Nedavno podijeljeno u našoj organizaciji. Komentari su pokrenuli ozbiljno pitanje informacijske sigurnosti USB over IP hardverskih rješenja, što nas jako zabrinjava.
Dakle, prvo odlučimo o početnim uvjetima.
- Veliki broj elektroničkih sigurnosnih ključeva.
- Potrebno im je pristupiti s različitih geografskih lokacija.
- Razmatramo samo USB over IP hardverska rješenja i pokušavamo to rješenje osigurati poduzimanjem dodatnih organizacijskih i tehničkih mjera (još ne razmatramo pitanje alternativa).
- U okviru ovog članka neću u potpunosti opisivati modele prijetnji koje razmatramo (puno toga možete vidjeti u ), no ukratko ću se usredotočiti na dvije točke. Iz modela isključujemo društveni inženjering i nezakonite radnje samih korisnika. Razmatramo mogućnost neovlaštenog pristupa USB uređajima s bilo koje mreže bez redovitih vjerodajnica.
Za sigurnost pristupa USB uređajima poduzete su organizacijske i tehničke mjere:
1. Organizacijske sigurnosne mjere.
Upravljano USB preko IP čvorište instalirano je u visokokvalitetnom ormaru poslužitelja koji se može zaključati. Fizički pristup istom je pojednostavljen (sustav kontrole pristupa samom prostoru, video nadzor, ključevi i prava pristupa za strogo ograničen broj osoba).
Svi USB uređaji koji se koriste u organizaciji podijeljeni su u 3 skupine:
- Kritično. Financijski digitalni potpisi – koriste se u skladu s preporukama banaka (ne putem USB-a preko IP-a)
- Važno. Elektronički digitalni potpisi za trgovačke platforme, usluge, e-protok dokumenata, izvješćivanje itd., određeni broj ključeva za softver - koriste se pomoću upravljanog USB over IP huba.
- Nije kritično. Određeni broj softverskih ključeva, kamera, određen broj flash diskova i diskova s nekritičnim informacijama, USB modemi - koriste se pomoću upravljanog USB over IP huba.
2. Tehničke sigurnosne mjere.
Mrežni pristup upravljanom USB preko IP koncentratora omogućen je samo unutar izolirane podmreže. Pristup izoliranoj podmreži omogućen je:
- s farme terminalskih poslužitelja,
- putem VPN-a (certifikat i lozinka) na ograničeni broj računala i prijenosnih računala, putem VPN-a dobivaju stalne adrese,
- putem VPN tunela koji povezuju regionalne urede.
Na upravljanom USB preko IP koncentratoru DistKontrolUSB, pomoću standardnih alata, konfiguriraju se sljedeće funkcije:
- Za pristup USB uređajima na USB preko IP čvorištu koristi se enkripcija (SSL šifriranje je omogućeno na čvorištu), iako to može biti nepotrebno.
- Konfigurirano je “Ograničavanje pristupa USB uređajima putem IP adrese”. Ovisno o IP adresi, korisniku je odobren ili zabranjen pristup dodijeljenim USB uređajima.
- Konfigurirano je "Ograniči pristup USB priključku prijavom i lozinkom". Sukladno tome, korisnicima se dodjeljuju prava pristupa USB uređajima.
- Odlučeno je da se "Ograničavanje pristupa USB uređaju prijavom i lozinkom" neće koristiti jer Svi USB ključevi trajno su spojeni na USB over IP hub i ne mogu se premještati s priključka na priključak. Za nas ima više smisla omogućiti korisnicima pristup USB priključku s instaliranim USB uređajem na duže vrijeme.
- Fizičko uključivanje i isključivanje USB priključaka provodi se:
- Za ključeve softvera i elektroničkih dokumenata - pomoću planera zadataka i dodijeljenih zadataka čvorišta (određeni broj ključeva programiran je za uključivanje u 9.00 i isključivanje u 18.00, broj od 13.00 do 16.00);
- Za ključeve trgovinskih platformi i niz softvera - od ovlaštenih korisnika putem WEB sučelja;
- Kamere, određeni broj flash diskova i diskova s nekritičnim informacijama uvijek su uključeni.
Pretpostavljamo da ovakva organizacija pristupa USB uređajima osigurava njihovu sigurnu uporabu:
- iz regionalnih ureda (uvjetno NET br. 1...... NET br. N),
- za ograničeni broj računala i prijenosnih računala koja povezuju USB uređaje putem globalne mreže,
- za korisnike objavljene na terminalskim aplikacijskim poslužiteljima.
U komentarima bih želio čuti konkretne praktične mjere koje povećavaju informacijsku sigurnost pružanja globalnog pristupa USB uređajima.
Izvor: www.habr.com