Me gustaría compartir nuestros años de experiencia en la búsqueda de una solución para organizar el acceso centralizado y simplificado a las claves de seguridad electrónicas en nuestra organización (claves de acceso a mercados, banca, claves de seguridad de software, etc.). En relación con la presencia de nuestras sucursales, que se encuentran geográficamente muy separadas entre sí, y la presencia en cada una de ellas de varias claves electrónicas de seguridad, surge constantemente la necesidad de las mismas, pero en distintas sucursales. Después de otro alboroto con una llave perdida, la gerencia estableció la tarea: resolver este problema y reunir TODOS los dispositivos de seguridad USB en un solo lugar y garantizar que funcionen independientemente de la ubicación del empleado.
Entonces, necesitamos reunir en una oficina todas las llaves del banco del cliente, licencias 1c (hasp), rutokens, ESMART Token USB 64K, etc. disponibles en nuestra empresa. para la operación posterior en máquinas Hyper-V virtuales y físicas remotas. La cantidad de dispositivos USB es de 50 a 60 y seguro que este no es el límite. Ubicación de los servidores de virtualización fuera de la oficina (centro de datos). Ubicación de todos los dispositivos USB en la oficina.
Estudiamos las tecnologías existentes para el acceso centralizado a dispositivos USB y decidimos centrarnos en la tecnología USB sobre IP (USB over IP). Resulta que muchas organizaciones usan esta solución. Hay hardware y software USB sobre IP en el mercado, pero no nos convenía. De acuerdo con esto, a continuación solo hablaremos sobre la elección del hardware USB sobre IP y, en primer lugar, sobre nuestra elección. Los dispositivos de China (sin nombre) también los excluimos de nuestra consideración.
La solución de hardware USB sobre IP más descrita en Internet son dispositivos fabricados en EE. UU. y Alemania. Para un estudio detallado, compramos una versión en rack grande de este USB sobre IP, diseñado para 14 puertos USB, con la capacidad de montarse en un rack de 19 pulgadas y el USB sobre IP alemán, diseñado para 20 puertos USB, también con la capacidad de montar en un rack de 19 pulgadas. Desafortunadamente, estos fabricantes no tenían más puertos de dispositivos USB sobre IP.
El primer dispositivo es muy costoso e interesante (Internet está lleno de reseñas), pero tiene un gran inconveniente: no hay sistemas de autorización para conectar dispositivos USB. Cualquiera que instale la aplicación de conexión USB tiene acceso a todas las claves. Además, como ha demostrado la práctica, el dispositivo USB "esmart token est64u-r1" no es adecuado para usar con el dispositivo y, de cara al futuro, con "alemán" en el sistema operativo Win7, cuando se conecta a él, un BSOD permanente.
El segundo dispositivo USB sobre IP nos pareció más interesante. El dispositivo tiene un gran conjunto de configuraciones relacionadas con las funciones de red. La interfaz USB sobre IP está lógicamente dividida en secciones, por lo que la configuración inicial fue bastante simple y rápida. Pero, como se mencionó anteriormente, hubo problemas para conectar varias teclas.
Al estudiar más hardware, USB sobre IP se encontró con fabricantes nacionales. La gama incluye versiones de 16, 32, 48 y 64 puertos con capacidad de montaje en rack de 19". La funcionalidad descrita por el fabricante era incluso más rica que el USB sobre IP comprado anteriormente. Inicialmente, me gustó que el concentrador USB sobre IP doméstico administrado brinde protección de dos etapas para dispositivos USB cuando se comparte USB a través de una red:
- Encendido y apagado físico remoto de dispositivos USB;
- Autorización para conectar dispositivos USB mediante usuario, contraseña y dirección IP.
- Autorización para conectar puertos USB por nombre de usuario, contraseña y dirección IP.
- Registro de todos los encendidos y conexiones de dispositivos USB por parte de los clientes, así como de dichos intentos (introducción de contraseña incorrecta, etc.).
- Cifrado de tráfico (con lo que, en principio, no iba nada mal sobre el modelo alemán).
- Además, era conveniente que el dispositivo, aunque no fuera barato, fuera varias veces más barato que los comprados anteriormente (la diferencia se vuelve especialmente significativa cuando se convierte a un puerto, consideramos USB sobre IP de 64 puertos).
Decidimos consultar con el fabricante sobre la situación con el soporte para dos tipos de tokens inteligentes que tenían problemas de conexión anteriormente. Nos dijeron que no dan una garantía del 100% de soporte para absolutamente todos los dispositivos USB, pero hasta ahora no han encontrado un solo dispositivo con el que hubiera problemas. Esta respuesta no nos convenía mucho y sugerimos que el fabricante transfiriera los tokens para probarlos (afortunadamente, el envío por una empresa de transporte cuesta solo 150 rublos, y tenemos suficientes tokens antiguos). 4 días después de que se enviaron las claves, nos informaron los datos de conexión y nos conectamos maravillosamente con Windows 7, 10 y Windows Server 2008. Todo funcionó bien, conectamos nuestros tokens sin ningún problema y pudimos trabajar con ellos.
Compramos un concentrador USB sobre IP administrado para 64 puertos USB. Conectamos los 18 puertos de 64 computadoras en diferentes sucursales (32 llaves y el resto: unidades flash, discos duros y 3 cámaras USB): todos los dispositivos funcionaron sin problemas. En general, el dispositivo quedó satisfecho.
No doy nombres y fabricantes de dispositivos USB sobre IP (para no ser publicidad), son bastante fáciles de encontrar en Internet.
Fuente: habr.com