أود أن أشارككم خبرتنا الممتدة على مدار عام في إيجاد حل لتنظيم الوصول المركزي والمنظم إلى مفاتيح الأمان الإلكترونية في مؤسستنا (مفاتيح الوصول إلى منصات التداول، والخدمات المصرفية، ومفاتيح أمان البرامج، وما إلى ذلك). ونظراً لوجود فروعنا المنفصلة جغرافياً عن بعضها البعض بشكل كبير، ووجود عدة مفاتيح أمنية إلكترونية في كل منها، فإن الحاجة إليها تنشأ باستمرار، ولكن في فروع مختلفة. بعد ضجة أخرى بشأن المفتاح المفقود، حددت الإدارة مهمة - حل هذه المشكلة وجمع جميع أجهزة أمان USB في مكان واحد، وضمان العمل معها بغض النظر عن موقع الموظف.
لذلك، نحتاج إلى جمع جميع مفاتيح بنك العميل، وتراخيص 1c (hasp)، ورموز الجذر، وESMART Token USB 64K، وما إلى ذلك المتوفرة في شركتنا في مكتب واحد. للتشغيل اللاحق على أجهزة Hyper-V الفعلية والافتراضية عن بعد. عدد أجهزة USB هو 50-60 وهو بالتأكيد ليس الحد الأقصى. موقع خوادم المحاكاة الافتراضية خارج المكتب (مركز البيانات). موقع جميع أجهزة USB في المكتب.
لقد درسنا التقنيات الحالية للوصول المركزي إلى أجهزة USB وقررنا التركيز على تقنية USB عبر IP. اتضح أن العديد من المنظمات تستخدم هذا الحل بالذات. توجد في السوق أدوات أجهزة وبرامج لإعادة توجيه USB عبر IP، لكنها لا تناسبنا. لذلك، سنتحدث كذلك فقط عن اختيار أجهزة USB عبر IP، وقبل كل شيء، عن اختيارنا. لقد استبعدنا أيضًا الأجهزة من الصين (بدون اسم) من الاعتبار.
أكثر حلول أجهزة USB عبر IP الموصوفة على نطاق واسع على الإنترنت هي الأجهزة المصنوعة في الولايات المتحدة الأمريكية وألمانيا. لإجراء دراسة تفصيلية، قمنا بشراء نسخة كبيرة مثبتة على حامل من USB عبر IP، مصممة لـ 14 منفذ USB، مع إمكانية التركيب على حامل مقاس 19 بوصة، ومنفذ USB ألماني عبر IP، مصمم لـ 20 منفذ USB، أيضًا مع القدرة على التركيب على حامل مقاس 19 بوصة. لسوء الحظ، لم يكن لدى هذه الشركات المصنعة المزيد من منافذ USB عبر أجهزة IP.
الجهاز الأول مكلف للغاية ومثير للاهتمام (الإنترنت مليء بالمراجعات)، ولكن هناك عيبًا كبيرًا جدًا - لا توجد أنظمة ترخيص لتوصيل أجهزة USB. يمكن لأي شخص يقوم بتثبيت تطبيق اتصال USB الوصول إلى جميع المفاتيح. بالإضافة إلى ذلك، كما أظهرت الممارسة، فإن جهاز USB "esmart token est64u-r1" غير مناسب للاستخدام مع الجهاز، وبالنظر إلى المستقبل، مع الجهاز "الألماني" على نظام التشغيل Win7 - عند الاتصال به، يوجد شاشة الموت الزرقاء الدائمة .
لقد وجدنا جهاز USB الثاني عبر IP أكثر إثارة للاهتمام. يحتوي الجهاز على مجموعة كبيرة من الإعدادات المتعلقة بوظائف الشبكة. تنقسم واجهة USB عبر IP منطقيًا إلى أقسام، لذا كان الإعداد الأولي بسيطًا وسريعًا للغاية. ولكن، كما ذكرنا سابقًا، كانت هناك مشاكل في توصيل عدد من المفاتيح.
من خلال دراسة المزيد حول أجهزة USB عبر IP، صادفنا الشركات المصنعة المحلية. تشتمل المجموعة على إصدارات 16 و32 و48 و64 منفذًا مع إمكانية التركيب على حامل مقاس 19 بوصة. كانت الوظيفة التي وصفتها الشركة المصنعة أكثر ثراءً من تلك الخاصة بمشتريات USB عبر IP السابقة. في البداية، أعجبني أن محور USB عبر IP المُدار محليًا يوفر حماية على مرحلتين لأجهزة USB عند مشاركة USB عبر الشبكة:
- التشغيل الفعلي وإيقاف تشغيل أجهزة USB عن بعد؛
- ترخيص لتوصيل أجهزة USB باستخدام تسجيل الدخول وكلمة المرور وعنوان IP.
- إذن لتوصيل منافذ USB باستخدام تسجيل الدخول وكلمة المرور وعنوان IP.
- تسجيل جميع عمليات التنشيط والاتصالات لأجهزة USB بواسطة العملاء، بالإضافة إلى مثل هذه المحاولات (إدخال كلمة مرور غير صحيحة، وما إلى ذلك).
- تشفير حركة المرور (والذي، من حيث المبدأ، لم يكن سيئا في النموذج الألماني).
- بالإضافة إلى ذلك، كان من المناسب أن يكون الجهاز، على الرغم من أنه ليس رخيصًا، أرخص بعدة مرات من الأجهزة التي تم شراؤها سابقًا (يصبح الفرق مهمًا بشكل خاص عند تحويله إلى منفذ؛ لقد نظرنا في USB ذو 64 منفذًا عبر IP).
قررنا مراجعة الشركة المصنعة بشأن الموقف فيما يتعلق بدعم نوعين من الرموز الذكية التي كانت تواجه مشكلات في الاتصال في السابق. لقد أبلغنا أنهم لا يقدمون ضمانًا بنسبة 100٪ للدعم لجميع أجهزة USB تمامًا، لكننا لم نعثر بعد على جهاز واحد به مشكلات. لم نكن راضين عن هذه الإجابة واقترحنا أن تقوم الشركة المصنعة بنقل الرموز المميزة للاختبار (لحسن الحظ، تكلفة الشحن عن طريق شركة النقل 150 روبل فقط، ولدينا ما يكفي من الرموز القديمة). بعد 4 أيام من إرسال المفاتيح، حصلنا على معلومات الاتصال وقمنا بالاتصال بأعجوبة مع أنظمة التشغيل Windows 7 و10 وWindows Server 2008. كل شيء سار على ما يرام، وقمنا بتوصيل الرموز المميزة الخاصة بنا دون أي مشاكل وتمكنا من العمل معها.
لقد اشترينا محور USB مُدارًا عبر IP مزودًا بـ 64 منفذ USB. قمنا بتوصيل جميع المنافذ البالغ عددها 18 منفذًا من 64 جهاز كمبيوتر في فروع مختلفة (32 مفتاحًا والباقي - محركات أقراص فلاش ومحركات أقراص ثابتة و3 كاميرات USB) - عملت جميع الأجهزة دون مشاكل. بشكل عام كنا سعداء بالجهاز.
لا أقوم بإدراج أسماء الشركات المصنعة لأجهزة USB عبر IP (لتجنب الإعلان)، ويمكن العثور عليها بسهولة على الإنترنت.
المصدر: www.habr.com