Gustaríame compartir a nosa experiencia dun ano na busca dunha solución para organizar o acceso centralizado e organizado ás chaves electrónicas de seguridade na nosa organización (claves de acceso a plataformas de negociación, banca, chaves de seguridade de software, etc.). Debido á presenza das nosas sucursais, moi separadas xeograficamente entre si, e á presenza en cada unha delas de varias chaves electrónicas de seguridade, xorde constantemente a necesidade delas, pero en ramas diferentes. Despois doutro alboroto coa chave perdida, a dirección estableceu unha tarefa: resolver este problema e recoller TODOS os dispositivos de seguridade USB nun só lugar e garantir o traballo con eles independentemente da localización do empregado.
Polo tanto, necesitamos recoller nunha mesma oficina todas as claves bancarias do cliente, licenzas 1c (cerrojo), tokens root, ESMART Token USB 64K, etc. dispoñibles na nosa empresa. para o seu posterior funcionamento en máquinas Hyper-V físicas e virtuais remotas. O número de dispositivos USB é de 50 a 60 e definitivamente non é o límite. Localización dos servidores de virtualización fóra da oficina (centro de datos). Localización de todos os dispositivos USB na oficina.
Estudamos as tecnoloxías existentes para o acceso centralizado a dispositivos USB e decidimos centrarnos na tecnoloxía USB sobre IP. Resulta que moitas organizacións usan esta solución en particular. Existen no mercado ferramentas de hardware e software para o reenvío de USB sobre IP, pero non nos conviñan. Polo tanto, só falaremos da elección do hardware USB sobre IP e, en primeiro lugar, da nosa elección. Tamén excluímos da consideración os dispositivos de China (sen nome).
As solucións de hardware USB sobre IP máis descritas en Internet son os dispositivos fabricados en Estados Unidos e Alemaña. Para un estudo detallado, compramos unha versión de montaxe en rack grande deste USB sobre IP, deseñada para 14 portos USB, con capacidade para montar nun rack de 19 polgadas, e un USB sobre IP alemán, deseñado para 20 portos USB, tamén con a posibilidade de montar nun rack de 19 polgadas. Desafortunadamente, estes fabricantes non tiñan máis portos de dispositivos USB sobre IP.
O primeiro dispositivo é moi caro e interesante (Internet está cheo de comentarios), pero hai un gran inconveniente: non hai sistemas de autorización para conectar dispositivos USB. Calquera persoa que instale a aplicación de conexión USB ten acceso a todas as claves. Ademais, como demostrou a práctica, o dispositivo USB "esmart token est64u-r1" non é adecuado para o seu uso co dispositivo e, mirando cara adiante, co "alemán" en Win7 OS; cando está conectado a el, hai un BSOD permanente. .
O segundo dispositivo USB sobre IP pareceunos máis interesante. O dispositivo ten un gran conxunto de opcións relacionadas coas funcións de rede. A interface USB sobre IP está loxicamente dividida en seccións, polo que a configuración inicial foi bastante sinxela e rápida. Pero, como se mencionou anteriormente, houbo problemas para conectar varias claves.
Ao estudar máis sobre o hardware USB sobre IP, atopamos fabricantes nacionais. A liña inclúe versións de 16, 32, 48 e 64 portos coa posibilidade de montar nun rack de 19 polgadas. A funcionalidade descrita polo fabricante era aínda máis rica que a das compras anteriores de USB sobre IP. Inicialmente, gustoume que o concentrador USB sobre IP administrado doméstico ofreza protección en dúas etapas para os dispositivos USB ao compartir USB nunha rede:
- Activación e desactivación física remota de dispositivos USB;
- Autorización para conectar dispositivos USB mediante inicio de sesión, contrasinal e enderezo IP.
- Autorización para conectar portos USB mediante inicio de sesión, contrasinal e enderezo IP.
- Rexistro de todas as activacións e conexións de dispositivos USB por parte dos clientes, así como tales intentos (entrada incorrecta do contrasinal, etc.).
- Cifrado de tráfico (que, en principio, non estaba mal no modelo alemán).
- Ademais, era adecuado que o dispositivo, aínda que non era barato, fose varias veces máis barato que os comprados anteriormente (a diferenza faise especialmente significativa cando se converte nun porto; consideramos un USB sobre IP de 64 portos).
Decidimos consultar co fabricante a situación con soporte para dous tipos de tokens intelixentes que anteriormente tiñan problemas de conexión. Informáronnos de que non ofrecen unha garantía do 100% de compatibilidade con absolutamente todos os dispositivos USB, pero aínda non atoparon ningún dispositivo co que haxa problemas. Non estabamos satisfeitos con esta resposta e suxerimos que o fabricante transferise os tokens para probalos (afortunadamente, o envío por empresa de transporte custa só 150 rublos e temos suficientes tokens antigos). 4 días despois de enviar as chaves, déronnos os datos de conexión e conectamos milagrosamente con Windows 7, 10 e Windows Server 2008. Todo funcionou ben, conectamos os nosos tokens sen problemas e puidemos traballar con eles.
Compramos un concentrador USB sobre IP xestionado con 64 portos USB. Conectamos os 18 portos de 64 ordenadores en distintas ramas (32 teclas e o resto - unidades flash, discos duros e 3 cámaras USB) - todos os dispositivos funcionaron sen problemas. En xeral quedamos satisfeitos co dispositivo.
Non enumero os nomes e os fabricantes de dispositivos USB sobre IP (para evitar publicidade), pódense atopar facilmente en Internet.
Fonte: www.habr.com