Нядаўна падзяліўся у нашай арганізацыі. У каментарах былі ўзнята сур'ёзнае пытанне інфармацыйнай бяспекі апаратных рашэнняў USB over IP, які і нас вельмі турбуе.
Такім чынам, спачатку ўсё ж вызначымся з зыходнымі ўмовамі.
- Вялікая колькасць ключоў электроннай абароны.
- Доступ да іх неабходны з розных геаграфічных месцаў.
- Разглядаем толькі апаратныя рашэнні USB over IP і спрабуем засцерагчы гэтае рашэнне прыняццем дадатковых арганізацыйных і тэхнічных мер (пытанне альтэрнатыў пакуль не разглядаем).
- У рамках артыкула не буду цалкам распісваць разгляданыя намі мадэлі пагрозы (многае можна паглядзець у ), але тэзісна спынюся на двух момантах. Выключаем з мадэлі сацыяльную інжынерыю і супрацьпраўныя дзеянні саміх карыстальнікаў. Разглядаем магчымасці несанкцыянаванага доступу да USB прылад з любой з сетак не маючы штатных уліковых дадзеных.
Для забеспячэння бяспекі доступу да USB прыладам прыняты арганізацыйныя і тэхнічныя меры:
1. Арганізацыйныя меры бяспекі.
Кіраваны USB over IP канцэнтратар усталяваны ў якасна які зачыняецца на ключ серверную шафу. Фізічны доступ да яго спарадкаваны (СКД у само памяшканне, відэаназіранне, ключы і правы доступу ў строга абмежаванага круга асоб).
Усе выкарыстоўваныя ў арганізацыі USB прылады ўмоўна падзелены на 3 групы:
- Крытычныя. Фінансавыя ЭЛП - выкарыстоўваюцца ў адпаведнасці з рэкамендацыямі банкаў (не праз USB over IP)
- Важныя. ЭЛП для гандлёвых пляцовак, паслуг, ЭДА, справаздачнасці і г.д., шэраг ключоў для ПА – выкарыстоўваюцца з ужываннем кіраванага USB over IP канцэнтратара.
- Ці не крытычныя. Шэраг ключоў для ПЗ, камеры, шэраг флэшак і дыскаў з не крытычнай інфармацыяй, USB мадэмы – выкарыстоўваюцца з ужываннем кіраванага USB over IP канцэнтратара.
2. Тэхнічныя меры бяспекі.
Сеткавы доступ да кіраванага USB over IP канцэнтратара падаецца толькі ўсярэдзіне ізаляванай падсеткі. Доступ у ізаляваную падсетку прадастаўляецца:
- з фермы тэрмінальных сервераў,
- па VPN (сертыфікат і пароль) абмежаванай колькасці кампутараў і наўтбукаў, па VPN ім выдаюцца сталыя адрасы,
- па VPN тунэлях, якія злучаюць рэгіянальныя офісы.
На самым кіраваным USB over IP канцэнтратары DistKontrolUSB з выкарыстаннем яго штатных сродкаў настроены функцыі:
- Для доступу да USB прыладам USB over IP канцэнтратара выкарыстоўваецца шыфраванне (на канцэнтратары ўключана шыфраванне SSL), хоць магчыма гэта ўжо і лішняе.
- Настроена "абмежаванне доступу да USB прылад па IP адрасе". У залежнасці ад IP адрасу карыстачу падаецца ці не доступ да прызначаных USB прылад.
- Настроена "Абмежаванне доступу да USB порце па лагіне і паролю". Адпаведна карыстальнікам прызначаны правы на доступ да USB прылад.
- "Абмежаванне доступу да USB прылады па лагіне і паролю" вырашылі не выкарыстоўваць, т.к. усе USB ключы падлучаныя да USB over IP канцэнтратару стацыянарна і з порта ў порт не перастаўляюцца. Для нас лагічней падаваць доступ карыстачам да USB порце з усталяваным у яго на працяглы час прыладай USB.
- Фізічнае ўключэнне і выключэнне USB партоў ажыццяўляецца:
- Для ключоў ад софту і ЭДА - з дапамогай планавальніка задач і прызначаных заданняў канцэнтратара (шэраг ключоў запраграмавалі на ўключэнне ў 9.00 і адключэнне ў 18.00, шэраг з 13.00 да 16.00);
- Для ключоў ад гандлёвых пляцовак і шэрагу софту – якія маюць дазвол карыстальнікамі праз WEB інтэрфейс;
- Камеры, шэраг флэшак і дыскаў з не крытычнай інфармацыяй - уключаны заўсёды.
Мяркуем, што такая арганізацыя доступу да USB прылад забяспечвае іх бяспечнае выкарыстанне:
- з рэгіянальных офісаў (умоўна NET №1 …… NET № N),
- для абмежаванага шэрагу кампутараў і наўтбукаў якія падключаюць USB прылады праз глабальную сетку,
- для карыстальнікаў, апублікаваных на тэрмінальных серверах дадаткаў.
У каментарах жадалася б пачуць пэўныя практычныя меры, якія падвышаюць інфармацыйную бяспеку падавання глабальнага доступу да USB прылад.
Крыніца: habr.com