Бих искал да споделя нашия дългогодишен опит в намирането на решение за организиране на централизиран и рационализиран достъп до електронни ключове за сигурност в нашата организация (ключове за достъп до пазари, банкиране, софтуерни ключове за сигурност и др.). Във връзка с наличието на нашите филиали, които са географски много отдалечени един от друг и наличието във всеки от тях на няколко електронни ключа за сигурност, необходимостта от тях постоянно възниква, но в различни филиали. След поредната суматоха със загубен ключ, ръководството постави задачата - да реши този проблем и да събере ВСИЧКИ USB устройства за сигурност на едно място и да гарантира, че работят независимо от местоположението на служителя.
И така, трябва да съберем в един офис всички ключове на клиентската банка, 1c лицензи (hasp), rutokens, ESMART Token USB 64K и т.н., налични в нашата компания. за последваща работа на отдалечени физически и виртуални Hyper-V машини. Броят на usb устройствата е 50-60 и със сигурност това не е ограничението. Местоположение на сървърите за виртуализация извън офиса (център за данни). Местоположение на всички USB устройства в офиса.
Проучихме съществуващите технологии за централизиран достъп до USB устройства и решихме да се фокусираме върху технологията USB през IP (USB през IP). Оказва се, че много организации използват това решение. На пазара има както USB over IP хардуер, така и софтуер, но не ни устройваха. В съответствие с това по-нататък ще говорим само за избора на хардуер USB през IP и на първо място за нашия избор. Устройства от Китай (без име) също изключихме от разглеждане.
Най-описваното USB over IP хардуерно решение в Интернет са устройства, произведени в САЩ и Германия. За подробно проучване закупихме голяма стелажна версия на този USB през IP, предназначена за 14 USB порта, с възможност за монтиране в 19-инчов шкаф и немски USB през IP, проектирана за 20 USB порта, също с възможност за монтирайте в 19 инчов шкаф. За съжаление, тези производители нямаха повече USB портове за IP устройства.
Първото устройство е много скъпо и интересно (Интернет е пълен с рецензии), но има много голям минус - няма системи за оторизация за свързване на USB устройства. Всеки, който инсталира приложението за USB връзка, получава достъп до всички ключове. Освен това, както показа практиката, USB устройството "esmart token est64u-r1" е неподходящо за използване с устройството и, гледайки напред, с "немски" на Win7 OS - когато е свързано към него, постоянен BSOD.
Второто USB over IP устройство ни се стори по-интересно. Устройството има голям набор от настройки, свързани с мрежовите функции. USB over IP интерфейсът е логично разделен на секции, така че първоначалната настройка беше доста проста и бърза. Но, както споменахме по-рано, имаше проблеми при свързването на редица ключове.
Проучвайки допълнително хардуер USB през IP се натъкна на местни производители. Гамата включва версии с 16, 32, 48 и 64 порта с 19" възможност за монтиране в шкаф. Функционалността, описана от производителя, беше дори по-богата от предишния закупен USB over IP. Първоначално ми хареса, че домашният управляван USB през IP хъб осигурява двустепенна защита за USB устройства при споделяне на USB през мрежа:
- Дистанционно физическо включване и изключване на USB устройства;
- Упълномощаване за свързване на USB устройства чрез потребителско име, парола и IP адрес.
- Разрешение за свързване на USB портове чрез вход, парола и IP адрес.
- Логиране на всички включвания и свързвания на USB устройства от клиенти, както и такива опити (неправилно въвеждане на парола и др.).
- Криптиране на трафика (с което по принцип не беше лошо на немския модел).
- Освен това беше подходящо, че устройството, макар и не евтино, беше няколко пъти по-евтино от тези, закупени по-рано (разликата става особено значителна, когато се преобразува в порт, считахме за 64-портов USB през IP).
Решихме да се консултираме с производителя за ситуацията с поддръжката на два вида интелигентни токени, които имаха проблеми с връзката по-рано. Казаха ни, че не дават 100% гаранция за поддръжка на абсолютно всички USB устройства, но досега не са намерили нито едно устройство, с което да има проблеми. Този отговор не ни хареса много и предложихме на производителя да прехвърли жетоните за тестване (за щастие изпращането от транспортна компания струва само 150 рубли и имаме достатъчно стари жетони). 4 дни след като ключовете бяха изпратени, бяхме информирани за данните за връзката и се свързахме чудесно с тях с Windows 7, 10 и Windows Server 2008. Всичко работи добре, свързахме нашите токени без никакви проблеми и успяхме да работим с тях.
Закупихме управляван USB през IP хъб за 64 USB порта. Свързахме всички 18 порта от 64 компютъра в различни клонове (32 ключа и останалите - флашки, твърди дискове и 3 USB камери) - всички устройства работеха без проблеми. Като цяло устройството беше доволно.
Не давам имена и производители на USB over IP устройства (за да не правя реклама), лесно се намират в интернет.
Източник: www.habr.com