ProHoster > وبلاگ > اداره > دسترسی متمرکز به امضای دیجیتال و سایر کلیدهای امنیتی الکترونیکی با استفاده از USB سخت افزاری از طریق IP

دسترسی متمرکز به امضای دیجیتال و سایر کلیدهای امنیتی الکترونیکی با استفاده از USB سخت افزاری از طریق IP

من می خواهم تجربه یک ساله خود را در یافتن راه حلی برای سازماندهی دسترسی متمرکز و سازمان یافته به کلیدهای امنیتی الکترونیکی در سازمان خود (کلیدهای دسترسی به پلت فرم های معاملاتی، بانکداری، کلیدهای امنیتی نرم افزاری و غیره) به اشتراک بگذارم. با توجه به وجود شعب ما که از نظر جغرافیایی بسیار از یکدیگر جدا هستند و وجود چندین کلید امنیتی الکترونیکی در هر یک از آنها، نیاز به آنها به طور مداوم اما در شعب مختلف احساس می شود. پس از سر و صدا دیگری با کلید گم شده، مدیریت وظیفه ای را تعیین کرد - حل این مشکل و جمع آوری همه دستگاه های امنیتی USB در یک مکان و اطمینان از کار با آنها بدون توجه به موقعیت مکانی کارمند.

بنابراین، ما باید تمام کلیدهای بانک مشتری، مجوزهای 1c (hasp)، توکن های ریشه، ESMART Token USB 64K و غیره را که در شرکت ما موجود است، در یک دفتر جمع آوری کنیم. برای عملیات بعدی بر روی ماشین های Hyper-V فیزیکی و مجازی راه دور. تعداد دستگاه های USB 50-60 است و قطعاً این محدودیت نیست. مکان سرورهای مجازی سازی خارج از دفتر (مرکز داده). مکان همه دستگاه های USB در دفتر.

ما فناوری‌های موجود را برای دسترسی متمرکز به دستگاه‌های USB مطالعه کردیم و تصمیم گرفتیم بر روی فناوری USB از طریق IP تمرکز کنیم. به نظر می رسد که بسیاری از سازمان ها از این راه حل خاص استفاده می کنند. ابزارهای سخت افزاری و نرم افزاری برای انتقال USB از طریق IP در بازار وجود دارد، اما آنها برای ما مناسب نبودند. بنابراین ، در ادامه فقط در مورد انتخاب سخت افزار USB از طریق IP و اول از همه در مورد انتخاب خود صحبت خواهیم کرد. ما همچنین دستگاه‌های چین (بی نام) را از بررسی حذف کردیم.

گسترده‌ترین راه‌حل‌های سخت‌افزاری USB بر روی IP در اینترنت، دستگاه‌هایی هستند که در ایالات متحده آمریکا و آلمان ساخته شده‌اند. برای مطالعه دقیق، یک نسخه رک مانت بزرگ از این USB از طریق IP، طراحی شده برای 14 پورت USB، با قابلیت نصب در یک رک 19 اینچی، و یک USB over IP آلمانی، طراحی شده برای 20 پورت USB، همچنین با قابلیت نصب در رک 19 اینچی متأسفانه، این سازندگان درگاه های USB بیش از دستگاه IP را نداشتند.

دستگاه اول بسیار گران و جالب است (اینترنت پر از بررسی است)، اما یک اشکال بسیار بزرگ وجود دارد - هیچ سیستم مجوزی برای اتصال دستگاه های USB وجود ندارد. هر کسی که برنامه اتصال USB را نصب کند به همه کلیدها دسترسی دارد. علاوه بر این، همانطور که تمرین نشان داده است، دستگاه USB "esmart token est64u-r1" برای استفاده با دستگاه نامناسب است و با نگاهی به آینده، با "آلمانی" در سیستم عامل Win7 - هنگام اتصال به آن، یک BSOD دائمی وجود دارد. .

ما دومین دستگاه USB over IP را جالب‌تر یافتیم. دستگاه دارای مجموعه وسیعی از تنظیمات مربوط به عملکردهای شبکه است. رابط USB over IP به طور منطقی به بخش هایی تقسیم می شود، بنابراین راه اندازی اولیه بسیار ساده و سریع بود. اما همانطور که قبلا ذکر شد، مشکلاتی در اتصال تعدادی از کلیدها وجود داشت.

با مطالعه بیشتر در مورد سخت افزار USB over IP، با تولیدکنندگان داخلی مواجه شدیم. این مجموعه شامل نسخه های 16، 32، 48 و 64 پورت با قابلیت نصب در رک 19 اینچی است. عملکرد توصیف شده توسط سازنده حتی غنی تر از خریدهای قبلی USB از طریق IP بود. در ابتدا، من دوست داشتم که هاب USB مدیریت شده داخلی از طریق IP محافظت دو مرحله ای را برای دستگاه های USB هنگام اشتراک گذاری USB از طریق یک شبکه فراهم می کند:

  1. روشن و خاموش کردن فیزیکی از راه دور دستگاه های USB.
  2. مجوز برای اتصال دستگاه های USB با استفاده از ورود، رمز عبور و آدرس IP.
  3. مجوز برای اتصال پورت های USB با استفاده از ورود، رمز عبور و آدرس IP.
  4. ثبت کلیه فعال‌سازی‌ها و اتصالات دستگاه‌های USB توسط کلاینت‌ها و همچنین چنین تلاش‌هایی (ورود اشتباه رمز عبور و غیره).
  5. رمزگذاری ترافیک (که در اصل در مدل آلمانی بد نبود).
  6. علاوه بر این، مناسب بود که دستگاه، اگرچه ارزان نیست، اما چندین برابر ارزان تر از دستگاه های خریداری شده قبلی باشد (تفاوت به ویژه در هنگام تبدیل به پورت قابل توجه است؛ ما یک USB 64 پورت را از طریق IP در نظر گرفتیم).

ما تصمیم گرفتیم با سازنده در مورد وضعیت پشتیبانی از دو نوع توکن هوشمند که قبلاً مشکل اتصال داشتند بررسی کنیم. به ما اطلاع داده شد که آنها تضمین 100٪ پشتیبانی را برای کاملاً همه دستگاه های USB ارائه نمی دهند، اما هنوز دستگاه واحدی را پیدا نکرده اند که با آن مشکلاتی وجود داشته باشد. ما با این پاسخ قانع نشدیم و به سازنده پیشنهاد دادیم که توکن ها را برای آزمایش منتقل کند (خوشبختانه هزینه حمل و نقل توسط شرکت حمل و نقل فقط 150 روبل است و ما به اندازه کافی توکن قدیمی داریم). 4 روز بعد از ارسال کلیدها، اطلاعات اتصال به ما داده شد و ما به طور معجزه آسایی با ویندوز 7، 10 و ویندوز سرور 2008 وصل شدیم، همه چیز خوب کار می کرد، ما توکن های خود را بدون هیچ مشکلی وصل کردیم و توانستیم با آنها کار کنیم.
ما یک هاب USB مدیریت شده از طریق IP با 64 پورت USB خریداری کردیم. ما تمام 18 پورت را از 64 کامپیوتر در شاخه های مختلف وصل کردیم (32 کلید و بقیه - درایوهای فلش، هارد دیسک و 3 دوربین USB) - همه دستگاه ها بدون مشکل کار می کردند. در کل ما از دستگاه راضی بودیم.

من نام ها و سازندگان USB از طریق دستگاه های IP را لیست نمی کنم (برای جلوگیری از تبلیغات)، آنها را می توان به راحتی در اینترنت پیدا کرد.

منبع: www.habr.com

اضافه کردن نظر