ProHoster > Blog > Administración > Seguridade da información de solucións de hardware USB sobre IP

Seguridade da información de solucións de hardware USB sobre IP

Compartido recentemente experiencia na busca dunha solución para organizar o acceso centralizado ás chaves electrónicas de seguridade na nosa organización. Os comentarios suscitaron un serio problema de seguridade da información das solucións de hardware USB sobre IP, que nos preocupa moito.

Entón, primeiro, imos decidir sobre as condicións iniciais.

  • Un gran número de chaves electrónicas de seguridade.
  • Cómpre acceder a eles dende diferentes localizacións xeográficas.
  • Estamos considerando só solucións de hardware USB sobre IP e intentamos asegurar esta solución tomando medidas organizativas e técnicas adicionais (aínda non estamos considerando o problema das alternativas).
  • Dentro do alcance deste artigo, non vou describir completamente os modelos de ameazas que estamos considerando (podes ver moito en Publicación), pero voume centrar brevemente en dous puntos. Excluímos do modelo a enxeñería social e as accións ilegais dos propios usuarios. Estamos considerando a posibilidade de acceso non autorizado a dispositivos USB desde calquera rede sen credenciais habituais.

Seguridade da información de solucións de hardware USB sobre IP

Para garantir a seguridade do acceso aos dispositivos USB, adoptáronse medidas organizativas e técnicas:

1. Medidas de seguridade organizativas.

O concentrador USB sobre IP xestionado está instalado nun armario de servidor con bloqueo de alta calidade. Racionalízase o acceso físico ao mesmo (sistema de control de acceso ao propio local, videovixilancia, chaves e dereitos de acceso para un número estritamente limitado de persoas).

Todos os dispositivos USB utilizados na organización divídense en 3 grupos:

  • Crítico. Sinaturas dixitais financeiras: usadas de acordo coas recomendacións dos bancos (non a través de USB sobre IP)
  • Importante. As sinaturas dixitais electrónicas para plataformas de negociación, servizos, fluxo de documentos electrónicos, informes, etc., unha serie de claves para o software, úsanse mediante un concentrador USB sobre IP xestionado.
  • Non crítico. Unha serie de claves de software, cámaras, varias unidades flash e discos con información non crítica, módems USB, úsanse mediante un concentrador USB sobre IP xestionado.

2. Medidas técnicas de seguridade.

O acceso á rede a un concentrador USB sobre IP xestionado só se proporciona dentro dunha subrede illada. Ofrécese acceso a unha subrede illada:

  • dunha granxa de servidores de terminal,
  • mediante VPN (certificado e contrasinal) a un número limitado de ordenadores e portátiles, a través de VPN se lles emiten enderezos permanentes,
  • mediante túneles VPN que conectan oficinas rexionais.

No concentrador USB sobre IP xestionado DistKontrolUSB, utilizando as súas ferramentas estándar, configúranse as seguintes funcións:

  • Para acceder a dispositivos USB nun concentrador USB sobre IP, utilízase o cifrado (o cifrado SSL está activado no concentrador), aínda que isto pode ser innecesario.
  • Está configurado "Restrinxir o acceso aos dispositivos USB por enderezo IP". Dependendo do enderezo IP, o usuario ten ou non acceso aos dispositivos USB asignados.
  • Está configurado "Restringir o acceso ao porto USB mediante inicio de sesión e contrasinal". En consecuencia, os usuarios teñen asignados dereitos de acceso aos dispositivos USB.
  • "Restrinxir o acceso a un dispositivo USB mediante inicio de sesión e contrasinal" decidiuse non usar, porque Todas as chaves USB están conectadas ao concentrador USB sobre IP permanentemente e non se poden mover dun porto a outro. Ten máis sentido que proporcionemos aos usuarios acceso a un porto USB cun dispositivo USB instalado durante moito tempo.
  • A activación e desactivación física dos portos USB realízase:
    • Para o software e as claves de documentos electrónicos: utilizando o programador de tarefas e as tarefas asignadas do concentrador (programáronse varias teclas para acenderse ás 9.00 e apagarse ás 18.00, un número de 13.00 a 16.00);
    • Para as claves de plataformas comerciais e unha serie de software - por usuarios autorizados a través da interface WEB;
    • As cámaras, varias unidades flash e discos con información non crítica están sempre acendidas.

Supoñemos que esta organización do acceso aos dispositivos USB garante o seu uso seguro:

  • das oficinas rexionais (condicionalmente NET no 1...... NET no N),
  • para un número limitado de ordenadores e portátiles que conectan dispositivos USB a través da rede global,
  • para usuarios publicados en servidores de aplicacións de terminal.

Nos comentarios, gustaríame escoitar medidas prácticas específicas que aumentan a seguridade da información ao proporcionar acceso global aos dispositivos USB.

Fonte: www.habr.com

Engadir un comentario