Nedávno sdíleno v naší organizaci. Komentáře vyvolaly vážný problém informační bezpečnosti hardwarových řešení USB over IP, který nás velmi znepokojuje.
Nejprve se tedy pojďme rozhodnout o počátečních podmínkách.
- Velké množství elektronických bezpečnostních klíčů.
- Je třeba k nim přistupovat z různých geografických míst.
- Uvažujeme pouze o hardwarových řešeních USB over IP a snažíme se toto řešení zajistit dalšími organizačními a technickými opatřeními (otázku alternativ zatím neuvažujeme).
- V rámci tohoto článku nebudu plně popisovat modely hrozeb, které zvažujeme (můžete hodně vidět v ), ale krátce se zaměřím na dva body. Z modelu vylučujeme sociální inženýrství a nezákonné jednání samotných uživatelů. Zvažujeme možnost neoprávněného přístupu k USB zařízením z jakékoli sítě bez běžných přihlašovacích údajů.
Pro zajištění bezpečnosti přístupu k USB zařízením byla přijata organizační a technická opatření:
1. Organizační bezpečnostní opatření.
Spravovaný rozbočovač USB over IP je instalován ve vysoce kvalitní uzamykatelné serverové skříni. Fyzický přístup k němu je zefektivněn (systém kontroly přístupu do samotného areálu, video dohled, klíče a přístupová práva pro přísně omezený počet osob).
Všechna zařízení USB používaná v organizaci jsou rozdělena do 3 skupin:
- Kritické. Finanční digitální podpisy – používají se v souladu s doporučeními bank (ne přes USB přes IP)
- Důležité. Elektronické digitální podpisy pro obchodní platformy, služby, tok elektronických dokumentů, reporting atd., řada klíčů pro software – se používají pomocí spravovaného USB over IP hubu.
- Není kritický. Řada softwarových klíčů, fotoaparátů, řada flash disků a disků s nekritickými informacemi, USB modemy - se používá pomocí spravovaného rozbočovače USB over IP.
2. Technická bezpečnostní opatření.
Síťový přístup ke spravovanému rozbočovači USB over IP je poskytován pouze v rámci izolované podsítě. Přístup do izolované podsítě je poskytován:
- z farmy terminálových serverů,
- přes VPN (certifikát a heslo) do omezeného počtu počítačů a notebooků, přes VPN jsou jim vydávány trvalé adresy,
- přes VPN tunely spojující regionální kanceláře.
Na spravovaném rozbočovači USB over IP DistKontrolUSB se pomocí jeho standardních nástrojů konfigurují následující funkce:
- Pro přístup k zařízením USB na rozbočovači USB over IP se používá šifrování (na rozbočovači je povoleno šifrování SSL), i když to nemusí být nutné.
- Je nakonfigurováno „Omezení přístupu k zařízením USB pomocí adresy IP“. V závislosti na adrese IP má uživatel nebo nemá povolen přístup k přiřazeným zařízením USB.
- Je nakonfigurováno „Omezit přístup k portu USB přihlášením a heslem“. Podle toho jsou uživatelům přidělena přístupová práva k zařízením USB.
- „Omezení přístupu k zařízení USB pomocí přihlašovacího jména a hesla“ bylo rozhodnuto nepoužívat, protože Všechny klíče USB jsou trvale připojeny k rozbočovači USB over IP a nelze je přesunout z portu do portu. Je pro nás smysluplnější poskytovat uživatelům dlouhodobě přístup k USB portu s nainstalovaným USB zařízením.
- Fyzické zapínání a vypínání USB portů se provádí:
- Pro softwarové a EDM klíče - pomocí plánovače úloh a přiřazených úloh hubu (řada kláves byla naprogramována tak, aby se zapínala v 9.00:18.00 a vypnula v 13.00:16.00, číslo od XNUMX:XNUMX do XNUMX:XNUMX);
- Pro klíče k obchodním platformám a množství softwaru - autorizovanými uživateli přes WEB rozhraní;
- Fotoaparáty, řada flash disků a disky s nekritickými informacemi jsou vždy zapnuté.
Předpokládáme, že tato organizace přístupu k zařízením USB zajišťuje jejich bezpečné používání:
- z krajských úřadů (podmíněně NET č. 1...... NET č. N),
- pro omezený počet počítačů a notebooků připojujících USB zařízení přes globální síť,
- pro uživatele publikované na terminálových aplikačních serverech.
V komentářích bych rád slyšel konkrétní praktická opatření, která zvyšují informační bezpečnost poskytování globálního přístupu k USB zařízením.
Zdroj: www.habr.com