Информационная безопасность аппаратных решений USB over IP

Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.

Итак, сначала все же определимся с исходными условиями.

  • Большое количество ключей электронной защиты.
  • Доступ к ним необходим из различных географических мест.
  • Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
  • В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.

Информационная безопасность аппаратных решений USB over IP

Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:

1. Организационные меры безопасности.

Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).

Все используемые в организации USB устройства условно разделены на 3 группы:

  • Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
  • Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.
  • Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.

2. Технические меры безопасности.

Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:

  • с фермы терминальных серверов,
  • по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,
  • по VPN туннелям, соединяющим региональные офисы.

На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:

  • Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.
  • Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.
  • Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.
  • «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.
  • Физическое включение и выключение USB портов осуществляется:
    • Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);
    • Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;
    • Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.

Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:

  • из региональных офисов (условно NET №1 …… NET № N),
  • для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
  • для пользователей, опубликованных на терминальных серверах приложений.

В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.

Источник: habr.com