Saya ingin berbagi pengalaman saya selama setahun dalam menemukan solusi untuk mengatur akses terpusat dan terorganisir ke kunci keamanan elektronik di organisasi kami (kunci untuk akses ke platform perdagangan, perbankan, kunci keamanan perangkat lunak, dll.). Karena keberadaan cabang kami, yang secara geografis sangat terpisah satu sama lain, dan adanya beberapa kunci keamanan elektronik di masing-masing cabang, kebutuhan akan kunci tersebut terus meningkat, tetapi di cabang yang berbeda. Setelah keributan lain dengan kunci yang hilang, manajemen menetapkan tugas - untuk memecahkan masalah ini dan mengumpulkan SEMUA perangkat keamanan USB di satu tempat, dan memastikan bekerja dengan perangkat tersebut terlepas dari lokasi karyawan.
Jadi, kita perlu mengumpulkan di satu kantor semua kunci bank klien, lisensi 1c (pengait), token root, ESMART Token USB 64K, dll. yang tersedia di perusahaan kita. untuk operasi selanjutnya pada mesin Hyper-V fisik dan virtual jarak jauh. Jumlah perangkat USB adalah 50-60 dan ini jelas bukan batasnya. Lokasi server virtualisasi di luar kantor (data center). Lokasi semua perangkat USB di kantor.
Kami mempelajari teknologi yang ada untuk akses terpusat ke perangkat USB dan memutuskan untuk fokus pada teknologi USB over IP. Ternyata banyak organisasi yang menggunakan solusi khusus ini. Ada perangkat keras dan perangkat lunak untuk penerusan USB melalui IP di pasaran, tetapi keduanya tidak cocok untuk kami. Oleh karena itu, selanjutnya kita hanya akan berbicara tentang pilihan perangkat keras USB melalui IP dan, pertama-tama, tentang pilihan kita. Kami juga mengecualikan perangkat dari Tiongkok (tanpa nama) dari pertimbangan.
Solusi perangkat keras USB over IP yang paling banyak dijelaskan di Internet adalah perangkat buatan AS dan Jerman. Untuk studi mendetail, kami membeli versi rackmount besar dari USB over IP ini, dirancang untuk 14 port USB, dengan kemampuan untuk dipasang di rak 19 inci, dan USB over IP Jerman, dirancang untuk 20 port USB, juga dengan kemampuan untuk memasang di rak 19 inci. Sayangnya, pabrikan ini tidak memiliki lebih banyak port perangkat USB over IP.
Perangkat pertama sangat mahal dan menarik (Internet penuh dengan ulasan), tetapi ada kelemahan yang sangat besar - tidak ada sistem otorisasi untuk menghubungkan perangkat USB. Siapa pun yang menginstal aplikasi koneksi USB memiliki akses ke semua kunci. Selain itu, seperti yang telah ditunjukkan oleh praktik, perangkat USB "esmart token est64u-r1" tidak cocok untuk digunakan dengan perangkat tersebut dan, ke depan, dengan perangkat "Jerman" di OS Win7 - saat terhubung dengannya, ada BSOD permanen .
Kami menemukan perangkat USB over IP kedua lebih menarik. Perangkat ini memiliki sejumlah besar pengaturan yang terkait dengan fungsi jaringan. Antarmuka USB over IP secara logis dibagi menjadi beberapa bagian, sehingga pengaturan awalnya cukup sederhana dan cepat. Namun, seperti yang disebutkan sebelumnya, ada masalah saat menghubungkan sejumlah kunci.
Mempelajari lebih jauh tentang perangkat keras USB over IP, kami menemukan produsen dalam negeri. Jajarannya mencakup versi port 16, 32, 48 dan 64 dengan kemampuan dipasang di rak 19 inci. Fungsionalitas yang dijelaskan oleh pabrikan bahkan lebih kaya dibandingkan dengan pembelian USB melalui IP sebelumnya. Awalnya, saya menyukai hub USB over IP yang dikelola domestik memberikan perlindungan dua tahap untuk perangkat USB saat berbagi USB melalui jaringan:
- Menghidupkan dan mematikan perangkat USB secara fisik dari jarak jauh;
- Otorisasi untuk menghubungkan perangkat USB menggunakan login, kata sandi dan alamat IP.
- Otorisasi untuk menghubungkan port USB menggunakan login, kata sandi dan alamat IP.
- Mencatat semua aktivasi dan koneksi perangkat USB oleh klien, serta upaya tersebut (entri kata sandi salah, dll.).
- Enkripsi lalu lintas (yang, pada prinsipnya, tidak buruk pada model Jerman).
- Selain itu, perangkat ini cocok, meskipun tidak murah, beberapa kali lebih murah daripada yang dibeli sebelumnya (perbedaannya menjadi sangat signifikan ketika dikonversi ke port; kami mempertimbangkan USB over IP 64-port).
Kami memutuskan untuk menanyakan kepada produsen tentang situasi dengan dukungan untuk dua jenis token pintar yang sebelumnya memiliki masalah koneksi. Kami diberitahu bahwa mereka tidak memberikan jaminan dukungan 100% untuk semua perangkat USB, namun belum menemukan satu perangkat pun yang bermasalah. Kami tidak puas dengan jawaban ini dan kami menyarankan agar produsen mentransfer token untuk pengujian (untungnya, pengiriman melalui perusahaan transportasi hanya berharga 150 rubel, dan kami memiliki cukup token lama). 4 hari setelah mengirimkan kunci, kami diberi data koneksi dan kami terhubung secara ajaib dengan Windows 7, 10 dan Windows Server 2008. Semuanya berfungsi dengan baik, kami menghubungkan token kami tanpa masalah dan dapat bekerja dengannya.
Kami membeli hub USB melalui IP yang dikelola dengan 64 port USB. Kami menghubungkan semua 18 port dari 64 komputer di cabang berbeda (32 kunci dan sisanya - flash drive, hard drive, dan 3 kamera USB) - semua perangkat berfungsi tanpa masalah. Secara keseluruhan kami senang dengan perangkat ini.
Saya tidak mencantumkan nama dan produsen perangkat USB over IP (untuk menghindari iklan), mereka dapat dengan mudah ditemukan di Internet.
Sumber: www.habr.com