Z vami želim deliti naše dolgoletne izkušnje pri iskanju rešitve za organizacijo centraliziranega in organiziranega dostopa do elektronskih varnostnih ključev v naši organizaciji (ključi za dostop do platform za trgovanje, bančništvo, programski varnostni ključi itd.). Zaradi prisotnosti naših poslovalnic, ki so med seboj geografsko zelo ločene, in prisotnosti v vsaki od njih več elektronskih varnostnih ključev, se potreba po le-teh nenehno pojavlja, vendar v različnih poslovalnicah. Po ponovnem razburjanju z izgubljenim ključem si je vodstvo zadalo nalogo - rešiti ta problem in zbrati VSE varnostne naprave USB na enem mestu ter zagotoviti delo z njimi ne glede na lokacijo zaposlenega.
Torej, v eni pisarni moramo zbrati vse bančne ključe strank, licence 1c (hasp), korenske žetone, ESMART Token USB 64K itd., ki so na voljo v našem podjetju. za kasnejše delovanje na oddaljenih fizičnih in virtualnih strojih Hyper-V. Število USB naprav je 50-60 in to zagotovo ni omejitev. Lokacija virtualizacijskih strežnikov izven pisarne (podatkovnega centra). Lokacija vseh USB naprav v pisarni.
Preučili smo obstoječe tehnologije za centraliziran dostop do naprav USB in se odločili, da se osredotočimo na tehnologijo USB over IP. Izkazalo se je, da številne organizacije uporabljajo to posebno rešitev. Na trgu obstajajo tako strojna kot programska orodja za posredovanje USB over IP, a nam niso ustrezala. Zato bomo v nadaljevanju govorili le o izbiri strojne opreme USB prek IP in najprej o naši izbiri. Iz obravnave smo izločili tudi naprave iz Kitajske (brezimene).
Najbolj razširjene strojne rešitve USB over IP na internetu so naprave, izdelane v ZDA in Nemčiji. Za podrobno študijo smo kupili veliko različico tega USB prek IP za vgradnjo v omaro, zasnovano za 14 vrat USB, z možnostjo namestitve v 19-palčno omaro, in nemško različico USB prek IP, zasnovano za 20 vrat USB, prav tako z možnost namestitve v 19-palčno omaro. Na žalost ti proizvajalci niso imeli več priključkov za naprave USB prek IP.
Prva naprava je zelo draga in zanimiva (internet je poln pregledov), vendar obstaja zelo velika pomanjkljivost - ni avtorizacijskih sistemov za povezovanje naprav USB. Kdor namesti aplikacijo za povezavo USB, ima dostop do vseh ključev. Poleg tega, kot je pokazala praksa, je naprava USB "esmart token est64u-r1" neprimerna za uporabo z napravo in, če pogledamo naprej, z "nemško" v operacijskem sistemu Win7 - ko je povezana z njo, obstaja stalen BSOD .
Bolj zanimiva se nam je zdela druga naprava USB prek IP. Naprava ima velik nabor nastavitev, povezanih z omrežnimi funkcijami. Vmesnik USB over IP je logično razdeljen na odseke, zato je bila začetna nastavitev precej preprosta in hitra. Toda, kot smo že omenili, je prišlo do težav pri povezovanju številnih ključev.
Pri nadaljnjem preučevanju strojne opreme USB over IP smo naleteli na domače proizvajalce. Ponudba vključuje različice s 16, 32, 48 in 64 vrati z možnostjo namestitve v 19-palčno omaro. Funkcionalnost, ki jo je opisal proizvajalec, je bila še bogatejša kot pri prejšnjih nakupih USB over IP. Na začetku mi je bilo všeč, da domače upravljano vozlišče USB prek IP zagotavlja dvostopenjsko zaščito za naprave USB pri skupni rabi USB prek omrežja:
- Oddaljen fizični vklop in izklop USB naprav;
- Pooblastilo za povezavo USB naprav z uporabo prijave, gesla in IP naslova.
- Pooblastilo za povezavo USB vrat z uporabo prijave, gesla in IP naslova.
- Beleženje vseh aktivacij in povezav USB naprav s strani odjemalcev ter tovrstnih poskusov (napačen vnos gesla ipd.).
- Šifriranje prometa (ki na nemškem modelu načeloma ni bilo slabo).
- Dodatno je bilo temu primerno, da je naprava, čeprav ni poceni, nekajkrat cenejša od prej kupljenih (razlika postane še posebej občutna pri pretvorbi v port; upoštevali smo 64-portni USB over IP).
Odločili smo se, da pri proizvajalcu preverimo, kakšno je stanje s podporo za dve vrsti pametnih žetonov, ki sta prej imela težave s povezavo. Sporočili so nam, da ne zagotavljajo 100% garancije podpore za absolutno vse USB naprave, vendar še niso našli niti ene naprave, s katero bi bile težave. S tem odgovorom nismo bili zadovoljni in predlagali smo, da proizvajalec žetone prenese na testiranje (na srečo je pošiljanje s prevoznim podjetjem stalo le 150 rubljev, starih žetonov pa imamo dovolj). 4 dni po pošiljanju ključev smo dobili podatke za povezavo in čudežno smo se povezali z Windows 7, 10 in Windows Server 2008. Vse je delovalo v redu, naše žetone smo povezali brez težav in lahko delamo z njimi.
Kupili smo upravljano vozlišče USB over IP s 64 vrati USB. Povezali smo vseh 18 vrat iz 64 računalnikov v različnih vejah (32 ključev in ostalo - bliskovni pogoni, trdi diski in 3 USB kamere) - vse naprave so delovale brez težav. Na splošno smo bili z napravo zadovoljni.
Ne navajam imen in proizvajalcev naprav USB over IP (v izogib oglaševanju), zlahka jih najdete na internetu.
Vir: www.habr.com