Ik wil graag onze jarenlange ervaring delen in het vinden van een oplossing om de toegang tot elektronische beveiligingssleutels in onze organisatie gecentraliseerd en gestroomlijnd te organiseren (sleutels voor toegang tot marktplaatsen, bankieren, softwarebeveiligingssleutels, enz.). In verband met de aanwezigheid van onze filialen, die geografisch sterk van elkaar gescheiden zijn, en de aanwezigheid in elk van hen van meerdere elektronische beveiligingssleutels, ontstaat de behoefte eraan voortdurend, maar in verschillende filialen. Na weer een gedoe met een verloren sleutel, stelde het management de taak op om dit probleem op te lossen en ALLE USB-beveiligingsapparaten op één plek te verzamelen en ervoor te zorgen dat ze werken, ongeacht de locatie van de werknemer.
We moeten dus in één kantoor alle sleutels van de klantbank, 1c-licenties (hasp), rutokens, ESMART Token USB 64K, enz. Verzamelen die beschikbaar zijn in ons bedrijf. voor latere werking op fysieke en virtuele Hyper-V-machines op afstand. Het aantal usb-apparaten is 50-60 en dit is zeker niet de limiet. Locatie van virtualisatieservers buiten het kantoor (datacenter). Locatie van alle USB-apparaten op kantoor.
We bestudeerden de bestaande technologieën voor gecentraliseerde toegang tot USB-apparaten en besloten ons te concentreren op USB over IP (USB over IP)-technologie. Het blijkt dat veel organisaties deze oplossing gebruiken. Er zijn zowel USB over IP-hardware als -software op de markt, maar die bevielen ons niet. Volgens dit zullen we verder alleen praten over de keuze van hardware USB over IP en allereerst over onze keuze. Apparaten uit China (naamloos) hebben we ook buiten beschouwing gelaten.
De meest beschreven USB over IP-hardwareoplossing op internet zijn apparaten die in de VS en Duitsland zijn gemaakt. Voor een gedetailleerde studie kochten we een grote rackversie van deze USB over IP, ontworpen voor 14 USB-poorten, met de mogelijkheid om in een 19-inch rack te monteren en Duitse USB over IP, ontworpen voor 20 USB-poorten, ook met de mogelijkheid om monteren in een 19 inch rek. Helaas hadden deze fabrikanten niet meer USB over IP-apparaatpoorten.
Het eerste apparaat is erg duur en interessant (het internet staat vol met recensies), maar er is een heel groot minpunt: er zijn geen autorisatiesystemen voor het aansluiten van USB-apparaten. Iedereen die de app USB-verbinding installeert, krijgt toegang tot alle sleutels. Bovendien, zoals de praktijk heeft aangetoond, is het USB-apparaat "esmart token est64u-r1" niet geschikt voor gebruik met het apparaat en, vooruitkijkend, met "Duits" op Win7 OS - wanneer erop aangesloten, een permanente BSOD.
Het tweede USB over IP-apparaat leek ons interessanter. Het apparaat heeft een groot aantal instellingen met betrekking tot netwerkfuncties. De USB over IP-interface is logisch verdeeld in secties, dus de eerste installatie was vrij eenvoudig en snel. Maar, zoals eerder vermeld, waren er problemen met het aansluiten van een aantal toetsen.
Bij het bestuderen van verdere hardware kwam USB over IP binnenlandse fabrikanten tegen. Het assortiment omvat versies met 16, 32, 48 en 64 poorten met mogelijkheid tot 19-inch rekmontage. De door de fabrikant beschreven functionaliteit was nog rijker dan de eerder aangeschafte USB over IP. Aanvankelijk vond ik het leuk dat de binnenlandse beheerde USB over IP-hub tweetraps bescherming biedt voor USB-apparaten bij het delen van USB via een netwerk:
- Op afstand fysiek in- en uitschakelen van USB-apparaten;
- Autorisatie voor het aansluiten van USB-apparaten door login, wachtwoord en IP-adres.
- Autorisatie voor het aansluiten van USB-poorten door login, wachtwoord en IP-adres.
- Logging van alle inschakel- en verbindingspogingen van USB-apparaten door clients, evenals dergelijke pogingen (verkeerde wachtwoordinvoer, enz.).
- Verkeerscodering (waarmee het in principe niet slecht was op het Duitse model).
- Bovendien was het passend dat het apparaat, hoewel niet goedkoop, meerdere keren goedkoper was dan de eerder gekochte apparaten (het verschil wordt vooral aanzienlijk bij conversie naar een poort, we overwogen 64-poorts USB over IP).
We besloten om bij de fabrikant te informeren naar de situatie met ondersteuning voor twee soorten smart tokens die eerder verbindingsproblemen hadden. Er is ons verteld dat ze geen 100% ondersteuningsgarantie geven voor absoluut alle USB-apparaten, maar tot nu toe geen enkel apparaat hebben gevonden waarmee er problemen zouden zijn. Dit antwoord beviel ons niet zo goed en we stelden de fabrikant voor om de tokens over te dragen om te testen (gelukkig kost het verzenden door een transportbedrijf slechts 150 roebel, en we hebben genoeg oude tokens). 4 dagen nadat de sleutels waren verzonden, werden we op de hoogte gebracht van de verbindingsgegevens en we maakten er geweldig verbinding mee met Windows 7, 10 en Windows Server 2008. Alles werkte prima, we hebben onze tokens probleemloos aangesloten en ermee kunnen werken.
We kochten een beheerde USB over IP-hub voor 64 USB-poorten. We hebben alle 18 poorten van 64 computers in verschillende takken aangesloten (32 sleutels en de rest - flashdrives, harde schijven en 3 USB-camera's) - alle apparaten werkten zonder problemen. Over het algemeen was het apparaat tevreden.
Ik geef geen namen en fabrikanten van USB over IP-apparaten (om geen reclame te maken), ze zijn gemakkelijk genoeg te vinden op internet.
Bron: www.habr.com