Желео бих да поделим наше дугогодишње искуство у проналажењу решења за организовање централизованог и организованог приступа електронским безбедносним кључевима у нашој организацији (кључеви за приступ платформама за трговање, банкарство, софтверски безбедносни кључеви итд.). Због присуства наших експозитура, које су географски веома одвојене једна од друге, и присуства у свакој од њих по неколико електронских безбедносних кључева, потреба за њима се стално јавља, али у различитим филијалама. Након још једне гужве око изгубљеног кључа, менаџмент је поставио задатак - да реши овај проблем и сакупи СВЕ УСБ сигурносне уређаје на једном месту и обезбеди рад са њима без обзира на локацију запосленог.
Дакле, потребно је да у једној канцеларији прикупимо све кључеве клијентске банке, 1ц лиценце (хасп), роот токене, ЕСМАРТ Токен УСБ 64К, итд. доступне у нашој компанији. за накнадни рад на удаљеним физичким и виртуелним Хипер-В машинама. Број УСБ уређаја је 50-60 и то дефинитивно није граница. Локација сервера за виртуелизацију ван канцеларије (дата центар). Локација свих УСБ уређаја у канцеларији.
Проучили смо постојеће технологије за централизовани приступ УСБ уређајима и одлучили да се фокусирамо на УСБ овер ИП технологију. Испоставило се да многе организације користе ово конкретно решење. На тржишту постоје и хардверски и софтверски алати за УСБ овер ИП прослеђивање, али нам нису одговарали. Дакле, даље ћемо говорити само о избору хардверског УСБ-а преко ИП-а и, пре свега, о нашем избору. Такође смо искључили уређаје из Кине (безимени) из разматрања.
Најшире описана УСБ овер ИП хардверска решења на Интернету су уређаји произведени у САД и Немачкој. За детаљну студију, купили смо велику верзију овог УСБ-а преко ИП-а, дизајнирану за 14 УСБ портова, са могућношћу монтирања у 19-инчни рацк, и немачки УСБ преко ИП-а, дизајниран за 20 УСБ портова, такође са могућност монтирања у 19-инчни рацк. Нажалост, ови произвођачи нису имали више портова за УСБ преко ИП уређаја.
Први уређај је веома скуп и занимљив (Интернет је пун рецензија), али постоји веома велики недостатак - не постоје системи ауторизације за повезивање УСБ уређаја. Свако ко инсталира апликацију за УСБ везу има приступ свим кључевима. Поред тога, као што је пракса показала, УСБ уређај „есмарт токен ест64у-р1“ није погодан за употребу са уређајем и, гледајући унапред, са „немачким“ на Вин7 ОС - када је повезан са њим, постоји стални БСОД .
Други УСБ преко ИП уређај сматрамо занимљивијим. Уређај има велики скуп подешавања везаних за мрежне функције. УСБ овер ИП интерфејс је логично подељен на секције, тако да је почетно подешавање било прилично једноставно и брзо. Али, као што је раније поменуто, било је проблема при повезивању бројних кључева.
Проучавајући даље о УСБ овер ИП хардверу, наишли смо на домаће произвођаче. Понуда укључује верзије са 16, 32, 48 и 64 порта са могућношћу монтирања у 19-инчни рацк. Функционалност коју је описао произвођач била је чак богатија од оне у претходним УСБ овер ИП куповинама. У почетку ми се допало што домаћи управљани УСБ овер ИП чвориште пружа двостепену заштиту за УСБ уређаје када дели УСБ преко мреже:
- Даљинско физичко укључивање и искључивање УСБ уређаја;
- Овлашћење за повезивање УСБ уређаја користећи логин, лозинку и ИП адресу.
- Овлашћење за повезивање УСБ портова користећи логин, лозинку и ИП адресу.
- Евидентирање свих активација и повезивања УСБ уређаја од стране клијената, као и таквих покушаја (нетачан унос лозинке и сл.).
- Шифровање саобраћаја (које, у принципу, није било лоше на немачком моделу).
- Поред тога, било је погодно да уређај, иако није јефтин, буде неколико пута јефтинији од претходно купљених (разлика постаје посебно значајна када се конвертује у порт; разматрали смо УСБ са 64 порта преко ИП-а).
Одлучили смо да проверимо код произвођача каква је ситуација са подршком за два типа паметних токена који су раније имали проблема са везом. Обавештени смо да не дају 100% гаранцију подршке за апсолутно све УСБ уређаје, али још увек нисмо пронашли ниједан уређај са којим постоје проблеми. Нисмо били задовољни овим одговором и предложили смо произвођачу да пренесе токене на тестирање (на срећу, транспорт превозном компанијом кошта само 150 рубаља, а имамо довољно старих токена). 4 дана након слања кључева, добили смо податке о конекцији и чудесно смо се повезали са Виндовс 7, 10 и Виндовс Сервер 2008. Све је функционисало у реду, повезали смо наше токене без икаквих проблема и могли смо да радимо са њима.
Купили смо управљано УСБ преко ИП чвориште са 64 УСБ порта. Повезали смо свих 18 порта са 64 рачунара у различитим гранама (32 кључа и остало - флеш дискови, хард дискови и 3 УСБ камере) - сви уређаји су радили без проблема. Све у свему, били смо задовољни уређајем.
Не наводим имена и произвођаче УСБ преко ИП уређаја (да бих избегла рекламирање), лако се могу пронаћи на Интернету.
Извор: ввв.хабр.цом