Tôi xin chia sẻ kinh nghiệm lâu năm của chúng tôi trong việc tìm giải pháp tổ chức truy cập tập trung và có tổ chức vào các khóa bảo mật điện tử trong tổ chức của chúng tôi (khóa truy cập vào nền tảng giao dịch, ngân hàng, khóa bảo mật phần mềm, v.v.). Do sự hiện diện của các chi nhánh của chúng tôi, rất tách biệt về mặt địa lý và sự hiện diện của một số khóa bảo mật điện tử ở mỗi chi nhánh, nên nhu cầu về chúng liên tục phát sinh, nhưng ở các chi nhánh khác nhau. Sau một vụ rắc rối khác về việc mất chìa khóa, ban quản lý đã đặt ra một nhiệm vụ - giải quyết vấn đề này và thu thập TẤT CẢ các thiết bị bảo mật USB ở một nơi và đảm bảo hoạt động với chúng bất kể vị trí của nhân viên.
Vì vậy, chúng tôi cần thu thập tại một văn phòng tất cả các khóa ngân hàng của khách hàng, giấy phép 1c (hasp), mã thông báo gốc, Mã thông báo ESMART USB 64K, v.v. có sẵn trong công ty của chúng tôi. cho hoạt động tiếp theo trên các máy Hyper-V vật lý và ảo từ xa. Số lượng thiết bị USB là 50-60 và chắc chắn không phải là giới hạn. Vị trí các máy chủ ảo hóa bên ngoài văn phòng (trung tâm dữ liệu). Vị trí của tất cả các thiết bị USB trong văn phòng.
Chúng tôi đã nghiên cứu các công nghệ hiện có để truy cập tập trung vào các thiết bị USB và quyết định tập trung vào công nghệ USB qua IP. Hóa ra nhiều tổ chức sử dụng giải pháp đặc biệt này. Trên thị trường có cả công cụ phần cứng và phần mềm để chuyển tiếp USB qua IP, nhưng chúng không phù hợp với chúng tôi. Do đó, chúng ta sẽ chỉ nói thêm về việc lựa chọn phần cứng USB qua IP và trước hết là về sự lựa chọn của chúng ta. Chúng tôi cũng loại trừ các thiết bị từ Trung Quốc (ẩn danh) khỏi danh sách xem xét.
Các giải pháp phần cứng USB qua IP được mô tả rộng rãi nhất trên Internet là các thiết bị được sản xuất tại Mỹ và Đức. Để nghiên cứu chi tiết, chúng tôi đã mua một phiên bản giá đỡ lớn của USB qua IP này, được thiết kế cho 14 cổng USB, có khả năng gắn vào giá 19 inch và một USB qua IP của Đức, được thiết kế cho 20 cổng USB, cũng với khả năng gắn vào giá 19 inch. Thật không may, các nhà sản xuất này không có nhiều cổng USB qua thiết bị IP.
Thiết bị đầu tiên rất đắt tiền và thú vị (Internet có rất nhiều đánh giá), nhưng có một nhược điểm rất lớn - không có hệ thống ủy quyền để kết nối các thiết bị USB. Bất kỳ ai cài đặt ứng dụng kết nối USB đều có quyền truy cập vào tất cả các khóa. Ngoài ra, như thực tế đã chỉ ra, thiết bị USB “esmart token est64u-r1” không phù hợp để sử dụng với thiết bị và nhìn về phía trước, với thiết bị “Đức” trên hệ điều hành Win7 - khi được kết nối với nó, sẽ có BSOD vĩnh viễn .
Chúng tôi nhận thấy thiết bị USB qua IP thứ hai thú vị hơn. Thiết bị có một bộ cài đặt lớn liên quan đến chức năng mạng. Giao diện USB over IP được chia thành các phần một cách hợp lý nên việc thiết lập ban đầu khá đơn giản và nhanh chóng. Tuy nhiên, như đã đề cập trước đó, đã xảy ra sự cố khi kết nối một số phím.
Nghiên cứu sâu hơn về phần cứng USB over IP, chúng tôi tình cờ gặp các nhà sản xuất trong nước. Dòng sản phẩm bao gồm các phiên bản 16, 32, 48 và 64 cổng với khả năng gắn vào giá đỡ 19 inch. Chức năng được nhà sản xuất mô tả thậm chí còn phong phú hơn so với chức năng mua USB qua IP trước đây. Ban đầu, tôi thích rằng trung tâm USB qua IP được quản lý trong nước cung cấp khả năng bảo vệ hai giai đoạn cho các thiết bị USB khi chia sẻ USB qua mạng:
- Bật và tắt vật lý từ xa các thiết bị USB;
- Ủy quyền kết nối thiết bị USB bằng thông tin đăng nhập, mật khẩu và địa chỉ IP.
- Ủy quyền kết nối cổng USB bằng thông tin đăng nhập, mật khẩu và địa chỉ IP.
- Ghi nhật ký tất cả các kích hoạt và kết nối thiết bị USB của khách hàng, cũng như các lần thử đó (nhập mật khẩu không chính xác, v.v.).
- Mã hóa lưu lượng truy cập (về nguyên tắc, không tệ đối với mô hình của Đức).
- Ngoài ra, điều phù hợp là thiết bị này, mặc dù không rẻ nhưng lại rẻ hơn vài lần so với những thiết bị mua trước đó (sự khác biệt trở nên đặc biệt đáng kể khi chuyển đổi sang cổng; chúng tôi đã xem xét USB 64 cổng qua IP).
Chúng tôi quyết định kiểm tra với nhà sản xuất về tình huống hỗ trợ hai loại mã thông báo thông minh mà trước đây gặp sự cố kết nối. Chúng tôi đã được thông báo rằng họ không cung cấp đảm bảo hỗ trợ 100% cho tất cả các thiết bị USB, nhưng vẫn chưa tìm thấy một thiết bị nào có vấn đề. Chúng tôi không hài lòng với câu trả lời này và chúng tôi đề nghị nhà sản xuất chuyển mã thông báo để thử nghiệm (may mắn thay, vận chuyển bằng công ty vận tải chỉ tốn 150 rúp và chúng tôi có đủ mã thông báo cũ). 4 ngày sau khi gửi khóa, chúng tôi đã nhận được dữ liệu kết nối và chúng tôi đã kết nối một cách kỳ diệu với Windows 7, 10 và Windows Server 2008. Mọi thứ đều hoạt động tốt, chúng tôi đã kết nối mã thông báo của mình mà không gặp bất kỳ sự cố nào và có thể hoạt động với chúng.
Chúng tôi đã mua một hub USB được quản lý qua IP với 64 cổng USB. Chúng tôi đã kết nối tất cả 18 cổng từ 64 máy tính ở các nhánh khác nhau (32 phím và phần còn lại - ổ flash, ổ cứng và 3 camera USB) - tất cả các thiết bị đều hoạt động mà không gặp sự cố. Nhìn chung, chúng tôi hài lòng với thiết bị.
Tôi không liệt kê tên và nhà sản xuất USB qua thiết bị IP (để tránh quảng cáo), chúng có thể dễ dàng tìm thấy trên Internet.
Nguồn: www.habr.com