Compartido recientemente en nuestra organización. Los comentarios plantearon un problema grave de seguridad de la información de las soluciones de hardware USB sobre IP, que nos preocupa mucho.
Entonces, primero, decidamos las condiciones iniciales.
- Gran cantidad de llaves de seguridad electrónicas.
- Es necesario acceder a ellos desde diferentes ubicaciones geográficas.
- Estamos considerando únicamente soluciones de hardware USB sobre IP y estamos tratando de asegurar esta solución tomando medidas organizativas y técnicas adicionales (aún no estamos considerando la cuestión de las alternativas).
- Dentro del alcance de este artículo, no describiré completamente los modelos de amenazas que estamos considerando (puedes ver muchos en ), pero me centraré brevemente en dos puntos. Excluimos del modelo la ingeniería social y las acciones ilegales de los propios usuarios. Estamos considerando la posibilidad de acceso no autorizado a dispositivos USB desde cualquier red sin credenciales regulares.
Para garantizar la seguridad del acceso a los dispositivos USB, se han tomado medidas organizativas y técnicas:
1. Medidas de seguridad organizativas.
El concentrador USB sobre IP administrado se instala en un gabinete de servidor con cerradura de alta calidad. Se agiliza el acceso físico al mismo (sistema de control de acceso al propio local, videovigilancia, llaves y derechos de acceso para un número estrictamente limitado de personas).
Todos los dispositivos USB utilizados en la organización se dividen en 3 grupos:
- Crítico. Firmas digitales financieras: utilizadas de acuerdo con las recomendaciones de los bancos (no a través de USB sobre IP)
- Importante. Las firmas digitales electrónicas para plataformas comerciales, servicios, flujo de documentos electrónicos, informes, etc., así como una serie de claves para software, se utilizan mediante un concentrador USB sobre IP administrado.
- No crítico. Mediante un concentrador USB a través de IP administrado se utilizan varias claves de software, cámaras, varias unidades flash y discos con información no crítica, módems USB.
2. Medidas técnicas de seguridad.
El acceso a la red a un concentrador USB sobre IP administrado se proporciona solo dentro de una subred aislada. Se proporciona acceso a una subred aislada:
- desde una granja de servidores de terminales,
- a través de VPN (certificado y contraseña) a un número limitado de computadoras y portátiles, a través de VPN se les asignan direcciones permanentes,
- a través de túneles VPN que conectan las oficinas regionales.
En el concentrador USB sobre IP administrado DistKontrolUSB, utilizando sus herramientas estándar, se configuran las siguientes funciones:
- Para acceder a dispositivos USB en un concentrador USB a través de IP, se utiliza cifrado (el cifrado SSL está habilitado en el concentrador), aunque esto puede ser innecesario.
- Se configura “Restringir el acceso a dispositivos USB por dirección IP”. Dependiendo de la dirección IP, el usuario tiene o no acceso a los dispositivos USB asignados.
- Se configura “Restringir el acceso al puerto USB mediante inicio de sesión y contraseña”. En consecuencia, a los usuarios se les asignan derechos de acceso a los dispositivos USB.
- Se decidió no utilizar “Restringir el acceso a un dispositivo USB mediante nombre de usuario y contraseña”, porque Todas las llaves USB están conectadas permanentemente al concentrador USB a través de IP y no se pueden mover de un puerto a otro. Para nosotros tiene más sentido brindar a los usuarios acceso a un puerto USB con un dispositivo USB instalado durante mucho tiempo.
- El encendido y apagado físico de los puertos USB se realiza:
- Para software y claves de documentos electrónicos: utilizando el programador de tareas y las tareas asignadas del hub (se programaron varias claves para encenderse a las 9.00:18.00 y apagarse a las 13.00:16.00, otras de XNUMX:XNUMX a XNUMX:XNUMX);
- Para obtener claves de plataformas comerciales y una serie de software, por parte de usuarios autorizados a través de la interfaz WEB;
- Las cámaras, varias unidades flash y discos con información no crítica siempre están encendidos.
Suponemos que esta organización del acceso a los dispositivos USB garantiza su uso seguro:
- de las oficinas regionales (condicionalmente NET No. 1...... NET No. N),
- para un número limitado de computadoras y portátiles que conectan dispositivos USB a través de la red global,
- para usuarios publicados en servidores de aplicaciones terminales.
En los comentarios, me gustaría escuchar medidas prácticas específicas que aumenten la seguridad de la información al proporcionar acceso global a dispositivos USB.
Fuente: habr.com