Son paylaşılanlar bizim organizasyonumuzda. Yorumlar, bizi çok endişelendiren, IP üzerinden USB donanım çözümlerinin bilgi güvenliği konusunda ciddi bir sorunu gündeme getirdi.
Öncelikle başlangıç koşullarına karar verelim.
- Çok sayıda elektronik güvenlik anahtarı.
- Farklı coğrafi konumlardan erişilmesi gerekiyor.
- Yalnızca IP üzerinden USB donanım çözümlerini düşünüyoruz ve ek organizasyonel ve teknik önlemler alarak bu çözümü güvence altına almaya çalışıyoruz (henüz alternatifler konusunu değerlendirmiyoruz).
- Bu yazı kapsamında ele aldığımız tehdit modellerini tam olarak anlatmayacağım (çoğunluğunu şurada görebilirsiniz) ), ancak kısaca iki noktaya odaklanacağım. Kullanıcıların sosyal mühendisliğini ve yasa dışı eylemlerini modelin dışında tutuyoruz. Normal kimlik bilgileri olmadan herhangi bir ağdan USB cihazlarına yetkisiz erişim olasılığını değerlendiriyoruz.
USB cihazlarına erişimin güvenliğini sağlamak için organizasyonel ve teknik önlemler alınmıştır:
1. Organizasyonel güvenlik önlemleri.
Yönetilen IP üzerinden USB hub, yüksek kaliteli kilitlenebilir bir sunucu kabinine kurulur. Buna fiziksel erişim kolaylaştırılmıştır (tesisin kendisine erişim kontrol sistemi, video gözetimi, anahtarlar ve kesinlikle sınırlı sayıda kişi için erişim hakları).
Organizasyonda kullanılan tüm USB cihazları 3 gruba ayrılmıştır:
- Kritik. Finansal dijital imzalar – bankaların tavsiyeleri doğrultusunda kullanılır (IP üzerinden USB aracılığıyla değil)
- Önemli. Ticaret platformları, hizmetler, e-belge akışı, raporlama vb. için elektronik dijital imzalar, yazılıma yönelik bir dizi anahtar, yönetilen bir IP üzerinden USB hub kullanılarak kullanılır.
- Kritik değil. Bir dizi yazılım anahtarı, kamera, bir dizi flash sürücü ve kritik olmayan bilgileri içeren diskler, USB modemler, yönetilen bir IP üzerinden USB hub kullanılarak kullanılır.
2. Teknik güvenlik önlemleri.
Yönetilen bir IP üzerinden USB hub'ına ağ erişimi yalnızca yalıtılmış bir alt ağ içerisinde sağlanır. Yalıtılmış bir alt ağa erişim sağlanır:
- bir terminal sunucusu grubundan,
- VPN (sertifika ve şifre) aracılığıyla sınırlı sayıda bilgisayar ve dizüstü bilgisayara, VPN aracılığıyla kalıcı adresler verilir,
- bölgesel ofisleri birbirine bağlayan VPN tünelleri aracılığıyla.
Yönetilen IP üzerinden USB hub'ı DistKontrolUSB'de, standart araçları kullanılarak aşağıdaki işlevler yapılandırılır:
- IP üzerinden USB hub'ındaki USB aygıtlarına erişmek için şifreleme kullanılır (hub'da SSL şifrelemesi etkinleştirilmiştir), ancak bu gereksiz olabilir.
- “USB cihazlarına erişimin IP adresine göre kısıtlanması” yapılandırılmıştır. IP adresine bağlı olarak kullanıcıya atanmış USB aygıtlarına erişim izni verilir veya verilmez.
- “Oturum açma adı ve parolayla USB bağlantı noktasına erişimi kısıtla” yapılandırılmıştır. Buna göre kullanıcılara USB cihazlarına erişim hakları atanır.
- “Bir USB cihazına erişimin kullanıcı adı ve şifre ile kısıtlanması” seçeneğinin kullanılmamasına karar verildi çünkü Tüm USB anahtarları IP üzerinden USB hub'ına kalıcı olarak bağlıdır ve bağlantı noktasından bağlantı noktasına taşınamaz. Uzun süre içerisinde USB cihazı takılı olan bir USB portuna kullanıcılara erişim sağlamamız bizim için daha mantıklı.
- USB bağlantı noktalarının fiziksel olarak açılıp kapatılması gerçekleştirilir:
- Yazılım ve EDM anahtarları için - görev zamanlayıcıyı ve hub'ın atanmış görevlerini kullanarak (bir dizi anahtar, 9.00:18.00 ile 13.00:16.00 arasında bir sayı olmak üzere XNUMX:XNUMX'da açılacak ve XNUMX:XNUMX'de kapanacak şekilde programlanmıştır);
- Ticaret platformlarının ve bir dizi yazılımın anahtarları için - yetkili kullanıcılar tarafından WEB arayüzü aracılığıyla;
- Kritik olmayan bilgilerin bulunduğu kameralar, bir dizi flash sürücü ve diskler her zaman açıktır.
USB cihazlarına bu erişim organizasyonunun onların güvenli kullanımını sağladığını varsayıyoruz:
- bölge ofislerinden (şartlı olarak NET No. 1...... NET No. N),
- USB aygıtlarını küresel ağ üzerinden bağlayan sınırlı sayıda bilgisayar ve dizüstü bilgisayar için,
- terminal uygulama sunucularında yayınlanan kullanıcılar için.
Yorumlarda, USB cihazlarına küresel erişim sağlamanın bilgi güvenliğini artıran belirli pratik önlemleri duymak isterim.
Kaynak: habr.com