Vogliu sparte i nostri anni di sperienza in truvà una suluzione per urganizà l'accessu centralizatu è simplificatu à e chjave di sicurezza elettroniche in a nostra urganizazione (chjavi per l'accessu à i mercati, banca, chjavi di sicurezza di software, etc.). In cunnessione cù a prisenza di i nostri rami, chì sò geograficamente assai separati l'una di l'altri, è a prisenza in ognuna d'elli di parechje chjavi di sicurezza elettroniche, a necessità per elli sempre sorge, ma in diverse rami. Dopu à un altru fuss cù una chjave persa, a gestione hà stabilitu u compitu - per risolve stu prublema è cullà TUTTI i dispositi di sicurità USB in un locu, è assicuratevi di travaglià indipendendu da u locu di l'impiigatu.
Dunque, avemu bisognu di cullà in un uffiziu tutte e chjave di u bancu di u cliente, licenze 1c (hasp), rutokens, ESMART Token USB 64K, etc. dispunibili in a nostra cumpagnia. per u funziunamentu sussegwenti nantu à e macchine Hyper-V fisiche è virtuali remote. U numaru di i dispusitivi USB hè 50-60 è sicuru ùn hè micca u limitu. Situazione di i servitori di virtualizazione fora di l'uffiziu (centru di dati). Locu di tutti i dispositi USB in l'uffiziu.
Avemu studiatu e tecnulugia esistenti per l'accessu centralizatu à i dispositi USB è decisu di fucalizza nantu à a tecnulugia USB over IP (USB over IP). Ci hè chì parechje urganisazione utilizanu sta suluzione. Ci sò tramindui USB over IP hardware è software in u mercatu, ma ùn ci cunvene micca. Sicondu questu, in più parleremu solu di l'scelta di hardware USB over IP è, prima di tuttu, di a nostra scelta. Dispositivi da a Cina (senza nome) avemu ancu esclusu da a considerazione.
A suluzione hardware USB over IP più descritta in Internet sò i dispositi fatti in i Stati Uniti è in Germania. Per un studiu detallatu, avemu acquistatu una versione di grande rack di questu USB over IP, cuncepitu per 14 porti USB, cù a capacità di muntà in un rack di 19 inch è un USB tedesco over IP, cuncepitu per 20 porti USB, ancu cù a capacità di monte in un rack di 19 inch. Sfurtunatamente, questi pruduttori ùn anu micca più porti USB sopra IP.
U primu dispusitivu hè assai caru è interessante (Internet hè pienu di recensioni), ma ci hè un minus assai grande - ùn ci sò micca sistemi d'autorizazione per cunnette i dispositi USB. Qualchese chì stalla l'app di cunnessione USB accede à tutte e chjave. Inoltre, cum'è a pratica hà dimustratu, u dispositivu USB "esmart token est64u-r1" ùn hè micca adattatu per l'usu cù u dispusitivu è, fighjendu avanti, cù "German" in Win7 OS - quandu cunnessu à questu, un BSOD permanente.
U sicondu dispositivu USB over IP pareva più interessante per noi. U dispusitivu hà un grande settore di paràmetri ligati à e funzioni di rete. L'interfaccia USB over IP hè logicamente divisa in sezioni, cusì a cunfigurazione iniziale era abbastanza simplice è rapida. Ma, cum'è dettu prima, ci sò stati prublemi per cunnette una quantità di chjave.
Studià più hardware USB over IP hè ghjuntu à i pruduttori domestici. A gamma include versioni di 16, 32, 48 è 64 portu cù capacità di 19 "rack mount. A funziunalità descritta da u fabricatore era ancu più ricca di l'USB acquistatu precedente per IP. Inizialmente, mi piaceva chì u centru USB gestitu domesticu sopra IP furnisce una prutezzione in dui fasi per i dispositi USB quandu si sparte USB nantu à una reta:
- Accensione fisica remota è spenta di i dispositi USB;
- Autorizazione per cunnette i dispositi USB per login, password è indirizzu IP.
- Autorizazione per cunnette i porti USB per login, password è indirizzu IP.
- Logging di tutte l'accensione è e cunnessione di i dispositi USB da i clienti, è ancu tali tentativi (inserzione di password incorrecta, etc.).
- A criptografia di trafficu (cù, in principiu, ùn era micca male nantu à u mudellu tedescu).
- Inoltre, era adattatu chì u dispusitivu, ancu s'ellu ùn era micca prezzu, era parechje volte più prezzu di quelli acquistati prima (a diferenza diventa particularmente significativa quandu cunvertisce in un portu, avemu cunsideratu 64-port USB over IP).
Avemu decisu di verificà cù u fabricatore nantu à a situazione cù supportu per dui tipi di tokens intelligenti chì avianu prublemi di cunnessione prima. Ci hè statu dettu chì ùn dà micca una guaranzia 100% di supportu per assolutamente tutti i dispositi USB, ma finu à avà ùn anu micca truvatu un solu dispositivu cù quale ci saria prublemi. Sta risposta ùn ci cunvene micca assai è avemu suggeritu chì u fabricatore trasfiriu i tokens per a prova (per furtuna, l'inviu da una cumpagnia di trasportu costa solu 150 rubles, è avemu abbastanza vechji tokens). 4 ghjorni dopu chì i chjavi sò stati mandati, avemu statu infurmatu di e dati di cunnessione è avemu maravigliosamente cunnessu cun elli cù Windows 7, 10 è Windows Server 2008. Tuttu hà travagliatu bè, avemu cunnessu i nostri tokens senza alcunu prublema è pudemu travaglià cun elli.
Avemu compru un hub amministratu USB over IP per 64 porti USB. Avemu cunnessu tutti i porti 18 da l'urdinatori 64 in diverse rami (32 chjave è u restu - unità flash, discu duru è camere USB 3) - tutti i dispositi anu travagliatu senza prublemi. In generale, u dispusitivu era cuntentu.
Ùn aghju micca datu i nomi è i fabricatori di USB over IP devices (per ùn esse publicità), sò abbastanza faciuli di truvà in Internet.
Source: www.habr.com