Kuruluşumuzdaki elektronik güvenlik anahtarlarına (ticaret platformlarına erişim anahtarları, bankacılık, yazılım güvenlik anahtarları vb.) merkezi ve düzenli erişimi düzenlemek için bir çözüm bulma konusunda bir yıllık deneyimimizi paylaşmak istiyorum. Coğrafi olarak birbirinden çok uzakta olan şubelerimizin bulunması ve her birinde birden fazla elektronik güvenlik anahtarının bulunması nedeniyle, farklı şubelerde olmak üzere sürekli olarak bunlara ihtiyaç duyulmaktadır. Kayıp anahtarla ilgili başka bir yaygaranın ardından yönetim, bu sorunu çözmek ve TÜM USB güvenlik cihazlarını tek bir yerde toplamak ve çalışanın konumu ne olursa olsun onlarla çalışmayı sağlamak için bir görev belirledi.
Bu nedenle, şirketimizde mevcut olan tüm müşteri bankası anahtarlarını, 1c lisanslarını (hasp), kök tokenleri, ESMART Token USB 64K vb.'yi tek bir ofiste toplamamız gerekiyor. uzak fiziksel ve sanal Hyper-V makinelerinde sonraki işlemler için. USB cihazlarının sayısı 50-60'tır ve kesinlikle sınır değildir. Sanallaştırma sunucularının ofis (veri merkezi) dışındaki konumu. Ofisteki tüm USB cihazlarının konumu.
USB cihazlarına merkezi erişim için mevcut teknolojileri inceledik ve IP üzerinden USB teknolojisine odaklanmaya karar verdik. Birçok kuruluşun bu özel çözümü kullandığı ortaya çıktı. Piyasada USB üzerinden IP iletimi için hem donanım hem de yazılım araçları var ancak bunlar bize uymadı. Bu nedenle, yalnızca IP üzerinden donanım USB seçiminden ve her şeyden önce seçimimizden bahsedeceğiz. Ayrıca Çin'den gelen (isimsiz) cihazları da değerlendirme dışı bıraktık.
İnternette en çok açıklanan IP üzerinden USB donanım çözümleri ABD ve Almanya'da üretilen cihazlardır. Ayrıntılı bir çalışma için, bu USB over IP'nin, 14 USB bağlantı noktası için tasarlanmış, 19 inçlik bir rafa monte edilme özelliğine sahip, rafa monte edilebilen büyük bir versiyonunu ve 20 USB bağlantı noktası için tasarlanmış, yine 19 inçlik bir rafa monte edilebilen Alman USB over IP'yi satın aldık. XNUMX inçlik bir rafa monte etme yeteneği. Ne yazık ki, bu üreticiler IP üzerinden USB aygıt bağlantı noktalarından daha fazlasına sahip değildi.
İlk cihaz çok pahalı ve ilginç (İnternet incelemelerle dolu), ancak çok büyük bir dezavantaj var - USB cihazlarını bağlamak için yetkilendirme sistemi yok. USB bağlantı uygulamasını yükleyen herkes tüm tuşlara erişebilir. Ek olarak, uygulamanın gösterdiği gibi, "esmart token est64u-r1" USB cihazı, cihazla kullanım için uygun değildir ve ileriye bakıldığında, Win7 işletim sistemindeki "Almanca" olanla - ona bağlandığında kalıcı bir BSOD vardır. .
İkinci IP üzerinden USB cihazını daha ilginç bulduk. Cihaz, ağ işlevleriyle ilgili geniş bir ayar kümesine sahiptir. IP üzerinden USB arayüzü mantıksal olarak bölümlere ayrılmıştır, bu nedenle ilk kurulum oldukça basit ve hızlıydı. Ancak daha önce de belirtildiği gibi, bazı anahtarların bağlanmasında sorunlar vardı.
IP üzerinden USB donanımları hakkında daha fazla araştırma yaptığımızda yerli üreticilere rastladık. Seri, 16 inç rafa monte edilebilme özelliğine sahip 32, 48, 64 ve 19 bağlantı noktalı versiyonları içerir. Üretici tarafından açıklanan işlevsellik, önceki IP üzerinden USB satın alımlarından bile daha zengindi. Başlangıçta, yerel olarak yönetilen IP üzerinden USB hub'ının, USB'yi bir ağ üzerinden paylaştırırken USB aygıtları için iki aşamalı koruma sağlaması hoşuma gitti:
- USB aygıtlarının uzaktan fiziksel olarak açılması ve kapatılması;
- Oturum açma adı, parola ve IP adresi kullanarak USB aygıtlarını bağlama yetkisi.
- Oturum açma adı, parola ve IP adresi kullanarak USB bağlantı noktalarını bağlama yetkisi.
- USB cihazlarının istemciler tarafından yapılan tüm aktivasyonlarının ve bağlantılarının yanı sıra bu tür girişimlerin (yanlış şifre girişi vb.) günlüğe kaydedilmesi.
- Trafik şifrelemesi (prensipte Alman modelinde fena değildi).
- Ek olarak, cihazın ucuz olmasa da daha önce satın alınanlardan birkaç kat daha ucuz olması da uygundu (fark özellikle bir bağlantı noktasına dönüştürüldüğünde önemli hale geliyor; IP üzerinden 64 bağlantı noktalı bir USB düşündük).
Daha önce bağlantı sorunları yaşayan iki tür akıllı token desteğiyle durumu üreticiyle görüşmeye karar verdik. Kesinlikle tüm USB cihazları için %100 destek garantisi vermedikleri ancak henüz sorun yaşanan tek bir cihaz bulamadıkları konusunda bilgilendirildik. Bu yanıttan memnun kalmadık ve üreticiye jetonları test için transfer etmesini önerdik (neyse ki nakliye şirketiyle nakliye sadece 150 rubleye mal oluyor ve elimizde yeterince eski jeton var). Anahtarları gönderdikten 4 gün sonra bağlantı verileri bize verildi ve Windows 7, 10 ve Windows Server 2008 ile mucizevi bir şekilde bağlantı kurduk. Her şey yolunda gitti, tokenlarımızı sorunsuz bir şekilde bağladık ve onlarla çalışabildik.
64 USB bağlantı noktasına sahip, IP üzerinden yönetilen bir USB hub satın aldık. Farklı dallardaki 18 bilgisayardaki 64 bağlantı noktasının tamamını bağladık (32 anahtar ve geri kalanı - flash sürücüler, sabit sürücüler ve 3 USB kamera) - tüm cihazlar sorunsuz çalıştı. Genel olarak cihazdan memnun kaldık.
IP üzerinden USB aygıtlarının adlarını ve üreticilerini listelemiyorum (reklamdan kaçınmak için), bunları internette kolayca bulabilirsiniz.
Kaynak: habr.com