ProHoster > Blog > Administrazioa > IP hardwareko USB-ren informazio-segurtasuna

IP hardwareko USB-ren informazio-segurtasuna

Duela gutxi partekatu da segurtasun-giltza elektronikoetarako sarbide zentralizatua antolatzeko irtenbidea aurkitzeko esperientzia gure erakundean. Iruzkinek USB-ren IP hardware soluzioen informazio-segurtasunaren arazo larria planteatu zuten, eta horrek asko kezkatzen gaitu.

Beraz, lehenik eta behin, erabaki ditzagun hasierako baldintzak.

  • Segurtasun-giltza elektroniko ugari.
  • Kokapen geografiko ezberdinetatik sartu behar dira.
  • IP hardwareko USB bidezko soluzioak soilik aztertzen ari gara eta irtenbide hau ziurtatzen saiatzen ari gara, antolaketa eta neurri tekniko osagarriak hartuz (ez dugu alternatiben arazoa kontuan hartzen oraindik).
  • Artikulu honen esparruan, ez ditut guztiz deskribatuko kontuan hartzen ari garen mehatxu ereduak (asko ikus dezakezu Argitalpena), baina laburki bi puntutan zentratuko naiz. Erabiltzaileen ingeniaritza soziala eta legez kanpoko ekintzak eredutik kanpo uzten ditugu. Edozein saretatik USB gailuetara baimenik gabe sartzeko aukera aztertzen ari gara, ohiko kredentzialik gabe.

IP hardwareko USB-ren informazio-segurtasuna

USB gailuetarako sarbidearen segurtasuna bermatzeko, antolaketa eta neurri teknikoak hartu dira:

1. Antolakuntzako segurtasun-neurriak.

Kudeatutako USB IP bidezko hub-a kalitate handiko zerbitzari-armairu blokeatu batean instalatuta dago. Sarbide fisikoa erraztu egiten da (lokalerako sarbidea kontrolatzeko sistema, bideo-zaintza, giltzak eta sarbide-eskubideak pertsona kopuru zorrozki mugatu baterako).

Erakundean erabiltzen diren USB gailu guztiak 3 taldetan banatzen dira:

  • Kritikoa. Finantza sinadura digitalak - bankuen gomendioen arabera erabiltzen dira (ez IP bidez USB bidez)
  • Garrantzitsua. Negoziazio plataformetarako, zerbitzuetarako, dokumentu elektronikoen fluxurako, txostenetarako eta abarretarako sinadura digital elektronikoak, softwarerako hainbat gako - IP bidezko USB kudeatutako hub bat erabiliz erabiltzen dira.
  • Ez da kritikoa. Software-gako batzuk, kamerak, informazio ez-kritikoa duten flash unitate eta disko batzuk, USB modemak - IP bidezko USB kudeatutako hub bat erabiliz erabiltzen dira.

2. Segurtasun-neurri teknikoak.

Kudeatutako USB bidezko IP hub baterako sarerako sarbidea azpisare isolatu batean soilik ematen da. Azpisare isolatu baterako sarbidea eskaintzen da:

  • terminal zerbitzari baserri batetik,
  • VPN bidez (ziurtagiria eta pasahitza) ordenagailu eta ordenagailu eramangarri kopuru mugatu batera, VPN bidez helbide iraunkorrak ematen zaizkie,
  • Eskualdeko bulegoak lotzen dituzten VPN tunelen bidez.

DistKontrolUSB IP bidezko USB kudeatutako zentroan, bere tresna estandarrak erabiliz, funtzio hauek konfiguratzen dira:

  • USB bidezko IP hub batean USB gailuetara sartzeko, enkriptatzea erabiltzen da (hutsean SSL enkriptatzea gaituta dago), nahiz eta hori beharrezkoa ez izan.
  • "USB gailuetarako sarbidea IP helbidearen arabera mugatzea" konfiguratuta dago. IP helbidearen arabera, erabiltzaileari esleitutako USB gailuetarako sarbidea ematen zaio edo ez.
  • "Saio-hasiera eta pasahitz bidez USB atakarako sarbidea mugatu" konfiguratuta dago. Horren arabera, erabiltzaileei USB gailuetarako sarbide-eskubideak esleitzen zaizkie.
  • "USB gailu baterako sarbidea murriztea saio-hasiera eta pasahitz bidez" ez erabiltzea erabaki zen, zeren USB gako guztiak USB bidezko IP zentrora konektatzen dira betirako eta ezin dira ataka batetik bestera eraman. Guretzat zentzuzkoa da erabiltzaileei denbora luzez USB gailu bat instalatuta dagoen USB ataka baterako sarbidea eskaintzea.
  • USB atakak fisikoki piztea eta itzaltzea egiten da:
    • Software eta EDM gakoetarako - ataza-planifikatzailea eta zentroaren esleitutako zereginak erabiliz (gako batzuk 9.00:18.00etan pizteko eta 13.00:16.00etan itzaltzeko programatu ziren, XNUMX:XNUMXetatik XNUMX:XNUMXetara bitartean);
    • Negoziazio plataformetarako eta software batzuen gakoetarako - baimendutako erabiltzaileek WEB interfazearen bidez;
    • Kamerak, hainbat flash drive eta informazio ez-kritikoa duten diskoak beti aktibatuta daude.

Uste dugu USB gailuetarako sarbidearen antolaketa honek haien erabilera segurua bermatzen duela:

  • eskualde-bulegoetatik (baldintzaz NET 1...... NET N zk.),
  • sare globalaren bidez USB gailuak konektatzen dituzten ordenagailu eta ordenagailu eramangarri kopuru mugatu baterako,
  • terminaleko aplikazio zerbitzarietan argitaratutako erabiltzaileentzat.

Iruzkinetan, USB gailuei sarbide globala ematearen informazioaren segurtasuna areagotzen duten neurri praktiko zehatzak entzun nahiko nituzke.

Iturria: www.habr.com

Gehitu iruzkin berria