Жадаю падзяліцца нашым гадавым досведам пры пошуку рашэння для арганізацыі цэнтралізаванага і спарадкаванага доступу да ключоў электроннай абароны ў нашай арганізацыі (ключы для доступу да пляцовак для таргоў, банкаўскія, ключы абароны праграмнага забеспячэння і т.д.). У сувязі з наяўнасцю ў нас філіялаў, тэрытарыяльна вельмі разнесеных сябар ад сябра, і наяўнасцю ў кожным з іх па нескольку ключоў электроннай абароны - увесь час узнікае неабходнасць у іх, але ў розных філіялах. Пасля чарговай мітусні са страчаным ключом, кіраўніцтва паставіла задачу – вырашыць гэтую праблему і сабраць УСЕ USB прылады абароны ў адным месцы, і забяспечыць з імі працу незалежна ад месца размяшчэння супрацоўніка.
Такім чынам, нам неабходна сабраць у адным офісе ўсе наяўныя ў нашай кампаніі ключы банк кліентаў, ліцэнзій 1с (hasp), рутакены, ESMART Token USB 64K, і г.д. для наступнай эксплуатацыі на выдаленых фізічных і віртуальных машынах Hyper-V. Колькасць usb прылад - 50-60 і сапраўды, што гэта не мяжа. Размяшчэнне сервераў віртуалізацыі па-за офісам (датацэнтр). Размяшчэнне ўсіх USB прылад у офісе.
Вывучылі існыя тэхналогіі цэнтралізаванага доступу да USB прыладам і вырашылі спыніцца на тэхналогіі USB па-над IP (USB over IP). Апыняецца, вельмі шматлікія арганізацыі карыстаюцца менавіта гэтым рашэннем. На рынку ёсць як апаратныя сродкі пракіду USB па IP, так і праграмныя, але яны нас не задавальнялі. Па гэтым, далей прамова пайдзе толькі аб выбары апаратных USB over IP і ў першую чаргу аб нашым выбары. Прылады з Кітая (безназоўныя) мы таксама выключылі з разгляду.
Найбольш апісваным на прасторах інтэрнэту апаратным рашэннем USB over IP з'яўляюцца прылады вытворчасці ЗША і Германіі. Для дэталёвага вывучэння набылі вялікі стойкавы варыянт гэтага USB over IP, разлічаны на 14 партоў USB, з магчымасцю мантажу ў 19 цалевую стойку і нямецкі USB over IP, разлічаны на 20 партоў USB, гэтак жа з магчымасцю мантажу ў 19 цалевую стойку. Нажаль на большую колькасць партоў прылад USB over IP у гэтых вытворцаў не было.
Першая прылада вельмі дарагое і цікавае (у інтэрнэце поўна аглядаў), але ёсць вельмі вялікі мінус - няма ніякіх сістэм аўтарызацыі для падлучэння USB прылад. Любы, хто ўсталюе прыкладанне для падлучэння USB, атрымлівае доступ да ўсіх ключоў. У дадатак, як паказала практыка, USB прылада "esmart token est64u-r1" непрыдатна для выкарыстання з прыладай і, забягаючы наперад, з "нямецкім" на АС Win7 пры падключэнні да яго перманентны BSOD.
Другая прылада USB over IP нам здалося цікавей. Прылада мае вялікі набор налад, злучаных з сеткавымі функцыямі. Інтэрфейс USB over IP лагічна разбіты на раздзелы, так што першапачатковая настройка была дастаткова простай і хуткай. Але, як згадвалася раней, узніклі праблемы з падключэннем шэрагу ключоў.
Вывучаючы далей апаратныя USB over IP натыкнуліся на айчынных вытворцаў. Мадэльны шэраг уключае 16, 32, 48 і 64 партовую версію з магчымасцю мацавання ў 19 цалевую стойку. Апісваны вытворцам функцыянал быў нават багацей, чым у папярэдніх набытых USB over IP. Першапачаткова спадабалася, што айчынны кіраваны USB over IP канцэнтратар забяспечвае двухступеністую абарону USB прылад пры сумесным выкарыстанні USB па сетцы:
- Выдаленае фізічнае ўключэнне і выключэнне USB прылад;
- Аўтарызацыю для падлучэння USB прылад па лагіне, паролю і IP адрасу.
- Аўтарызацыю для падлучэння USB партоў па лагіне, паролю і IP адрасе.
- Журналіраванне як усіх уключэнняў і падлучэнняў USB прылад кліентамі, так і такіх спроб (не правільны ўвод пароля і г.д.).
- Шыфраванне трафіку (з чым у прынцыпе было нядрэнна і на нямецкай мадэлі).
- Дадаткова падыходзіла, што прылада, хоць і не таннае, але ў разы танней набытых раней (асабліва істотнай становіцца розніца пры пераліку на порт, мы разглядалі 64-х партовы USB over IP).
Вырашылі ўдакладніць у вытворцы, як жа ідзе справу з падтрымкай двух тыпаў смарт токенаў, якія маюць праблемы падключэння раней. Нам паведамілі, што не даюць 100% гарантыі падтрымкі абсалютна ўсіх USB прылад, але пакуль яшчэ не знайшлі ніводнай прылады, з якім бы былі праблемы. Нас такі адказ мала задаволіў і мы прапанавалі вытворцу перадаць токены для тэставання (балазе перасылка транспартнай кампаніяй каштавала ўсяго 150р, а старых токенаў у нас досыць). Праз 4 дні пасля адпраўкі ключоў нам паведамілі дадзеныя для падлучэння і мы да іх цудоўна падключыліся з Windows 7, 10 і Windows Server 2008. Усё працавала нармальна, мы без праблем падключалі свае токены і мелі магчымасць з імі працаваць.
Набылі кіраваны USB over IP канцэнтратар на 64 порта USB. Падлучылі з 18 кампутараў у розных філіялах усе 64 порта (32 ключа і астатняе – флэшкі, цвёрдыя кружэлкі і 3 USB камеры) – усе прылады працавалі без праблем. У цэлым прыладай засталіся задаволеныя.
Назвы і вытворцаў USB over IP прылад не прыводжу (каб не было рэкламай), іх дастаткова проста знайсці ў інтэрнэце.
Крыніца: habr.com