Kürzlich geteilt in unserer Organisation. Die Kommentare werfen ein ernstes Problem der Informationssicherheit von USB-über-IP-Hardwarelösungen auf, das uns große Sorgen bereitet.
Legen wir also zunächst die Anfangsbedingungen fest.
- Eine große Anzahl elektronischer Sicherheitsschlüssel.
- Auf sie muss von verschiedenen geografischen Standorten aus zugegriffen werden.
- Wir erwägen ausschließlich USB-over-IP-Hardwarelösungen und versuchen, diese Lösung durch zusätzliche organisatorische und technische Maßnahmen abzusichern (über Alternativen denken wir noch nicht nach).
- Im Rahmen dieses Artikels werde ich die von uns in Betracht gezogenen Bedrohungsmodelle nicht vollständig beschreiben (vieles können Sie in sehen). ), aber ich werde mich kurz auf zwei Punkte konzentrieren. Wir schließen Social Engineering und illegale Handlungen der Nutzer selbst aus dem Modell aus. Wir erwägen die Möglichkeit eines unbefugten Zugriffs auf USB-Geräte aus jedem Netzwerk ohne reguläre Anmeldeinformationen.
Um die Sicherheit des Zugriffs auf USB-Geräte zu gewährleisten, wurden organisatorische und technische Maßnahmen ergriffen:
1. Organisatorische Sicherheitsmaßnahmen.
Der gemanagte USB-over-IP-Hub ist in einem hochwertigen abschließbaren Serverschrank verbaut. Der physische Zugang dazu ist optimiert (Zugangskontrollsystem zum Gelände selbst, Videoüberwachung, Schlüssel und Zugangsrechte für eine streng begrenzte Anzahl von Personen).
Alle in der Organisation verwendeten USB-Geräte sind in 3 Gruppen unterteilt:
- Kritisch. Finanzielle digitale Signaturen – werden gemäß den Empfehlungen der Banken verwendet (nicht über USB over IP)
- Wichtig. Elektronische digitale Signaturen für Handelsplattformen, Dienste, E-Dokumentenfluss, Berichte usw. sowie eine Reihe von Schlüsseln für Software werden über einen verwalteten USB-over-IP-Hub verwendet.
- Nicht kritisch. Eine Reihe von Softwareschlüsseln, Kameras, eine Reihe von Flash-Laufwerken und Datenträgern mit unkritischen Informationen sowie USB-Modems werden über einen verwalteten USB-über-IP-Hub verwendet.
2. Technische Sicherheitsmaßnahmen.
Der Netzwerkzugriff auf einen verwalteten USB-over-IP-Hub ist nur innerhalb eines isolierten Subnetzes möglich. Der Zugriff auf ein isoliertes Subnetz wird bereitgestellt:
- von einer Terminalserverfarm,
- über VPN (Zertifikat und Passwort) an eine begrenzte Anzahl von Computern und Laptops, über VPN werden ihnen dauerhafte Adressen zugewiesen,
- über VPN-Tunnel, die Regionalbüros verbinden.
Auf dem verwalteten USB-over-IP-Hub DistKontrolUSB werden mit seinen Standardtools folgende Funktionen konfiguriert:
- Für den Zugriff auf USB-Geräte an einem USB-über-IP-Hub wird Verschlüsselung verwendet (SSL-Verschlüsselung ist auf dem Hub aktiviert), obwohl dies möglicherweise nicht erforderlich ist.
- „Zugriff auf USB-Geräte nach IP-Adresse beschränken“ ist konfiguriert. Abhängig von der IP-Adresse erhält der Benutzer Zugriff auf zugewiesene USB-Geräte oder nicht.
- „Zugriff auf den USB-Port durch Login und Passwort beschränken“ ist konfiguriert. Dementsprechend werden Benutzern Zugriffsrechte auf USB-Geräte zugewiesen.
- „Einschränken des Zugriffs auf ein USB-Gerät durch Login und Passwort“ wurde entschieden, nicht verwendet zu werden, weil Alle USB-Sticks sind dauerhaft mit dem USB-over-IP-Hub verbunden und können nicht von Port zu Port verschoben werden. Für uns ist es sinnvoller, Benutzern über einen längeren Zeitraum hinweg Zugriff auf einen USB-Anschluss mit einem darin installierten USB-Gerät zu ermöglichen.
- Das physische Ein- und Ausschalten von USB-Anschlüssen erfolgt wie folgt:
- Für Software und Schlüssel für elektronische Dokumente – mithilfe des Aufgabenplaners und der zugewiesenen Aufgaben des Hubs (einige Tasten wurden so programmiert, dass sie sich um 9.00 Uhr einschalten und um 18.00 Uhr ausschalten, eine Reihe von 13.00 bis 16.00 Uhr);
- Für Schlüssel zu Handelsplattformen und einer Reihe von Software – von autorisierten Benutzern über die WEB-Schnittstelle;
- Kameras, eine Reihe von Flash-Laufwerken und Datenträger mit unkritischen Informationen sind immer eingeschaltet.
Wir gehen davon aus, dass diese Organisation des Zugriffs auf USB-Geräte deren sichere Nutzung gewährleistet:
- von Regionalbüros (bedingt NET-Nr. 1...... NET-Nr. N),
- für eine begrenzte Anzahl von Computern und Laptops, die USB-Geräte über das globale Netzwerk verbinden,
- für Benutzer, die auf Terminalanwendungsservern veröffentlicht werden.
In den Kommentaren würde ich gerne konkrete praktische Maßnahmen hören, die die Informationssicherheit bei der Bereitstellung des globalen Zugriffs auf USB-Geräte erhöhen.
Source: habr.com