Dëshiroj të ndaj përvojën tonë njëvjeçare në gjetjen e një zgjidhjeje për organizimin e aksesit të centralizuar dhe të organizuar në çelësat e sigurisë elektronike në organizatën tonë (çelësat për akses në platformat tregtare, bankat, çelësat e sigurisë së softuerit, etj.). Për shkak të pranisë së degëve tona, të cilat gjeografikisht janë shumë të ndara nga njëra-tjetra, dhe pranisë në secilën prej tyre të disa çelësave elektronikë të sigurisë, nevoja për to lind vazhdimisht, por në degë të ndryshme. Pas një zhurme tjetër me një çelës të humbur, menaxhmenti vendosi një detyrë - të zgjidhë këtë problem dhe të mbledhë TË GJITHA pajisjet e sigurisë USB në një vend dhe të sigurojë punën me ta pavarësisht nga vendndodhja e punonjësit.
Pra, ne duhet të mbledhim në një zyrë të gjithë çelësat e bankës së klientit, licencat 1c (hasp), tokenët root, ESMART Token USB 64K, etj. të disponueshme në kompaninë tonë. për funksionimin e mëvonshëm në makinat fizike dhe virtuale Hyper-V në distancë. Numri i pajisjeve USB është 50-60 dhe definitivisht nuk është kufiri. Vendndodhja e serverëve të virtualizimit jashtë zyrës (qendra e të dhënave). Vendndodhja e të gjitha pajisjeve USB në zyrë.
Ne studiuam teknologjitë ekzistuese për qasje të centralizuar në pajisjet USB dhe vendosëm të fokusohemi në teknologjinë USB mbi IP. Rezulton se shumë organizata përdorin këtë zgjidhje të veçantë. Në treg ka mjete harduerike dhe softuerike për përcjelljen USB mbi IP, por ato nuk na përshtaten. Prandaj, më tej do të flasim vetëm për zgjedhjen e harduerit USB mbi IP dhe, para së gjithash, për zgjedhjen tonë. Ne gjithashtu përjashtuam pajisjet nga Kina (pa emër) nga shqyrtimi.
Zgjidhjet harduerike USB mbi IP më të përshkruara në internet janë pajisjet e prodhuara në SHBA dhe Gjermani. Për një studim të detajuar, ne blemë një version të madh të instalimit të këtij USB mbi IP, i projektuar për 14 porte USB, me aftësinë për t'u montuar në një raft 19 inç, dhe një USB gjerman mbi IP, i projektuar për 20 porte USB, gjithashtu me aftësia për t'u montuar në një raft 19 inç. Fatkeqësisht, këta prodhues nuk kishin më shumë porte USB mbi pajisjen IP.
Pajisja e parë është shumë e shtrenjtë dhe interesante (Interneti është plot me rishikime), por ka një pengesë shumë të madhe - nuk ka sisteme autorizimi për lidhjen e pajisjeve USB. Kushdo që instalon aplikacionin e lidhjes USB ka qasje në të gjithë çelësat. Për më tepër, siç ka treguar praktika, pajisja USB "esmart token est64u-r1" është e papërshtatshme për t'u përdorur me pajisjen dhe, duke parë përpara, me atë "gjermane" në Win7 OS - kur lidhet me të, ka një BSOD të përhershëm. .
Ne e gjetëm pajisjen e dytë USB mbi IP më interesante. Pajisja ka një grup të madh cilësimesh që lidhen me funksionet e rrjetit. Ndërfaqja USB mbi IP është e ndarë logjikisht në seksione, kështu që konfigurimi fillestar ishte mjaft i thjeshtë dhe i shpejtë. Por, siç u përmend më herët, kishte probleme me lidhjen e një numri çelësash.
Duke studiuar më tej rreth harduerit USB mbi IP, hasëm në prodhues vendas. Linja përfshin versione 16, 32, 48 dhe 64 portash me aftësinë për t'u montuar në një raft 19 inç. Funksionaliteti i përshkruar nga prodhuesi ishte edhe më i pasur se ai i blerjeve të mëparshme USB mbi IP. Fillimisht, më pëlqeu që shpërndarësi i menaxhuar i brendshëm USB mbi IP siguron mbrojtje me dy faza për pajisjet USB kur ndani USB përmes një rrjeti:
- Ndezja dhe fikja fizike në distancë e pajisjeve USB;
- Autorizimi për lidhjen e pajisjeve USB duke përdorur hyrjen, fjalëkalimin dhe adresën IP.
- Autorizimi për lidhjen e porteve USB duke përdorur hyrjen, fjalëkalimin dhe adresën IP.
- Regjistrimi i të gjitha aktivizimeve dhe lidhjeve të pajisjeve USB nga klientët, si dhe përpjekje të tilla (hyrje e gabuar e fjalëkalimit, etj.).
- Kriptimi i trafikut (i cili, në parim, nuk ishte i keq për modelin gjerman).
- Për më tepër, ishte e përshtatshme që pajisja, megjithëse jo e lirë, të ishte disa herë më e lirë se ato të blera më parë (ndryshimi bëhet veçanërisht i rëndësishëm kur konvertohet në një port; ne konsideruam një USB me 64 porte mbi IP).
Ne vendosëm të kontrollonim me prodhuesin për situatën me mbështetjen për dy lloje të shenjave inteligjente që më parë kishin probleme me lidhjen. Ne u informuam se ata nuk ofrojnë një garanci 100% të mbështetjes për absolutisht të gjitha pajisjet USB, por nuk kanë gjetur ende një pajisje të vetme me të cilën ka probleme. Ne nuk ishim të kënaqur me këtë përgjigje dhe ne sugjeruam që prodhuesi të transferonte argumentet për testim (për fat të mirë, transporti nga kompania e transportit kushtoi vetëm 150 rubla, dhe ne kemi mjaft argumente të vjetra). 4 ditë pas dërgimit të çelësave, na u dhanë të dhënat e lidhjes dhe u lidhëm për mrekulli me Windows 7, 10 dhe Windows Server 2008. Gjithçka funksionoi mirë, lidhëm tokenët tanë pa asnjë problem dhe mundëm të punonim me to.
Ne blemë një shpërndarës USB të menaxhuar mbi IP me 64 porte USB. Ne lidhëm të 18 portat nga 64 kompjuterë në degë të ndryshme (32 çelësa dhe pjesa tjetër - disqe flash, hard disk dhe 3 kamera USB) - të gjitha pajisjet funksionuan pa probleme. Në përgjithësi, ne ishim të kënaqur me pajisjen.
Unë nuk rendis emrat dhe prodhuesit e pajisjeve USB mbi IP (për të shmangur reklamat), ato mund të gjenden lehtësisht në internet.
Burimi: www.habr.com