Такім чынам, спачатку ўсё ж вызначымся з зыходнымі ўмовамі.
Вялікая колькасць ключоў электроннай абароны.
Доступ да іх неабходны з розных геаграфічных месцаў.
Разглядаем толькі апаратныя рашэнні USB over IP і спрабуем засцерагчы гэтае рашэнне прыняццем дадатковых арганізацыйных і тэхнічных мер (пытанне альтэрнатыў пакуль не разглядаем).
У рамках артыкула не буду цалкам распісваць разгляданыя намі мадэлі пагрозы (многае можна паглядзець у публікацыі), але тэзісна спынюся на двух момантах. Выключаем з мадэлі сацыяльную інжынерыю і супрацьпраўныя дзеянні саміх карыстальнікаў. Разглядаем магчымасці несанкцыянаванага доступу да USB прылад з любой з сетак не маючы штатных уліковых дадзеных.
Для забеспячэння бяспекі доступу да USB прыладам прыняты арганізацыйныя і тэхнічныя меры:
1. Арганізацыйныя меры бяспекі.
Кіраваны USB over IP канцэнтратар усталяваны ў якасна які зачыняецца на ключ серверную шафу. Фізічны доступ да яго спарадкаваны (СКД у само памяшканне, відэаназіранне, ключы і правы доступу ў строга абмежаванага круга асоб).
Усе выкарыстоўваныя ў арганізацыі USB прылады ўмоўна падзелены на 3 групы:
Крытычныя. Фінансавыя ЭЛП - выкарыстоўваюцца ў адпаведнасці з рэкамендацыямі банкаў (не праз USB over IP)
Важныя. ЭЛП для гандлёвых пляцовак, паслуг, ЭДА, справаздачнасці і г.д., шэраг ключоў для ПА – выкарыстоўваюцца з ужываннем кіраванага USB over IP канцэнтратара.
Ці не крытычныя. Шэраг ключоў для ПЗ, камеры, шэраг флэшак і дыскаў з не крытычнай інфармацыяй, USB мадэмы – выкарыстоўваюцца з ужываннем кіраванага USB over IP канцэнтратара.
2. Тэхнічныя меры бяспекі.
Сеткавы доступ да кіраванага USB over IP канцэнтратара падаецца толькі ўсярэдзіне ізаляванай падсеткі. Доступ у ізаляваную падсетку прадастаўляецца:
з фермы тэрмінальных сервераў,
па VPN (сертыфікат і пароль) абмежаванай колькасці кампутараў і наўтбукаў, па VPN ім выдаюцца сталыя адрасы,
па VPN тунэлях, якія злучаюць рэгіянальныя офісы.
На самым кіраваным USB over IP канцэнтратары DistKontrolUSB з выкарыстаннем яго штатных сродкаў настроены функцыі:
Для доступу да USB прыладам USB over IP канцэнтратара выкарыстоўваецца шыфраванне (на канцэнтратары ўключана шыфраванне SSL), хоць магчыма гэта ўжо і лішняе.
Настроена "абмежаванне доступу да USB прылад па IP адрасе". У залежнасці ад IP адрасу карыстачу падаецца ці не доступ да прызначаных USB прылад.
Настроена "Абмежаванне доступу да USB порце па лагіне і паролю". Адпаведна карыстальнікам прызначаны правы на доступ да USB прылад.
"Абмежаванне доступу да USB прылады па лагіне і паролю" вырашылі не выкарыстоўваць, т.к. усе USB ключы падлучаныя да USB over IP канцэнтратару стацыянарна і з порта ў порт не перастаўляюцца. Для нас лагічней падаваць доступ карыстачам да USB порце з усталяваным у яго на працяглы час прыладай USB.
Фізічнае ўключэнне і выключэнне USB партоў ажыццяўляецца:
Для ключоў ад софту і ЭДА - з дапамогай планавальніка задач і прызначаных заданняў канцэнтратара (шэраг ключоў запраграмавалі на ўключэнне ў 9.00 і адключэнне ў 18.00, шэраг з 13.00 да 16.00);
Для ключоў ад гандлёвых пляцовак і шэрагу софту – якія маюць дазвол карыстальнікамі праз WEB інтэрфейс;
Камеры, шэраг флэшак і дыскаў з не крытычнай інфармацыяй - уключаны заўсёды.
Мяркуем, што такая арганізацыя доступу да USB прылад забяспечвае іх бяспечнае выкарыстанне:
з рэгіянальных офісаў (умоўна NET №1 …… NET № N),
для абмежаванага шэрагу кампутараў і наўтбукаў якія падключаюць USB прылады праз глабальную сетку,
для карыстальнікаў, апублікаваных на тэрмінальных серверах дадаткаў.
У каментарах жадалася б пачуць пэўныя практычныя меры, якія падвышаюць інфармацыйную бяспеку падавання глабальнага доступу да USB прылад.