حال ہی میں اشتراک کیا گیا۔ ہماری تنظیم میں. تبصروں نے IP ہارڈویئر حل پر USB کی معلومات کی حفاظت کا ایک سنگین مسئلہ اٹھایا، جو ہمیں بہت پریشان کرتا ہے۔
تو، سب سے پہلے، ابتدائی حالات پر فیصلہ کرتے ہیں.
- الیکٹرانک سیکیورٹی کیز کی ایک بڑی تعداد۔
- مختلف جغرافیائی مقامات سے ان تک رسائی حاصل کرنے کی ضرورت ہے۔
- ہم صرف USB اوور IP ہارڈویئر حل پر غور کر رہے ہیں اور اضافی تنظیمی اور تکنیکی اقدامات اٹھا کر اس حل کو محفوظ بنانے کی کوشش کر رہے ہیں (ہم ابھی متبادل کے مسئلے پر غور نہیں کر رہے ہیں)۔
- اس مضمون کے دائرہ کار میں، میں ان خطرات کے ماڈلز کو پوری طرح بیان نہیں کروں گا جن پر ہم غور کر رہے ہیں (آپ اس میں بہت کچھ دیکھ سکتے ہیں۔ لیکن میں مختصراً دو نکات پر توجہ دوں گا۔ ہم سوشل انجینئرنگ اور خود صارفین کے غیر قانونی اقدامات کو ماڈل سے خارج کرتے ہیں۔ ہم باقاعدہ اسناد کے بغیر کسی بھی نیٹ ورک سے USB آلات تک غیر مجاز رسائی کے امکان پر غور کر رہے ہیں۔
USB آلات تک رسائی کی حفاظت کو یقینی بنانے کے لیے، تنظیمی اور تکنیکی اقدامات کیے گئے ہیں:
1. تنظیمی حفاظتی اقدامات۔
مینیجڈ یو ایس بی اوور آئی پی ہب ایک اعلیٰ معیار کے لاک ایبل سرور کیبنٹ میں نصب ہے۔ اس تک جسمانی رسائی کو ہموار کیا گیا ہے (خود ہی احاطے تک رسائی کا کنٹرول سسٹم، ویڈیو کی نگرانی، چابیاں اور لوگوں کی سختی سے محدود تعداد کے لیے رسائی کے حقوق)۔
تنظیم میں استعمال ہونے والے تمام USB آلات کو 3 گروپوں میں تقسیم کیا گیا ہے:
- تنقیدی مالیاتی ڈیجیٹل دستخط - بینکوں کی سفارشات کے مطابق استعمال کیا جاتا ہے (آئی پی پر USB کے ذریعے نہیں)
- اہم۔ تجارتی پلیٹ فارمز، خدمات، ای-دستاویزی بہاؤ، رپورٹنگ، وغیرہ کے لیے الیکٹرانک ڈیجیٹل دستخط، سافٹ ویئر کے لیے متعدد کلیدیں - IP حب پر منظم USB کا استعمال کرتے ہوئے استعمال کی جاتی ہیں۔
- تنقیدی نہیں۔ متعدد سافٹ ویئر کیز، کیمرے، متعدد فلیش ڈرائیوز اور غیر اہم معلومات کے ساتھ ڈسک، USB موڈیم - IP حب پر منظم USB کا استعمال کرتے ہوئے استعمال کیے جاتے ہیں۔
2. تکنیکی حفاظتی اقدامات۔
IP حب پر منظم USB تک نیٹ ورک تک رسائی صرف الگ تھلگ سب نیٹ کے اندر فراہم کی جاتی ہے۔ الگ تھلگ ذیلی نیٹ تک رسائی فراہم کی گئی ہے:
- ٹرمینل سرور فارم سے،
- وی پی این (سرٹیفکیٹ اور پاس ورڈ) کے ذریعے کمپیوٹر اور لیپ ٹاپ کی ایک محدود تعداد تک، وی پی این کے ذریعے انہیں مستقل پتے جاری کیے جاتے ہیں،
- علاقائی دفاتر کو جوڑنے والی VPN سرنگوں کے ذریعے۔
IP ہب DistKontrolUSB پر منظم یو ایس بی پر، اس کے معیاری ٹولز کا استعمال کرتے ہوئے، درج ذیل فنکشنز کنفیگر کیے گئے ہیں۔
- USB پر IP ہب پر USB آلات تک رسائی حاصل کرنے کے لیے، خفیہ کاری کا استعمال کیا جاتا ہے (SSL انکرپشن حب پر فعال ہے)، حالانکہ یہ غیر ضروری ہو سکتا ہے۔
- "IP ایڈریس کے ذریعہ USB آلات تک رسائی کو محدود کرنا" ترتیب دیا گیا ہے۔ IP ایڈریس پر منحصر ہے، صارف کو تفویض کردہ USB آلات تک رسائی دی جاتی ہے یا نہیں۔
- "لاگ ان اور پاس ورڈ کے ذریعہ USB پورٹ تک رسائی کو محدود کریں" ترتیب دیا گیا ہے۔ اس کے مطابق، صارفین کو USB آلات تک رسائی کے حقوق تفویض کیے گئے ہیں۔
- "لاگ ان اور پاس ورڈ کے ذریعہ USB ڈیوائس تک رسائی کو محدود کرنا" کو استعمال نہ کرنے کا فیصلہ کیا گیا تھا، کیونکہ تمام USB کیز USB اوور IP ہب سے مستقل طور پر جڑی ہوئی ہیں اور انہیں بندرگاہ سے دوسری بندرگاہ میں منتقل نہیں کیا جا سکتا۔ صارفین کو ایک USB پورٹ تک رسائی فراہم کرنا ہمارے لیے زیادہ معنی خیز ہے جس میں ایک USB ڈیوائس نصب ہے جس میں لمبے عرصے تک ہے۔
- USB پورٹس کو جسمانی طور پر آن اور آف کرنا ہوتا ہے:
- سافٹ ویئر اور الیکٹرانک دستاویز کیز کے لیے - ٹاسک شیڈیولر اور حب کے تفویض کردہ کاموں کا استعمال کرتے ہوئے (کئی کیز کو 9.00 پر آن کرنے اور 18.00 پر آف کرنے کے لیے پروگرام کیا گیا تھا، ایک نمبر 13.00 سے 16.00 تک)؛
- ٹریڈنگ پلیٹ فارمز کی کلیدوں اور متعدد سافٹ ویئر کے لیے - WEB انٹرفیس کے ذریعے مجاز صارفین کے ذریعے؛
- کیمرے، متعدد فلیش ڈرائیوز اور غیر اہم معلومات والی ڈسکیں ہمیشہ آن رہتی ہیں۔
ہم فرض کرتے ہیں کہ USB آلات تک رسائی کی یہ تنظیم ان کے محفوظ استعمال کو یقینی بناتی ہے:
- علاقائی دفاتر سے (مشروط طور پر NET نمبر 1...... نیٹ نمبر N)،
- عالمی نیٹ ورک کے ذریعے USB آلات کو جوڑنے والے کمپیوٹرز اور لیپ ٹاپس کی محدود تعداد کے لیے،
- ٹرمینل ایپلیکیشن سرورز پر شائع ہونے والے صارفین کے لیے۔
تبصروں میں، میں مخصوص عملی اقدامات سننا چاہوں گا جو USB آلات تک عالمی رسائی فراہم کرنے کی معلومات کی حفاظت کو بڑھاتے ہیں۔
ماخذ: www.habr.com