Quiero compartir nuestra experiencia de un año en encontrar una solución para organizar un acceso centralizado y ordenado a las claves de seguridad electrónicas en nuestra organización (claves para acceder a los pisos de negociación, claves bancarias, claves de seguridad de software, etc.). En relación con nuestra presencia de sucursales, que están geográficamente bastante separadas unas de otras, y la presencia en cada una de ellas de varias claves de protección electrónica, siempre hay una necesidad de ellas, pero en diferentes sucursales. Después de otra molestia con una clave perdida, la administración estableció la tarea: resolver este problema y recopilar TODOS los dispositivos de protección USB en un solo lugar, y garantizar que trabajen con ellos independientemente de la ubicación del empleado.
Por lo tanto, debemos recopilar en una oficina todas las claves disponibles en nuestra empresa, banco de clientes, licencias 1s (hasp), rootkens, ESMART Token USB 64K, etc. para su uso posterior en máquinas remotas físicas y virtuales Hyper-V. El número de dispositivos usb es de 50-60 y seguro que ese no es el límite. Ubicación de servidores de virtualización fuera de la oficina (centro de datos). La ubicación de todos los dispositivos USB en la oficina.
Estudiamos las tecnologías existentes para el acceso centralizado a dispositivos USB y decidimos centrarnos en la tecnología USB sobre IP (USB sobre IP). Resulta que muchas organizaciones usan esta solución particular. Hay hardware y software USB sobre IP en el mercado, pero no nos convenían. En consecuencia, además, nos centraremos solo en la elección del hardware USB sobre IP y, en primer lugar, en nuestra elección. Dispositivos de China (sin nombre), también excluimos de la consideración.
La solución de hardware USB sobre IP más descrita en Internet es el dispositivo fabricado en EE. UU. Y Alemania. Para un estudio detallado, compramos una versión grande para montaje en rack de este USB sobre IP, diseñada para 14 puertos USB, con la posibilidad de montar en un rack de 19 pulgadas y USB sobre IP alemán, diseñada para 20 puertos USB, también con la posibilidad de montar en un rack de 19 pulgadas. Desafortunadamente, estos fabricantes no tenían una mayor cantidad de puertos USB sobre dispositivos IP.
El primer dispositivo es muy costoso e interesante (Internet está lleno de reseñas), pero hay un gran inconveniente: no hay sistemas de autorización para conectar dispositivos USB. Cualquiera que instale una aplicación de conexión USB tiene acceso a todas las claves. Además, como lo ha demostrado la práctica, el dispositivo USB "esmart token est64u-r1" no es adecuado para usar con el dispositivo y, de cara al futuro, con "alemán" en el sistema operativo Win7, cuando un BSOD permanente está conectado a él.
El segundo dispositivo USB sobre IP nos pareció más interesante. El dispositivo tiene un gran conjunto de configuraciones relacionadas con las funciones de red. La interfaz USB sobre IP está particionada lógicamente, por lo que la configuración inicial fue bastante simple y rápida. Pero, como se mencionó anteriormente, hubo problemas al conectar varias claves.
Estudiar más hardware USB sobre IP se encontró con fabricantes nacionales. La gama de modelos incluye versiones de 16, 32, 48 y 64 puertos con la posibilidad de montar en un rack de 19 pulgadas. La funcionalidad descrita por el fabricante era aún más rica que la del USB sobre IP anterior. Inicialmente, me gustó que el concentrador USB sobre IP controlado a nivel nacional proporciona protección en dos etapas para dispositivos USB cuando se comparte USB a través de una red:
- Encendido y apagado físico remoto de dispositivos USB;
- Autorización para conectar dispositivos USB mediante inicio de sesión, contraseña y dirección IP.
- Autorización para conectar puertos USB mediante inicio de sesión, contraseña y dirección IP.
- Registro de todas las inclusiones y conexiones de dispositivos USB por parte de los clientes, así como de tales intentos (ingreso incorrecto de contraseña, etc.).
- Cifrado de tráfico (que, en principio, no era malo en el modelo alemán).
- Además, era adecuado que el dispositivo, aunque no fuera barato, fuera varias veces más barato que el adquirido anteriormente (la diferencia se vuelve especialmente significativa cuando se convierte a un puerto, consideramos un USB sobre IP de 64 puertos).
Decidimos aclarar con el fabricante cómo es el problema con el soporte de dos tipos de tokens inteligentes que tienen problemas de conexión anteriormente. Se nos informó que no ofrecen una garantía de soporte del 100% para absolutamente todos los dispositivos USB, pero aún no hemos encontrado un solo dispositivo con el que haya problemas. No estábamos satisfechos con tal respuesta y sugerimos que el fabricante transfiriera los tokens para la prueba (el beneficio era que el envío por parte de la empresa de transporte costaba solo 150 rublos, y tenemos suficientes tokens viejos). 4 días después de enviar las claves, se nos informó de los datos para la conexión y nos conectamos maravillosamente con Windows 7, 10 y Windows Server 2008. Todo funcionó bien, conectamos nuestros tokens sin problemas y tuvimos la oportunidad de trabajar con ellos.
Compramos un concentrador USB sobre IP controlado con 64 puertos USB. Conectamos los 64 puertos de 18 computadoras en diferentes ramas (32 teclas y el resto - unidades flash, discos duros y 3 cámaras USB) - todos los dispositivos funcionaron sin problemas. En general, el dispositivo quedó satisfecho.
No proporciono nombres ni fabricantes de dispositivos USB sobre IP (para que no haya publicidad), simplemente se pueden encontrar en Internet.