M'agradaria compartir la nostra experiència d'un any en la recerca d'una solució per organitzar l'accés centralitzat i organitzat a les claus de seguretat electròniques de la nostra organització (claus d'accés a plataformes comercials, banca, claus de seguretat de programari, etc.). A causa de la presència de les nostres oficines, geogràficament molt separades les unes de les altres, i la presència en cadascuna d'elles de diverses claus de seguretat electròniques, la necessitat d'elles sorgeix constantment, però en diferents oficines. Després d'un altre enrenou amb una clau perduda, la direcció va establir una tasca: resoldre aquest problema i recollir TOTS els dispositius de seguretat USB en un sol lloc i garantir el treball amb ells independentment de la ubicació de l'empleat.
Així doncs, hem de recollir en una oficina totes les claus bancàries del client, llicències 1c (hasp), fitxes root, ESMART Token USB 64K, etc. disponibles a la nostra empresa. per al seu funcionament posterior en màquines Hyper-V físiques i virtuals remotes. El nombre de dispositius USB és de 50 a 60 i definitivament no és el límit. Ubicació dels servidors de virtualització fora de l'oficina (centre de dades). Ubicació de tots els dispositius USB a l'oficina.
Vam estudiar les tecnologies existents per a l'accés centralitzat als dispositius USB i vam decidir centrar-nos en la tecnologia USB sobre IP. Resulta que moltes organitzacions utilitzen aquesta solució en particular. Hi ha eines tant de maquinari com de programari per al reenviament d'USB sobre IP al mercat, però no ens van bé. Per tant, més endavant parlarem només de l'elecció del maquinari USB sobre IP i, en primer lloc, de la nostra elecció. També vam excloure de la consideració els dispositius de la Xina (sense nom).
Les solucions de maquinari USB sobre IP més descrites a Internet són els dispositius fabricats als EUA i Alemanya. Per a un estudi detallat, vam comprar una versió de muntatge en bastidor gran d'aquest USB sobre IP, dissenyada per a 14 ports USB, amb la possibilitat de muntar-se en un bastidor de 19 polzades, i un USB sobre IP alemany, dissenyat per a 20 ports USB, també amb la possibilitat de muntar-se en un bastidor de 19 polzades. Malauradament, aquests fabricants no tenien més ports de dispositiu USB sobre IP.
El primer dispositiu és molt car i interessant (Internet està ple de ressenyes), però hi ha un gran inconvenient: no hi ha sistemes d'autorització per connectar dispositius USB. Qualsevol persona que instal·li l'aplicació de connexió USB té accés a totes les claus. A més, com ha demostrat la pràctica, el dispositiu USB "esmart token est64u-r1" no és apte per utilitzar-lo amb el dispositiu i, mirant cap endavant, amb el "alemany" al sistema operatiu Win7: quan s'hi connecta, hi ha un BSOD permanent. .
Hem trobat el segon dispositiu USB sobre IP més interessant. El dispositiu té un gran conjunt de paràmetres relacionats amb les funcions de xarxa. La interfície USB sobre IP està dividida lògicament en seccions, de manera que la configuració inicial va ser bastant senzilla i ràpida. Però, com s'ha esmentat anteriorment, hi va haver problemes per connectar diverses claus.
Estudiant més sobre el maquinari USB sobre IP, vam trobar fabricants nacionals. La línia inclou versions de 16, 32, 48 i 64 ports amb la possibilitat de muntar-se en un bastidor de 19 polzades. La funcionalitat descrita pel fabricant era encara més rica que la de les compres anteriors d'USB sobre IP. Inicialment, em va agradar que el concentrador d'USB sobre IP administrat domèstic ofereix una protecció en dues etapes per als dispositius USB quan es comparteixen USB a través d'una xarxa:
- Encès i apagat físic remot de dispositius USB;
- Autorització per connectar dispositius USB mitjançant inici de sessió, contrasenya i adreça IP.
- Autorització per connectar ports USB mitjançant inici de sessió, contrasenya i adreça IP.
- Registre de totes les activacions i connexions de dispositius USB per part dels clients, així com aquests intents (entrada incorrecta de la contrasenya, etc.).
- Xifratge de trànsit (que, en principi, no era dolent en el model alemany).
- A més, era adequat que el dispositiu, encara que no fos barat, fos diverses vegades més barat que els comprats anteriorment (la diferència esdevé especialment significativa quan es converteix en un port; vam considerar un USB sobre IP de 64 ports).
Vam decidir consultar amb el fabricant la situació amb el suport de dos tipus de fitxes intel·ligents que anteriorment tenien problemes de connexió. Ens van informar que no ofereixen una garantia del 100% de suport per a absolutament tots els dispositius USB, però encara no hem trobat cap dispositiu amb el qual hi hagi problemes. No estàvem satisfets amb aquesta resposta i vam suggerir que el fabricant transferís les fitxes per a la prova (afortunadament, l'enviament per empresa de transport només va costar 150 rubles i tenim prou fitxes antigues). 4 dies després d'enviar les claus, ens van donar les dades de connexió i ens vam connectar miraculosament amb Windows 7, 10 i Windows Server 2008. Tot va funcionar bé, vam connectar els nostres tokens sense cap problema i vam poder treballar amb ells.
Hem comprat un concentrador USB sobre IP gestionat amb 64 ports USB. Vam connectar els 18 ports de 64 ordinadors en diferents branques (32 tecles i la resta - unitats flash, discs durs i 3 càmeres USB) - tots els dispositius van funcionar sense problemes. En general, estem satisfets amb el dispositiu.
No enumeixo els noms i els fabricants de dispositius USB sobre IP (per evitar la publicitat), es poden trobar fàcilment a Internet.
Font: www.habr.com