Mig langar að deila áralangri reynslu okkar af því að finna lausn til að skipuleggja miðlægan og skipulagðan aðgang að rafrænum öryggislyklum í fyrirtækinu okkar (lyklar fyrir aðgang að viðskiptakerfum, bankastarfsemi, öryggislykla hugbúnaðar o.s.frv.). Vegna tilvistar útibúa okkar, sem eru landfræðilega mjög aðskilin hvert frá öðru, og tilvistar í hverju þeirra nokkurra rafrænna öryggislykla, kemur stöðug þörf fyrir þá, en í mismunandi útibúum. Eftir annað læti með týndan lykil settu stjórnendur sér verkefni - að leysa þetta vandamál og safna ÖLLUM USB öryggistækjum á einn stað og tryggja vinnu með þau óháð staðsetningu starfsmanns.
Þannig að við þurfum að safna á einni skrifstofu öllum bankalyklum viðskiptavinarins, 1c leyfum (hasp), rótartáknum, ESMART Token USB 64K o.s.frv. sem til eru í fyrirtækinu okkar. fyrir síðari notkun á fjarlægum líkamlegum og sýndar Hyper-V vélum. Fjöldi USB-tækja er 50-60 og það er örugglega ekki takmörk. Staðsetning sýndarmiðlara utan skrifstofu (gagnaver). Staðsetning allra USB-tækja á skrifstofunni.
Við rannsökuðum núverandi tækni fyrir miðlægan aðgang að USB tækjum og ákváðum að einbeita okkur að USB yfir IP tækni. Það kemur í ljós að margar stofnanir nota þessa tilteknu lausn. Það eru bæði vél- og hugbúnaðarverkfæri fyrir USB yfir IP-framsendingu á markaðnum, en þau hentuðu okkur ekki. Þess vegna munum við aðeins tala um val á USB vélbúnaði yfir IP og fyrst og fremst um val okkar. Við útilokuðum einnig tæki frá Kína (nafnlaus) frá athugun.
Algengustu USB yfir IP vélbúnaðarlausnirnar á Netinu eru tæki framleidd í Bandaríkjunum og Þýskalandi. Fyrir ítarlega rannsókn keyptum við stóra rackmount útgáfu af þessum USB yfir IP, hönnuð fyrir 14 USB tengi, með möguleika á að festa í 19 tommu rekki, og þýska USB yfir IP, hannað fyrir 20 USB tengi, einnig með getu til að festa í 19 tommu rekki. Því miður voru þessir framleiðendur ekki með fleiri USB yfir IP tæki tengi.
Fyrsta tækið er mjög dýrt og áhugavert (Internetið er fullt af umsögnum), en það er mjög stór galli - það eru engin heimildarkerfi til að tengja USB-tæki. Allir sem setja upp USB-tengiforritið hafa aðgang að öllum lyklum. Þar að auki, eins og æfingin hefur sýnt, er USB-tækið „esmart token est64u-r1“ óhentugt til notkunar með tækinu og þegar horft er fram á veginn með „þýska“ tækinu á Win7 OS - þegar það er tengt við það er varanlegt BSOD .
Okkur fannst annað USB yfir IP tækið áhugaverðara. Tækið hefur mikið sett af stillingum sem tengjast netaðgerðum. USB yfir IP tengi er rökrétt skipt í hluta, þannig að upphafleg uppsetning var frekar einföld og hröð. En eins og fyrr segir voru vandamál við að tengja nokkra lykla.
Þegar við lærðum frekar um USB yfir IP vélbúnað komum við að innlendum framleiðendum. Úrvalið inniheldur 16, 32, 48 og 64 porta útgáfur með getu til að festa í 19 tommu rekki. Virknin sem framleiðandinn lýsti var jafnvel ríkari en fyrri USB yfir IP kaup. Upphaflega fannst mér gaman að innlenda stýrða USB yfir IP miðstöðin veitir tveggja þrepa vernd fyrir USB tæki þegar USB er deilt um netkerfi:
- Fjarlæg kveikt og slökkt á USB-tækjum;
- Heimild til að tengja USB tæki með því að nota innskráningu, lykilorð og IP tölu.
- Heimild til að tengja USB tengi með því að nota innskráningu, lykilorð og IP tölu.
- Skráning á öllum virkjunum og tengingum USB-tækja af viðskiptavinum, svo og slíkum tilraunum (röng lykilorðsfærsla osfrv.).
- Dulkóðun umferðar (sem í grundvallaratriðum var ekki slæm að þýskri fyrirmynd).
- Að auki hentaði það að tækið, þó það sé ekki ódýrt, er nokkrum sinnum ódýrara en það sem áður var keypt (munurinn verður sérstaklega mikilvægur þegar það er breytt í tengi; við töldum 64 porta USB yfir IP).
Við ákváðum að athuga með framleiðandann um stöðuna með stuðningi við tvenns konar snjalltákn sem áður áttu í tengingarvandamálum. Okkur var tilkynnt að þeir veita ekki 100% tryggingu fyrir stuðningi fyrir algerlega öll USB tæki, en hafa ekki enn fundið eitt tæki sem vandamál eru með. Við vorum ekki ánægð með þetta svar og við lögðum til að framleiðandinn flutti táknin til prófunar (sem betur fer kostaði sendingarkostnaður með flutningafyrirtæki aðeins 150 rúblur og við eigum nóg af gömlum táknum). 4 dögum eftir sendingu lyklanna fengum við tengigögnin og við tengdumst með kraftaverkum við Windows 7, 10 og Windows Server 2008. Allt virkaði vel, við tengdum táknin okkar án vandræða og gátum unnið með þau.
Við keyptum stýrða USB yfir IP miðstöð með 64 USB tengjum. Við tengdum öll 18 tengi frá 64 tölvum í mismunandi greinum (32 lyklar og restin - glampi drif, harðir diskar og 3 USB myndavélar) - öll tæki virkuðu án vandræða. Á heildina litið vorum við ánægð með tækið.
Ég skrái ekki nöfn og framleiðendur USB yfir IP tækja (til að forðast auglýsingar), þau er auðvelt að finna á netinu.
Heimild: www.habr.com