ProHoster > Blog > Ma'muriyat > IP orqali USB apparat vositalaridan foydalangan holda raqamli imzo va boshqa elektron xavfsizlik kalitlariga markazlashtirilgan kirish

IP orqali USB apparat vositalaridan foydalangan holda raqamli imzo va boshqa elektron xavfsizlik kalitlariga markazlashtirilgan kirish

Tashkilotimizda elektron xavfsizlik kalitlariga (savdo platformalariga kirish kalitlari, bank xizmatlari, dasturiy xavfsizlik kalitlari va h.k.) markazlashgan va tashkiliy kirishni tashkil etish yechimini topish bo‘yicha bir yillik tajribamiz bilan o‘rtoqlashmoqchiman. Jug'rofiy jihatdan bir-biridan juda ajralib turadigan filiallarimiz mavjudligi va ularning har birida bir nechta elektron xavfsizlik kalitlari mavjudligi tufayli ularga doimiy ravishda ehtiyoj paydo bo'ladi, lekin turli filiallarda. Yo'qolgan kalit bilan yana bir shov-shuvdan so'ng, rahbariyat vazifani qo'ydi - bu muammoni hal qilish va BARCHA USB xavfsizlik qurilmalarini bir joyda to'plash va xodimning joylashgan joyidan qat'i nazar, ular bilan ishlashni ta'minlash.

Shunday qilib, kompaniyamizda mavjud bo'lgan barcha mijoz bank kalitlari, 1c litsenziyalari (hasp), root tokenlari, ESMART Token USB 64K va hokazolarni bitta ofisda to'plashimiz kerak. masofaviy jismoniy va virtual Hyper-V mashinalarida keyingi ishlash uchun. USB qurilmalari soni 50-60 va bu, albatta, chegara emas. Virtualizatsiya serverlarining ofisdan tashqarida joylashishi (ma'lumotlar markazi). Ofisdagi barcha USB qurilmalarining joylashuvi.

Biz USB qurilmalariga markazlashtirilgan kirish uchun mavjud texnologiyalarni o'rganib chiqdik va USB orqali IP texnologiyasiga e'tibor qaratishga qaror qildik. Ma'lum bo'lishicha, ko'plab tashkilotlar ushbu maxsus echimdan foydalanadilar. Bozorda USB orqali IP yo'naltirish uchun apparat va dasturiy vositalar mavjud, ammo ular bizga mos kelmadi. Shuning uchun, bundan keyin biz faqat IP orqali USB apparatini tanlash va birinchi navbatda bizning tanlovimiz haqida gaplashamiz. Shuningdek, biz Xitoydan (nomsiz) qurilmalarni hisobga olmadik.

Internetda eng ko'p tavsiflangan USB orqali IP-apparat echimlari AQSh va Germaniyada ishlab chiqarilgan qurilmalardir. Batafsil o‘rganish uchun biz ushbu USB-ning IP orqali 14 ta USB portga mo‘ljallangan, 19 dyuymli tokchaga o‘rnatish imkoniyatiga ega, hamda 20 ta USB port uchun mo‘ljallangan IP orqali nemis USB-ni sotib oldik. 19 dyuymli rafga o'rnatish imkoniyati. Afsuski, ushbu ishlab chiqaruvchilarda ko'proq USB orqali IP qurilma portlari yo'q edi.

Birinchi qurilma juda qimmat va qiziqarli (Internet sharhlar bilan to'la), lekin juda katta kamchilik bor - USB qurilmalarini ulash uchun avtorizatsiya tizimlari mavjud emas. USB ulanish ilovasini o'rnatgan har bir kishi barcha kalitlarga kirish huquqiga ega. Bundan tashqari, amaliyot shuni ko'rsatadiki, "esmart token est64u-r1" USB qurilmasi qurilma bilan foydalanish uchun yaroqsiz va oldinga qarab, Win7 OS-dagi "nemis" bilan - unga ulanganda doimiy BSOD mavjud. .

Biz IP orqali ikkinchi USB qurilmasini yanada qiziqarli deb topdik. Qurilmada tarmoq funktsiyalari bilan bog'liq katta sozlamalar to'plami mavjud. USB orqali IP interfeysi mantiqiy ravishda bo'limlarga bo'lingan, shuning uchun dastlabki sozlash juda oddiy va tez edi. Ammo, avval aytib o'tilganidek, bir qator kalitlarni ulashda muammolar mavjud edi.

USB orqali IP-uskunalari haqida ko'proq o'rganar ekanmiz, biz mahalliy ishlab chiqaruvchilarga duch keldik. Ushbu qator 16 dyuymli tokchaga o'rnatish imkoniyatiga ega 32, 48, 64 va 19 portli versiyalarni o'z ichiga oladi. Ishlab chiqaruvchi tomonidan tavsiflangan funksionallik avvalgi USB orqali IP xaridlaridan ham boyroq edi. Dastlab menga USB orqali IP hub orqali boshqariladigan mahalliy USB-ni tarmoq orqali ulashda USB qurilmalari uchun ikki bosqichli himoyani ta'minlashi yoqdi:

  1. USB qurilmalarini masofadan jismoniy yoqish va o'chirish;
  2. Login, parol va IP-manzil yordamida USB qurilmalarini ulash uchun avtorizatsiya.
  3. Login, parol va IP-manzil yordamida USB portlarini ulash uchun avtorizatsiya.
  4. Mijozlar tomonidan USB qurilmalarining barcha faollashuvlari va ulanishlarini, shuningdek, bunday urinishlarni (parolni noto'g'ri kiritish va h.k.) qayd qilish.
  5. Trafik shifrlash (bu, asosan, nemis modelida yomon emas edi).
  6. Bunga qo'shimcha ravishda, qurilma arzon bo'lmasa-da, ilgari sotib olinganidan bir necha baravar arzon bo'lishi mos edi (farq ayniqsa portga aylantirilganda sezilarli bo'ladi; biz IP orqali 64 portli USB ni ko'rib chiqdik).

Biz ishlab chiqaruvchi bilan oldindan ulanish muammolari bo'lgan ikki turdagi aqlli tokenlarni qo'llab-quvvatlash bilan bog'liq vaziyatni tekshirishga qaror qildik. Bizga ma'lum qilishlaricha, ular mutlaqo barcha USB qurilmalarini qo'llab-quvvatlashning 100% kafolatini ta'minlamaydilar, ammo muammolar mavjud bo'lgan bitta qurilma hali topilmagan. Biz bu javobdan qoniqmadik va biz ishlab chiqaruvchiga tokenlarni sinovdan o'tkazishni taklif qildik (xayriyatki, transport kompaniyasi tomonidan jo'natish atigi 150 rublni tashkil qiladi va bizda eski tokenlar etarli). Kalitlarni yuborganimizdan 4 kun o'tgach, bizga ulanish ma'lumotlari berildi va biz Windows 7, 10 va Windows Server 2008 bilan mo''jizaviy tarzda bog'landik. Hamma narsa yaxshi ishladi, biz tokenlarimizni hech qanday muammosiz bog'ladik va ular bilan ishlashga muvaffaq bo'ldik.
Biz 64 ta USB portga ega IP orqali boshqariladigan USB-ni sotib oldik. Biz 18 ta kompyuterdan 64 ta portni turli tarmoqlarga uladik (32 ta kalit va qolganlari - flesh-disklar, qattiq disklar va 3 ta USB kameralar) - barcha qurilmalar muammosiz ishladi. Umuman olganda, biz qurilmadan mamnunmiz.

Men USB orqali IP qurilmalarining nomlari va ishlab chiqaruvchilarini sanab o'tmayman (reklamani oldini olish uchun), ularni Internetda osongina topish mumkin.

Manba: www.habr.com

a Izoh qo'shish