошивкой 2022 – пока что самая стабильная версия, а так же имеет максимальную совместимость с автомобилями с 2001 года выпуска (Россия, Азия, Европа, Штаты). Купить Bluetooth сканеры для автодиагностики марки Scan Tool Pro официального дилера, который дает гарантию 12 месяцев, можно по ссылке указанной справа. Удачной диагностики!

Автосканер iCar II способен распознавать диагностические протоколы в автоматическом режиме. После установки ПО необходимо настроить связь.

Рассмотрим, как это делается для ПК или ноутбука:

• выбираем «сетевое окружение»;
• далее «свойства»;
• щелкните по беспроводному соединению Wi-Fi;
• выбираем протокол интернета TCP/IP;
• «OK»;
• соединяем ПК с V-Link, для чего нажимаем Connect;
• после чего переходим в программу для диагностики, где сопрягаем соединение (при запуске или в настройках) и приступаем к работе.

Vgate iCar2 и Vgate iCar – чем отличаются

Обновленная модель сконструирована с учетом использования новой прошивки и процессора, с улучшенными тех. данными, скорости и надежности. Сокращен период ожидания отклика девайса. Автосканер работает с гаджетами, смартфонами, использующими ОС: Android, Symbian, Windows (Mobile или CE).

Модель iCar2 имеет встроенную функцию само отключения (через пол часа после того как ключ будет вынут из замка зажигания). Это экономит энергию АКБ. Чтобы вновь включить сканер просто нажмите на кнопку. Другие отличия усовершенствованного образца:

• В несколько сот раз увеличена скорости обработки;
• Работа в OBD2, возможность использовать спецификации каналов связи iso kwp, fast init;
• Улучшенный Wi-Fi;
• Совместимость с моб. гаджетами с более новыми версиями ОС.

Оба образца русифицированы, производитель предоставляет 12 месяцев гарантийных обязательств.

Новые функциональные возможности vGate 4

Ранее мы уже готовили обзор vGate. В результате многолетней работы команды разработчиков  vGate претерпел много изменений, и в версии 4.1 был добавлен ряд новых возможностей:

• На VMware vSphere появился виртуальный межсетевой экран уровня гипервизора, дающий возможность более гибко настраивать взаимодействие защищаемых узлов. С его помощью можно объединять в один сегмент машины даже на разных ESXi-серверах.
• Появилась возможность накладывать политики безопасности напрямую на защищаемые объекты (виртуальные машины и ESXi-серверы) и группы объектов, минуя прежний механизм меток безопасности. Впрочем, метками по-прежнему можно воспользоваться.
• В рамках локальной консоли появилась возможность группировки защищаемых объектов.
• В продукте помимо знакомой локальной консоли управления появилась еще веб-консоль, куда перенесли часть функций из старой консоли (отчеты, журнал событий, настройка межсетевого экрана). В планах — перевести в новую консоль максимум функций.
• Существенно расширился набор шаблонов политик безопасности.
• Начиная с 2014 года помимо VMware vSphere, vGate поддерживает платформу виртуализации Microsoft Hyper-V.

Основные функции vGate, безусловно, сохранились:

• Возможность разграничения прав доступа администраторов виртуальной инфраструктуры и администраторов службы информационной безопасности.
• Защита от несанкционированного копирования, клонирования, переноса и уничтожения виртуальных машин.
• Доверенная загрузка и контроль целостности виртуальных машин.
• Сегментация виртуальной инфраструктуры по категориям и уровням безопасности.
• Независимая регистрация и аудит событий безопасности.
• Встроенные шаблоны настроек, соответствующие требованиям безопасности регуляторов.

Конструктивные особенности и технические характеристики Vgate iCar2

Лицевая поверхность диагностического сканера имеет кнопку включения, а также три индикатора в виде светодиодов:

1. АКБ светится при подаче питания на девайс и включения его в работу.
2. Значок авто указывает о статусе вкл. / отключения.
3. Символ elm327 bluetooth или wi-fi дополнительно пояснять не нужно. Сигнализируют о синхронизации с каналом связи.

Самое время посмотреть на преимущества и характеристики Vgate iCar2. Все необходимые для ознакомления данные приведены ниже:

Технические параметры

Системные требования vGate 4

Таблица 1. Системные требования для установки vGate на VMware vSphere

Таблица 2. Системные требования для установки vGate для Microsoft Hyper-V

Лицензирование vGate 4

Отдельно стоит сказать несколько слов об изменениях в лицензировании — его заметно упростили. Вот основные моменты, на которые нужно обратить внимание:

• Начиная с версии 4.0, продукт выпускается в трех редакциях:
  Standard, Enterprise и Enterprise Plus (vGate 2.8 и более ранние версии приравниваются к редакции Standard). С возможностями каждой редакции можно ознакомиться на сайте.
• Для гипервизоров VMware и Microsoft используется единая лицензия, причем сервер авторизации сразу включается в эту стоимость.
• Расчет необходимого количества лицензий может также зависеть от количества физических процессоров в вашей виртуальной инфраструктуре.

Чтобы предварительно оценить стоимость, можно воспользоваться онлайн-калькулятором на сайте «Кода безопасности».

Работа с vGate 4

Чтобы было проще понять, насколько в действительности удобен новый vGate, рассмотрим несколько типовых задач, с которыми могут ежедневно сталкиваться пользователи подобных систем.

Заявка на развертывание виртуальной машины, на которой планируется работа с конфиденциальными документами

Очевидно, что виртуальные машины, на которых предполагается работа с важными документами, должны контролироваться особенно тщательно при помощи политик безопасности. При работе с vGate подобную задачу можно решить элегантным способом, используя сразу несколько механизмов продукта. Исходя из формулировки задачи можно предположить, что такого плана заявки появляются регулярно. В этом случае имеет смысл создать отдельную группу, куда будут попадать все виртуальные машины, на которых предполагается работа с секретными документами.

Рисунок 2. Создание новой группы объектов в локальной консоли vGate 4.1

Отдельно хочется обратить внимание на пункт «Включить автодобавление виртуальных машин в группу». Если отметить галочкой этот параметр, появляется возможность задать ключевое слово в имени виртуальной машины. Ориентируясь на него, все последующие виртуальные машины станут добавляться в эту группу без дополнительных действий администратора. В приведенном примере это слово secret.

Рисунок 3. Добавление объектов в группу в локальной консоли vGate 4.1

Помимо самих виртуальных машин в группу могут входить ESXi, хранилища данных, виртуальные сети и сетевые адаптеры.

Рисунок 4. Создание политики безопасности в локальной консоли vGate 4.1

При создании политик безопасности можно воспользоваться предустановленными шаблонами — просто выбрать подходящую из предложенного списка. На практике часто возникает необходимость взять за основу готовый шаблон и добавить к нему дополнительные параметры — такой вариант тоже возможен.

Рисунок 5. Применение политики безопасности в локальной консоли vGate 4.1

После того как группа защищаемых объектов создана, можно применить политику напрямую на группу или на отдельную виртуальную машину.

Сделав всё описанным образом, администратор снимает с себя часть хлопот по настройке прав для виртуальных машин, работающих с секретными документами, а заодно и соблюдает требования регуляторов.

Новому сотруднику нужно выдать соответствующие права доступа к необходимым ресурсам

Типовая задача добавления стандартного набора прав новому сотруднику может быть решена путем простого добавления его виртуальной машины в уже имеющуюся группу. Действия будут аналогичны тем, которые рассматривались в предыдущем сценарии. А в определенных исключительных случаях, когда по той или иной причине добавление в группу неуместно, vGate 4.1 позволяет накладывать политику безопасности напрямую на выбранную виртуальную машину.

Рисунок 6. Применение политики безопасности к виртуальной машине в локальной консоли vGate 4.1

Нужно создать правила взаимодействия для виртуальных машин сотрудников из разных отделов компании (временная рабочая группа)

В этом примере задача посложнее, так как кросс-функциональные команды находятся в разных частях организационной структуры компании, в том числе и с точки зрения ИТ. А если предположить, что рабочая группа объединяет несколько отдельных офисов, то может возникнуть целый ряд сложностей.

Впрочем, vGate 4.1 позволяет справиться и с такой задачей при помощи своего нового межсетевого экрана. Этот компонент располагается в новой веб-консоли и позволяет создавать гибкие логические структуры сети.

Рисунок 7. Включение межсетевого экрана на ESXi-серверах в веб-консоли vGate 4.1

Итак, первым делом в настройках межсетевого экрана (МЭ) необходимо включить этот компонент на ESXi-серверах, так как по умолчанию он выключен.

Рисунок 8. В веб-консоли vGate 4.1 указываются конкретные виртуальные машины на ESXi, на которых будет работать экран

Далеко не всегда нужно включать экранирование на всех машинах сразу, поэтому возможность таких тонких настроек — это большой плюс. Указываются только те машины, которые нужны для рабочей группы сотрудников.

Рисунок 9. Объединение виртуальных машин в сегменты в веб-консоли vGate 4.1

На экране сейчас первый сегмент уже создан, а мы создаем второй сегмент и добавляем туда еще две виртуальные машины. Важно отметить, что в один сегмент могут быть объединены даже виртуальные машины с разных ESXi-серверов.

Рисунок 10. Создаем правила взаимодействия между сегментами в веб-консоли vGate 4.1

По умолчанию в системе сразу существуют несколько правил — аварийного и тестового режимов работы системы, а также правило, включенное сразу, разрешающее движение трафика во всех направлениях.

Создаем свое новое правило: разрешим весь трафик внутри нашего нового сегмента по всем портам.

Стоит отдельно сказать, что дополнительным плюсом веб-консоли является то, что многие процессы из рассмотренных в этом примере поддаются автоматизации при помощи REST API. Аналогично и для консоли управления — компанией «Код безопасности» предоставляется специальная утилита, позволяющая во многом автоматизировать процессы.

Рисунок 11. Журнал событий в веб-консоли vGate 4.1

В журнале событий ведется учет всех действий, совершенных администратором виртуальной инфраструктуры. При необходимости администратор информационной безопасности сможет разобраться с тем, что происходило в системе.

Возвращаясь к исходному сценарию, мы объединили машины наших сотрудников из рабочей группы в виртуальные сегменты, невзирая на то, что они физически расположены в разных филиалах и что виртуальные машины находятся на разных ESXi-серверах. А затем при помощи правил фильтрации настроили систему так, чтобы эти машины работали в едином пространстве. И, конечно же, есть возможность сформировать отчеты по событиям системы.

Рисунок 12. Создание отчета в веб-консоли vGate 4.1

Как видно, в продукте более чем достаточно предварительно настроенных шаблонов.

Важно отметить, что даже в нашем простом примере все эти продвинутые конфигурации становятся актуальны только для больших компаний со сложной инфраструктурой. Это вполне логично, и по этой же причине вам потребуется версия vGate 4.1 в исполнении Enterprise Plus, чтобы получить эту функциональность.

Выводы

За последнее десятилетие технологии виртуализации значительно шагнули вперед и уже не просто входят в список глобальных тенденций— их уже воспринимают как данность, на них базируются новые продукты и сервисы. Обратной стороной медали, увы, является растущая сложность самой инфраструктуры и дополнительные риски, связанные с обслуживанием таких систем. Здесь речь идет как о технических проблемах, так и о юридических тонкостях. Ярким примером могут послужить международные законы, связанные с хранением, передачей и обработкой персональных данных.

Говоря о рисках технического характера, рассматривают обычно тему защиты виртуальных машин от вредоносных программ. При этом мало кто вспоминает об угрозах небезопасной настройки гипервизора, а также об угрозах, исходящих от пользователей с максимальными правами — администраторов систем виртуализации.

Решение vGate 4.1 защищает платформы виртуализации на базе VMware vSphere и Microsoft Hyper-V. Основной фокус в защите сделан на контроль действий администратора виртуальной среды, контроль настроек среды виртуализации и ее сегментацию.

В новой версии vGate был добавлен ряд новых функций. Среди них особенного внимания заслуживает межсетевой экран уровня гипервизора, позволяющий объединять в один сегмент разрозненные виртуальные машины, в том числе с разных хостов-гипервизоров и назначать на сегмент необходимые политики безопасности, а также веб-консоль, частично взявшая на себя функциональность из прежней консоли управления.

Важно отметить, что в настоящее время vGate 4.1 уже проходит сертификацию во ФСТЭК России. После успешного завершения сертификационных испытаний новая версия решения «Кода безопасности» пополнит линейку продуктов, подходящих для применения в государственных учреждениях, в том числе — работающих с гостайной. Протестировать продукт можно уже сейчас, скачав демоверсию на сайте компании «Код безопасности».

• Комплексный подход к защите — от внешних и внутренних угроз в соответствии с требованиями регуляторов.
• Российское решение для защиты виртуальной инфраструктуры с широкими функциональными возможностями.
• Поддержка VMware vSphere и Microsoft Hyper-V.
• Возможность разграничения прав доступа на сервере авторизации vGate для администратора информационной безопасности и администратора виртуальной инфраструктуры, а также логирование всех их действий в системе.
• Система мониторинга и оповещения администратора ИБ в случае возникновения инцидента безопасности.
• Наличие шаблонов политик, соответствующих требованиям регуляторов, в том числе для государственных информационных систем всех уровней, Стандарта Банка России, ГОСТа защищенности информации и безопасности финансовых (банковских) операций, для объектов критической информационной инфраструктуры.
• Система лицензирования vGate 4.1 оптимизирована с учетом масштаба бизнеса организации и ее потребностей в защите ВИ.

• Межсетевой экран уровня гипервизора есть пока только для VMware vShpere.
• Отсутствие поддержки VMware vShpere 6.7.
• Интерфейсы новой веб-консоли требуют доводки — это могло бы сделать процесс конфигурации и создания правил более наглядным.
• Пока отсутствует сертификация ФСТЭК России (ожидается в I квартале 2019 года).
• Отсутствие в продукте антивирусного ядра — оно бы значительно усилило степень защищенности от внешних угроз.

Отзывы и мнения об устройстве

Появилась относительно недавно, фурор в рядах автолюбителей не произвела. Вместе с тем, пользователи, проверившие сканер Vgate iCar2 в деле, отмечают:

• устойчивость bluetooth elm327, русская версия здесь работает без сбоев;
• диагностировать авто, произведенные в России после 2010 года выпуска;
• считывание большинства параметров, диагностировать состояние ТС;
• при покупке важно остерегаться подделок;
• функция стирания кодов не всегда срабатывает;
• чтобы пользоваться сканером потребуется потратить немало времени на изучение ПО и принципа считывания информации.

Заключение и выводы по обзору

Постоянно обновляется модельный ряд, выпускаются новые версии для работы.

Цена автосканера, при этом остается умеренной – не дороже 4000 рублей за оригинальный образец.

Илья Васильев
Автор сайта / Диагност

Автор всех статей на сайте. 7-ми летний опыт в автодиагностике и ремонте авто любой сложности и любых марок. Увлекаюсь программированием, чип-тюнингом.

Публикую статьи с обзорами диагностического оборудования, делюсь опытом, программами и инструкциями.