Təşkilatımızda elektron təhlükəsizlik açarlarına (ticarət platformalarına giriş üçün açarlar, bankçılıq, proqram təminatının təhlükəsizlik açarları və s.) mərkəzləşdirilmiş və mütəşəkkil çıxışın təşkili üçün həll yolu tapmaqda bir illik təcrübəmizi bölüşmək istərdim. Coğrafi cəhətdən bir-birindən çox ayrılmış filiallarımızın olması və onların hər birində bir neçə elektron təhlükəsizlik açarının olması səbəbindən onlara ehtiyac daim yaranır, lakin müxtəlif filiallarda. İtirilmiş açarla bağlı növbəti təlaşdan sonra rəhbərlik bir vəzifə qoydu - bu problemi həll etmək və BÜTÜN USB təhlükəsizlik cihazlarını bir yerə toplamaq və işçinin yerindən asılı olmayaraq onlarla işləməyi təmin etmək.
Beləliklə, şirkətimizdə mövcud olan bütün müştəri bank açarlarını, 1c lisenziyalarını (hasp), kök tokenləri, ESMART Token USB 64K və s.-ni bir ofisdə toplamaq lazımdır. uzaq fiziki və virtual Hyper-V maşınlarında sonrakı əməliyyat üçün. USB cihazlarının sayı 50-60-dır və bu, mütləq məhdudiyyət deyil. Virtuallaşdırma serverlərinin ofisdən kənarda yerləşməsi (data mərkəzi). Ofisdəki bütün USB cihazlarının yeri.
Biz USB cihazlarına mərkəzləşdirilmiş giriş üçün mövcud texnologiyaları öyrəndik və USB üzərindən IP texnologiyasına diqqət yetirmək qərarına gəldik. Məlum oldu ki, bir çox təşkilat bu xüsusi həlldən istifadə edir. Bazarda USB üzərindən IP yönləndirmə üçün həm aparat, həm də proqram vasitələri var, lakin onlar bizə uyğun gəlmirdi. Buna görə də, daha sonra yalnız IP üzərindən USB hardware seçimi və ilk növbədə seçimimiz haqqında danışacağıq. Çindən (adsız) cihazları da nəzərə almadıq.
İnternetdə ən çox təsvir edilən USB üzərində IP aparat həlləri ABŞ və Almaniya istehsalı olan cihazlardır. Ətraflı araşdırma üçün biz bu USB üzərindən IP-nin 14 USB portu üçün nəzərdə tutulmuş, 19 düymlük rafa quraşdırmaq imkanı olan böyük rackmount versiyasını və 20 USB portu üçün nəzərdə tutulmuş IP üzərində Alman USB-ni satın aldıq. 19 düymlük rafa quraşdırmaq imkanı. Təəssüf ki, bu istehsalçıların daha çox USB üzərindən IP cihaz portları yox idi.
İlk cihaz çox bahalı və maraqlıdır (İnternet rəylərlə doludur), lakin çox böyük bir çatışmazlıq var - USB cihazlarını birləşdirmək üçün icazə sistemləri yoxdur. USB qoşulma proqramını quraşdıran hər kəsin bütün düymələrə çıxışı var. Bundan əlavə, təcrübədən göründüyü kimi, "esmart token est64u-r1" USB cihazı cihazla istifadə üçün yararsızdır və irəliyə baxaraq, Win7 OS-də "Alman" cihazı ilə - ona qoşulduqda daimi BSOD var. .
İkinci USB üzərindən IP cihazını daha maraqlı gördük. Cihaz şəbəkə funksiyaları ilə bağlı çoxlu parametrlərə malikdir. USB üzərindən IP interfeysi məntiqi olaraq bölmələrə bölünür, ona görə də ilkin quraşdırma olduqca sadə və sürətli idi. Ancaq əvvəllər qeyd edildiyi kimi, bir sıra açarları birləşdirərkən problemlər var idi.
USB üzərindən IP aparatı haqqında daha çox öyrənərək, yerli istehsalçılara rast gəldik. Dəstəyə 16 düymlük rəfdə quraşdırmaq imkanı olan 32, 48, 64 və 19 portlu versiyalar daxildir. İstehsalçı tərəfindən təsvir edilən funksionallıq IP üzərindən əvvəlki USB alış-verişindən daha zəngin idi. Başlanğıcda, USB üzərindən daxili idarə olunan USB-nin şəbəkə üzərindən USB paylaşarkən USB cihazları üçün iki mərhələli qorunma təmin etməsi xoşuma gəldi:
- USB cihazlarının uzaqdan fiziki yandırılması və söndürülməsi;
- Giriş, parol və IP ünvanından istifadə edərək USB cihazlarını birləşdirmək üçün icazə.
- Login, parol və IP ünvanından istifadə edərək USB portlarını birləşdirmək üçün avtorizasiya.
- Müştərilər tərəfindən USB cihazlarının bütün aktivləşdirilməsi və qoşulmalarının, habelə bu cür cəhdlərin (səhv parol daxil edilməsi və s.) qeydi.
- Trafik şifrələməsi (bu, prinsipcə, Alman modelində pis deyildi).
- Bundan əlavə, cihazın ucuz olmasa da, əvvəllər alınmışlardan bir neçə dəfə ucuz olması uyğun idi (fərq porta çevrildikdə xüsusilə əhəmiyyətli olur; biz IP üzərindən 64 portlu USB hesab etdik).
Əvvəllər əlaqə problemləri olan iki növ smart tokenin dəstəyi ilə bağlı vəziyyəti istehsalçı ilə yoxlamaq qərarına gəldik. Bizə bildirdilər ki, onlar tamamilə bütün USB cihazları üçün 100% dəstək zəmanəti vermirlər, lakin hələ də problem olan bir cihaz tapmayıblar. Bu cavab bizi qane etmədi və istehsalçıya tokenləri sınaq üçün köçürməyi təklif etdik (xoşbəxtlikdən nəqliyyat şirkəti tərəfindən göndərilmə cəmi 150 rubla başa gəlir və bizdə kifayət qədər köhnə nişanlar var). Açarları göndərdikdən 4 gün sonra bizə qoşulma məlumatları verildi və biz möcüzəvi şəkildə Windows 7, 10 və Windows Server 2008 ilə əlaqə qurduq. Hər şey qaydasında idi, tokenlərimizi heç bir problem olmadan birləşdirdik və onlarla işləyə bildik.
Biz 64 USB portu olan IP hub üzərindən idarə olunan USB aldıq. Fərqli filiallarda 18 kompüterdən 64 portun hamısını birləşdirdik (32 açar və qalanları - flash sürücülər, sərt disklər və 3 USB kameralar) - bütün cihazlar problemsiz işləyirdi. Ümumilikdə cihazdan razı qaldıq.
IP üzərindən USB cihazlarının adlarını və istehsalçılarını qeyd etmirəm (reklamın qarşısını almaq üçün), onları İnternetdə asanlıqla tapmaq olar.
Mənbə: www.habr.com