Nylig delt i vår organisasjon. Kommentarene reiste et alvorlig problem med informasjonssikkerhet for USB over IP-maskinvareløsninger, som bekymrer oss veldig.
Så la oss først bestemme oss for de innledende betingelsene.
- Et stort antall elektroniske sikkerhetsnøkler.
- De må nås fra forskjellige geografiske steder.
- Vi vurderer kun USB over IP-maskinvareløsninger og prøver å sikre denne løsningen ved å ta ytterligere organisatoriske og tekniske tiltak (vi vurderer ikke spørsmålet om alternativer ennå).
- Innenfor rammen av denne artikkelen vil jeg ikke fullstendig beskrive trusselmodellene vi vurderer (du kan se mye i ), men jeg vil kort fokusere på to punkter. Vi ekskluderer sosial engineering og ulovlige handlinger fra brukerne selv fra modellen. Vi vurderer muligheten for uautorisert tilgang til USB-enheter fra et hvilket som helst nettverk uten vanlig legitimasjon.
For å sikre tilgang til USB-enheter er det tatt organisatoriske og tekniske tiltak:
1. Organisatoriske sikkerhetstiltak.
Den administrerte USB over IP-huben er installert i et låsbart serverskap av høy kvalitet. Fysisk tilgang til den er strømlinjeformet (tilgangskontrollsystem til selve lokalet, videoovervåking, nøkler og tilgangsrettigheter for et strengt begrenset antall personer).
Alle USB-enheter som brukes i organisasjonen er delt inn i 3 grupper:
- Kritisk. Finansielle digitale signaturer – brukt i samsvar med anbefalingene fra bankene (ikke via USB over IP)
- Viktig. Elektroniske digitale signaturer for handelsplattformer, tjenester, e-dokumentflyt, rapportering etc., en rekke nøkler for programvare – brukes ved hjelp av en administrert USB over IP-hub.
- Ikke kritisk. En rekke programvarenøkler, kameraer, en rekke flash-stasjoner og disker med ikke-kritisk informasjon, USB-modemer – brukes ved hjelp av en administrert USB over IP-hub.
2. Tekniske sikkerhetstiltak.
Nettverkstilgang til en administrert USB over IP-hub gis kun innenfor et isolert subnett. Tilgang til et isolert undernett er gitt:
- fra en terminal serverfarm,
- via VPN (sertifikat og passord) til et begrenset antall datamaskiner og bærbare datamaskiner, via VPN får de permanente adresser,
- via VPN-tunneler som forbinder regionkontorer.
På den administrerte USB over IP-huben DistKontrolUSB, ved hjelp av standardverktøyene, er følgende funksjoner konfigurert:
- For å få tilgang til USB-enheter på en USB over IP-hub, brukes kryptering (SSL-kryptering er aktivert på huben), selv om dette kan være unødvendig.
- "Begrense tilgang til USB-enheter etter IP-adresse" er konfigurert. Avhengig av IP-adressen får brukeren eller ikke tilgang til tilordnede USB-enheter.
- "Begrens tilgang til USB-porten med pålogging og passord" er konfigurert. Følgelig tildeles brukere tilgangsrettigheter til USB-enheter.
- "Begrensning av tilgang til en USB-enhet med pålogging og passord" ble besluttet ikke å brukes, fordi Alle USB-nøkler er koblet til USB over IP-huben permanent og kan ikke flyttes fra port til port. Det er mer fornuftig for oss å gi brukere tilgang til en USB-port med en USB-enhet installert i den i lang tid.
- Fysisk skru av og på USB-porter utføres:
- For programvare og elektroniske dokumentnøkler - bruk av oppgaveplanleggeren og tildelte oppgaver til huben (en rekke nøkler ble programmert til å slå på kl. 9.00 og slå av kl. 18.00, et tall fra kl. 13.00 til 16.00);
- For nøkler til handelsplattformer og en rekke programvare - av autoriserte brukere gjennom WEB-grensesnittet;
- Kameraer, en rekke flash-stasjoner og disker med ikke-kritisk informasjon er alltid slått på.
Vi antar at denne organiseringen av tilgang til USB-enheter sikrer sikker bruk:
- fra regionkontorer (betinget NET nr. 1...... NET nr. N),
- for et begrenset antall datamaskiner og bærbare datamaskiner som kobler til USB-enheter via det globale nettverket,
- for brukere publisert på terminalapplikasjonsservere.
I kommentarfeltet vil jeg gjerne høre konkrete praktiske tiltak som øker informasjonssikkerheten ved å gi global tilgang til USB-enheter.
Kilde: www.habr.com