我想分享我们一年来寻找解决方案来组织对我们组织中的电子安全密钥(用于访问交易平台、银行、软件安全密钥等的密钥)的集中和有组织的访问的经验。 由于我们的分支机构在地理位置上彼此相距甚远,并且每个分支机构都存在多个电子安全密钥,因此对它们的需求不断出现,但在不同的分支机构中。 在又一次因丢失钥匙而大惊小怪之后,管理层设定了一项任务 - 解决这个问题并将所有 USB 安全设备收集到一个地方,并确保无论员工身在何处都可以使用它们。
因此,我们需要在一间办公室收集我们公司可用的所有客户银行密钥、1c 许可证 (hasp)、根令牌、ESMART 令牌 USB 64K 等。 用于远程物理和虚拟 Hyper-V 计算机上的后续操作。 USB设备的数量是50-60个,绝对不是限制。 虚拟化服务器在办公室(数据中心)之外的位置。 办公室中所有 USB 设备的位置。
我们研究了集中访问 USB 设备的现有技术,并决定重点关注 USB over IP 技术。 事实证明,许多组织都使用这种特殊的解决方案。 市场上有用于 USB over IP 转发的硬件和软件工具,但它们并不适合我们。 因此,接下来我们将仅讨论硬件 USB over IP 的选择,并且首先讨论我们的选择。 我们还将来自中国(未透露姓名)的设备排除在考虑范围之外。
互联网上描述最广泛的 USB over IP 硬件解决方案是美国和德国制造的设备。 为了进行详细研究,我们购买了该 USB over IP 的大型机架式版本,设计用于 14 个 USB 端口,能够安装在 19 英寸机架中,以及德国 USB over IP,设计用于 20 个 USB 端口,还具有能够安装在 19 英寸机架中。 不幸的是,这些制造商没有更多的 USB over IP 设备端口。
第一个设备非常昂贵且有趣(互联网上充满了评论),但有一个非常大的缺点 - 没有用于连接 USB 设备的授权系统。 安装 USB 连接应用程序的任何人都可以访问所有密钥。 此外,实践表明,USB 设备“esmart token est64u-r1”不适合与该设备一起使用,并且展望未来,与 Win7 操作系统上的“德国”设备一起使用 - 连接到它时,会出现永久的 BSOD 。
我们发现第二个 USB over IP 设备更有趣。 该设备具有大量与网络功能相关的设置。 USB over IP 接口在逻辑上分为多个部分,因此初始设置非常简单且快速。 但是,正如前面提到的,连接多个密钥时存在问题。
进一步研究USB over IP硬件,我们遇到了国内厂商。 该系列包括 16、32、48 和 64 端口版本,能够安装在 19 英寸机架中。 制造商描述的功能甚至比以前购买的 USB over IP 的功能还要丰富。 最初,我喜欢国产托管 USB over IP 集线器在通过网络共享 USB 时为 USB 设备提供两级保护:
- 远程物理打开和关闭USB设备;
- 使用登录名、密码和 IP 地址连接 USB 设备的授权。
- 使用登录名、密码和 IP 地址连接 USB 端口的授权。
- 记录客户端对 USB 设备的所有激活和连接以及此类尝试(密码输入不正确等)。
- 流量加密(原则上,这对于德国模式来说还不错)。
- 此外,该设备虽然不便宜,但比以前购买的设备便宜几倍(当转换为端口时,差异变得尤其明显;我们考虑了 64 端口 USB over IP),这是合适的。
我们决定与制造商核实一下对之前存在连接问题的两种类型的智能令牌的支持情况。 我们获悉,他们并不能 100% 保证支持所有 USB 设备,但尚未发现有任何设备存在问题。 我们对这个答案并不满意,建议制造商转移代币进行测试(幸运的是,运输公司运输只需 150 卢布,而且我们有足够的旧代币)。 发送密钥 4 天后,我们收到了连接数据,并且奇迹般地与 Windows 7、10 和 Windows Server 2008 连接。一切正常,我们连接令牌没有任何问题,并且能够使用它们。
我们购买了一个带有 64 个 USB 端口的托管 USB over IP 集线器。 我们连接了不同分支机构的 18 台计算机的所有 64 个端口(32 个密钥和其余的 - 闪存驱动器、硬盘驱动器和 3 个 USB 摄像头) - 所有设备都工作正常。 总的来说,我们对该设备感到满意。
我没有列出 USB over IP 设备的名称和制造商(以避免广告),它们可以在互联网上轻松找到。
来源: habr.com