ProHoster > blog > administratie > Informatiebeveiliging van USB over IP-hardwareoplossingen

Informatiebeveiliging van USB over IP-hardwareoplossingen

Onlangs gedeeld ervaring met het vinden van een oplossing voor het organiseren van gecentraliseerde toegang tot elektronische beveiligingssleutels in onze organisatie. De commentaren brachten een ernstig probleem aan de orde van de informatiebeveiliging van USB over IP-hardwareoplossingen, wat ons grote zorgen baart.

Laten we dus eerst beslissen over de initiële voorwaarden.

  • Een groot aantal elektronische beveiligingssleutels.
  • Ze moeten toegankelijk zijn vanaf verschillende geografische locaties.
  • We overwegen alleen USB over IP-hardwareoplossingen en proberen deze oplossing te beveiligen door aanvullende organisatorische en technische maatregelen te nemen (we overwegen de kwestie van alternatieven nog niet).
  • Binnen de reikwijdte van dit artikel zal ik de dreigingsmodellen die we overwegen niet volledig beschrijven (je kunt er veel in zien). Uitgave), maar ik zal mij kort op twee punten concentreren. We sluiten social engineering en illegale acties van gebruikers zelf uit van het model. We overwegen de mogelijkheid van ongeautoriseerde toegang tot USB-apparaten vanaf elk netwerk zonder reguliere inloggegevens.

Informatiebeveiliging van USB over IP-hardwareoplossingen

Om de veiligheid van de toegang tot USB-apparaten te garanderen, zijn er organisatorische en technische maatregelen genomen:

1. Organisatorische beveiligingsmaatregelen.

De beheerde USB over IP-hub is geïnstalleerd in een hoogwaardige afsluitbare serverkast. De fysieke toegang daartoe is gestroomlijnd (toegangscontrolesysteem tot het pand zelf, videobewaking, sleutels en toegangsrechten voor een strikt beperkt aantal personen).

Alle USB-apparaten die in de organisatie worden gebruikt, zijn onderverdeeld in 3 groepen:

  • Kritisch. Financiële digitale handtekeningen – gebruikt in overeenstemming met de aanbevelingen van banken (niet via USB over IP)
  • Belangrijk. Elektronische digitale handtekeningen voor handelsplatforms, diensten, e-documentstroom, rapportage, enz., een aantal sleutels voor software - worden gebruikt met behulp van een beheerde USB over IP-hub.
  • Niet kritisch. Een aantal softwaresleutels, camera's, een aantal flashdrives en schijven met niet-kritieke informatie, USB-modems - worden gebruikt met behulp van een beheerde USB over IP-hub.

2. Technische veiligheidsmaatregelen.

Netwerktoegang tot een beheerde USB over IP-hub wordt alleen geboden binnen een geïsoleerd subnet. Er wordt toegang verleend tot een geïsoleerd subnet:

  • van een terminalserverfarm,
  • via VPN (certificaat en wachtwoord) naar een beperkt aantal computers en laptops, via VPN krijgen ze vaste adressen toegewezen,
  • via VPN-tunnels die regionale kantoren met elkaar verbinden.

Op de beheerde USB over IP-hub DistKontrolUSB worden met behulp van de standaardtools de volgende functies geconfigureerd:

  • Om toegang te krijgen tot USB-apparaten op een USB over IP-hub, wordt codering gebruikt (SSL-codering is ingeschakeld op de hub), hoewel dit mogelijk niet nodig is.
  • “Toegang tot USB-apparaten beperken op basis van IP-adres” is geconfigureerd. Afhankelijk van het IP-adres krijgt de gebruiker wel of geen toegang tot toegewezen USB-apparaten.
  • “Beperk de toegang tot de USB-poort met login en wachtwoord” is geconfigureerd. Dienovereenkomstig krijgen gebruikers toegangsrechten tot USB-apparaten toegewezen.
  • Er werd besloten om de toegang tot een USB-apparaat te beperken door login en wachtwoord niet te gebruiken, omdat Alle USB-sleutels zijn permanent verbonden met de USB over IP-hub en kunnen niet van poort naar poort worden verplaatst. Het is voor ons logischer om gebruikers voor langere tijd toegang te bieden tot een USB-poort waarop een USB-apparaat is geïnstalleerd.
  • Het fysiek in- en uitschakelen van USB-poorten wordt uitgevoerd:
    • Voor software- en elektronische documentsleutels - met behulp van de taakplanner en toegewezen taken van de hub (een aantal sleutels was geprogrammeerd om om 9.00 uur in te schakelen en om 18.00 uur uit te schakelen, een aantal van 13.00 tot 16.00 uur);
    • Voor sleutels tot handelsplatforms en een aantal software - door geautoriseerde gebruikers via de WEB-interface;
    • Camera's, een aantal flashdrives en schijven met niet-kritieke informatie staan ​​altijd aan.

We gaan ervan uit dat deze organisatie van toegang tot USB-apparaten het veilige gebruik ervan garandeert:

  • van regionale kantoren (voorwaardelijk NET nr. 1...... NET nr. N),
  • voor een beperkt aantal computers en laptops die USB-apparaten aansluiten via het wereldwijde netwerk,
  • voor gebruikers gepubliceerd op terminaltoepassingsservers.

In de commentaren zou ik graag specifieke praktische maatregelen willen horen die de informatiebeveiliging van het bieden van wereldwijde toegang tot USB-apparaten vergroten.

Bron: www.habr.com

Voeg een reactie