Nedávno zdieľané v našej organizácii. Pripomienky vyvolali vážny problém informačnej bezpečnosti hardvérových riešení USB over IP, ktorý nás veľmi znepokojuje.
Najprv sa teda rozhodnime o počiatočných podmienkach.
- Veľké množstvo elektronických bezpečnostných kľúčov.
- Treba k nim pristupovať z rôznych geografických lokalít.
- Uvažujeme len o hardvérových riešeniach USB over IP a snažíme sa toto riešenie zabezpečiť dodatočnými organizačnými a technickými opatreniami (otázkou alternatív zatiaľ neuvažujeme).
- V rámci tohto článku nebudem úplne opisovať modely hrozieb, ktoré zvažujeme (veľa môžete vidieť v ), no v krátkosti sa zameriam na dva body. Z modelu vylučujeme sociálne inžinierstvo a nezákonné akcie samotných používateľov. Zvažujeme možnosť neoprávneného prístupu k USB zariadeniam z akejkoľvek siete bez bežných prihlasovacích údajov.
Na zaistenie bezpečnosti prístupu k USB zariadeniam boli prijaté organizačné a technické opatrenia:
1. Organizačné bezpečnostné opatrenia.
Spravovaný rozbočovač USB over IP je inštalovaný vo vysokokvalitnej uzamykateľnej serverovej skrini. Fyzický prístup k nemu je zefektívnený (systém kontroly vstupu do samotného areálu, kamerový dohľad, kľúče a prístupové práva pre prísne obmedzený počet osôb).
Všetky zariadenia USB používané v organizácii sú rozdelené do 3 skupín:
- Kritické. Finančné digitálne podpisy – používané v súlade s odporúčaniami bánk (nie cez USB cez IP)
- Dôležité. Elektronické digitálne podpisy pre obchodné platformy, služby, tok elektronických dokumentov, výkazníctvo atď., množstvo kľúčov pre softvér – používajú sa pomocou spravovaného rozbočovača USB cez IP.
- Nie je to kritické. Množstvo softvérových kľúčov, kamier, množstvo flash diskov a diskov s nekritickými informáciami, USB modemy - sa používa pomocou spravovaného USB cez IP rozbočovača.
2. Technické bezpečnostné opatrenia.
Sieťový prístup k riadenému rozbočovaču USB cez IP je poskytovaný iba v rámci izolovanej podsiete. Prístup do izolovanej podsiete je poskytovaný:
- z farmy terminálových serverov,
- cez VPN (certifikát a heslo) na obmedzený počet počítačov a notebookov, cez VPN sú im vydávané trvalé adresy,
- cez VPN tunely spájajúce regionálne kancelárie.
Na spravovanom rozbočovači USB cez IP DistKontrolUSB sa pomocou jeho štandardných nástrojov konfigurujú nasledujúce funkcie:
- Na prístup k zariadeniam USB na rozbočovači USB over IP sa používa šifrovanie (na rozbočovači je zapnuté šifrovanie SSL), hoci to nemusí byť potrebné.
- Je nakonfigurované „Obmedzenie prístupu k zariadeniam USB podľa adresy IP“. V závislosti od adresy IP má používateľ alebo nemá povolený prístup k priradeným zariadeniam USB.
- Je nakonfigurované „Obmedziť prístup k portu USB prihlásením a heslom“. Podľa toho sú používateľom pridelené prístupové práva k zariadeniam USB.
- „Obmedzenie prístupu k zariadeniu USB pomocou prihlasovacieho mena a hesla“ sa rozhodlo nepoužiť, pretože Všetky kľúče USB sú pripojené k rozbočovaču USB over IP natrvalo a nemožno ich presúvať z portu do portu. Pre nás je zmysluplnejšie poskytnúť používateľom dlhodobo prístup k portu USB s nainštalovaným zariadením USB.
- Fyzické zapínanie a vypínanie USB portov sa vykonáva:
- Pre softvér a kľúče elektronických dokumentov - pomocou plánovača úloh a priradených úloh hubu (niekoľko tlačidiel bolo naprogramovaných na zapnutie o 9.00:18.00 a vypnutie o 13.00:16.00, číslo od XNUMX:XNUMX do XNUMX:XNUMX);
- Pre kľúče k obchodným platformám a množstvo softvéru – autorizovanými používateľmi cez WEB rozhranie;
- Fotoaparáty, množstvo flash diskov a diskov s nekritickými informáciami sú vždy zapnuté.
Predpokladáme, že táto organizácia prístupu k USB zariadeniam zabezpečuje ich bezpečné používanie:
- z krajských úradov (podmienečne NET č. 1...... NET č. N),
- pre obmedzený počet počítačov a notebookov pripájajúcich USB zariadenia cez globálnu sieť,
- pre používateľov publikovaných na terminálových aplikačných serveroch.
V komentároch by som si rád vypočul konkrétne praktické opatrenia, ktoré zvyšujú informačnú bezpečnosť poskytovania globálneho prístupu k USB zariadeniam.
Zdroj: hab.com