Θα ήθελα να μοιραστώ την πολυετή εμπειρία μας στην εξεύρεση λύσης για την οργάνωση της κεντρικής και οργανωμένης πρόσβασης σε ηλεκτρονικά κλειδιά ασφαλείας στον οργανισμό μας (κλειδιά για πρόσβαση σε πλατφόρμες συναλλαγών, τραπεζικές συναλλαγές, κλειδιά ασφαλείας λογισμικού κ.λπ.). Λόγω της παρουσίας των υποκαταστημάτων μας, τα οποία είναι γεωγραφικά πολύ διαχωρισμένα μεταξύ τους, και της παρουσίας σε καθένα από αυτά πολλών ηλεκτρονικών κλειδιών ασφαλείας, η ανάγκη για αυτά προκύπτει συνεχώς, αλλά σε διαφορετικούς κλάδους. Μετά από άλλη φασαρία με ένα χαμένο κλειδί, η διοίκηση έθεσε ένα καθήκον - να λύσει αυτό το πρόβλημα και να συγκεντρώσει ΟΛΕΣ τις συσκευές ασφαλείας USB σε ένα μέρος και να εξασφαλίσει ότι θα συνεργαστεί μαζί τους ανεξάρτητα από την τοποθεσία του υπαλλήλου.
Επομένως, πρέπει να συλλέξουμε σε ένα γραφείο όλα τα κλειδιά τράπεζας πελατών, τις άδειες χρήσης 1c (hasp), τα root token, το ESMART Token USB 64K κ.λπ. που είναι διαθέσιμα στην εταιρεία μας. για επακόλουθη λειτουργία σε απομακρυσμένες φυσικές και εικονικές μηχανές Hyper-V. Ο αριθμός των συσκευών USB είναι 50-60 και σίγουρα δεν είναι το όριο. Θέση διακομιστών εικονικοποίησης εκτός γραφείου (κέντρο δεδομένων). Θέση όλων των συσκευών USB στο γραφείο.
Μελετήσαμε τις υπάρχουσες τεχνολογίες για κεντρική πρόσβαση σε συσκευές USB και αποφασίσαμε να επικεντρωθούμε στην τεχνολογία USB μέσω IP. Αποδεικνύεται ότι πολλοί οργανισμοί χρησιμοποιούν αυτή τη συγκεκριμένη λύση. Στην αγορά υπάρχουν εργαλεία υλικού και λογισμικού για προώθηση USB μέσω IP, αλλά δεν μας ταίριαζαν. Επομένως, περαιτέρω θα μιλήσουμε μόνο για την επιλογή υλικού USB μέσω IP και, πρώτα απ 'όλα, για την επιλογή μας. Εξαιρέσαμε επίσης συσκευές από την Κίνα (ανώνυμες) από την εξέταση.
Οι πιο ευρέως περιγραφόμενες λύσεις υλικού USB μέσω IP στο Διαδίκτυο είναι συσκευές που κατασκευάζονται στις ΗΠΑ και τη Γερμανία. Για μια λεπτομερή μελέτη, αγοράσαμε μια μεγάλη έκδοση rackmount αυτού του USB μέσω IP, σχεδιασμένη για 14 θύρες USB, με δυνατότητα τοποθέτησης σε rack 19 ιντσών, και μια γερμανική USB μέσω IP, σχεδιασμένη για 20 θύρες USB, επίσης με δυνατότητα τοποθέτησης σε ράφι 19 ιντσών. Δυστυχώς, αυτοί οι κατασκευαστές δεν είχαν περισσότερες θύρες συσκευής USB μέσω IP.
Η πρώτη συσκευή είναι πολύ ακριβή και ενδιαφέρουσα (το Διαδίκτυο είναι γεμάτο κριτικές), αλλά υπάρχει ένα πολύ μεγάλο μειονέκτημα - δεν υπάρχουν συστήματα εξουσιοδότησης για τη σύνδεση συσκευών USB. Όποιος εγκαθιστά την εφαρμογή σύνδεσης USB έχει πρόσβαση σε όλα τα κλειδιά. Επιπλέον, όπως έχει δείξει η πρακτική, η συσκευή USB "esmart token est64u-r1" είναι ακατάλληλη για χρήση με τη συσκευή και, κοιτάζοντας μπροστά, με τη "γερμανική" στο Win7 OS - όταν είναι συνδεδεμένη σε αυτήν, υπάρχει μόνιμο BSOD .
Βρήκαμε τη δεύτερη συσκευή USB μέσω IP πιο ενδιαφέρουσα. Η συσκευή διαθέτει ένα μεγάλο σύνολο ρυθμίσεων που σχετίζονται με λειτουργίες δικτύου. Η διεπαφή USB μέσω IP χωρίζεται λογικά σε ενότητες, επομένως η αρχική ρύθμιση ήταν αρκετά απλή και γρήγορη. Όμως, όπως αναφέρθηκε προηγουμένως, υπήρχαν προβλήματα με τη σύνδεση ορισμένων κλειδιών.
Μελετώντας περαιτέρω σχετικά με το υλικό USB μέσω IP, συναντήσαμε εγχώριους κατασκευαστές. Η σειρά περιλαμβάνει εκδόσεις 16, 32, 48 και 64 θυρών με δυνατότητα τοποθέτησης σε rack 19 ιντσών. Η λειτουργικότητα που περιγράφεται από τον κατασκευαστή ήταν ακόμη πιο πλούσια από αυτή των προηγούμενων αγορών USB μέσω IP. Αρχικά, μου άρεσε που ο οικιακός διανομέας USB μέσω IP παρέχει προστασία δύο σταδίων για συσκευές USB κατά την κοινή χρήση USB μέσω δικτύου:
- Απομακρυσμένη φυσική ενεργοποίηση και απενεργοποίηση συσκευών USB.
- Εξουσιοδότηση για σύνδεση συσκευών USB με χρήση σύνδεσης, κωδικού πρόσβασης και διεύθυνσης IP.
- Εξουσιοδότηση για σύνδεση θυρών USB με χρήση σύνδεσης, κωδικού πρόσβασης και διεύθυνσης IP.
- Καταγραφή όλων των ενεργοποιήσεων και συνδέσεων συσκευών USB από πελάτες, καθώς και τέτοιων προσπαθειών (λανθασμένη εισαγωγή κωδικού πρόσβασης κ.λπ.).
- Κρυπτογράφηση κυκλοφορίας (η οποία, καταρχήν, δεν ήταν κακή στο γερμανικό μοντέλο).
- Επιπλέον, ήταν κατάλληλο η συσκευή, αν και δεν είναι φθηνή, να είναι αρκετές φορές φθηνότερη από αυτές που αγοράστηκαν προηγουμένως (η διαφορά γίνεται ιδιαίτερα σημαντική όταν μετατρέπεται σε θύρα, θεωρήσαμε USB 64 θυρών μέσω IP).
Αποφασίσαμε να επικοινωνήσουμε με τον κατασκευαστή για την κατάσταση με την υποστήριξη δύο τύπων έξυπνων κουπονιών που είχαν προηγουμένως προβλήματα σύνδεσης. Ενημερωθήκαμε ότι δεν παρέχουν 100% εγγύηση υποστήριξης για όλες τις συσκευές USB, αλλά δεν έχουν βρει ακόμη ούτε μια συσκευή με την οποία υπάρχουν προβλήματα. Δεν μείναμε ικανοποιημένοι με αυτήν την απάντηση και προτείναμε στον κατασκευαστή να μεταφέρει τις μάρκες για δοκιμή (ευτυχώς, η αποστολή με εταιρεία μεταφορών κοστίζει μόνο 150 ρούβλια και έχουμε αρκετά παλιά μάρκες). 4 ημέρες μετά την αποστολή των κλειδιών, μας δόθηκαν τα δεδομένα σύνδεσης και συνδεθήκαμε ως εκ θαύματος με τα Windows 7, 10 και Windows Server 2008. Όλα λειτουργούσαν καλά, συνδέσαμε τα token μας χωρίς κανένα πρόβλημα και μπορέσαμε να δουλέψουμε μαζί τους.
Αγοράσαμε έναν διανομέα διαχειριζόμενου USB μέσω IP με 64 θύρες USB. Συνδέσαμε και τις 18 θύρες από 64 υπολογιστές σε διαφορετικούς κλάδους (32 κλειδιά και τα υπόλοιπα - μονάδες flash, σκληροί δίσκοι και 3 κάμερες USB) - όλες οι συσκευές λειτουργούσαν χωρίς προβλήματα. Συνολικά ήμασταν ευχαριστημένοι με τη συσκευή.
Δεν αναφέρω τα ονόματα και τους κατασκευαστές συσκευών USB μέσω IP (για να αποφευχθεί η διαφήμιση), μπορούν να βρεθούν εύκολα στο Διαδίκτυο.
Πηγή: www.habr.com