Недавно дељено у нашој организацији. Коментари су покренули озбиљно питање информационе безбедности УСБ преко ИП хардверских решења, што нас веома забрињава.
Дакле, прво, хајде да одлучимо о почетним условима.
- Велики број електронских сигурносних кључева.
- Треба им приступити са различитих географских локација.
- Разматрамо само УСБ овер ИП хардверска решења и покушавамо да обезбедимо ово решење предузимањем додатних организационих и техничких мера (још не разматрамо питање алтернатива).
- У оквиру овог чланка, нећу у потпуности описивати моделе претњи које разматрамо (много тога можете видети у ), али ћу се укратко фокусирати на две тачке. Из модела искључујемо социјални инжењеринг и незаконите радње самих корисника. Разматрамо могућност неовлашћеног приступа УСБ уређајима са било које мреже без редовних акредитива.
Да би се обезбедила сигурност приступа УСБ уређајима, предузете су организационе и техничке мере:
1. Организационе мере безбедности.
Управљани УСБ овер ИП чвориште је инсталирано у висококвалитетни серверски ормарић који се може закључати. Физички приступ њему је поједностављен (систем контроле приступа самим просторијама, видео надзор, кључеви и права приступа за строго ограничен број особа).
Сви УСБ уређаји који се користе у организацији подељени су у 3 групе:
- Критичан. Финансијски дигитални потписи – користе се у складу са препорукама банака (не преко УСБ-а преко ИП-а)
- Важно. Електронски дигитални потписи за платформе за трговање, услуге, ток е-документа, извештавање, итд., одређени број кључева за софтвер – користе се помоћу управљаног УСБ овер ИП чворишта.
- Није критично. Бројни софтверски кључеви, камере, велики број флеш дискова и дискова са некритичним информацијама, УСБ модеми - користе се помоћу управљаног УСБ преко ИП чворишта.
2. Техничке мере безбедности.
Мрежни приступ управљаном УСБ преко ИП чворишту је обезбеђен само унутар изоловане подмреже. Приступ изолованој подмрежи је обезбеђен:
- са фарме терминал сервера,
- преко ВПН-а (сертификат и лозинка) на ограничен број рачунара и лаптопа, преко ВПН-а им се издају сталне адресе,
- преко ВПН тунела који повезују регионалне канцеларије.
На управљаном УСБ преко ИП чворишту ДистКонтролУСБ, користећи његове стандардне алате, конфигуришу се следеће функције:
- За приступ УСБ уређајима на УСБ преко ИП чворишту се користи шифровање (ССЛ шифровање је омогућено на чворишту), иако то може бити непотребно.
- „Ограничавање приступа УСБ уређајима путем ИП адресе“ је конфигурисано. У зависности од ИП адресе, кориснику се одобрава или не дозвољава приступ додељеним УСБ уређајима.
- „Ограничи приступ УСБ порту путем пријаве и лозинке“ је конфигурисано. Сходно томе, корисницима се додељују права приступа УСБ уређајима.
- Одлучено је да се не користи „Ограничавање приступа УСБ уређају путем пријаве и лозинке“, јер Сви УСБ кључеви су трајно повезани са УСБ преко ИП чвориштем и не могу се премештати са порта на порт. За нас је логичније да корисницима омогућимо приступ УСБ порту са УСБ уређајем инсталираним у њему на дуже време.
- Физичко укључивање и искључивање УСБ портова се врши:
- За софтверске и електронске кључеве докумената - коришћењем планера задатака и додељених задатака чворишта (бројни тастери су програмирани да се укључе у 9.00 и искључују у 18.00, број од 13.00 до 16.00);
- За кључеве трговачких платформи и одређени број софтвера - од стране овлашћених корисника преко ВЕБ интерфејса;
- Камере, одређени број флеш дискова и дискова са некритичним информацијама су увек укључени.
Претпостављамо да оваква организација приступа УСБ уређајима обезбеђује њихову безбедну употребу:
- из регионалних канцеларија (условно НЕТО бр. 1...... НЕТО бр. Н),
- за ограничен број рачунара и лаптопова који повезују УСБ уређаје преко глобалне мреже,
- за кориснике објављене на серверима терминалских апликација.
У коментарима бих желео да чујем конкретне практичне мере које повећавају информациону безбедност обезбеђивања глобалног приступа УСБ уређајима.
Извор: ввв.хабр.цом