Мен ұйымымыздағы электрондық қауіпсіздік кілттеріне (нарық алаңдарына, банктік қызметке, бағдарламалық қамтамасыз ету қауіпсіздік кілттеріне және т.б. кіру кілттері) орталықтандырылған және жеңілдетілген қолжетімділікті ұйымдастыру шешімін табудағы көп жылдық тәжірибемізбен бөліскім келеді. Географиялық тұрғыдан бір-бірінен өте алшақ орналасқан филиалдарымыздың болуына және олардың әрқайсысында бірнеше электрондық қауіпсіздік кілттерінің болуына байланысты оларға деген қажеттілік үнемі туындайды, бірақ әртүрлі салаларда. Жоғалған кілтпен кезекті әбігерден кейін басшылық тапсырманы қойды - бұл мәселені шешу және БАРЛЫҚ USB қауіпсіздік құрылғыларын бір жерде жинау және олардың қызметкердің орналасқан жеріне қарамастан жұмыс істеуін қамтамасыз ету.
Сонымен, біз бір кеңседе біздің компанияда бар клиенттік банктің барлық кілттерін, 1c лицензияларын (hasp), rutokens, ESMART Token USB 64K және т.б. жинауымыз керек. қашықтағы физикалық және виртуалды Hyper-V машиналарында кейінгі жұмыс үшін. USB құрылғыларының саны 50-60 және бұл шектеу емес. Виртуализация серверлерінің кеңседен тыс орналасуы (деректер орталығы). Кеңседегі барлық USB құрылғыларының орны.
Біз USB құрылғыларына орталықтандырылған қол жеткізудің қолданыстағы технологияларын зерттеп, USB арқылы IP (USB over IP) технологиясына назар аударуды шештік. Бұл шешімді көптеген ұйымдар қолданады екен. Нарықта USB арқылы IP құрылғылары да, бағдарламалық жасақтамасы да бар, бірақ олар бізге сәйкес келмеді. Осыған сәйкес, бұдан әрі біз тек IP арқылы USB аппараттық құралын таңдау туралы және, ең алдымен, біздің таңдауымыз туралы сөйлесетін боламыз. Қытайдан келген құрылғылар (аталмаған) біз де қараудан шығардық.
Интернетте ең көп сипатталған USB over IP аппараттық шешімі АҚШ пен Германияда жасалған құрылғылар болып табылады. Егжей-тегжейлі зерттеу үшін біз 14 USB портына арналған, 19 дюймдік сөреге және 20 USB портына арналған IP арқылы неміс USB портына, сондай-ақ 19 дюймдік сөреге орнатыңыз. Өкінішке орай, бұл өндірушілерде IP құрылғысы арқылы USB порттары болған жоқ.
Бірінші құрылғы өте қымбат және қызықты (Интернет шолуларға толы), бірақ өте үлкен минус бар - USB құрылғыларын қосу үшін авторизация жүйелері жоқ. USB қосылым қолданбасын орнатқан кез келген адам барлық кілттерге қол жеткізе алады. Сонымен қатар, тәжірибе көрсеткендей, USB құрылғысы «esmart token est64u-r1» құрылғымен және алға қарап, Win7 ОЖ-де «неміспен» пайдалану үшін жарамсыз - оған қосылған кезде тұрақты BSOD.
Екінші USB арқылы IP құрылғысы бізге қызықтырақ көрінді. Құрылғыда желі функцияларына қатысты параметрлердің үлкен жиынтығы бар. USB арқылы IP интерфейсі логикалық түрде бөлімдерге бөлінген, сондықтан бастапқы орнату өте қарапайым және жылдам болды. Бірақ, бұрын айтылғандай, бірқатар пернелерді қосуда қиындықтар туындады.
Одан әрі IP арқылы USB аппараттық құралдарын зерттеу отандық өндірушілерге тап болды. Ассортимент 16 дюймдік тірекке орнату мүмкіндігі бар 32, 48, 64 және 19 порт нұсқаларын қамтиды. Өндіруші сипаттаған функционалдылық IP арқылы алдыңғы сатып алынған USB-ден де бай болды. Бастапқыда маған жергілікті басқарылатын USB арқылы IP хабы USB-ны желі арқылы ортақ пайдалану кезінде USB құрылғыларын екі сатылы қорғауды қамтамасыз ететіні ұнады:
- USB құрылғыларын қашықтан физикалық қосу және өшіру;
- Логин, құпия сөз және IP мекенжайы бойынша USB құрылғыларын қосуға рұқсат.
- Логин, пароль және IP мекенжайы бойынша USB порттарын қосуға авторизация.
- Клиенттердің USB құрылғыларының барлық қосылуы мен қосылымдарын, сондай-ақ осындай әрекеттерді (құпия сөзді қате енгізу және т.б.) тіркеу.
- Трафикті шифрлау (негізінде неміс үлгісінде жаман болған жоқ).
- Бұған қоса, құрылғының арзан болмаса да, бұрын сатып алынғандарынан бірнеше есе арзан болғаны қолайлы болды (айырмашылық портқа түрлендіру кезінде әсіресе маңызды болады, біз IP арқылы 64 портты USB қарастырдық).
Бұрын қосылу ақаулары болған смарт токендердің екі түрін қолдау жағдайын өндірушімен тексеруді шештік. Бізге олар барлық USB құрылғыларын қолдауға 100% кепілдік бермейтінін айтты, бірақ әзірге проблемалар туындайтын бірде-бір құрылғы табылған жоқ. Бұл жауап бізге онша ұнамады және біз өндірушіге токендерді тестілеуге беруді ұсындық (бақытымызға орай, көлік компаниясының жіберуі бар болғаны 150 рубльді құрайды, ал бізде ескі токендер жеткілікті). Кілттер жіберілгеннен кейін 4 күн өткен соң, бізге қосылым деректері туралы хабарланды және біз олармен Windows 7, 10 және Windows Server 2008 жүйелерімен тамаша қосылдық. Барлығы жақсы жұмыс істеді, біз токендерімізді еш қиындықсыз қостық және олармен жұмыс істей алдық.
Біз 64 USB порты үшін басқарылатын USB арқылы IP хабы сатып алдық. Біз әртүрлі тармақтардағы 18 компьютердің барлық 64 портын қостық (32 кілт және қалғандары - флэш-дискілер, қатты дискілер және 3 USB камерасы) - барлық құрылғылар ақаусыз жұмыс істеді. Жалпы алғанда, құрылғы қанағаттандырылды.
Мен IP құрылғылары арқылы USB құрылғыларының аттары мен өндірушілерін бермеймін (жарнама болмас үшін), оларды Интернетте оңай табуға болады.
Ақпарат көзі: www.habr.com