Szeretném megosztani több éves tapasztalatainkat, hogy megoldást találjunk az elektronikus biztonsági kulcsokhoz való központosított és egyszerűsített hozzáférés megszervezésére szervezetünkben (piacterek, banki, szoftveres biztonsági kulcsok stb. hozzáférési kulcsai). Az egymástól földrajzilag nagyon elkülönülő fiókjaink jelenléte, illetve mindegyikben több elektronikus biztonsági kulcs jelenléte kapcsán folyamatosan felmerül az igény ezekre, de más-más fióktelepen. Az elveszett kulccsal kapcsolatos újabb felhajtás után a vezetőség azt a feladatot tűzte ki maga elé, hogy megoldja ezt a problémát, és az ÖSSZES USB biztonsági eszközt egy helyre gyűjtse, és biztosítsa, hogy az alkalmazott tartózkodási helyétől függetlenül működjenek.
Tehát egy irodában kell összegyűjtenünk a cégünknél elérhető ügyfélbank összes kulcsát, 1c licenceket (hasp), rutokeneket, ESMART Token USB 64K stb. távoli fizikai és virtuális Hyper-V gépeken történő későbbi működéshez. Az usb eszközök száma 50-60 és az biztos, hogy nem ez a határ. A virtualizációs szerverek elhelyezkedése az irodán (adatközponton) kívül. Az összes USB-eszköz helye az irodában.
Tanulmányoztuk az USB-eszközök központi hozzáférésének meglévő technológiáit, és úgy döntöttünk, hogy az USB over IP (USB over IP) technológiára összpontosítunk. Kiderült, hogy sok szervezet használja ezt a megoldást. USB over IP hardver és szoftver is van a piacon, de ezek nem feleltek meg nekünk. Ennek megfelelően a továbbiakban csak az IP-n keresztüli hardveres USB-választásról és mindenekelőtt a mi választásunkról lesz szó. A Kínából származó (meg nem nevezett) eszközöket szintén kizártuk a számításból.
Az interneten leggyakrabban leírt USB over IP hardvermegoldások az USA-ban és Németországban gyártott eszközök. A részletes tanulmányozáshoz megvásároltuk ennek az USB over IP-nek egy nagy rack változatát, amely 14 USB-portra lett tervezve, 19 hüvelykes rackbe szerelhető, és német USB over IP-t, amelyet 20 USB-porthoz terveztek, valamint 19 hüvelykes rackbe szerelhető. Sajnos ezek a gyártók nem rendelkeztek több USB over IP eszközporttal.
Az első eszköz nagyon drága és érdekes (az internet tele van véleményekkel), de van egy nagyon nagy mínusz - nincsenek engedélyezési rendszerek az USB-eszközök csatlakoztatására. Bárki, aki telepíti az USB-kapcsolat alkalmazást, hozzáférhet az összes kulcshoz. Ezen túlmenően, amint a gyakorlat azt mutatja, az „esmart token est64u-r1” USB-eszköz alkalmatlan az eszközzel való használatra, és előretekintve a Win7 OS „német” nyelvével való használatra – ha csatlakoztatva van hozzá, akkor állandó BSOD.
A második USB over IP eszköz érdekesebbnek tűnt számunkra. A készülék a hálózati funkciókhoz kapcsolódó nagy beállításkészlettel rendelkezik. Az USB over IP interfész logikailag szekciókra oszlik, így a kezdeti beállítás meglehetősen egyszerű és gyors volt. De, mint korábban említettük, problémák merültek fel számos kulcs csatlakoztatásakor.
További hardver tanulmányozása során az USB IP-n keresztül hazai gyártók találkoztak. A termékcsalád 16, 32, 48 és 64 portos változatokat tartalmaz, amelyek 19"-es rack-re szerelhetőek. A gyártó által leírt funkcionalitás még a korábban vásárolt USB over IP-nél is gazdagabb volt. Kezdetben tetszett, hogy a hazai menedzselt USB over IP hub kétlépcsős védelmet biztosít az USB-eszközök számára, amikor az USB-t hálózaton keresztül osztják meg:
- USB-eszközök távoli fizikai be- és kikapcsolása;
- USB-eszközök csatlakoztatásának engedélyezése bejelentkezési név, jelszó és IP-cím alapján.
- USB-portok csatlakoztatásának engedélyezése bejelentkezési név, jelszó és IP-cím alapján.
- Az USB-eszközök kliensek általi minden bekapcsolásának és csatlakoztatásának, valamint az ilyen próbálkozásoknak (helytelen jelszóbevitel stb.) naplózása.
- Forgalom titkosítás (amivel elvileg nem volt rossz a német mintán).
- Ráadásul az is megfelelt, hogy a készülék, bár nem olcsó, de többszöröse olcsóbb volt, mint a korábban vásároltak (különösen jelentős a különbség portra konvertálva, 64 portos USB over IP-t vettünk számításba).
Úgy döntöttünk, hogy egyeztetünk a gyártóval a helyzetről két olyan intelligens token támogatásával kapcsolatban, amelyeknek korábban kapcsolódási problémái voltak. Azt mondták nekünk, hogy egyáltalán nem adnak 100%-os garanciát a támogatásra abszolút minden USB-eszközre, de eddig egyetlen olyan eszközt sem találtak, amivel gondok lennének. Ez a válasz nem nagyon tetszett nekünk, és azt javasoltuk, hogy a gyártó vigye át a tokeneket tesztelésre (szerencsére a szállító cég küldése mindössze 150 rubelbe került, és van elég régi tokenünk). 4 nappal a kulcsok elküldése után értesültünk a csatlakozási adatokról, és csodálatosan kapcsolódtunk hozzájuk Windows 7, 10 és Windows Server 2008 rendszerekkel. Minden rendben ment, a tokenjeinket problémamentesen csatlakoztattuk és tudtunk velük dolgozni.
Vásároltunk egy menedzselt USB over IP hubot 64 USB porthoz. Mind a 18 portot 64 számítógépről csatlakoztattuk különböző ágakba (32 kulcs és a többi - flash meghajtók, merevlemezek és 3 USB kamera) - minden eszköz probléma nélkül működött. Általában véve a készülék elégedett volt.
Nem adok neveket és gyártókat az USB over IP eszközökhöz (hogy ne reklámozzak), elég könnyű megtalálni őket az interneten.
Forrás: will.com