Jeg vil gerne dele vores årelange erfaring med at finde en løsning til at organisere centraliseret og organiseret adgang til elektroniske sikkerhedsnøgler i vores organisation (nøgler til adgang til handelsplatforme, bank, softwaresikkerhedsnøgler osv.). På grund af tilstedeværelsen af vores filialer, som er geografisk meget adskilt fra hinanden, og tilstedeværelsen i hver af dem af flere elektroniske sikkerhedsnøgler, opstår behovet for dem konstant, men i forskellige filialer. Efter endnu et postyr med en mistet nøgle, satte ledelsen en opgave - at løse dette problem og samle ALLE USB-sikkerhedsenheder ét sted, og sikre arbejde med dem uanset placeringen af medarbejderen.
Så vi er nødt til at samle alle klientbanknøgler, 1c-licenser (hasp), root-tokens, ESMART Token USB 64K osv., som er tilgængelige i vores virksomhed, på ét kontor. til efterfølgende betjening på eksterne fysiske og virtuelle Hyper-V-maskiner. Antallet af USB-enheder er 50-60, og det er bestemt ikke grænsen. Placering af virtualiseringsservere uden for kontoret (datacenter). Placering af alle USB-enheder på kontoret.
Vi studerede eksisterende teknologier til centraliseret adgang til USB-enheder og besluttede at fokusere på USB over IP-teknologi. Det viser sig, at mange organisationer bruger netop denne løsning. Der findes både hardware- og softwareværktøjer til USB over IP-videresendelse på markedet, men de passede ikke os. Derfor vil vi yderligere kun tale om valget af hardware USB over IP og først og fremmest om vores valg. Vi udelukkede også enheder fra Kina (navnløse) fra overvejelse.
De mest udbredte USB over IP-hardwareløsninger på internettet er enheder fremstillet i USA og Tyskland. Til en detaljeret undersøgelse købte vi en stor rackmonteret version af denne USB over IP, designet til 14 USB-porte, med mulighed for at montere i et 19-tommers rack, og en tysk USB over IP, designet til 20 USB-porte, også med muligheden for at montere i et 19-tommers rack. Desværre havde disse producenter ikke flere USB over IP-enhedsporte.
Den første enhed er meget dyr og interessant (internettet er fuld af anmeldelser), men der er en meget stor ulempe - der er ingen autorisationssystemer til tilslutning af USB-enheder. Enhver, der installerer USB-forbindelsesappen, har adgang til alle nøgler. Derudover, som praksis har vist, er USB-enheden "esmart token est64u-r1" uegnet til brug med enheden, og set fremad med den "tyske" på Win7 OS - når den er tilsluttet den, er der en permanent BSOD .
Vi fandt den anden USB over IP-enhed mere interessant. Enheden har et stort sæt indstillinger relateret til netværksfunktioner. USB over IP-grænsefladen er logisk opdelt i sektioner, så den indledende opsætning var ret enkel og hurtig. Men som tidligere nævnt var der problemer med at forbinde en række nøgler.
Ved at studere yderligere om USB over IP-hardware stødte vi på indenlandske producenter. Serien inkluderer versioner med 16, 32, 48 og 64 porte med mulighed for at montere i et 19-tommers rack. Funktionaliteten beskrevet af producenten var endnu rigere end tidligere USB over IP-køb. Til at begynde med kunne jeg godt lide, at den indenlandske administrerede USB over IP-hub giver to-trins beskyttelse til USB-enheder, når de deler USB over et netværk:
- Fysisk fjerntænding og slukning af USB-enheder;
- Godkendelse til tilslutning af USB-enheder ved hjælp af login, adgangskode og IP-adresse.
- Autorisation til tilslutning af USB-porte ved hjælp af login, adgangskode og IP-adresse.
- Logning af alle aktiveringer og tilslutninger af USB-enheder af klienter, samt sådanne forsøg (forkert adgangskodeindtastning osv.).
- Trafikkryptering (som i princippet ikke var dårlig på den tyske model).
- Derudover var det passende, at enheden, selvom den ikke er billig, er flere gange billigere end dem, der er købt tidligere (forskellen bliver især betydelig, når den konverteres til en port; vi overvejede en 64-ports USB over IP).
Vi besluttede at tjekke med producenten om situationen med understøttelse af to typer smarte tokens, der tidligere havde forbindelsesproblemer. Vi blev informeret om, at de ikke giver 100 % garanti for support til absolut alle USB-enheder, men har endnu ikke fundet en eneste enhed, som der er problemer med. Vi var ikke tilfredse med dette svar, og vi foreslog, at producenten overfører tokens til test (heldigvis kostede forsendelse med transportfirma kun 150 rubler, og vi har nok gamle tokens). 4 dage efter afsendelse af nøglerne fik vi forbindelsesdataene, og vi forbandt mirakuløst med Windows 7, 10 og Windows Server 2008. Alt fungerede fint, vi tilsluttede vores tokens uden problemer og kunne arbejde med dem.
Vi købte en administreret USB over IP-hub med 64 USB-porte. Vi tilsluttede alle 18 porte fra 64 computere i forskellige grene (32 nøgler og resten - flashdrev, harddiske og 3 USB-kameraer) - alle enheder fungerede uden problemer. Generelt var vi tilfredse med enheden.
Jeg angiver ikke navne og producenter af USB over IP-enheder (for at undgå reklamer), de kan nemt findes på internettet.
Kilde: www.habr.com