ProHoster > Blog > administracja > Bezpieczeństwo informacji rozwiązań sprzętowych USB over IP

Bezpieczeństwo informacji rozwiązań sprzętowych USB over IP

Ostatnio udostępnione doświadczenie w znalezieniu rozwiązania w zakresie organizacji scentralizowanego dostępu do elektronicznych kluczy bezpieczeństwa w naszej organizacji. W komentarzach poruszono poważną kwestię bezpieczeństwa informacji rozwiązań sprzętowych USB over IP, co nas bardzo niepokoi.

Najpierw ustalmy warunki początkowe.

  • Duża liczba elektronicznych kluczy zabezpieczających.
  • Należy uzyskać do nich dostęp z różnych lokalizacji geograficznych.
  • Rozważamy wyłącznie rozwiązania sprzętowe USB over IP i staramy się zabezpieczyć to rozwiązanie poprzez podjęcie dodatkowych działań organizacyjnych i technicznych (nie rozważamy jeszcze kwestii alternatyw).
  • W ramach tego artykułu nie będę w pełni opisywał modeli zagrożeń, które rozważamy (wiele można zobaczyć w Publikacja), ale krótko skupię się na dwóch kwestiach. Z modelu wykluczamy socjotechnikę i nielegalne działania samych użytkowników. Rozważamy możliwość nieautoryzowanego dostępu do urządzeń USB z dowolnej sieci bez zwykłych danych uwierzytelniających.

Bezpieczeństwo informacji rozwiązań sprzętowych USB over IP

W celu zapewnienia bezpieczeństwa dostępu do urządzeń USB podjęto działania organizacyjne i techniczne:

1. Organizacyjne środki bezpieczeństwa.

Zarządzany koncentrator USB over IP jest zainstalowany w wysokiej jakości zamykanej szafie serwerowej. Usprawniony jest fizyczny dostęp do niego (system kontroli dostępu do samego lokalu, monitoring wizyjny, klucze i prawa dostępu dla ściśle ograniczonej liczby osób).

Wszystkie urządzenia USB używane w organizacji są podzielone na 3 grupy:

  • Krytyczny. Finansowe podpisy cyfrowe – stosowane zgodnie z zaleceniami banków (nie poprzez USB over IP)
  • Ważny. Elektroniczne podpisy cyfrowe dla platform transakcyjnych, usług, obiegu e-dokumentów, raportowania itp., szereg kluczy do oprogramowania - wykorzystywane są za pomocą zarządzanego koncentratora USB over IP.
  • Nie krytyczne. Szereg kluczy oprogramowania, kamer, wielu dysków flash i dysków z informacjami niekrytycznymi, modemów USB - jest używanych za pomocą zarządzanego koncentratora USB przez IP.

2. Techniczne środki bezpieczeństwa.

Dostęp sieciowy do zarządzanego koncentratora USB przez IP jest zapewniany tylko w izolowanej podsieci. Dostęp do izolowanej podsieci jest zapewniony:

  • z farmy serwerów terminalowych,
  • poprzez VPN (certyfikat i hasło) do ograniczonej liczby komputerów i laptopów, poprzez VPN nadawane są im stałe adresy,
  • poprzez tunele VPN łączące biura regionalne.

W zarządzanym koncentratorze USB over IP DistKontrolUSB za pomocą standardowych narzędzi konfiguruje się następujące funkcje:

  • Aby uzyskać dostęp do urządzeń USB znajdujących się w koncentratorze USB over IP, stosowane jest szyfrowanie (w koncentratorze włączone jest szyfrowanie SSL), chociaż może to być niepotrzebne.
  • Skonfigurowano „Ograniczenie dostępu do urządzeń USB według adresu IP”. W zależności od adresu IP użytkownik ma dostęp lub nie do przypisanych mu urządzeń USB.
  • Skonfigurowano opcję „Ogranicz dostęp do portu USB za pomocą loginu i hasła”. W związku z tym użytkownikom przypisywane są prawa dostępu do urządzeń USB.
  • Zdecydowano się nie stosować opcji „Ograniczenie dostępu do urządzenia USB za pomocą loginu i hasła”, ponieważ Wszystkie klucze USB są na stałe podłączone do koncentratora USB przez IP i nie można ich przenosić z portu na port. Bardziej sensowne jest dla nas zapewnienie użytkownikom dostępu do portu USB z zainstalowanym w nim urządzeniem USB na dłuższy czas.
  • Fizyczne włączanie i wyłączanie portów USB odbywa się:
    • W przypadku kluczy oprogramowania i dokumentów elektronicznych - za pomocą harmonogramu zadań i przypisanych zadań koncentratora (zaprogramowano szereg kluczy, aby włączały się o godzinie 9.00 i wyłączały o godzinie 18.00, numer od 13.00 do 16.00);
    • W przypadku kluczy do platform transakcyjnych i szeregu oprogramowania - przez autoryzowanych użytkowników poprzez interfejs WEB;
    • Kamery, wiele dysków flash i dysków z informacjami niekrytycznymi są zawsze włączone.

Zakładamy, że taka organizacja dostępu do urządzeń USB zapewnia ich bezpieczne użytkowanie:

  • z oddziałów regionalnych (warunkowo NET nr 1...... NET nr N),
  • dla ograniczonej liczby komputerów i laptopów podłączających urządzenia USB poprzez sieć globalną,
  • dla użytkowników opublikowanych na serwerach aplikacji terminalowych.

W komentarzach chciałbym usłyszeć konkretne praktyczne środki zwiększające bezpieczeństwo informacji polegające na zapewnieniu globalnego dostępu do urządzeń USB.

Źródło: www.habr.com

Dodaj komentarz