ProHoster > Blog > Bestjoer > Ynformaasje feiligens fan USB oer IP hardware oplossings

Ynformaasje feiligens fan USB oer IP hardware oplossings

Koartlyn dield ûnderfining yn it finen fan in oplossing foar it organisearjen fan sintrale tagong ta elektroanyske feiligenskaaien yn ús organisaasje. De opmerkingen brochten in serieus probleem op fan ynformaasjefeiligens fan USB oer IP-hardware-oplossings, dy't ús tige soargen makket.

Dus, lit ús earst beslute oer de earste betingsten.

  • In grut oantal elektroanyske feiligens kaaien.
  • Se moatte tagonklik wurde fan ferskate geografyske lokaasjes.
  • Wy beskôgje allinich USB oer IP-hardware-oplossingen en besykje dizze oplossing te befeiligjen troch ekstra organisatoaryske en technyske maatregels te nimmen (wy beskôgje it probleem fan alternativen noch net).
  • Binnen it berik fan dit artikel sil ik de bedrigingsmodellen dy't wy beskôgje net folslein beskriuwe (jo kinne in protte sjen yn publikaasjes), mar ik sil koart rjochtsje op twa punten. Wy slúte sosjale engineering en yllegale aksjes fan brûkers sels út fan it model. Wy beskôgje de mooglikheid fan unautorisearre tagong ta USB-apparaten fan elk netwurk sûnder reguliere bewiisbrieven.

Ynformaasje feiligens fan USB oer IP hardware oplossings

Om feiligens fan tagong ta USB-apparaten te garandearjen, binne organisatoaryske en technyske maatregels nommen:

1. Organisatoaryske feiligens maatregels.

De behearde USB oer IP-hub is ynstalleare yn in beskoattelbere serverkabinet fan hege kwaliteit. Fysike tagong ta it wurdt streamline (tagongskontrôlesysteem nei it pân sels, fideotafersjoch, kaaien en tagongsrjochten foar in strikt beheind oantal persoanen).

Alle USB-apparaten brûkt yn 'e organisaasje binne ferdield yn 3 groepen:

  • Kritysk. Finansjele digitale hantekeningen - brûkt yn oerienstimming mei de oanbefellings fan banken (net fia USB oer IP)
  • Belangryk. Elektroanyske digitale hantekeningen foar hannelsplatfoarms, tsjinsten, e-dokumintstream, rapportaazje, ensfh., In oantal kaaien foar software - wurde brûkt mei in behearde USB oer IP-hub.
  • Net kritysk. In oantal softwarekaaien, kamera's, in oantal flash-driven en skiven mei net-krityske ynformaasje, USB-modems - wurde brûkt mei in behearde USB oer IP-hub.

2. Technyske feiligens maatregels.

Netwurktagong ta in behearde USB oer IP-hub wurdt allinich levere binnen in isolearre subnet. Tagong ta in isolearre subnet wurdt levere:

  • fan in terminalserverfarm,
  • fia VPN (sertifikaat en wachtwurd) nei in beheind oantal kompjûters en laptops, fia VPN wurde se permaninte adressen útjûn,
  • fia VPN-tunnels dy't regionale kantoaren ferbine.

Op de behearde USB oer IP-hub DistKontrolUSB, mei syn standert ark, wurde de folgjende funksjes konfigureare:

  • Om tagong te krijen ta USB-apparaten op in USB oer IP-hub, wurdt fersifering brûkt (SSL-fersifering is ynskeakele op 'e hub), hoewol dit miskien net nedich is.
  • "Beheine tagong ta USB-apparaten troch IP-adres" is ynsteld. Ofhinklik fan it IP-adres, wurdt de brûker of net tagong ta tawiisd USB-apparaten.
  • "Beheine tagong ta de USB-poarte troch oanmelding en wachtwurd" is ynsteld. Dêrtroch wurde brûkers tagongsrjochten tawiisd oan USB-apparaten.
  • "Beheine tagong ta in USB-apparaat troch oanmelding en wachtwurd" waard besletten net te brûken, om't Alle USB-kaaien binne permanint ferbûn mei de USB oer IP-hub en kinne net ferpleatst wurde fan haven nei haven. It makket mear sin foar ús om brûkers tagong te jaan ta in USB-poarte mei in USB-apparaat ynstalleare foar in lange tiid.
  • It fysyk yn- en útskeakeljen fan USB-poarten wurdt útfierd:
    • Foar software en elektroanyske dokumint kaaien - mei help fan de taak scheduler en takend taken fan de hub (in oantal kaaien waarden programmearre om te skeakeljen op 9.00 en útskeakelje om 18.00, in nûmer fan 13.00 oan 16.00);
    • Foar kaaien foar hannelsplatfoarms en in oantal software - troch autorisearre brûkers fia de WEB-ynterface;
    • Kamera's, in oantal flash-skiven en skiven mei net-krityske ynformaasje binne altyd ynskeakele.

Wy geane derfan út dat dizze organisaasje fan tagong ta USB-apparaten har feilich gebrûk soarget:

  • fan regionale kantoaren (betingst NET No. 1...... NET No. N),
  • foar in beheind oantal kompjûters en laptops dy't USB-apparaten ferbine fia it wrâldwide netwurk,
  • foar brûkers publisearre op terminalapplikaasjeservers.

Yn 'e kommentaren wol ik spesifike praktyske maatregels hearre dy't de ynformaasjefeiligens ferheegje fan it jaan fan globale tagong ta USB-apparaten.

Boarne: www.habr.com

Add a comment