Saya ingin berkongsi pengalaman selama setahun kami dalam mencari penyelesaian untuk mengatur akses terpusat dan teratur kepada kunci keselamatan elektronik dalam organisasi kami (kunci untuk akses kepada platform dagangan, perbankan, kunci keselamatan perisian, dll.). Oleh kerana kehadiran cawangan kami, yang secara geografi sangat terpisah antara satu sama lain, dan kehadiran dalam setiap daripada mereka beberapa kunci keselamatan elektronik, keperluan untuk mereka sentiasa timbul, tetapi di cawangan yang berbeza. Selepas kekecohan lain dengan kunci yang hilang, pihak pengurusan menetapkan tugas - untuk menyelesaikan masalah ini dan mengumpul SEMUA peranti keselamatan USB di satu tempat, dan memastikan bekerja dengan mereka tanpa mengira lokasi pekerja.
Jadi, kami perlu mengumpulkan dalam satu pejabat semua kunci bank pelanggan, lesen 1c (hasp), token akar, ESMART Token USB 64K, dan lain-lain yang tersedia dalam syarikat kami. untuk operasi seterusnya pada mesin Hyper-V fizikal dan maya jauh. Bilangan peranti USB ialah 50-60 dan pastinya ia bukan hadnya. Lokasi pelayan virtualisasi di luar pejabat (pusat data). Lokasi semua peranti USB di pejabat.
Kami mengkaji teknologi sedia ada untuk akses terpusat kepada peranti USB dan memutuskan untuk menumpukan pada teknologi USB melalui IP. Ternyata banyak organisasi menggunakan penyelesaian khusus ini. Terdapat kedua-dua alatan perkakasan dan perisian untuk pemajuan USB melalui IP di pasaran, tetapi ia tidak sesuai dengan kami. Oleh itu, selanjutnya kita akan bercakap hanya tentang pilihan perkakasan USB melalui IP dan, pertama sekali, tentang pilihan kita. Kami juga mengecualikan peranti dari China (tanpa nama) daripada dipertimbangkan.
Penyelesaian perkakasan USB melalui IP yang paling banyak diterangkan di Internet ialah peranti yang dibuat di Amerika Syarikat dan Jerman. Untuk kajian terperinci, kami membeli versi rackmount besar USB over IP ini, direka untuk 14 port USB, dengan keupayaan untuk melekap dalam rak 19 inci, dan USB Jerman over IP, direka untuk 20 port USB, juga dengan keupayaan untuk dipasang dalam rak 19 inci. Malangnya, pengeluar ini tidak mempunyai lebih banyak USB melalui port peranti IP.
Peranti pertama sangat mahal dan menarik (Internet penuh dengan ulasan), tetapi terdapat kelemahan yang sangat besar - tidak ada sistem kebenaran untuk menyambungkan peranti USB. Sesiapa sahaja yang memasang apl sambungan USB mempunyai akses kepada semua kekunci. Di samping itu, seperti yang ditunjukkan oleh amalan, peranti USB "esmart token est64u-r1" tidak sesuai untuk digunakan dengan peranti dan, melihat ke hadapan, dengan peranti "Jerman" pada Win7 OS - apabila disambungkan kepadanya, terdapat BSOD kekal .
Kami mendapati peranti USB melalui IP kedua lebih menarik. Peranti mempunyai set tetapan besar yang berkaitan dengan fungsi rangkaian. Antara muka USB melalui IP secara logiknya dibahagikan kepada beberapa bahagian, jadi persediaan awal agak mudah dan pantas. Tetapi, seperti yang dinyatakan sebelum ini, terdapat masalah menyambungkan beberapa kunci.
Mempelajari lebih lanjut tentang perkakasan USB melalui IP, kami menemui pengeluar domestik. Barisan ini termasuk versi port 16, 32, 48 dan 64 dengan keupayaan untuk dipasang dalam rak 19 inci. Fungsi yang diterangkan oleh pengilang adalah lebih kaya daripada pembelian USB melalui IP sebelumnya. Pada mulanya, saya suka bahawa hab USB melalui IP terurus domestik menyediakan perlindungan dua peringkat untuk peranti USB apabila berkongsi USB melalui rangkaian:
- Hidupkan dan matikan fizikal jauh peranti USB;
- Kebenaran untuk menyambungkan peranti USB menggunakan log masuk, kata laluan dan alamat IP.
- Kebenaran untuk menyambungkan port USB menggunakan log masuk, kata laluan dan alamat IP.
- Log semua pengaktifan dan sambungan peranti USB oleh pelanggan, serta percubaan sedemikian (masukan kata laluan yang salah, dsb.).
- Penyulitan trafik (yang, pada dasarnya, tidak buruk pada model Jerman).
- Selain itu, adalah sesuai bahawa peranti itu, walaupun tidak murah, adalah beberapa kali lebih murah daripada yang dibeli sebelum ini (perbezaan menjadi ketara apabila ditukar kepada port; kami menganggap USB 64-port melalui IP).
Kami memutuskan untuk menyemak dengan pengeluar tentang situasi dengan sokongan untuk dua jenis token pintar yang sebelum ini mempunyai masalah sambungan. Kami dimaklumkan bahawa mereka tidak memberikan jaminan 100% sokongan untuk semua peranti USB, tetapi masih belum menemui satu peranti yang mempunyai masalah. Kami tidak berpuas hati dengan jawapan ini dan kami mencadangkan agar pengilang memindahkan token untuk ujian (nasib baik, penghantaran melalui syarikat pengangkutan hanya berharga 150 rubel, dan kami mempunyai cukup token lama). 4 hari selepas menghantar kunci, kami diberikan data sambungan dan kami menyambung secara ajaib dengan Windows 7, 10 dan Windows Server 2008. Semuanya berfungsi dengan baik, kami menyambungkan token kami tanpa sebarang masalah dan dapat bekerja dengannya.
Kami membeli hab USB melalui IP terurus dengan 64 port USB. Kami menyambungkan kesemua 18 port daripada 64 komputer di cawangan yang berbeza (32 kekunci dan selebihnya - pemacu kilat, pemacu keras dan 3 kamera USB) - semua peranti berfungsi tanpa masalah. Secara keseluruhan kami berpuas hati dengan peranti itu.
Saya tidak menyenaraikan nama dan pengeluar peranti USB melalui IP (untuk mengelakkan pengiklanan), ia boleh didapati dengan mudah di Internet.
Sumber: www.habr.com