Je souhaite partager notre expérience d'un an dans la recherche d'une solution pour organiser un accès centralisé et organisé aux clés de sécurité électroniques dans notre organisation (clés d'accès aux plateformes de trading, bancaires, clés de sécurité logicielles, etc.). En raison de la présence de nos succursales, géographiquement très éloignées les unes des autres, et de la présence dans chacune d'elles de plusieurs clés de sécurité électroniques, le besoin en apparaît constamment, mais dans des succursales différentes. Après une nouvelle agitation avec une clé perdue, la direction s'est fixé une tâche : résoudre ce problème et rassembler TOUS les périphériques de sécurité USB en un seul endroit et garantir le travail avec eux, quel que soit l'emplacement de l'employé.
Nous devons donc rassembler dans un seul bureau toutes les clés bancaires des clients, les licences 1c (hasp), les jetons racine, le jeton ESMART USB 64K, etc. disponibles dans notre entreprise. pour une opération ultérieure sur des machines Hyper-V physiques et virtuelles distantes. Le nombre de périphériques USB est de 50 à 60 et ce n’est certainement pas la limite. Localisation des serveurs de virtualisation à l'extérieur du bureau (data center). Localisation de tous les périphériques USB au bureau.
Nous avons étudié les technologies existantes pour un accès centralisé aux périphériques USB et avons décidé de nous concentrer sur la technologie USB sur IP. Il s’avère que de nombreuses organisations utilisent cette solution particulière. Il existe sur le marché des outils matériels et logiciels pour le transfert USB sur IP, mais ils ne nous convenaient pas. Par conséquent, nous ne parlerons plus loin que du choix du matériel USB sur IP et, tout d'abord, de notre choix. Nous avons également exclu les appareils en provenance de Chine (sans nom).
Les solutions matérielles USB sur IP les plus largement décrites sur Internet sont des appareils fabriqués aux États-Unis et en Allemagne. Pour une étude détaillée, nous avons acheté une grande version rackable de cet USB sur IP, conçue pour 14 ports USB, avec la possibilité de monter dans un rack de 19 pouces, et une version allemande sur IP, conçue pour 20 ports USB, également avec la possibilité de monter dans un rack de 19 pouces. Malheureusement, ces fabricants ne disposaient pas de plus de ports USB sur IP pour les appareils.
Le premier appareil est très cher et intéressant (Internet regorge de critiques), mais il présente un très gros inconvénient : il n'existe pas de système d'autorisation pour connecter des périphériques USB. Quiconque installe l'application de connexion USB a accès à toutes les clés. De plus, comme la pratique l'a montré, le périphérique USB « esmart token est64u-r1 » ne convient pas à une utilisation avec l'appareil et, pour l'avenir, avec le périphérique « allemand » sur le système d'exploitation Win7 - lorsqu'il y est connecté, il y a un BSOD permanent .
Nous avons trouvé le deuxième périphérique USB sur IP plus intéressant. L'appareil dispose d'un large éventail de paramètres liés aux fonctions réseau. L'interface USB sur IP est logiquement divisée en sections, la configuration initiale a donc été assez simple et rapide. Mais comme mentionné précédemment, il y a eu des problèmes pour connecter un certain nombre de clés.
En étudiant plus en détail le matériel USB sur IP, nous sommes tombés sur des fabricants nationaux. La gamme comprend des versions à 16, 32, 48 et 64 ports avec la possibilité de monter dans un rack de 19 pouces. La fonctionnalité décrite par le fabricant était encore plus riche que celle des précédents achats USB sur IP. Au départ, j'ai apprécié le fait que le hub USB sur IP géré domestique offre une protection en deux étapes pour les périphériques USB lors du partage USB sur un réseau :
- Allumage et extinction physiques à distance des périphériques USB ;
- Autorisation de connexion de périphériques USB à l'aide du login, du mot de passe et de l'adresse IP.
- Autorisation de connexion des ports USB à l'aide du login, du mot de passe et de l'adresse IP.
- Journalisation de toutes les activations et connexions de périphériques USB par les clients, ainsi que de telles tentatives (saisie de mot de passe incorrect, etc.).
- Cryptage du trafic (qui, en principe, n'était pas mauvais sur le modèle allemand).
- De plus, il convenait que l'appareil, bien que pas bon marché, soit plusieurs fois moins cher que ceux achetés précédemment (la différence devient particulièrement significative lorsqu'il est converti en port ; nous avons considéré un USB sur IP à 64 ports).
Nous avons décidé de vérifier auprès du fabricant la situation concernant la prise en charge de deux types de jetons intelligents qui rencontraient auparavant des problèmes de connexion. Nous avons été informés qu'ils n'offrent pas une garantie à 100 % de prise en charge d'absolument tous les périphériques USB, mais nous n'avons pas encore trouvé un seul périphérique avec lequel il y aurait des problèmes. Nous n'avons pas été satisfaits de cette réponse et nous avons suggéré au fabricant de transférer les jetons pour les tester (heureusement, l'expédition par société de transport ne coûte que 150 roubles et nous avons suffisamment de jetons anciens). 4 jours après l'envoi des clés, nous avons reçu les données de connexion et nous nous sommes connectés miraculeusement avec Windows 7, 10 et Windows Server 2008. Tout a bien fonctionné, nous avons connecté nos tokens sans aucun problème et avons pu travailler avec eux.
Nous avons acheté un hub USB sur IP géré avec 64 ports USB. Nous avons connecté les 18 ports de 64 ordinateurs dans différentes branches (32 clés et le reste - lecteurs flash, disques durs et 3 caméras USB) - tous les appareils ont fonctionné sans problème. Dans l'ensemble, nous avons été satisfaits de l'appareil.
Je ne liste pas les noms et les fabricants des appareils USB sur IP (pour éviter la publicité), on les trouve facilement sur Internet.
Source: habr.com