Jeg vil gjerne dele vår mange års erfaring med å finne en løsning for å organisere sentralisert og strømlinjeformet tilgang til elektroniske sikkerhetsnøkler i vår organisasjon (nøkler for tilgang til markedsplasser, banktjenester, programvaresikkerhetsnøkler osv.). I forbindelse med tilstedeværelsen av våre filialer, som er geografisk svært adskilt fra hverandre, og tilstedeværelsen i hver av dem av flere elektroniske sikkerhetsnøkler, oppstår behovet for dem hele tiden, men i ulike filialer. Etter nok et oppstyr med en tapt nøkkel, satte ledelsen oppgaven – å løse dette problemet og samle ALLE USB-sikkerhetsenheter på ett sted, og sørge for at de fungerer uavhengig av hvor den ansatte befinner seg.
Så vi må samle på ett kontor alle nøklene til klientbanken, 1c-lisenser (hasp), rutokens, ESMART Token USB 64K, etc. tilgjengelig i vårt selskap. for påfølgende drift på eksterne fysiske og virtuelle Hyper-V-maskiner. Antall usb-enheter er 50-60, og dette er garantert ikke grensen. Plassering av virtualiseringsservere utenfor kontoret (datasenter). Plassering av alle USB-enheter på kontoret.
Vi studerte de eksisterende teknologiene for sentralisert tilgang til USB-enheter og bestemte oss for å fokusere på USB over IP (USB over IP) teknologi. Det viser seg at mange organisasjoner bruker denne løsningen. Det finnes både USB over IP maskinvare og programvare på markedet, men de passet ikke oss. I følge dette vil vi videre bare snakke om valget av maskinvare USB over IP og først av alt om valget vårt. Enheter fra Kina (uten navn) ekskluderte vi også fra vurdering.
Den mest beskrevne USB over IP-maskinvareløsningen på Internett er enheter laget i USA og Tyskland. For en detaljert studie kjøpte vi en stor rackversjon av denne USB over IP, designet for 14 USB-porter, med mulighet for å montere i et 19 tommers rack og tysk USB over IP, designet for 20 USB-porter, også med mulighet til å monteres i et 19 tommers stativ. Dessverre hadde ikke disse produsentene flere USB over IP-enhetsporter.
Den første enheten er veldig dyr og interessant (Internettet er fullt av anmeldelser), men det er et veldig stort minus - det er ingen autorisasjonssystemer for tilkobling av USB-enheter. Alle som installerer USB-tilkoblingsappen får tilgang til alle nøklene. I tillegg, som praksis har vist, er USB-enheten "esmart token est64u-r1" uegnet for bruk med enheten og, når vi ser fremover, med "German" på Win7 OS - når den er koblet til den, en permanent BSOD.
Den andre USB over IP-enheten virket mer interessant for oss. Enheten har et stort sett med innstillinger knyttet til nettverksfunksjoner. USB over IP-grensesnittet er logisk delt inn i seksjoner, så det første oppsettet var ganske enkelt og raskt. Men, som nevnt tidligere, var det problemer med å koble til en rekke nøkler.
Undersøkelse av maskinvare USB over IP kom over innenlandske produsenter. Utvalget inkluderer versjoner med 16, 32, 48 og 64 porter med 19" stativmontering. Funksjonaliteten beskrevet av produsenten var enda rikere enn den forrige kjøpte USB over IP. Til å begynne med likte jeg at den innenlandske administrerte USB over IP-huben gir to-trinns beskyttelse for USB-enheter når de deler USB over et nettverk:
- Ekstern fysisk av- og påkobling av USB-enheter;
- Autorisasjon for tilkobling av USB-enheter med pålogging, passord og IP-adresse.
- Autorisasjon for tilkobling av USB-porter med pålogging, passord og IP-adresse.
- Logging av alle påkoblinger og tilkoblinger av USB-enheter av klienter, samt slike forsøk (feil inntasting av passord osv.).
- Trafikkkryptering (som det i prinsippet ikke var dårlig med på tysk modell).
- I tillegg var det passende at enheten, selv om den ikke var billig, var flere ganger billigere enn de som ble kjøpt tidligere (forskjellen blir spesielt betydelig når den konverteres til en port, vi vurderte 64-porters USB over IP).
Vi bestemte oss for å sjekke med produsenten om situasjonen med støtte for to typer smarte tokens som hadde tilkoblingsproblemer tidligere. Vi ble fortalt at de ikke gir 100 % garanti for støtte for absolutt alle USB-enheter, men har så langt ikke funnet en eneste enhet som det ville være problemer med. Dette svaret passet ikke oss mye, og vi foreslo at produsenten overfører tokens for testing (heldigvis koster sending av et transportselskap bare 150 rubler, og vi har nok gamle tokens). 4 dager etter at nøklene ble sendt ble vi informert om tilkoblingsdataene og vi koblet fantastisk til dem med Windows 7, 10 og Windows Server 2008. Alt fungerte bra, vi koblet til tokens uten problemer og kunne jobbe med dem.
Vi kjøpte en administrert USB over IP-hub for 64 USB-porter. Vi koblet til alle 18 portene fra 64 datamaskiner i forskjellige grener (32 nøkler og resten - flash-stasjoner, harddisker og 3 USB-kameraer) - alle enheter fungerte uten problemer. Generelt var enheten fornøyd.
Jeg oppgir ikke navn og produsenter av USB over IP-enheter (for ikke å være reklame), de er enkle nok å finne på Internett.
Kilde: www.habr.com