Gostaria de compartilhar nossa experiência de um ano na busca de uma solução para organizar o acesso centralizado e organizado às chaves eletrônicas de segurança em nossa organização (chaves de acesso a plataformas de negociação, bancos, chaves de segurança de software, etc.). Devido à presença das nossas agências, geograficamente muito separadas entre si, e à presença em cada uma delas de diversas chaves eletrónicas de segurança, a necessidade das mesmas surge constantemente, mas em agências diferentes. Depois de mais uma confusão com a chave perdida, a administração definiu uma tarefa - resolver esse problema e reunir TODOS os dispositivos de segurança USB em um só lugar, e garantir o trabalho com eles independentemente da localização do funcionário.
Portanto, precisamos coletar em um escritório todas as chaves bancárias do cliente, licenças 1c (hasp), tokens root, ESMART Token USB 64K, etc. para operação subsequente em máquinas Hyper-V físicas e virtuais remotas. O número de dispositivos USB é de 50 a 60 e definitivamente não é o limite. Localização dos servidores de virtualização fora do escritório (data center). Localização de todos os dispositivos USB no escritório.
Estudamos as tecnologias existentes para acesso centralizado a dispositivos USB e decidimos nos concentrar na tecnologia USB sobre IP. Acontece que muitas organizações usam esta solução específica. Existem ferramentas de hardware e software para encaminhamento USB sobre IP no mercado, mas elas não nos agradaram. Portanto, falaremos mais adiante apenas sobre a escolha do hardware USB sobre IP e, antes de tudo, sobre a nossa escolha. Também excluímos da consideração dispositivos da China (sem nome).
As soluções de hardware USB sobre IP mais amplamente descritas na Internet são dispositivos fabricados nos EUA e na Alemanha. Para um estudo detalhado, adquirimos uma versão grande para montagem em rack deste USB sobre IP, projetada para 14 portas USB, com capacidade de montagem em um rack de 19 polegadas, e um USB sobre IP alemão, projetado para 20 portas USB, também com a capacidade de montagem em um rack de 19 polegadas. Infelizmente, esses fabricantes não tinham mais portas de dispositivos USB sobre IP.
O primeiro dispositivo é muito caro e interessante (a Internet está cheia de análises), mas há uma grande desvantagem - não existem sistemas de autorização para conectar dispositivos USB. Qualquer pessoa que instalar o aplicativo de conexão USB terá acesso a todas as chaves. Além disso, como a prática tem mostrado, o dispositivo USB “esmart token est64u-r1” não é adequado para uso com o dispositivo e, olhando para o futuro, com o “alemão” no sistema operacional Win7 - quando conectado a ele, há um BSOD permanente .
Achamos o segundo dispositivo USB sobre IP mais interessante. O dispositivo possui um grande conjunto de configurações relacionadas às funções de rede. A interface USB sobre IP é logicamente dividida em seções, portanto a configuração inicial foi bastante simples e rápida. Mas, como mencionado anteriormente, houve problemas ao conectar várias chaves.
Estudando mais sobre hardware USB sobre IP, encontramos fabricantes nacionais. A linha inclui versões de 16, 32, 48 e 64 portas com capacidade de montagem em um rack de 19 polegadas. A funcionalidade descrita pelo fabricante era ainda mais rica do que as compras anteriores de USB sobre IP. Inicialmente, gostei do fato de o hub USB sobre IP gerenciado doméstico fornecer proteção em dois estágios para dispositivos USB ao compartilhar USB em uma rede:
- Ligação e desligamento físico remoto de dispositivos USB;
- Autorização para conexão de dispositivos USB utilizando login, senha e endereço IP.
- Autorização para conexão de portas USB utilizando login, senha e endereço IP.
- Registro de todas as ativações e conexões de dispositivos USB pelos clientes, bem como tais tentativas (introdução incorreta de senha, etc.).
- Criptografia de tráfego (que, em princípio, não era ruim no modelo alemão).
- Além disso, foi adequado que o dispositivo, embora não seja barato, seja várias vezes mais barato que os adquiridos anteriormente (a diferença torna-se especialmente significativa quando convertido para uma porta; consideramos um USB sobre IP de 64 portas).
Decidimos verificar com o fabricante a situação do suporte para dois tipos de tokens inteligentes que anteriormente apresentavam problemas de conexão. Fomos informados de que eles não oferecem 100% de garantia de suporte para absolutamente todos os dispositivos USB, mas ainda não encontraram um único dispositivo com problemas. Não ficamos satisfeitos com esta resposta e sugerimos que o fabricante transferisse os tokens para teste (felizmente, o envio pela empresa de transporte custa apenas 150 rublos e temos tokens antigos suficientes). 4 dias após o envio das chaves, recebemos os dados de conexão e nos conectamos milagrosamente com o Windows 7, 10 e Windows Server 2008. Tudo funcionou bem, conectamos nossos tokens sem problemas e conseguimos trabalhar com eles.
Adquirimos um hub USB sobre IP gerenciado com 64 portas USB. Conectamos todas as 18 portas de 64 computadores em filiais diferentes (32 chaves e o restante - pen drives, discos rígidos e 3 câmeras USB) - todos os dispositivos funcionaram sem problemas. No geral, ficamos satisfeitos com o dispositivo.
Não listo os nomes e fabricantes de dispositivos USB sobre IP (para evitar publicidade), eles podem ser facilmente encontrados na Internet.
Fonte: habr.com