Aș dori să împărtășesc experiența noastră de un an în găsirea unei soluții pentru organizarea accesului centralizat și organizat la cheile de securitate electronice în organizația noastră (chei de acces la platformele de tranzacționare, servicii bancare, chei de securitate software etc.). Datorită prezenței filialelor noastre, care sunt foarte separate geografic unele de altele, și a prezenței în fiecare dintre ele a mai multor chei electronice de securitate, nevoia acestora apare constant, dar în ramuri diferite. După un alt tam-tam cu o cheie pierdută, conducerea a stabilit o sarcină - să rezolve această problemă și să colecteze TOATE dispozitivele de securitate USB într-un singur loc și să asigure lucrul cu ele, indiferent de locația angajatului.
Deci, trebuie să colectăm într-un singur birou toate cheile bancare ale clientului, licențele 1c (hasp), token-urile root, ESMART Token USB 64K etc. disponibile în compania noastră. pentru operarea ulterioară pe mașini Hyper-V fizice și virtuale la distanță. Numărul de dispozitive USB este de 50-60 și cu siguranță nu este limita. Locația serverelor de virtualizare în afara biroului (centrul de date). Locația tuturor dispozitivelor USB din birou.
Am studiat tehnologiile existente pentru acces centralizat la dispozitivele USB și am decis să ne concentrăm pe tehnologia USB over IP. Se pare că multe organizații folosesc această soluție specială. Există pe piață atât instrumente hardware, cât și software pentru redirecționarea USB peste IP, dar nu ni s-au potrivit. Prin urmare, în continuare vom vorbi doar despre alegerea hardware-ului USB over IP și, în primul rând, despre alegerea noastră. De asemenea, am exclus din considerare dispozitivele din China (fără nume).
Cele mai descrise soluții hardware USB over IP de pe Internet sunt dispozitivele fabricate în SUA și Germania. Pentru un studiu detaliat, am achiziționat o versiune de montare în rack mare a acestui USB over IP, concepută pentru 14 porturi USB, cu posibilitatea de a se monta într-un rack de 19 inchi, și un USB over IP german, conceput pentru 20 de porturi USB, de asemenea cu capacitatea de a monta într-un rack de 19 inchi. Din păcate, acești producători nu au avut mai multe porturi pentru dispozitive USB over IP.
Primul dispozitiv este foarte scump și interesant (Internetul este plin de recenzii), dar există un dezavantaj foarte mare - nu există sisteme de autorizare pentru conectarea dispozitivelor USB. Oricine instalează aplicația de conectare USB are acces la toate cheile. În plus, după cum a arătat practica, dispozitivul USB „esmart token est64u-r1” este nepotrivit pentru utilizarea cu dispozitivul și, privind în viitor, cu cel „german” pe Win7 OS - atunci când este conectat la acesta, există un BSOD permanent .
Am găsit al doilea dispozitiv USB over IP mai interesant. Dispozitivul are un set mare de setări legate de funcțiile de rețea. Interfața USB over IP este împărțită în mod logic în secțiuni, astfel încât configurarea inițială a fost destul de simplă și rapidă. Dar, după cum am menționat mai devreme, au existat probleme la conectarea unui număr de chei.
Studiind în continuare despre hardware-ul USB peste IP, am dat peste producători autohtoni. Gama include versiuni cu 16, 32, 48 și 64 de porturi cu posibilitatea de a fi montate într-un rack de 19 inchi. Funcționalitatea descrisă de producător a fost chiar mai bogată decât cea a achizițiilor anterioare USB over IP. Inițial, mi-a plăcut că hub-ul USB prin IP administrat intern oferă protecție în două etape pentru dispozitivele USB atunci când partajează USB printr-o rețea:
- Pornirea și oprirea fizică de la distanță a dispozitivelor USB;
- Autorizare pentru conectarea dispozitivelor USB folosind login, parola și adresa IP.
- Autorizare pentru conectarea porturilor USB folosind login, parola și adresa IP.
- Înregistrarea tuturor activărilor și conexiunilor dispozitivelor USB de către clienți, precum și a unor astfel de încercări (introducerea incorectă a parolei etc.).
- Criptarea traficului (care, în principiu, nu era rău pe modelul german).
- În plus, a fost potrivit ca dispozitivul, deși nu este ieftin, să fie de câteva ori mai ieftin decât cele achiziționate anterior (diferența devine deosebit de semnificativă atunci când este convertit într-un port; am luat în considerare un USB over IP cu 64 de porturi).
Am decis să verificăm cu producătorul despre situația cu suport pentru două tipuri de jetoane inteligente care anterior au avut probleme de conectare. Am fost informați că nu oferă o garanție 100% a suportului pentru absolut toate dispozitivele USB, dar nu am găsit încă niciun dispozitiv cu care să existe probleme. Nu am fost mulțumiți de acest răspuns și i-am sugerat producătorului să transfere jetoanele pentru testare (din fericire, transportul prin compania de transport a costat doar 150 de ruble și avem suficiente jetoane vechi). La 4 zile de la trimiterea cheilor ni s-au dat datele de conectare și ne-am conectat miraculos cu Windows 7, 10 și Windows Server 2008. Totul a funcționat bine, ne-am conectat token-urile fără probleme și am putut lucra cu ele.
Am achiziționat un hub USB over IP administrat cu 64 de porturi USB. Am conectat toate cele 18 de porturi de la 64 computere din diferite ramuri (32 de chei și restul - unități flash, hard disk și 3 camere USB) - toate dispozitivele au funcționat fără probleme. În general, am fost mulțumiți de dispozitiv.
Nu enumerez numele și producătorii de dispozitive USB over IP (pentru a evita publicitatea), acestea pot fi găsite cu ușurință pe Internet.
Sursa: www.habr.com