Хочу поділитись нашим річним досвідом при пошуку рішення для організації централізованого та впорядкованого доступу до ключів електронного захисту в нашій організації (ключи для доступу до майданчиків для торгів, банківські, ключі захисту програмного забезпечення тощо). У зв'язку з наявністю у нас філій, територіально вельми рознесених один від одного, і наявністю в кожному з них кілька ключів електронного захисту — постійно виникає потреба в них, але в різних філіях. Після чергової метушні з втраченим ключем, керівництво поставило завдання вирішити цю проблему і зібрати ВСІ USB пристрої захисту в одному місці, і забезпечити з ними роботу незалежно від місця розташування співробітника.
Отже, нам необхідно зібрати в одному офісі всі ключі банк клієнтів, ліцензій 1с (hasp), рутокени, ESMART Token USB 64K і т.д. для подальшої експлуатації на віддалених фізичних та віртуальних машинах Hyper-V. Кількість USB пристроїв - 50-60 і точно, що це не межа. Розташування серверів віртуалізації поза офісом (датацентр). Розташування всіх пристроїв USB в офісі.
Вивчили існуючі технології централізованого доступу до USB-пристроїв і вирішили зупинитися на технології USB поверх IP (USB over IP). Виявляється, дуже багато організацій користуються саме цим рішенням. На ринку є як апаратні засоби прокидання USB через IP, так і програмні, але вони нас не влаштовували. З цього, далі йтиметься лише про вибір апаратних USB over IP і в першу чергу про наш вибір. Пристрої з Китаю (безіменні) ми також виключили із розгляду.
Найбільш описуваним на просторах інтернету апаратним рішенням USB over IP є пристрої виробництва США та Німеччини. Для детального вивчення придбали великий стійковий варіант цього USB over IP, розрахований на 14 портів USB, з можливістю монтажу в 19-дюймову стійку і німецький USB over IP, розрахований на 20 портів USB, так само з можливістю монтажу в 19-дюймову стійку. На жаль, на більшу кількість портів пристроїв USB over IP у цих виробників не було.
Перший пристрій дуже дорогий і цікавий (в інтернеті повно оглядів), але є дуже великий мінус - немає жодних систем авторизації для підключення USB-пристроїв. Будь-хто, хто встановить програму для підключення USB, отримує доступ до всіх ключів. На додаток, як показала практика, USB пристрій esmart token est64u-r1 непридатний для використання з пристроєм і, забігаючи вперед, з німецьким на ОС Win7 - при підключенні до нього перманентний BSOD.
Другий пристрій USB over IP нам здався цікавішим. Пристрій має великий набір, пов'язаних із мережними функціями. Інтерфейс USB over IP логічно розбитий на розділи, так що початкове налаштування було досить простим і швидким. Але, як згадувалося раніше, виникли проблеми із підключенням низки ключів.
Вивчаючи далі апаратні USB over IP натрапили на вітчизняних виробників. Модельний ряд включає 16, 32, 48 і 64 портову версію з можливістю кріплення 19 дюймову стійку. Описуваний виробником функціонал був навіть багатшим, ніж у попередніх придбаних USB over IP. Спочатку сподобалося, що вітчизняний керований USB over IP концентратор забезпечує двоступінчастий захист USB пристроїв при спільному використанні USB через мережу:
- Віддалене фізичне включення та вимкнення USB пристроїв;
- Авторизацію для підключення USB пристроїв за логіном, паролем та IP адресою.
- Авторизацію для підключення USB портів за логіном, паролем та IP адресою.
- Журналування як усіх включень та підключень USB пристроїв клієнтами, так і таких спроб (не правильне введення пароля тощо).
- Шифрування трафіку (з чим було непогано і на німецькій моделі).
- Додатково підходило, що пристрій, хоч і не дешевий, але в рази дешевший за куплені раніше (особливо істотною стає різниця при перерахунку на порт, ми розглядали 64-х портовий USB over IP).
Вирішили уточнити у виробника, як же справа з підтримкою двох типів смарт токенів, що мають проблеми підключення раніше. Нам повідомили, що не дають 100% гарантії підтримки абсолютно всіх USB пристроїв, але поки що не знайшли жодного пристрою, з яким були б проблеми. Нас така відповідь мало влаштувала і ми запропонували виробнику передати токени для тестування (благо пересилання транспортною компанією коштувало всього 150р, а старих токенів у нас достатньо). Через 4 дні після відправки ключів нам повідомили дані для підключення і ми до них чудово підключилися з Windows 7, 10 та Windows Server 2008. Все працювало нормально, ми без проблем підключали свої токени та мали змогу з ними працювати.
Придбали керований USB over IP концентратор на 64 порти USB. Підключили з 18 комп'ютерів у різних філіях всі 64 порти (32 ключі та інше – флешки, жорсткі диски та 3 USB камери) – всі пристрої працювали без проблем. Загалом пристроєм залишилися задоволені.
Найменування та виробників USB over IP пристроїв не наводжу (щоб не було рекламою), їх досить легко знайти в інтернеті.
Джерело: habr.com