Нещодавно поділився у нашій організації. У коментарях було порушено серйозне питання інформаційної безпеки апаратних рішень USB over IP, яке і нас дуже непокоїть.
Отже, спочатку все ж таки визначимося з вихідними умовами.
- Багато ключів електронного захисту.
- Доступ до них необхідний із різних географічних місць.
- Розглядаємо тільки апаратні рішення USB over IP та намагаємося убезпечити це рішення вживанням додаткових організаційних та технічних заходів (питання альтернатив поки не розглядаємо).
- В рамках статті не буду повністю розписувати моделі, що розглядаються нами, загрози (багато можна подивитися в ), але тезово зупинюся на двох моментах. Виключаємо з моделі соціальну інженерію та протиправні дії самих користувачів. Розглядаємо можливості несанкціонованого доступу до USB пристроїв з будь-якої мережі не маючи штатних облікових даних.
Для забезпечення безпеки доступу до USB пристроїв вжито організаційних та технічних заходів:
1. Організаційні заходи безпеки.
Керований USB over IP концентратор встановлений в серверну шафу, що якісно закривається на ключ. Фізичний доступ до нього впорядкований (СКД у саме приміщення, відеоспостереження, ключі та права доступу у строго обмеженого кола осіб).
Всі пристрої USB, що використовуються в організації, умовно розділені на 3 групи:
- Критичні. Фінансові ЕЦП – використовуються відповідно до рекомендацій банків (не через USB over IP)
- Важливі. ЕЦП для торгових майданчиків, послуг, ЕДО, звітності тощо, ряд ключів для ПЗ - використовуються із застосуванням керованого USB over IP концентратора.
- Чи не критичні. Ряд ключів для ПЗ, камери, ряд флешок та дисків з не критичною інформацією, USB модеми – використовуються із застосуванням керованого USB over IP концентратора.
2. Технічні заходи безпеки.
Мережевий доступ до керованого USB over IP концентратору надається лише всередині ізольованої підмережі. Доступ до ізольованої підмережі надається:
- з ферми термінальних серверів,
- за VPN (сертифікат та пароль) обмеженою кількістю комп'ютерів і ноутбуків, за VPN їм видаються постійні адреси,
- за VPN тунелями, що з'єднують регіональні офіси.
На самому керованому USB over IP концентраторі DistKontrolUSB з використанням його штатних засобів налаштовані функції:
- Для доступу до USB пристроїв USB over IP концентратора використовується шифрування (на концентраторі увімкнено шифрування SSL), хоча можливо це вже й зайве.
- Налаштовано «обмеження доступу до USB-пристроїв за IP адресою». Залежно від IP адреси користувачеві надається доступ до призначених USB пристроїв.
- Налаштовано «Обмеження доступу до USB порту за логіном та паролем». Відповідно, користувачам призначені права на доступ до USB пристроїв.
- «Обмеження доступу до USB пристрою за логіном та паролем» вирішили не використовувати, т.к. всі USB ключі підключені до USB over IP концентратору стаціонарно і з порту до порту не переставляються. Для нас логічніше надавати доступ користувачам до USB порту зі встановленим на нього на тривалий час пристроєм USB.
- Фізичне включення та вимкнення USB портів здійснюється:
- Для ключів від софту та ЕДО – за допомогою планувальника завдань та призначених завдань концентратора (ряд ключів запрограмували на включення о 9.00 та відключення о 18.00, ряд з 13.00 до 16.00);
- Для ключів від торгових майданчиків та ряду софту – користувачі, що мають дозвіл, через WEB інтерфейс;
- Камери, ряд флешок та дисків із не критичною інформацією – включені завжди.
Припускаємо, що така організація доступу до USB-пристроїв забезпечує їх безпечне використання:
- з регіональних офісів (умовно NET №1 …… NET № N),
- для обмеженого ряду комп'ютерів і ноутбуків, що підключають USB пристрої через глобальну мережу,
- для користувачів, які опубліковані на термінальних серверах додатків.
У коментарях хотілося б почути конкретні практичні заходи, які б підвищували інформаційну безпеку надання глобального доступу до USB пристроїв.
Джерело: habr.com