Želio bih podijeliti naše dugogodišnje iskustvo u pronalaženju rješenja za organizovanje centralizovanog i organizovanog pristupa elektronskim sigurnosnim ključevima u našoj organizaciji (ključevi za pristup platformama za trgovanje, bankarstvo, softverski sigurnosni ključevi itd.). Zbog prisustva naših poslovnica koje su geografski veoma odvojene jedna od druge, kao i prisustva u svakoj od njih nekoliko elektronskih sigurnosnih ključeva, potreba za njima se stalno javlja, ali u različitim poslovnicama. Nakon još jedne gužve oko izgubljenog ključa, uprava je postavila zadatak - riješiti ovaj problem i prikupiti SVE USB sigurnosne uređaje na jednom mjestu, te osigurati rad sa njima bez obzira na lokaciju zaposlenika.
Dakle, potrebno je da u jednoj kancelariji prikupimo sve klijentske bankovne ključeve, 1c licence (hasp), root tokene, ESMART Token USB 64K, itd. dostupne u našoj kompaniji. za naknadni rad na udaljenim fizičkim i virtuelnim Hyper-V mašinama. Broj USB uređaja je 50-60 i to definitivno nije granica. Lokacija virtualizacijskih servera izvan ureda (data centar). Lokacija svih USB uređaja u kancelariji.
Proučili smo postojeće tehnologije za centralizovani pristup USB uređajima i odlučili da se fokusiramo na USB over IP tehnologiju. Ispostavilo se da mnoge organizacije koriste ovo konkretno rješenje. Na tržištu postoje i hardverski i softverski alati za USB over IP prosljeđivanje, ali nama nisu odgovarali. Stoga ćemo dalje govoriti samo o izboru hardverskog USB-a preko IP-a i, prije svega, o našem izboru. Također smo isključili uređaje iz Kine (bez imena) iz razmatranja.
Najšire opisana USB over IP hardverska rješenja na Internetu su uređaji proizvedeni u SAD-u i Njemačkoj. Za detaljnu studiju kupili smo veliku verziju ovog USB-a preko IP-a u rackmount, dizajniranu za 14 USB portova, sa mogućnošću montiranja u 19-inčni stalak, i njemački USB preko IP-a, dizajniran za 20 USB portova, također sa mogućnost montiranja u 19-inčni stalak. Nažalost, ovi proizvođači nisu imali više priključaka za USB preko IP uređaja.
Prvi uređaj je vrlo skup i zanimljiv (Internet je pun recenzija), ali postoji vrlo veliki nedostatak - nema sistema autorizacije za povezivanje USB uređaja. Svako ko instalira aplikaciju za USB povezivanje ima pristup svim ključevima. Osim toga, kako je praksa pokazala, USB uređaj “esmart token est64u-r1” nije pogodan za korištenje s uređajem, a gledajući unaprijed, s “njemačkim” na Win7 OS - kada je povezan s njim, postoji stalni BSOD .
Drugi USB preko IP uređaj smatramo zanimljivijim. Uređaj ima veliki skup postavki vezanih za mrežne funkcije. USB over IP interfejs je logično podeljen na sekcije, tako da je početno podešavanje bilo prilično jednostavno i brzo. Ali, kao što je ranije spomenuto, bilo je problema pri povezivanju brojnih ključeva.
Proučavajući dalje o USB over IP hardveru, naišli smo na domaće proizvođače. Ponuda uključuje verzije sa 16, 32, 48 i 64 porta sa mogućnošću montiranja u 19-inčni stalak. Funkcionalnost koju je opisao proizvođač bila je čak bogatija od one u prethodnim USB over IP kupovinama. U početku mi se svidjelo što domaći upravljani USB over IP hub pruža dvostepenu zaštitu za USB uređaje prilikom dijeljenja USB-a preko mreže:
- Daljinsko fizičko uključivanje i isključivanje USB uređaja;
- Autorizacija za povezivanje USB uređaja korištenjem login, lozinke i IP adrese.
- Ovlašćenje za povezivanje USB portova korišćenjem login, lozinke i IP adrese.
- Evidentiranje svih aktivacija i povezivanja USB uređaja od strane klijenata, kao i takvih pokušaja (netačan unos lozinke i sl.).
- Šifrovanje saobraćaja (koje, u principu, nije bilo loše na nemačkom modelu).
- Dodatno, bilo je prikladno da uređaj, iako nije jeftin, bude nekoliko puta jeftiniji od prethodno kupljenih (razlika postaje posebno značajna kada se konvertuje u port; razmatrali smo USB sa 64 porta preko IP-a).
Odlučili smo provjeriti kod proizvođača kakva je situacija s podrškom za dvije vrste pametnih tokena koji su ranije imali problema s vezom. Obaviješteni smo da ne daju 100% garanciju podrške za apsolutno sve USB uređaje, ali još uvijek nismo pronašli niti jedan uređaj sa kojim postoje problemi. Nismo bili zadovoljni ovim odgovorom i predložili smo proizvođaču da prenese tokene na testiranje (srećom, dostava transportnom kompanijom košta samo 150 rubalja, a imamo dovoljno starih tokena). 4 dana nakon slanja ključeva dobili smo podatke o konekciji i čudesno smo se povezali sa Windows 7, 10 i Windows Server 2008. Sve je funkcionisalo u redu, povezali smo naše tokene bez problema i mogli smo da radimo sa njima.
Kupili smo upravljani USB over IP hub sa 64 USB porta. Povezali smo svih 18 porta sa 64 računara u različitim granama (32 ključa i ostalo - fleš diskovi, hard diskovi i 3 USB kamere) - svi uređaji su radili bez problema. Sve u svemu, bili smo zadovoljni uređajem.
Ne navodim imena i proizvođače USB over IP uređaja (da ne bi reklamirao), lako se mogu pronaći na internetu.
izvor: www.habr.com