Chciałbym podzielić się naszym wieloletnim doświadczeniem w znalezieniu rozwiązania na zorganizowanie scentralizowanego i zorganizowanego dostępu do elektronicznych kluczy bezpieczeństwa w naszej organizacji (klucze dostępu do platform transakcyjnych, bankowości, klucze bezpieczeństwa oprogramowania itp.). Ze względu na obecność naszych oddziałów, które są bardzo od siebie oddalone geograficznie oraz obecność w każdym z nich kilku elektronicznych kluczy zabezpieczających, stale pojawia się zapotrzebowanie na nie, ale w różnych oddziałach. Po kolejnej awanturze związanej ze zgubionym kluczem kierownictwo postawiło sobie zadanie - rozwiązać ten problem i zebrać WSZYSTKIE urządzenia zabezpieczające USB w jednym miejscu i zapewnić pracę z nimi niezależnie od lokalizacji pracownika.
Musimy więc zebrać w jednym biurze wszystkie klucze banku klienta, licencje 1c (hasp), tokeny root, token ESMART USB 64K itp. dostępne w naszej firmie. do późniejszej operacji na zdalnych fizycznych i wirtualnych maszynach Hyper-V. Liczba urządzeń USB wynosi 50-60 i na pewno nie jest to limit. Lokalizacja serwerów wirtualizacyjnych poza biurem (centrum danych). Lokalizacja wszystkich urządzeń USB w biurze.
Przeanalizowaliśmy istniejące technologie scentralizowanego dostępu do urządzeń USB i postanowiliśmy skupić się na technologii USB over IP. Okazuje się, że wiele organizacji korzysta z tego konkretnego rozwiązania. Na rynku dostępne są zarówno narzędzia sprzętowe, jak i programowe do przekazywania USB przez IP, ale nam one nie odpowiadały. Dlatego dalej porozmawiamy tylko o wyborze sprzętu USB over IP, a przede wszystkim o naszym wyborze. Z analizy wykluczyliśmy także urządzenia z Chin (bezimienne).
Najszerzej opisywanymi w Internecie rozwiązaniami sprzętowymi USB over IP są urządzenia produkowane w USA i Niemczech. Do szczegółowych badań zakupiliśmy dużą wersję tego USB over IP do montażu w stojaku, zaprojektowaną na 14 portów USB, z możliwością montażu w szafie 19-calowej, oraz niemiecką wersję USB over IP, zaprojektowaną na 20 portów USB, również z możliwość montażu w szafie rack 19 cali. Niestety ci producenci nie posiadali większej liczby portów urządzeń USB over IP.
Pierwsze urządzenie jest bardzo drogie i ciekawe (w Internecie jest pełno recenzji), ale ma bardzo dużą wadę - nie ma systemów autoryzacji do podłączania urządzeń USB. Każdy, kto zainstaluje aplikację do połączenia USB, ma dostęp do wszystkich kluczy. Ponadto, jak pokazała praktyka, urządzenie USB „esmart token est64u-r1” nie nadaje się do użytku z urządzeniem i, patrząc w przyszłość, z „niemieckim” systemem operacyjnym Win7 - po podłączeniu do niego pojawia się stały BSOD .
Stwierdziliśmy, że drugie urządzenie USB over IP jest bardziej interesujące. Urządzenie posiada duży zestaw ustawień związanych z funkcjami sieciowymi. Interfejs USB over IP jest logicznie podzielony na sekcje, więc początkowa konfiguracja była dość prosta i szybka. Ale, jak wspomniano wcześniej, wystąpiły problemy z połączeniem wielu kluczy.
Studiując dalej na temat sprzętu USB over IP, natknęliśmy się na krajowych producentów. Oferta obejmuje wersje 16, 32, 48 i 64 portów z możliwością montażu w 19-calowej szafie. Funkcjonalność opisana przez producenta była jeszcze bogatsza niż w przypadku poprzednich zakupów USB over IP. Początkowo podobało mi się, że domowy zarządzany koncentrator USB over IP zapewnia dwustopniową ochronę urządzeń USB podczas udostępniania USB w sieci:
- Zdalne fizyczne włączanie i wyłączanie urządzeń USB;
- Autoryzacja do podłączenia urządzeń USB za pomocą loginu, hasła i adresu IP.
- Autoryzacja do podłączenia portów USB za pomocą loginu, hasła i adresu IP.
- Rejestrowanie wszystkich aktywacji i podłączeń urządzeń USB przez klientów, a także takich prób (błędne wprowadzenie hasła itp.).
- Szyfrowanie ruchu (co w zasadzie nie było złe w modelu niemieckim).
- Dodatkowo przydało się, aby urządzenie, choć nie tanie, było kilkukrotnie tańsze od zakupionych wcześniej (różnica staje się szczególnie znacząca po przeliczeniu na port; rozważaliśmy 64-portowy USB over IP).
Postanowiliśmy sprawdzić u producenta sytuację z obsługą dwóch typów inteligentnych tokenów, które wcześniej miały problemy z połączeniem. Zostaliśmy poinformowani, że nie zapewniają 100% gwarancji wsparcia dla absolutnie wszystkich urządzeń USB, ale nie znaleźliśmy jeszcze ani jednego urządzenia, z którym występują problemy. Ta odpowiedź nas nie zadowoliła i zasugerowaliśmy producentowi przekazanie tokenów do testów (na szczęście wysyłka firmą transportową kosztuje tylko 150 rubli, a starych tokenów mamy dość). Po 4 dniach od wysłania kluczy otrzymaliśmy dane do połączenia i cudownie połączyliśmy się z Windows 7, 10 i Windows Server 2008. Wszystko działało dobrze, bez problemu podłączyliśmy nasze tokeny i mogliśmy z nimi pracować.
Kupiliśmy zarządzany koncentrator USB przez IP z 64 portami USB. Podłączyliśmy wszystkie 18 porty z 64 komputerów w różnych gałęziach (32 klucze i reszta - dyski flash, dyski twarde i 3 kamery USB) - wszystkie urządzenia działały bez problemów. Ogólnie byliśmy zadowoleni z urządzenia.
Nie podaję nazw i producentów urządzeń USB over IP (aby uniknąć reklamy), można je łatwo znaleźć w Internecie.
Źródło: www.habr.com