Hiljuti jagatud meie organisatsioonis. Kommentaarides tõstatati tõsine probleem USB üle IP riistvaralahenduste infoturbe kohta, mis teeb meile väga murelikuks.
Niisiis, kõigepealt otsustame esialgsete tingimuste üle.
- Suur hulk elektroonilisi turvavõtmeid.
- Neile tuleb juurde pääseda erinevatest geograafilistest asukohtadest.
- Kaalume ainult USB over IP riistvaralahendusi ja püüame seda lahendust kindlustada täiendavate organisatsiooniliste ja tehniliste meetmetega (alternatiivide küsimust me veel ei kaalu).
- Selle artikli raames ei kirjelda ma täielikult kaalutavaid ohumudeleid (näete palju ), kuid keskendun lühidalt kahele punktile. Jätame mudelist välja sotsiaalse manipuleerimise ja kasutajate endi ebaseaduslikud tegevused. Kaalume võimalust saada volitamata juurdepääs USB-seadmetele mis tahes võrgust ilma tavaliste mandaatideta.
USB-seadmetele juurdepääsu turvalisuse tagamiseks on võetud organisatsioonilisi ja tehnilisi meetmeid:
1. Organisatsioonilised turvameetmed.
Hallatav USB over IP hub on paigaldatud kvaliteetsesse lukustatavasse serverikappi. Füüsiline ligipääs sellele on sujuvam (juurdepääsusüsteem ruumidesse ise, videovalve, võtmed ja juurdepääsuõigused rangelt piiratud arvule isikutele).
Kõik organisatsioonis kasutatavad USB-seadmed on jagatud kolme rühma:
- Kriitiline. Rahalised digitaalallkirjad – kasutatakse vastavalt pankade soovitustele (mitte USB üle IP)
- Tähtis. Elektroonilisi digitaalallkirju kauplemisplatvormide, teenuste, e-dokumentide voo, aruandluse jms jaoks, mitmeid tarkvara võtmeid kasutatakse hallatava USB üle IP-jaoturi abil.
- Pole kriitiline. Hallatava USB üle IP-jaoturi abil kasutatakse mitmeid tarkvaraklahve, kaameraid, välkmäluseadmeid ja kettaid mittekriitilise teabega, USB-modemid.
2. Tehnilised ohutusmeetmed.
Võrgujuurdepääs hallatavale USB üle IP-jaoturile on saadaval ainult eraldatud alamvõrgus. Juurdepääs isoleeritud alamvõrgule on saadaval:
- terminali serverifarmist,
- VPN-i (sertifikaat ja parool) kaudu piiratud arvule arvutitele ja sülearvutitele, VPN-i kaudu väljastatakse neile alalised aadressid,
- piirkondlikke kontoreid ühendavate VPN-tunnelite kaudu.
Hallatavas USB üle IP-jaoturis DistKontrolUSB on standardtööriistade abil konfigureeritud järgmised funktsioonid:
- USB üle IP-jaoturi USB-seadmetele juurdepääsuks kasutatakse krüptimist (jaoturis on lubatud SSL-krüptimine), kuigi see võib olla ebavajalik.
- "USB-seadmetele juurdepääsu piiramine IP-aadressi järgi" on konfigureeritud. Sõltuvalt IP-aadressist antakse kasutajale juurdepääs määratud USB-seadmetele või mitte.
- "Piira ligipääsu USB-pordile sisselogimise ja parooliga" on konfigureeritud. Vastavalt sellele määratakse kasutajatele juurdepääsuõigused USB-seadmetele.
- "USB-seadmele juurdepääsu piiramine sisselogimise ja parooliga" otsustati mitte kasutada, kuna Kõik USB-võtmed on püsivalt ühendatud USB üle IP-jaoturiga ja neid ei saa pordist porti teisaldada. Meil on mõttekam pakkuda kasutajatele pikka aega juurdepääsu USB-pordile, millesse on installitud USB-seade.
- USB-portide füüsiline sisse- ja väljalülitamine toimub:
- Tarkvara ja elektrooniliste dokumendivõtmete jaoks - ülesannete planeerija ja jaoturi määratud ülesannete kasutamine (mitu võtmeid oli programmeeritud sisselülituma kell 9.00 ja väljalülitumiseks kell 18.00, number 13.00-16.00);
- Kauplemisplatvormide võtmete ja mitme tarkvara jaoks – volitatud kasutajate poolt veebiliidese kaudu;
- Kaamerad, mitmed mälupulgad ja mittekriitilise teabega kettad on alati sisse lülitatud.
Eeldame, et selline USB-seadmetele juurdepääsu korraldamine tagab nende ohutu kasutamise:
- piirkondlikest kontoritest (tinglikult NET nr 1...... NET nr N),
- piiratud arvu arvutite ja sülearvutite jaoks, mis ühendavad USB-seadmeid ülemaailmse võrgu kaudu,
- terminalirakenduste serverites avaldatud kasutajatele.
Kommentaarides tahaksin kuulda konkreetseid praktilisi meetmeid, mis suurendavad USB-seadmetele globaalse juurdepääsu pakkumise infoturvet.
Allikas: www.habr.com