Rád by som sa podelil o naše dlhoročné skúsenosti s hľadaním riešenia na organizáciu centralizovaného a efektívneho prístupu k elektronickým bezpečnostným kľúčom v našej organizácii (kľúče pre prístup na trhoviská, bankovníctvo, softvérové bezpečnostné kľúče atď.). V súvislosti s prítomnosťou našich pobočiek, ktoré sú od seba geograficky veľmi oddelené, a prítomnosťou niekoľkých elektronických bezpečnostných kľúčov v každej z nich, ich potreba neustále vyvstáva, avšak v rôznych pobočkách. Po ďalšej hádke so strateným kľúčom si vedenie stanovilo úlohu - vyriešiť tento problém a zhromaždiť VŠETKY USB zabezpečovacie zariadenia na jednom mieste a zabezpečiť, aby fungovali bez ohľadu na to, kde sa zamestnanec nachádza.
Potrebujeme teda zhromaždiť v jednej kancelárii všetky kľúče klientskej banky, 1c licencie (hasp), rutokeny, ESMART Token USB 64K atď. dostupné v našej spoločnosti. pre následnú prevádzku na vzdialených fyzických a virtuálnych Hyper-V počítačoch. Počet usb zariadení je 50-60 a určite to nie je limit. Umiestnenie virtualizačných serverov mimo kancelárie (dátové centrum). Umiestnenie všetkých USB zariadení v kancelárii.
Študovali sme existujúce technológie pre centralizovaný prístup k USB zariadeniam a rozhodli sme sa zamerať na technológiu USB over IP (USB over IP). Ukazuje sa, že mnohé organizácie využívajú toto riešenie. Na trhu je hardvér aj softvér USB over IP, ale nevyhovovali nám. Podľa toho sa ďalej budeme baviť len o výbere hardvéru USB over IP a predovšetkým o našom výbere. Zariadenia z Číny (nemenované) sme tiež vylúčili z úvahy.
Najviac popisovaným hardvérovým riešením USB over IP na internete sú zariadenia vyrobené v USA a Nemecku. Pre detailnú štúdiu sme zakúpili veľkú rackovú verziu tohto USB over IP, určenú pre 14 USB portov, s možnosťou montáže do 19-palcového racku a nemecké USB over IP, určené pre 20 USB portov, taktiež s možnosťou montáž do 19-palcového racku. Bohužiaľ, títo výrobcovia nemali viac portov USB over IP zariadení.
Prvé zariadenie je veľmi drahé a zaujímavé (internet je plný recenzií), ale je tu veľmi veľké mínus - neexistujú žiadne autorizačné systémy na pripojenie zariadení USB. Každý, kto si nainštaluje aplikáciu na pripojenie USB, získa prístup ku všetkým kľúčom. Okrem toho, ako ukázala prax, zariadenie USB "esmart token est64u-r1" nie je vhodné na použitie so zariadením a pri pohľade do budúcnosti s "nemčinou" na OS Win7 - pri pripojení k nemu trvalý BSOD.
Druhé USB over IP zariadenie sa nám zdalo zaujímavejšie. Zariadenie má veľkú sadu nastavení súvisiacich so sieťovými funkciami. Rozhranie USB over IP je logicky rozdelené do sekcií, takže prvotné nastavenie bolo celkom jednoduché a rýchle. Ako však už bolo spomenuté, vyskytli sa problémy s pripojením viacerých kľúčov.
Štúdium ďalšieho hardvéru USB cez IP narazilo na domácich výrobcov. Rad zahŕňa 16, 32, 48 a 64 portové verzie s možnosťou montáže do 19" racku. Funkcionalita popisovaná výrobcom bola ešte bohatšia ako pri predošlom kupovanom USB over IP. Spočiatku sa mi páčilo, že domáci spravovaný rozbočovač USB cez IP poskytuje dvojstupňovú ochranu pre USB zariadenia pri zdieľaní USB cez sieť:
- Vzdialené fyzické zapínanie a vypínanie USB zariadení;
- Autorizácia na pripojenie USB zariadení pomocou prihlasovacieho mena, hesla a IP adresy.
- Autorizácia na pripojenie USB portov prihlasovacím menom, heslom a IP adresou.
- Zapisovanie všetkých zapnutí a pripojení USB zariadení klientmi, ako aj takýchto pokusov (nesprávne zadanie hesla a pod.).
- Šifrovanie premávky (s ktorým to v princípe na nemeckom vzore nebolo zlé).
- Okrem toho bolo vhodné, aby zariadenie, aj keď nebolo lacné, bolo niekoľkonásobne lacnejšie ako tie, ktoré boli zakúpené skôr (rozdiel je výrazný najmä pri konverzii na port, uvažovali sme o 64-portovom USB cez IP).
Rozhodli sme sa u výrobcu overiť situáciu s podporou dvoch typov inteligentných tokenov, ktoré mali problémy s pripojením už skôr. Bolo nám povedané, že nedávajú 100% záruku podpory úplne všetkých USB zariadení, ale zatiaľ sme nenašli jediné zariadenie, s ktorým by boli problémy. Táto odpoveď nám veľmi nevyhovovala a navrhli sme výrobcovi preniesť tokeny na testovanie (našťastie zaslanie prepravnou spoločnosťou stálo len 150 rubľov a starých tokenov máme dosť). 4 dni po odoslaní kľúčov sme boli informovaní o údajoch o pripojení a úžasne sme sa k nim pripojili s Windows 7, 10 a Windows Server 2008. Všetko fungovalo v poriadku, naše tokeny sme pripojili bez problémov a dokázali s nimi pracovať.
Kúpili sme spravovaný rozbočovač USB cez IP pre 64 portov USB. Pripojili sme všetkých 18 portov z 64 počítačov v rôznych vetvách (32 kľúčov a zvyšok - flash disky, pevné disky a 3 USB kamery) - všetky zariadenia fungovali bez problémov. Vo všeobecnosti bolo zariadenie spokojné.
Neuvádzam mená a výrobcov zariadení USB over IP (aby to nebola reklama), dajú sa ľahko nájsť na internete.
Zdroj: hab.com