Norėčiau pasidalinti mūsų ilgamete patirtimi ieškant sprendimo, kaip organizuoti centralizuotą ir organizuotą prieigą prie elektroninių saugos raktų mūsų organizacijoje (raktai prieigai prie prekybos platformų, bankininkystės, programinės įrangos saugos raktų ir kt.). Dėl mūsų filialų, kurie yra geografiškai labai atskirti vienas nuo kito, ir dėl to, kad kiekviename iš jų yra keli elektroniniai saugos raktai, jų poreikis kyla nuolat, tačiau skirtingose šakose. Po dar vieno šurmulio dėl pamesto rakto vadovybė iškėlė užduotį – išspręsti šią problemą ir surinkti VISUS USB saugos įrenginius į vieną vietą bei užtikrinti darbą su jais nepriklausomai nuo darbuotojo buvimo vietos.
Taigi, viename biure turime surinkti visus mūsų įmonėje esančius klientų banko raktus, 1c licencijas (hasp), root žetonus, ESMART Token USB 64K ir kt. tolesniam darbui nuotoliniuose fiziniuose ir virtualiuose „Hyper-V“ įrenginiuose. USB įrenginių skaičius yra 50–60 ir tai tikrai nėra riba. Virtualizavimo serverių vieta ne biure (duomenų centre). Visų USB įrenginių vieta biure.
Ištyrėme esamas centralizuotos prieigos prie USB įrenginių technologijas ir nusprendėme sutelkti dėmesį į USB per IP technologiją. Pasirodo, daugelis organizacijų naudoja būtent šį sprendimą. Rinkoje yra ir aparatinės, ir programinės įrangos USB per IP persiuntimui įrankių, tačiau jie mums netiko. Todėl toliau kalbėsime tik apie aparatinės įrangos USB per IP pasirinkimą ir, visų pirma, apie savo pasirinkimą. Taip pat neįtraukėme į Kinijos įrenginius (be vardo).
Internete plačiausiai aprašomi USB per IP techninės įrangos sprendimai yra įrenginiai, pagaminti JAV ir Vokietijoje. Norėdami atlikti išsamų tyrimą, įsigijome didelę šio USB per IP ant stovo versiją, skirtą 14 USB prievadų, su galimybe montuoti į 19 colių stovą, ir vokišką USB per IP, skirtą 20 USB prievadų, taip pat su galimybė montuoti į 19 colių stovą. Deja, šie gamintojai neturėjo daugiau USB per IP įrenginių prievadų.
Pirmasis įrenginys yra labai brangus ir įdomus (internetas pilnas atsiliepimų), tačiau yra labai didelis trūkumas – nėra autorizacijos sistemų prijungti USB įrenginius. Kiekvienas, įdiegęs USB ryšio programą, turi prieigą prie visų raktų. Be to, kaip parodė praktika, USB įrenginys „esmart token est64u-r1“ yra netinkamas naudoti su įrenginiu ir, žiūrint į priekį, su „vokišku“ Win7 OS - prijungus prie jo, yra nuolatinis BSOD. .
Antrasis USB per IP įrenginys mums pasirodė įdomesnis. Įrenginyje yra daug nustatymų, susijusių su tinklo funkcijomis. USB per IP sąsaja logiškai suskirstyta į skyrius, todėl pradinė sąranka buvo gana paprasta ir greita. Tačiau, kaip minėta anksčiau, jungiant kelis raktus kilo problemų.
Toliau tyrinėdami USB per IP aparatinę įrangą, susidūrėme su vietiniais gamintojais. Asortimentą sudaro 16, 32, 48 ir 64 prievadų versijos su galimybe montuoti į 19 colių stovą. Gamintojo aprašytos funkcijos buvo dar turtingesnės nei ankstesnių USB per IP pirkimų. Iš pradžių man patiko, kad vietinis valdomas USB per IP šakotuvas užtikrina dviejų pakopų apsaugą USB įrenginiams, kai USB dalijamasi tinkle:
- Nuotolinis fizinis USB įrenginių įjungimas ir išjungimas;
- Leidimas prijungti USB įrenginius naudojant prisijungimo vardą, slaptažodį ir IP adresą.
- Leidimas prijungti USB prievadus naudojant prisijungimo vardą, slaptažodį ir IP adresą.
- Visų klientų suaktyvinimų ir USB įrenginių prijungimų registravimas, taip pat tokie bandymai (neteisingas slaptažodžio įvedimas ir pan.).
- Srauto šifravimas (kuris iš principo buvo neblogas vokiškame modelyje).
- Be to, tiko ir tai, kad įrenginys, nors ir nepigus, bet kelis kartus pigesnis nei pirktas anksčiau (ypač skirtumas išryškėja konvertuojant į prievadą; laikėme 64 prievadų USB per IP).
Nusprendėme pasiteirauti su gamintoju apie dviejų tipų išmaniųjų žetonų, kurie anksčiau turėjo ryšio problemų, palaikymą. Buvome informuoti, kad jie nesuteikia 100% garantijos, kad palaikys absoliučiai visus USB įrenginius, tačiau dar nerado nei vieno įrenginio, su kuriuo būtų problemų. Toks atsakymas mūsų netenkino ir pasiūlėme gamintojui perduoti žetonus testavimui (laimei, siuntimas per transporto įmonę kainavo tik 150 rublių, o senų žetonų turime pakankamai). Praėjus 4 dienoms po raktų išsiuntimo gavome prisijungimo duomenis ir stebuklingai prisijungėme prie Windows 7, 10 ir Windows Server 2008. Viskas veikė puikiai, be problemų sujungėme savo žetonus ir galėjome su jais dirbti.
Įsigijome valdomą USB per IP šakotuvą su 64 USB prievadais. Sujungėme visus 18 prievadus iš 64 kompiuterių skirtingose šakose (32 raktai, o likusieji - flash drives, kietieji diskai ir 3 USB kameros) - visi įrenginiai veikė be problemų. Apskritai likome patenkinti įrenginiu.
USB per IP įrenginių pavadinimų ir gamintojų neišvardinu (kad būtų išvengta reklamos), juos nesunkiai galima rasti internete.
Šaltinis: www.habr.com