Soovin jagada meie aastatepikkust kogemust lahenduse leidmisel, kuidas korraldada meie organisatsioonis tsentraliseeritud ja tõhustatud juurdepääs elektroonilistele turvavõtmetele (turukohtadele juurdepääsu võtmed, pangandus, tarkvara turvavõtmed jne). Seoses meie filiaalide olemasoluga, mis on geograafiliselt üksteisest väga eraldatud, ja mitme elektroonilise turvavõtme olemasoluga neist igaühes, tekib vajadus nende järele pidevalt, kuid erinevates harudes. Pärast järjekordset sebimist kadunud võtmega seadis juhtkond ülesandeks - lahendada see probleem ja koguda KÕIK USB-turvaseadmed ühte kohta ning tagada nende töötamine sõltumata töötaja asukohast.
Seega peame ühte kontorisse koguma kõik meie ettevõttes saadaolevad kliendipanga võtmed, 1c litsentsid (hasp), rutokenid, ESMART Token USB 64K jne. edasiseks kasutamiseks füüsilistes ja virtuaalsetes Hyper-V masinates. USB-seadmete arv on 50-60 ja kindlasti pole see piir. Virtualiseerimisserverite asukoht väljaspool kontorit (andmekeskus). Kõigi USB-seadmete asukoht kontoris.
Uurisime olemasolevaid tehnoloogiaid tsentraliseeritud juurdepääsuks USB-seadmetele ja otsustasime keskenduda USB üle IP (USB over IP) tehnoloogiale. Selgub, et paljud organisatsioonid kasutavad seda lahendust. Turul on nii USB over IP riistvara kui ka tarkvara, kuid need meile ei sobinud. Sellest lähtuvalt räägime edaspidi ainult riistvaralise USB üle IP valikust ja ennekõike oma valikust. Hiinast pärit (nimeta) seadmed jätsime samuti kaalumisest välja.
Internetis on enim kirjeldatud USB over IP riistvaralahendused USAs ja Saksamaal valmistatud seadmed. Üksikasjalikuks uurimiseks ostsime selle USB over IP suure riiuliversiooni, mis on mõeldud 14 USB-pordi jaoks, mida saab paigaldada 19-tollisse racki ja saksa USB over IP, mis on mõeldud 20 USB-pordi jaoks, samuti võimalusega paigaldada 19-tollisse riiulisse. Kahjuks ei olnud neil tootjatel rohkem USB over IP seadme porte.
Esimene seade on väga kallis ja huvitav (Internet on arvustusi täis), kuid sellel on väga suur miinus - USB-seadmete ühendamiseks pole autoriseerimissüsteeme. Igaüks, kes installib USB-ühenduse rakenduse, pääseb juurde kõikidele võtmetele. Lisaks, nagu praktika on näidanud, ei sobi USB-seade "esmart token est64u-r1" seadmega ja tulevikku vaadates Win7 OS-is "saksa keelega" kasutamiseks – sellega ühendamisel püsiv BSOD.
Teine USB over IP seade tundus meile huvitavam. Seadmel on suur hulk võrgufunktsioonidega seotud seadistusi. USB over IP liides on loogiliselt jagatud osadeks, nii et esialgne seadistamine oli üsna lihtne ja kiire. Kuid nagu varem mainitud, tekkis probleeme mitme võtme ühendamisel.
Täiendavat riistvara-USB-i uurimist IP-ühenduse kaudu leidsid kodumaised tootjad. Valikus on 16-, 32-, 48- ja 64-pordiga versioonid, millel on 19-tollise rack-kinnituse võimalus. Tootja kirjeldatud funktsionaalsus oli veelgi rikkalikum kui varem ostetud USB over IP. Algselt meeldis mulle, et kodumaine hallatav USB üle IP-jaotur pakub USB-seadmetele kaheastmelist kaitset USB jagamisel võrgu kaudu:
- USB-seadmete kaugfüüsiline sisse- ja väljalülitamine;
- USB-seadmete ühendamise autoriseerimine sisselogimise, parooli ja IP-aadressi järgi.
- USB-portide ühendamise luba sisselogimise, parooli ja IP-aadressi järgi.
- Klientide kõigi USB-seadmete sisselülituste ja ühenduste logimine, samuti sellised katsed (parooli ebaõige sisestamine jne).
- Liikluse krüpteerimine (millega see Saksa mudelil põhimõtteliselt halb ei olnud).
- Lisaks sobis, et seade, kuigi mitte odav, oli mitu korda odavam kui varem ostetud (eriti märkimisväärne muutub erinevus pordiks konverteerimisel, arvestasime 64-pordilise USB üle IP-ga).
Otsustasime tootjalt uurida olukorda kahe tüüpi nutikate žetoonide toega, millel oli varem ühendusprobleeme. Meile öeldi, et nad ei anna 100% garantiid absoluutselt kõikidele USB-seadmetele, kuid siiani pole leidnud ühtegi seadet, millega probleeme oleks. See vastus meile eriti ei sobinud ja tegime tootjale ettepaneku tokenid testimiseks üle anda (transpordifirma saatmine maksis õnneks vaid 150 rubla ja vanu tokeneid on meil piisavalt). 4 päeva pärast võtmete saatmist teavitati meid ühenduse andmetest ja saime nendega suurepäraselt ühenduse Windows 7, 10 ja Windows Server 2008 abil. Kõik toimis hästi, ühendasime oma märgid probleemideta ja saime nendega töötada.
Ostsime hallatava USB üle IP-jaoturi 64 USB-pordi jaoks. Ühendasime kõik 18 porti 64 arvutist erinevates harudes (32 võtit ja ülejäänud - mälupulgad, kõvakettad ja 3 USB kaamerat) - kõik seadmed töötasid probleemideta. Üldiselt jäi seade rahule.
Ma ei anna IP-seadmete USB-seadmete nimesid ja tootjaid (et mitte reklaamida), neid on Internetist piisavalt lihtne leida.
Allikas: www.habr.com