Kürzlich geteilt in unserer Organisation. In den Kommentaren wurde ein ernstes Thema zur IT-Sicherheit von USB over IP Hardwarelösungen angesprochen, das auch uns sehr beschäftigt.
Lassen Sie uns zunächst die Ausgangsbedingungen festlegen.
- Eine große Anzahl von elektronischen Schutzschlüsseln.
- Der Zugriff auf sie ist aus verschiedenen geografischen Orten erforderlich.
- Wir betrachten nur Hardwarelösungen für USB über IP und versuchen, diese Lösung durch zusätzliche organisatorische und technische Maßnahmen abzusichern (Alternativen werden nicht betrachtet).
- Im Rahmen des Artikels werde ich die von uns betrachteten Bedrohungsmodelle nicht vollständig ausführen (viele Informationen sind in ), aber ich möchte mich auf zwei Punkte konzentrieren. Wir schließen soziale Ingenieurtechniken und rechtswidriges Verhalten von Nutzern aus dem Modell aus. Wir analysieren die Möglichkeiten des unbefugten Zugriffs auf USB-Geräte aus einem beliebigen Netzwerk ohne offizielle Zugangsdaten.

Um die Sicherheit des Zugriffs auf USB-Geräte zu gewährleisten, wurden organisatorische und technische Maßnahmen ergriffen:
1. Organisatorische Sicherheitsmaßnahmen.
Ein verwalteter USB über IP-Hub ist in einem qualitativ hochwertigen, schlüsselfähigen Serverrack installiert. Der physische Zugang ist geregelt (Zutrittskontrolle zum Raum, Videoüberwachung, Schlüssel und Zugriffsrechte sind auf einen streng begrenzten Personenkreis beschränkt).
Alle in der Organisation verwendeten USB-Geräte sind bedingt in 3 Gruppen unterteilt:
- Kritisch. Finanzielle digitale Signaturen – werden gemäß den Empfehlungen der Banken verwendet (nicht über USB über IP).
- Wichtig. Digitale Signaturen für Marktplätze, Dienstleistungen, elektronische Dokumentenverarbeitung, Berichterstattung usw., einige Schlüssel für Software – werden mit Hilfe des verwalteten USB über IP-Hubs verwendet.
- Nicht kritisch. Einige Schlüssel für Software, Kameras, einige USB-Sticks und -Festplatten mit nicht kritischen Informationen, USB-Modems – werden mit Hilfe des verwalteten USB über IP-Hubs verwendet.
2. Technische Sicherheitsmaßnahmen.
Der Netzwerkzugang zum verwalteten USB über IP-Hub wird nur innerhalb eines isolierten Subnetzwerks bereitgestellt. Der Zugang zum isolierten Subnetz wird gewährt:
- von der Terminalserverfarm,
- über VPN (Zertifikat und Passwort) für eine begrenzte Anzahl von Computern und Laptops, über VPN erhalten sie feste Adressen,
- über VPN-Tunnel, die regionale Büros verbinden.
Auf dem vollständig verwalteten USB over IP-Hub DistKontrolUSB sind mit seinen integrierten Funktionen folgende Einstellungen vorgenommen worden:
- Für den Zugriff auf USB-Geräte des USB over IP-Hubs wird eine Verschlüsselung verwendet (auf dem Hub ist SSL-Verschlüsselung aktiviert), auch wenn dies möglicherweise bereits überflüssig ist.
- Es wurde ein "Zugriffsbeschränkung für USB-Geräte nach IP-Adresse" eingerichtet. Je nach IP-Adresse erhält der Benutzer Zugang zu den zugewiesenen USB-Geräten oder nicht.
- Es wurde eine "Zugriffsbeschränkung auf den USB-Port nach Benutzername und Passwort" eingerichtet. Den Benutzern wurden entsprechend Zugriffsrechte für die USB-Geräte zugewiesen.
- "Die Zugriffsbeschränkung auf das USB-Gerät nach Benutzername und Passwort" wird nicht verwendet, da alle USB-Sticks dauerhaft an den USB over IP-Hub angeschlossen sind und nicht von Port zu Port verschoben werden. Für uns ist es logischer, den Benutzern Zugriff auf den USB-Port zu gewähren, in den ein Gerät für längere Zeit angeschlossen ist.
- Das physische Ein- und Ausschalten der USB-Ports erfolgt durch:
- Für Software- und EDI-Keys – über den Task-Planer und zugewiesene Aufgaben des Hub (einige Keys sind so programmiert, dass sie um 9:00 Uhr aktiviert und um 18:00 Uhr deaktiviert werden, andere von 13:00 bis 16:00 Uhr);
- Für Keys von Handelsplattformen und bestimmter Software – die von Nutzern über die WEB-Oberfläche genehmigt werden;
- Kameras, einige USB-Sticks und Festplatten mit nicht kritischen Informationen – immer eingeschaltet.
Wir nehmen an, dass eine solche Organisation des Zugangs zu USB-Geräten deren sichere Nutzung gewährleistet:
- aus regionalen Büros (bedingte NET Nr. 1 …… NET Nr. N),
- für eine begrenzte Anzahl von Computern und Laptops, die USB-Geräte über das globale Netzwerk anschließen,
- für Benutzer, die auf den Terminalservern der Anwendungen veröffentlicht sind.
In den Kommentaren würden wir gerne konkrete praktische Maßnahmen hören, die die Informationssicherheit beim Bereitstellen eines globalen Zugangs zu USB-Geräten erhöhen.
Quelle: habr.com
