Կենտրոնացված մուտք դեպի թվային ստորագրություն և այլ էլեկտրոնային անվտանգության բանալիներ՝ օգտագործելով ապարատային USB IP-ի միջոցով

Ես կցանկանայի կիսվել մեր կազմակերպությունում էլեկտրոնային անվտանգության բանալիների կենտրոնացված և կազմակերպված հասանելիության (առևտրային հարթակներ մուտք գործելու բանալիներ, բանկային, ծրագրային ապահովման անվտանգության բանալիներ և այլն) լուծումներ գտնելու մեր մեկամյա փորձով: Աշխարհագրորեն միմյանցից խիստ առանձնացված մեր մասնաճյուղերի առկայության և դրանցից յուրաքանչյուրում անվտանգության մի քանի էլեկտրոնային բանալիների առկայության պատճառով դրանց կարիքն անընդհատ առաջանում է, բայց տարբեր ճյուղերում։ Կորած բանալու հետ կապված հերթական աղմուկից հետո ղեկավարությունը խնդիր դրեց՝ լուծել այս խնդիրը և հավաքել ԲՈԼՈՐ USB անվտանգության սարքերը մեկ տեղում և ապահովել նրանց հետ աշխատանքը՝ անկախ աշխատակցի գտնվելու վայրից:

Այսպիսով, մենք պետք է հավաքենք մեկ գրասենյակում հաճախորդների բանկի բոլոր բանալիները, 1c լիցենզիաները (hasp), արմատային նշանները, ESMART Token USB 64K և այլն, որոնք առկա են մեր ընկերությունում: հեռավոր ֆիզիկական և վիրտուալ Hyper-V մեքենաների հետագա շահագործման համար: USB սարքերի թիվը 50-60 է, և դա հաստատ սահմանը չէ: Վիրտուալացման սերվերների գտնվելու վայրը գրասենյակից դուրս (տվյալների կենտրոն): Բոլոր USB սարքերի գտնվելու վայրը գրասենյակում:

Մենք ուսումնասիրեցինք USB սարքերի կենտրոնացված մուտքի առկա տեխնոլոգիաները և որոշեցինք կենտրոնանալ USB-ի վրա IP տեխնոլոգիայի վրա: Պարզվում է, որ շատ կազմակերպություններ օգտագործում են հենց այս լուծումը։ Շուկայում կան ինչպես ապարատային, այնպես էլ ծրագրային գործիքներ USB-ի միջոցով IP-ով փոխանցելու համար, բայց դրանք մեզ չեն համապատասխանում: Հետևաբար, մենք կխոսենք միայն IP-ի նկատմամբ ապարատային USB-ի ընտրության և, առաջին հերթին, մեր ընտրության մասին: Մենք նաև բացառեցինք Չինաստանից (անանուն) սարքերը քննարկումից:

Ինտերնետում ամենալայն նկարագրված USB over IP ապարատային լուծումները ԱՄՆ-ում և Գերմանիայում արտադրված սարքերն են: Մանրամասն ուսումնասիրության համար մենք գնեցինք այս USB-ի IP-ի մեծ դարակաշարային տարբերակը, որը նախատեսված է 14 USB պորտերի համար, 19 դյույմանոց դարակաշարում տեղադրելու հնարավորությամբ, և գերմանական USB IP-ի վրա, որը նախատեսված է 20 USB պորտերի համար, նաև 19 դյույմանոց դարակաշարում տեղադրելու ունակություն: Ցավոք, այս արտադրողները չունեին ավելի շատ USB-ի միջոցով IP սարքի նավահանգիստներ:

Առաջին սարքը շատ թանկ է և հետաքրքիր (համացանցը լի է ակնարկներով), բայց կա մի շատ մեծ թերություն՝ USB սարքերը միացնելու թույլտվության համակարգեր չկան։ Յուրաքանչյուր ոք, ով տեղադրում է USB կապի հավելվածը, հասանելի է բոլոր ստեղներին: Բացի այդ, ինչպես ցույց է տվել պրակտիկան, «esmart token est64u-r1» USB սարքը հարմար չէ սարքի հետ օգտագործելու համար և, առաջ նայելով, «գերմանականի» հետ Win7 OS-ով, երբ միացված է դրան, կա մշտական ​​BSOD: .

Մենք ավելի հետաքրքիր գտանք երկրորդ USB-ի միջոցով IP սարքը: Սարքն ունի ցանցի գործառույթների հետ կապված պարամետրերի մեծ փաթեթ: USB-ի միջոցով IP ինտերֆեյսը տրամաբանորեն բաժանված է բաժինների, ուստի նախնական կարգավորումը բավականին պարզ և արագ էր: Բայց, ինչպես նշվեց ավելի վաղ, մի շարք ստեղների միացման հետ կապված խնդիրներ կային։

Հետագա ուսումնասիրելով USB-ի միջոցով IP սարքավորման մասին, մենք հանդիպեցինք հայրենական արտադրողների: Հավաքածուն ներառում է 16, 32, 48 և 64 պորտ տարբերակները՝ 19 դյույմանոց դարակաշարում տեղադրելու հնարավորությամբ: Արտադրողի կողմից նկարագրված ֆունկցիոնալությունը նույնիսկ ավելի հարուստ էր, քան IP-ի միջոցով USB-ի նախկին գնումները: Ի սկզբանե ինձ դուր եկավ, որ ներքին կառավարվող USB-ն IP-ի միջոցով ապահովում է երկաստիճան պաշտպանություն USB սարքերի համար, երբ USB-ը կիսվում է ցանցով.

1. USB սարքերի հեռավոր ֆիզիկական միացում և անջատում;
2. USB սարքերի միացման թույլտվություն՝ օգտագործելով մուտքի, գաղտնաբառի և IP հասցեի միջոցով:
3. Մուտքի, գաղտնաբառի և IP հասցեի միջոցով USB պորտերը միացնելու թույլտվություն:
4. Հաճախորդների կողմից USB սարքերի բոլոր ակտիվացումների և միացումների գրանցում, ինչպես նաև նման փորձեր (գաղտնաբառի սխալ մուտքագրում և այլն):
5. Երթևեկության կոդավորումը (որը, սկզբունքորեն, վատ չէր գերմանական մոդելի վրա):
6. Բացի այդ, հարմար էր, որ սարքը, թեև ոչ էժան, բայց մի քանի անգամ ավելի էժան է, քան նախկինում գնվածները (տարբերությունը հատկապես նշանակալի է դառնում, երբ փոխարկվում է նավահանգիստի. մենք համարում էինք 64 պորտի USB IP-ի միջոցով):

Մենք որոշեցինք արտադրողի հետ ճշտել երկու տեսակի խելացի թոքենների աջակցության իրավիճակի մասին, որոնք նախկինում կապի հետ կապված խնդիրներ ունեին: Տեղեկացանք, որ բացարձակապես բոլոր USB սարքերի աջակցության 100% երաշխիք չեն տալիս, բայց դեռ չեն գտել որևէ սարք, որի հետ խնդիրներ կան։ Մեզ չբավարարեց այս պատասխանը, և մենք առաջարկեցինք արտադրողին փոխանցել ժետոնները փորձարկման համար (բարեբախտաբար, տրանսպորտային ընկերության կողմից առաքումն արժե ընդամենը 150 ռուբլի, և մենք ունենք բավականաչափ հին ժետոններ): Բանալին ուղարկելուց 4 օր հետո մեզ տրվեցին կապի տվյալները, և մենք հրաշքով միացանք Windows 7, 10 և Windows Server 2008-ի հետ: Ամեն ինչ լավ էր աշխատում, մենք առանց խնդիրների միացրինք մեր թոքենները և կարողացանք աշխատել դրանց հետ:
Մենք գնեցինք կառավարվող USB՝ IP-ի միջոցով 64 USB միացքով: Մենք միացրել ենք բոլոր 18 պորտերը 64 համակարգչից տարբեր ճյուղերում (32 բանալի և մնացածը՝ ֆլեշ կրիչներ, կոշտ սկավառակներ և 3 USB տեսախցիկներ) - բոլոր սարքերն աշխատել են առանց խնդիրների: Ընդհանուր առմամբ, մենք գոհ էինք սարքից:

Ես չեմ թվարկում IP սարքերի միջոցով USB-ի անուններն ու արտադրողները (գովազդից խուսափելու համար), դրանք հեշտությամբ կարելի է գտնել ինտերնետում:

Source: www.habr.com