Neseniai bendrinamas mūsų organizacijoje. Komentaruose buvo iškelta rimta USB per IP aparatinės įrangos sprendimų informacijos saugumo problema, kuri mus labai neramina.
Taigi, pirma, apsispręskime dėl pradinių sąlygų.
- Daug elektroninių saugos raktų.
- Juos reikia pasiekti iš skirtingų geografinių vietų.
- Svarstome tik USB per IP techninės įrangos sprendimus ir šį sprendimą stengiamės užtikrinti imdamiesi papildomų organizacinių ir techninių priemonių (alternatyvų klausimo kol kas nesvarstome).
- Šiame straipsnyje aš visiškai neaprašysiu grėsmių modelių, kuriuos svarstome (daug ką galite pamatyti ), tačiau trumpai sutelksiu dėmesį į du dalykus. Į modelį neįtraukiame socialinės inžinerijos ir neteisėtų pačių vartotojų veiksmų. Svarstome galimybę neteisėtai prieiti prie USB įrenginių iš bet kurio tinklo be įprastų kredencialų.
Siekiant užtikrinti prieigos prie USB įrenginių saugumą, buvo imtasi organizacinių ir techninių priemonių:
1. Organizacinio saugumo priemonės.
Valdomas USB per IP šakotuvas yra įdiegtas aukštos kokybės rakinamoje serverio spintelėje. Sutvarkytas fizinis priėjimas prie jo (patekimo į pačias patalpas kontrolės sistema, vaizdo stebėjimas, raktai ir įėjimo teisės griežtai ribotam asmenų skaičiui).
Visi organizacijoje naudojami USB įrenginiai yra suskirstyti į 3 grupes:
- Kritinis. Finansiniai skaitmeniniai parašai – naudojami pagal bankų rekomendacijas (ne per USB per IP)
- Svarbu. Elektroniniai skaitmeniniai parašai prekybos platformoms, paslaugoms, e. dokumentų srautui, ataskaitoms ir kt., nemažai programinės įrangos raktų – naudojami naudojant valdomą USB per IP šakotuvą.
- Nekritiška. Naudojant valdomą USB per IP šakotuvą, naudojama daugybė programinės įrangos raktų, kamerų, daugybė „flash drives“ ir diskų su nekritine informacija, USB modemai.
2. Techninės saugos priemonės.
Tinklo prieiga prie valdomo USB per IP šakotuvo teikiama tik izoliuotame potinklyje. Prieiga prie izoliuoto potinklio suteikiama:
- iš terminalo serverių ūkio,
- per VPN (sertifikatą ir slaptažodį) ribotam kompiuterių ir nešiojamųjų kompiuterių skaičiui, per VPN jiems išduodami nuolatiniai adresai,
- per VPN tunelius, jungiančius regioninius biurus.
Tvarkomame USB per IP šakotuvą DistKontrolUSB naudojant standartinius įrankius sukonfigūruojamos šios funkcijos:
- Norint pasiekti USB įrenginius per USB per IP šakotuvą, naudojamas šifravimas (centre įjungtas SSL šifravimas), nors tai gali būti nereikalinga.
- Sukonfigūruota „Prieigos prie USB įrenginių ribojimas pagal IP adresą“. Priklausomai nuo IP adreso, vartotojui suteikiama arba neteikiama prieiga prie priskirtų USB įrenginių.
- Sukonfigūruota „Apriboti prieigą prie USB prievado prisijungiant ir slaptažodžiu“. Atitinkamai, vartotojams priskiriamos prieigos prie USB įrenginių teisės.
- „Prieigos prie USB įrenginio ribojimas prisijungimo vardu ir slaptažodžiu“ buvo nuspręsta nenaudoti, nes Visi USB raktai yra visam laikui prijungti prie USB per IP šakotuvo ir jų negalima perkelti iš vieno prievado į prievadą. Mums prasmingiau suteikti vartotojams prieigą prie USB prievado su USB įrenginiu ilgą laiką.
- Fiziškai įjungiami ir išjungiami USB prievadai:
- Programinės įrangos ir elektroninių dokumentų raktams - naudojant užduočių planuoklį ir priskirtas koncentratoriaus užduotis (daug klavišų buvo užprogramuotas įsijungti 9.00 ir išsijungti 18.00, skaičius nuo 13.00 iki 16.00);
- Prekybos platformų raktams ir daugeliui programinės įrangos – įgaliotų vartotojų per WEB sąsają;
- Fotoaparatai, daugybė „flash“ atmintinių ir diskų su nekritine informacija visada įjungiami.
Manome, kad toks prieigos prie USB įrenginių organizavimas užtikrina saugų jų naudojimą:
- iš regioninių biurų (sąlygiškai NET Nr. 1...... NET Nr. N),
- ribotam skaičiui kompiuterių ir nešiojamų kompiuterių, jungiančių USB įrenginius per pasaulinį tinklą,
- vartotojams, paskelbtiems terminalo programų serveriuose.
Komentaruose norėčiau išgirsti konkrečias praktines priemones, didinančias informacijos saugumą teikiant visuotinę prieigą prie USB įrenginių.
Šaltinis: www.habr.com