Ich möchte unsere jahrelange Erfahrung bei der Suche nach einer Lösung für die Organisation eines zentralisierten und organisierten Zugriffs auf elektronische Sicherheitsschlüssel in unserer Organisation (Schlüssel für den Zugriff auf Handelsplattformen, Bankgeschäfte, Software-Sicherheitsschlüssel usw.) teilen. Aufgrund der Präsenz unserer Filialen, die geografisch sehr voneinander entfernt sind, und der Anwesenheit mehrerer elektronischer Sicherheitsschlüssel in jeder von ihnen entsteht ständig ein Bedarf an diesen, allerdings in verschiedenen Filialen. Nach einem weiteren Aufruhr wegen eines verlorenen Schlüssels stellte sich das Management die Aufgabe, dieses Problem zu lösen und ALLE USB-Sicherheitsgeräte an einem Ort zu sammeln und die Arbeit mit ihnen unabhängig vom Standort des Mitarbeiters sicherzustellen.
Daher müssen wir in einem Büro alle in unserem Unternehmen verfügbaren Kundenbankschlüssel, 1c-Lizenzen (Hasp), Root-Token, ESMART-Token USB 64K usw. sammeln. für den anschließenden Betrieb auf entfernten physischen und virtuellen Hyper-V-Maschinen. Die Anzahl der USB-Geräte beträgt 50–60 und ist definitiv nicht die Grenze. Standort der Virtualisierungsserver außerhalb des Büros (Rechenzentrum). Standort aller USB-Geräte im Büro.
Wir haben bestehende Technologien für den zentralen Zugriff auf USB-Geräte untersucht und beschlossen, uns auf die USB-over-IP-Technologie zu konzentrieren. Es stellt sich heraus, dass viele Organisationen diese spezielle Lösung verwenden. Es gibt sowohl Hardware- als auch Softwaretools für die USB-über-IP-Weiterleitung auf dem Markt, aber sie haben uns nicht gefallen. Daher werden wir im Folgenden nur über die Wahl der USB-über-IP-Hardware und zunächst über unsere Wahl sprechen. Auch Geräte aus China (namenlos) haben wir von der Betrachtung ausgeschlossen.
Die im Internet am häufigsten beschriebenen USB-über-IP-Hardwarelösungen sind Geräte aus den USA und Deutschland. Für eine detaillierte Studie haben wir eine große Rackmount-Version dieses USB-over-IP erworben, die für 14 USB-Ports ausgelegt ist und in einem 19-Zoll-Rack montiert werden kann, sowie eine deutsche USB-over-IP-Version, die für 20 USB-Ports ausgelegt ist, ebenfalls mit die Möglichkeit zur Montage in einem 19-Zoll-Rack. Leider verfügten diese Hersteller nicht über mehr USB-über-IP-Geräteanschlüsse.
Das erste Gerät ist sehr teuer und interessant (das Internet ist voller Rezensionen), aber es gibt einen sehr großen Nachteil: Es gibt keine Autorisierungssysteme für den Anschluss von USB-Geräten. Wer die USB-Verbindungs-App installiert, hat Zugriff auf alle Schlüssel. Darüber hinaus ist das USB-Gerät „esmart token est64u-r1“, wie die Praxis gezeigt hat, für die Verwendung mit dem Gerät und mit Blick auf die Zukunft mit dem „deutschen“ unter Win7-Betriebssystem ungeeignet – wenn es daran angeschlossen ist, gibt es einen permanenten BSOD .
Interessanter fanden wir das zweite USB-over-IP-Gerät. Das Gerät verfügt über zahlreiche Einstellungen im Zusammenhang mit Netzwerkfunktionen. Die USB-over-IP-Schnittstelle ist logisch in Abschnitte unterteilt, sodass die Ersteinrichtung recht einfach und schnell war. Aber wie bereits erwähnt, gab es Probleme beim Anschließen mehrerer Schlüssel.
Als wir uns weiter mit USB-über-IP-Hardware befassten, stießen wir auf inländische Hersteller. Das Sortiment umfasst Versionen mit 16, 32, 48 und 64 Ports mit der Möglichkeit zur Montage in einem 19-Zoll-Rack. Die vom Hersteller beschriebene Funktionalität war sogar noch umfangreicher als bei früheren USB-over-IP-Käufen. Anfangs gefiel mir, dass der inländische verwaltete USB-over-IP-Hub einen zweistufigen Schutz für USB-Geräte bietet, wenn USB über ein Netzwerk gemeinsam genutzt wird:
- Physisches Remote-Ein- und Ausschalten von USB-Geräten;
- Berechtigung zum Anschluss von USB-Geräten mittels Login, Passwort und IP-Adresse.
- Autorisierung zum Anschluss von USB-Ports mittels Login, Passwort und IP-Adresse.
- Protokollierung aller Aktivierungen und Verbindungen von USB-Geräten durch Clients sowie solcher Versuche (falsche Passworteingabe etc.).
- Verkehrsverschlüsselung (die nach deutschem Vorbild im Prinzip nicht schlecht war).
- Darüber hinaus war es passend, dass das Gerät zwar nicht billig, aber um ein Vielfaches günstiger ist als die zuvor gekauften Geräte (der Unterschied wird besonders deutlich, wenn er in einen Port umgewandelt wird; wir haben einen 64-Port-USB über IP in Betracht gezogen).
Wir haben beschlossen, beim Hersteller nachzufragen, wie es um die Unterstützung zweier Smart-Token-Typen steht, bei denen zuvor Verbindungsprobleme aufgetreten sind. Uns wurde mitgeteilt, dass sie keine 100-prozentige Garantie für die Unterstützung absolut aller USB-Geräte bieten, haben aber noch kein einziges Gerät gefunden, bei dem es Probleme gibt. Wir waren mit dieser Antwort nicht zufrieden und haben dem Hersteller vorgeschlagen, die Token zum Testen zu übertragen (zum Glück kostet der Versand per Transportunternehmen nur 150 Rubel und wir haben genügend alte Token). 4 Tage nach dem Versenden der Schlüssel erhielten wir die Verbindungsdaten und wir haben uns auf wundersame Weise mit Windows 7, 10 und Windows Server 2008 verbunden. Alles hat gut funktioniert, wir haben unsere Token problemlos verbunden und konnten damit arbeiten.
Wir haben einen verwalteten USB-over-IP-Hub mit 64 USB-Anschlüssen gekauft. Wir haben alle 18 Ports von 64 Computern in verschiedenen Zweigen angeschlossen (32 Schlüssel und der Rest - Flash-Laufwerke, Festplatten und 3 USB-Kameras) - alle Geräte funktionierten ohne Probleme. Insgesamt waren wir mit dem Gerät zufrieden.
Ich liste die Namen und Hersteller von USB-over-IP-Geräten nicht auf (um Werbung zu vermeiden), sie können leicht im Internet gefunden werden.
Source: habr.com