Rád bych se podělil o naše roční zkušenosti s hledáním řešení pro organizaci centralizovaného a organizovaného přístupu k elektronickým bezpečnostním klíčům v naší organizaci (klíče pro přístup k obchodním platformám, bankovnictví, softwarové bezpečnostní klíče atd.). Vzhledem k přítomnosti našich poboček, které jsou od sebe geograficky velmi odděleny, a přítomnosti několika elektronických bezpečnostních klíčů v každé z nich, jejich potřeba neustále vyvstává, ale v různých pobočkách. Po dalším povyku se ztraceným klíčem si vedení stanovilo úkol - vyřešit tento problém a shromáždit VŠECHNA USB zabezpečovací zařízení na jednom místě a zajistit s nimi práci bez ohledu na to, kde se zaměstnanec nachází.
Potřebujeme tedy v jedné kanceláři shromáždit všechny klientské bankovní klíče, 1c licence (hasp), root tokeny, ESMART Token USB 64K atd. dostupné v naší společnosti. pro následný provoz na vzdálených fyzických a virtuálních počítačích Hyper-V. Počet USB zařízení je 50-60 a rozhodně to není limit. Umístění virtualizačních serverů mimo kancelář (datové centrum). Umístění všech USB zařízení v kanceláři.
Studovali jsme stávající technologie pro centralizovaný přístup k zařízením USB a rozhodli jsme se zaměřit na technologii USB over IP. Ukazuje se, že mnoho organizací používá toto konkrétní řešení. Na trhu jsou hardwarové i softwarové nástroje pro USB over IP forwarding, ty nám ale nevyhovovaly. Proto se dále budeme bavit pouze o volbě hardwaru USB over IP a především o naší volbě. Z úvahy jsme vyloučili i zařízení z Číny (bezejmenná).
Nejčastěji popisovaná hardwarová řešení USB over IP na internetu jsou zařízení vyrobená v USA a Německu. Pro podrobnou studii jsme zakoupili velkou rackovou verzi tohoto USB over IP, určenou pro 14 USB portů, s možností montáže do 19palcového racku, a německou USB over IP, určenou pro 20 USB portů, také s možnost montáže do 19palcového racku. Bohužel tito výrobci neměli více portů USB over IP zařízení.
První zařízení je velmi drahé a zajímavé (internet je plný recenzí), ale existuje velmi velká nevýhoda - neexistují žádné autorizační systémy pro připojení zařízení USB. Každý, kdo si nainstaluje aplikaci pro připojení USB, má přístup ke všem klíčům. Kromě toho, jak ukázala praxe, zařízení USB „esmart token est64u-r1“ není vhodné pro použití se zařízením a výhledově ani s „německým“ na OS Win7 - po připojení k němu existuje trvalá BSOD .
Zajímavější nám přišlo druhé USB over IP zařízení. Zařízení má velkou sadu nastavení souvisejících se síťovými funkcemi. Rozhraní USB over IP je logicky rozděleno do sekcí, takže prvotní nastavení bylo vcelku jednoduché a rychlé. Ale jak již bylo zmíněno dříve, vyskytly se problémy s připojením řady klíčů.
Při dalším studiu hardwaru USB přes IP jsme narazili na domácí výrobce. Řada zahrnuje verze s 16, 32, 48 a 64 porty s možností montáže do 19palcového racku. Funkčnost popisovaná výrobcem byla ještě bohatší než u předchozích nákupů USB přes IP. Zpočátku se mi líbilo, že domácí spravovaný rozbočovač USB over IP poskytuje dvoustupňovou ochranu zařízení USB při sdílení USB přes síť:
- Vzdálené fyzické zapínání a vypínání USB zařízení;
- Autorizace pro připojení USB zařízení pomocí přihlašovacího jména, hesla a IP adresy.
- Autorizace pro připojení USB portů pomocí přihlašovacího jména, hesla a IP adresy.
- Protokolování všech aktivací a připojení USB zařízení klienty a také takových pokusů (chybné zadání hesla atd.).
- Šifrování provozu (které v zásadě nebylo na německém modelu špatné).
- Navíc bylo vhodné, že zařízení, i když není levné, je několikanásobně levnější než dříve zakoupené (rozdíl je výrazný zejména při převodu na port, uvažovali jsme o 64portovém USB over IP).
Rozhodli jsme se u výrobce ověřit situaci s podporou dvou typů chytrých tokenů, které měly dříve problémy s připojením. Byli jsme informováni, že neposkytují 100% záruku podpory absolutně všech USB zařízení, ale zatím jsme nenašli jediné zařízení, se kterým by byly problémy. S touto odpovědí jsme nebyli spokojeni a navrhli jsme výrobci převést tokeny na testování (naštěstí doprava přepravní společností stála jen 150 rublů a starých tokenů máme dost). 4 dny po odeslání klíčů jsme dostali údaje o připojení a zázračně jsme se propojili s Windows 7, 10 a Windows Server 2008. Vše fungovalo dobře, naše tokeny jsme bez problémů propojili a dokázali s nimi pracovat.
Zakoupili jsme spravovaný rozbočovač USB over IP s 64 porty USB. Připojili jsme všech 18 portů z 64 počítačů v různých větvích (32 klíčů a zbytek - flash disky, pevné disky a 3 USB kamery) - všechna zařízení fungovala bez problémů. Celkově jsme byli se zařízením spokojeni.
Neuvádím názvy a výrobce zařízení USB over IP (abych se vyhnul reklamě), lze je snadno najít na internetu.
Zdroj: www.habr.com